Postée le 30/06/2008 par Trance
Cette semaine, je suis à Sysdream pour assister à la formation CEH qui m'a été offerte suite à la victoire de notre équipe lors de la NDH.
J'ai discuté avec La Pieuvre, et j'ai été surpris d'apprendre qu'il est déjà en train de s'organiser pour que la prochaine NDH se déroule non pas à Paris, mais à Marseille ! Notons toutefois que pour le moment, rien n'est encore officiel : les négociations sont encore en cours.
Postée le 17/06/2008 par Trance
Suite à un petit malentendu, il s'avère que ce n'est pas juste Trance qui ait gagné une formation, mais tous les membres de l'équipe !
Finalement, toute l'équipe est bien récompensée... Nous tenons tous à remercier Sysdream pour son geste et nous excusons pour l'erreur dans la news précédente ;)
Postée le 15/06/2008 par Trance
La Nuit Du Hack 2008 est désormais terminée. Cette année, il y avait plus de monde (une centaine de personnes), plus de challenge, et plus de prise de tête ! Mais tout s'est finalement très bien passé puisque notre équipe a gagné ! Voici un petit résumé de la nuit.
Vêtus de nos super tshirts GITS, nous partons en compagnie de Joe en direction d'Orsay et nous arrivons sur place vers 16h. Cette fois-ci, la soirée ne se déroule pas dans une grange mais dans les locaux de l'ISCIO. Nous sommes rapidement rejoints par l'équipe d'Old Hopes : Virtualabs, 2PluS4, Youshe, Celelibi.
Les deux premières conférences ont pour sujet le Reverse-Engineering de la Nintendo DS. La première est présentée par Barbu qui explique comment parvenir à transformer un émulateur DS en mini-débogueur. Ensuite, Virtualabs présente un de ses projets, consistant à reverser et à détourner la couche Wifi de la console. Ainsi, il montre comment transformer une simple DS en véritable outil de pen-test Wifi, permettant de lancer des attaques de dé-authentification (pour déconnecter une station connectée à un AP) et simuler une vingtaine de fake-AP en simultané.
La 3ème conférence, présentée par Nono2357, démontre la puissance de Scapy. Il s'agit d'un outil de pen-test réseau développé en Python qui se révèle extrèmement pratique et puissant. En quelques lignes (généralement 2 ou 3 !) et sans avoir à retenir de syntaxe compliquée on est capable de recoder les fonctionnalités présentes dans la plupart des outils comme Nmap, TCPDump, Wireshark, etc. Il montre également comment mapper un réseau en utilisant une commande basée sur Traceroute, détecter des proxys et du load-balancing. Enfin, il présente deux de ses projets persos utilisant Scapy ; l'un permettant de détecter la longueur d'un mot de passe root transmis par SSH, et l'autre ayant pour but de faire du fingerprinting au niveau hardware en utilisant la détection de la fréquence du quartz des horloges.
Vient ensuite le tour d'Ivanlef0u, qui présente quelques techniques d'exploitation au niveau noyau dans Windows (XP et Vista). Il y explique les bases concernant le niveau KernelLand (aussi appelé Ring 0), les avantages mais aussi les difficultés qu'il entraîne auniveau de l'exploitation. Il fait deux démos basées sur deux exploits publiés début 2008 permettant de réécrire un octet n'importe où dans le noyau, ayant pour conséquence la possibilité d'excuter du code au niveau noyau. Et pour finir, Virtualabs's Brother présente la denrière conférence, traitant de la sécurité au niveau physique.
Une fois les conférences terminées, les challenges débutent. Cette année, il y a un prix : une formation complète du catalogue de Sysdream, incluant le CEH, une formation reconnue mondialement. Nous formons rapidement une équipe composée de nous deux, Ivanlef0u, Joe, Tryks et Celelibi. A l'image de l'année dernière, nous baptisons notre équipe "La Secte du Hamster Belliqueux"...
Les deux challenges présents ont pour sujet le Web et le Bluetooth. A la grande déception des reversers, il n'y a pas d'applicatif. N'étant pas équipés ni en matériel ni en connaissances au niveau Bluetooth, nous nous lançons donc directement dans le Web. Ce challenge a pour but de rooter le site (utilisant Joomla) d'une entreprise fictive. Après une recherche des failles les plus classiques, nous apprenons qu'une faille Include vient d'être découverte par la SSH Team, qui encaisse donc les points de la faille plus un bonus pour l'avoir trouvé en premier. Au bout d'une trentaine de minutes, nous remontons le score en découvrant notre première faille de type Escape Shell permettant d'exécuter des commandes shell distantes. Quelques dizaines de minutes plus tard, nous trouvons la faille Include trouvée par nos concurrents. Dommage, l'inclusion distante est désactivée. En plus, une nouveauté de cette année accorde des bonus lorsque les équipes font des "combos" d'exploitations de failles. Nous détectons un dossier protégé par un .htaccess, donc nous en profitons pour utiliser la faille Include découverte afin d'afficher son contenu, révélant la présence d'un fichier de mot de passe. Ivanlef0u s'en charge, le récupère et le cracke en local, ce qui permet d'accéder au dossier et au passage de gratter quelques points supplémentaires. En attendant, nous utilisons l'Escape Shell pour créer des fichiers .php sur le serveur permettant d'obtenir des informations cruciales. Les administrateurs nous informent que nous venons de faire une exploitation qu'ils n'avaient pas prévu, donc cela nous rapporte encore quelques points :). Du côté réseau, quelques scans Nmap montrent la présence d'un FTP (qui se révèle vide), d'un service tournant sur le 8080, et d'un SSH.
Nous avons désormais accès aux sources des fichiers du site (donnant accès aux mots de passe de config)... et nous détectons la présence d'une archive .tar située dans un dossier inaccessible. En injectant une commande shell "cp" bien placée, nous parvenons à copier cette archive dans un dossier accessible et à la télécharger... Et ô miracle il se trouve que cette archive contient tout le code source du site. Nous détectons aussi un PHPMyAdmin auquel nous nous connectons grâce aux identifiants récupérés précédamment. Nous créons un utilisateur dans la table Users de Joomla et nous nous octroyons tous les privilèges, permettant d'administrer l'intégralité du site (Ivanlef0u en a d'ailleurs profité :p). Pendant ce temps, certains (comme Trance) s'acharnent à uploader une backdoor PHP sur le serveur sans succès.
Bref, il est aux alentours de 6h et notre score atteint 290 points... Et nous aprenons que la SSH Team vient de valider le challenge Bluetooth, qui leur rapporte 300 points et les replace en tête (avec un score de 320) ! Enervés, nous entammons une recherche intense de faille, cherchant à tout prix à gagner des points pour repasser en tête. Nous découvrons le login/pass du SSH qui n'était rien d'autre que le nom et le prénom de l'admin, et nous voyons également qu'un compte admin test/test existe sur le site. De son côté, Ivanlef0u s'énerve sur la bannière du site qui se révèle stéganographiée, pendant que Celelibi et Trance planchent sur une épreuve de crypto made by Virtu utilisant le Cow code, ainsi qu'une faille XSRF dans le forum du site. Au final, les trois épreuves sont validées et nous repassons en tête haut la main avec un score avoisinant les 500.
Il est déjà 8h et c'est la fin du challenge. Nous remarquons au passage que nous ne sommes plus qu'une poignée d'acharnés. Les administrateurs remettent le prix à Trance, qui a validé le plus de failles, et qui empoche donc une formation CEH. Nous regrettons vraiment qu'il n'y ait qu'un vainqueur, car il s'agit avant tout d'un travail de groupe. Nous tenons vraiment à remercier chacun des membres de l'équipe qui se sont donnés à fond pendant toute la nuit pour grapiller le moindre point.
Nous comptons mettre en ligne très prochaînement des photos de la soirée. Sinon, voici quelques liens en vrac :
Merci à tous une fois de plus et à toute l'équipe d'HZV pour cette super soirée !
