La Nuit Du Hack 2008 : On a gagné !

16 juin 2008 – 20:12

Ca y est, la nuit du hack 2008 est finie. La soirée aura vraiment été excellente et couronnée de succès, vu que notre équipe a gagné le challenge !

Comme l’année dernière, j’étais avec Heurs : la team Ghosts In The Stack au complet. En plus, nous avions spécialement conçus des t-shirts pour l’événement, de quoi représenter fièrement notre site ! Nous étions également accompagnés de Joe, un petit nouveau dans le domaine, que j’ai connu à Technapol. Bref, direction Orsay pour une soirée de folie !

Arrivés sur place, nous retrouvons toute l’équipe d’Old Hopes : Virtualabs, 2PluS4, Youshe et Celelibi, ainsi que la joyeuse bande d’HZV avec CrashFR, Nono2357, dvrasp, et les autres. Et cette année, nous avons eu la chance de voir Ivanlef0u !

Scapy présenté par Nono

La soirée est divisée en deux parties : les conférences et les challenges. Les deux premières conférences ont pour sujet le Reverse-Engineering de la Nintendo DS. La première est présentée par Barbu qui explique comment parvenir à transformer un émulateur DS en mini-débogueur. Ensuite, Virtualabs présente un de ses projets, consistant à reverser et à détourner la couche Wifi de la console. Ainsi, il montre comment transformer une simple DS en véritable outil de pen-test Wifi, permettant de lancer des attaques de dé-authentification (pour déconnecter une station connectée à un AP) et simuler une vingtaine de fake-AP en simultané.

La 3ème, présentée par Nono2357, démontre la puissance de Scapy. Il s’agit d’un outil de pen-test réseau développé en Python qui se révèle extrèmement pratique et puissant. En quelques lignes (généralement 2 ou 3 !) et sans avoir à retenir de syntaxe compliquée on est capable de recoder les fonctionnalités présentes dans la plupart des outils comme Nmap, TCPDump, Wireshark, etc. Il montre également comment mapper un réseau en utilisant une commande basée sur Traceroute, détecter des proxys et du load-balancing. Enfin, il présente deux de ses projets persos utilisant Scapy ; l’un permettant de détecter la longueur d’un mot de passe root transmis par SSH, et l’autre ayant pour but de faire du fingerprinting au niveau hardware en utilisant la détection de la fréquence du quartz des horloges.

Exploitation kernel Windows avec Ivanlef0u

Vient ensuite le tour d’Ivanlef0u, qui présente quelques techniques d’exploitation au niveau noyau dans Windows (XP et Vista). Il y explique les bases concernant le niveau KernelLand (aussi appelé Ring 0), les avantages mais aussi les difficultés qu’il entraîne auniveau de l’exploitation. Il fait deux démos basées sur deux exploits publiés début 2008 permettant de réécrire un octet n’importe où dans le noyau, ayant pour conséquence la possibilité d’excuter du code au niveau noyau. Et pour finir, Virtualabs’s Brother présente la denrière conférence, traitant de la sécurité au niveau physique.

Une fois les conférences terminées, les challenges débutent. Cette année, il y a un prix : une formation complète du catalogue de Sysdream, incluant le CEH, une formation reconnue mondialement. Nous formons rapidement une équipe composée au final de Heurs, Ivanlef0u, Joe, Tryks, Celelibi et moi-même (Trance). A l’image de l’année dernière, nous baptisons notre équipe « La Secte du Hamster Belliqueux »…

Notre équipe, la Secte du Hamster Belliqueux

Les deux challenges présents ont pour sujet le Web et le Bluetooth. A la grande déception des reversers (Heurs et Ivanlef0u), il n’y a pas d’applicatif. N’étant pas équipés ni en matériel ni en connaissances au niveau Bluetooth, nous nous lançons donc directement dans le Web. Ce challenge a pour but de rooter le site (utilisant Joomla) d’une entreprise fictive. Après une recherche des failles les plus classiques, nous apprenons qu’une faille Include vient d’être découverte par la SSH Team, qui encaisse donc les points de la faille plus un bonus pour l’avoir trouvé en premier.

Au bout d’une trentaine de minutes, nous remontons le score en découvrant notre première faille de type Escape Shell permettant d’exécuter des commandes shell distantes. Quelques dizaines de minutes plus tard, nous trouvons la faille Include trouvée par nos concurrents. Dommage, l’inclusion distante est désactivée. En plus, une nouveauté de cette année accorde des bonus lorsque les équipes font des « combos » d’exploitations de failles. Nous détectons un dossier protégé par un .htaccess, donc nous en profitons pour utiliser la faille Include découverte afin d’afficher son contenu, révélant la présence d’un fichier de mot de passe. Ivanlef0u s’en charge, le récupère et le cracke en local, ce qui permet d’accéder au dossier et au passage de gratter quelques points supplémentaires. En attendant, nous utilisons l’Escape Shell pour créer des fichiers .php sur le serveur permettant d’obtenir des informations cruciales. Les administrateurs nous informent que nous venons de faire une exploitation qu’ils n’avaient pas prévu, donc cela nous rapporte encore quelques points :) . Du côté réseau, quelques scans Nmap montrent la présence d’un FTP (qui se révèle vide), d’un service tournant sur le 8080, et d’un SSH.

Nous avons désormais accès aux sources des fichiers du site (donnant accès aux mots de passe de config)… et nous détectons la présence d’une archive .tar située dans un dossier inaccessible. En injectant une commande shell « cp » bien placée, nous parvenons à copier cette archive dans un dossier accessible et à la télécharger… Et ô miracle il se trouve que cette archive contient tout le code source du site. Nous détectons aussi un PHPMyAdmin auquel nous nous connectons grâce aux identifiants récupérés précédemment. Nous créons un utilisateur dans la table Users de Joomla et nous nous octroyons tous les privilèges, permettant d’administrer l’intégralité du site (Ivanlef0u en a d’ailleurs profité :p). Pendant ce temps, certains (comme moi) s’acharnent à uploader une backdoor PHP sur le serveur sans succès.

Bref, il est aux alentours de 6h et notre score atteint 290 points… Et nous apprenons qu’une autre équipe (désolé, je ne me souviens plus de leur nom…) vient de valider le challenge Bluetooth, qui leur rapporte 300 points et les replace en tête (avec un score de 320) ! Énervés, nous entamons une recherche intense de faille, cherchant à tout prix à gagner des points pour repasser en tête. Nous découvrons le login/pass du SSH qui n’était rien d’autre que le nom et le prénom de l’admin, et nous voyons également qu’un compte admin test/test existe sur le site. De son côté, Ivanlef0u s’énerve sur la bannière du site qui se révèle stéganographiée, pendant que Celelibi et moi planchent sur une épreuve de crypto made by Virtualabs utilisant le Cow code, ainsi qu’une faille XSRF dans le forum du site. Au final, les trois épreuves sont validées et nous repassons en tête haut la main avec un score avoisinant les 500.

Il est déjà 8h et c’est la fin du challenge. Nous remarquons au passage que nous ne sommes plus qu’une poignée d’acharnés. Les administrateurs remettent ainsi une formation à chacun des membres de l’équipe, avec une mention spéciale à celui qui a validé le plus de failles… c’est à dire moi. J’empoche donc une formation CEH ! Si je devais faire un bilan de cette soirée, je dirais qu’elle était vraiment très sympa. Je tiens personnellement à remercier d’une part chacun des membres de notre équipe qui se sont donnés à fond pendant toute la nuit pour grapiller le moindre point, et d’autre part toute l’équipe d’HZV et de Sysdream pour leur geste.

Merci à tous encore une fois, et à l’année prochaine !

Ressources :

Les photos seront mises en ligne prochainement.

  1. Une réponse à “La Nuit Du Hack 2008 : On a gagné !”

  2. Bonjour à tous,

    La société SCRT a le plaisir de vous annoncer la deuxième édition de notre concours de Ethical Hacking (Insomni’hack) qui aura lieu le 6 février 2009.

    Le concours se tiendra dans les locaux de notre partenaire: L’Ecole d’ingénieurs de Genève

    HES-Ecole d’ingénieurs
    Rue de la Prairie 4
    CH-1202 Genève

    Ce concours consiste en une série d’épreuves de tous niveaux (faciles à difficiles) relatives à la sécurité informatique. Le concours est ouvert à tous, du débutant à l’expert confirmé ! L’inscription est gratuite et divers prix sont à la clé. Il s’agira, au final, pour chaque participant d’utiliser ses compétences en matière de sécurité des systèmes d’information, ceci dans une ambiance conviviale.

    Cette année de nombreuses activités seront également proposées aux visiteurs, notamment les solutions des épreuves seront présentées au fur et à mesure de la progression des candidats.

    Pour toute information complémentaire, vous pouvez visiter notre site internet : http://www.scrt.ch

    Nous espérons vous rencontrer bientôt lors cet événement!

    Meilleures salutations

    Le marketing SCRT

    SCRT – Information Security
    Tel : +41 21 802 64 01
    Fax : +41 21 802 64 02
    Le trèsi 6
    CH1028 Préverenges
    Switzerland

    Par Scrt le 3 décembre 2008

Désolé, les commentaires sont fermés pour le moment.