]> git.somenet.org - pub/jan/ctf-seminar.git/blob - writeups/phager/ctfzone.md
Add hxp36c3 writeup
[pub/jan/ctf-seminar.git] / writeups / phager / ctfzone.md
1 # CTFZone 2019 Quals
2
3 Paul Theodor Hager
4 01426941
5 pH - @phager
6
7 ## Retrospective
8
9 - Some weird challenges
10 - One of those frustrating CTFs...
11 - Learned some OSINT tools, websites and Mysql authentication
12
13 ## Honey is sweet but Bee stings
14
15 Category: OSINT, Forensic
16
17 Description:
18 `Your tool is really awesome, and plugins you recommended to me were very helpfull, I appreciate your help. Can you please check this network dump? Help me to catch him!`
19
20 We got a .pcap file with two TCP streams: Both of them contained Mysql traffic.
21 First idea was that the flag might be hidden in the Mysql server password and we have to extract the password somehow from the traffic.
22 `mysql_native_password` was used for authentication and some googeling revealed that this method is not recommended.
23 We found the following exploit script: https://github.com/cyrus-and/mysql-unsha1.
24 As we were not in possession of the password hash, we could not use the method behind the tool from GitHub - No luck with this tool.
25
26 Looking at the traffic more precisely, we concluded that the traffic looks somehow like an exploit, where an attacker tries to extract some infos.
27 We googled the involed IPs and the client IP was still online - a Tor exit node. 
28
29 ```bash
30 pth@~/Downloads/ctf-zone> nmap 185.100.87.206
31 Starting Nmap 7.80 ( https://nmap.org ) at 2019-11-30 21:05 CET
32 Nmap scan report for geri.enn.lu (185.100.87.206)
33 Host is up (0.075s latency).
34 Not shown: 995 closed ports
35 PORT      STATE    SERVICE
36 22/tcp    open     ssh
37 80/tcp    open     http
38 443/tcp   open     https
39 9001/tcp  open     tor-orport
40 16992/tcp filtered amt-soap-http
41
42 Nmap done: 1 IP address (1 host up) scanned in 8.92 seconds
43 ```
44
45 Google (after a lot of searching!) also reveald a pastbin: https://pastebin.com/qPPe1f6s.
46 The pastbin link mentions various IP-Blacklists-Sites and on one of those (https://cleantalk.org/blacklists/35.242.238.204) a comment for the attacker IP was published: 
47 "This guy is not giving up! But I gathered some information, the deanon is on the way! You can find details on dbnotes.site"
48
49 On http://dbnotes.site/ we found a blog post which exactly describes our challenge. Even the exact same .pcap file was provided.
50 The blog post reveals the hostname of the attacker `tumandakumar` and the author states that it seems to be a nickname.
51
52 With the help of this name (and various nickname osint/seraching sites) we found a bitbucket team https://bitbucket.org/tumandakumar/ with two members and an VK user: https://vk.com/tumandk.
53 On bibucket we found the project "PSN_sales_checker" and we tried to find some informations in the PSN network... no luck.
54
55 From here on we got stuck as we could not get any more informations, altough we were googeling quite a lot.
56
57 Unfortunately there was no writeup published and only 4 teams solved this challenge.
58
59 ## Jumping Other Challenges
60
61 Every few hours I "rage-quitted" on the challenge "Honey is sweet but Bee stings" and was jumping other challenges.
62 But no meaningful contribution was done in those phases.