writeups/phager/ctfzone.md

   1 # CTFZone 2019 Quals
   2
   3 Paul Theodor Hager
   4 01426941
   5 pH - @phager
   6
   7 ## Retrospective
   8
   9 - Some weird challenges
  10 - One of those frustrating CTFs...
  11 - Learned some OSINT tools, websites and Mysql authentication
  12
  13 ## Honey is sweet but Bee stings
  14
  15 Category: OSINT, Forensic
  16
  17 Description:
  18 `Your tool is really awesome, and plugins you recommended to me were very helpfull, I appreciate your help. Can you please check this network dump? Help me to catch him!`
  19
  20 We got a .pcap file with two TCP streams: Both of them contained Mysql traffic.
  21 First idea was that the flag might be hidden in the Mysql server password and we have to extract the password somehow from the traffic.
  22 `mysql_native_password` was used for authentication and some googeling revealed that this method is not recommended.
  23 We found the following exploit script: https://github.com/cyrus-and/mysql-unsha1.
  24 As we were not in possession of the password hash, we could not use the method behind the tool from GitHub - No luck with this tool.
  25
  26 Looking at the traffic more precisely, we concluded that the traffic looks somehow like an exploit, where an attacker tries to extract some infos.
  27 We googled the involed IPs and the client IP was still online - a Tor exit node.
  28
  29 ```bash
  30 pth@~/Downloads/ctf-zone> nmap 185.100.87.206
  31 Starting Nmap 7.80 ( https://nmap.org ) at 2019-11-30 21:05 CET
  32 Nmap scan report for geri.enn.lu (185.100.87.206)
  33 Host is up (0.075s latency).
  34 Not shown: 995 closed ports
  35 PORT      STATE    SERVICE
  36 22/tcp    open     ssh
  37 80/tcp    open     http
  38 443/tcp   open     https
  39 9001/tcp  open     tor-orport
  40 16992/tcp filtered amt-soap-http
  41
  42 Nmap done: 1 IP address (1 host up) scanned in 8.92 seconds
  43 ```
  44
  45 Google (after a lot of searching!) also reveald a pastbin: https://pastebin.com/qPPe1f6s.
  46 The pastbin link mentions various IP-Blacklists-Sites and on one of those (https://cleantalk.org/blacklists/35.242.238.204) a comment for the attacker IP was published:
  47 "This guy is not giving up! But I gathered some information, the deanon is on the way! You can find details on dbnotes.site"
  48
  49 On http://dbnotes.site/ we found a blog post which exactly describes our challenge. Even the exact same .pcap file was provided.
  50 The blog post reveals the hostname of the attacker `tumandakumar` and the author states that it seems to be a nickname.
  51
  52 With the help of this name (and various nickname osint/seraching sites) we found a bitbucket team https://bitbucket.org/tumandakumar/ with two members and an VK user: https://vk.com/tumandk.
  53 On bibucket we found the project "PSN_sales_checker" and we tried to find some informations in the PSN network... no luck.
  54
  55 From here on we got stuck as we could not get any more informations, altough we were googeling quite a lot.
  56
  57 Unfortunately there was no writeup published and only 4 teams solved this challenge.
  58
  59 ## Jumping Other Challenges
  60
  61 Every few hours I "rage-quitted" on the challenge "Honey is sweet but Bee stings" and was jumping other challenges.
  62 But no meaningful contribution was done in those phases.