[VulnHub write-up] The Wall by Zaiuss (1 de 2)

Buenos días mis queridos pacientes. Desde Hackplayers me han informado sobre un creciente numero de drogodependientes que a diario van a buscar su dosis a HTB y como soy un doctor preocupado y responsable con mis pacientes… ¡os traigo buena medicina!

He seleccionado una mercancía especial para empezar este 2018 bien dopados: The Wall, de el gran Xerubus. https://www.vulnhub.com/entry/the-wall-1,130/  , está dedicada a Pink Floyd y al igual que discos como Animals, o The Dark Side of the Moon, me parece una jodida obra maestra.

*Si estas leyendo esto y no te gusta escuchar Pink Floyd, un consejo: escúchalos.

Lo más normal seria empezar con un escaneo de nmap, pero en este caso voy a empezar poniendo música 8)

“Another brick in the wall” - https://www.youtube.com/watch?v=5IpYOF4Hi6Q

Ahora sí, localizo la dirección de la máquina y busco algún servicio expuesto:


Ups, ¿nada? Parece que no, con ningún “combo” de nmap… pero la máquina está ahí. Quizás wireshark tenga algo que decir:

 
Anda, mira! Si parece que quiere decirme algo por el puerto 1337. Pongo un netcat a la escucha a ver que pasa…. estoy nervioso.


Buaaaaah! Yo con estas tonterías me emociono, joder. Y fíjate, parece que quieren saludarme.


- Welcome to the machine. https://www.youtube.com/watch?v=lt-udg9zQSE

Ha sido emocionante, ¿pero y ahora que pasa? No tengo muy claro si ha pasado algo o no,  así que voy a seguir dándole al nmap.


Si hombre!, eso antes no estaba ahí. Un http que se acaba de abrir ahora mismo. Pues venga, además voy a entrar como las personas normales.


Jeje, ahí Nick Mason parece John Lennon y Roger Waters, Mick Jagger... nah!, las comparaciones son odiosas.

Bueno, si lo primero que se hace con cualquier paciente es mirarle las tripas, este index no va a ser menos.

Lo sabía, el código fuente esconde un comentario misterioso:

<!--If you want to find out what's behind these cold eyes, you'll just have to claw your way through this disguise. - Pink Floyd, The Wall

Did you know? The Publius Enigma is a mystery surrounding the Division Bell album.  Publius promised an unspecified reward for solving the
riddle, and further claimed that there was an enigma hidden within the artwork.

737465673d3333313135373330646262623337306663626539373230666536333265633035--> 


¿The Publis Enigma?, ni idea que es eso. Voy a llamar a un colega... (mis amigos molan).

Todo correcto, por lo visto “The Publis Enigma” fue una especie de acertijo que el grupo lanzó al mundo y que nunca llegó a resolverse. Quizás fuera solo marketing para confundir a sus fans o simplemente aún nadie ha dado con la llave. Lo que veo es que es demasiado como para seguir por ahí y más cuando tengo un choricete de números que aún ni he mirado, jeje.

737465673d3333313135373330646262623337306663626539373230666536333265633035

Caracteres en hexadecimal 0x73 0x74 0x65… ¿puede ser?

steg=33115730dbbb370fcbe9720fe632ec05

Vale, al ver steg se me ocurren dos cosas, la primera es que la foto del index tiene algo escondido y lo segundo es que me esperan en quirófano para un trasplante de corazón, aunque si hago una llamada al anestesista, que es mi compadre...

Solucionado. A ver, el numerito que viene después de steg es un MD5. Nada para mi rockero favorito John The Ripper.


“Poles Apart” - https://www.youtube.com/watch?v=g2V0s5PbxUk

divisionbell el cuarto disco de Pink Floyd. Debe ser algún tipo de key, además “steg” ...


See Emily Play es un disco de cuando aún estaba Syd Barrett. No sé que nos quiere decir, pero ahí veo un base64 y lo que posiblemente sea otro MD5.


- SydBarrett | pinkfloydrocks - ¿Y que hago con esto? Algún login tendrá que haber en algún sitio.

Estoy bloqueado, no puedo fuzzear el servidor web por qué el server me escupe, nikto tampoco me dice nada y a pelo no doy con nada interesante. Voy a pinchar.

“See Emily Play” - https://www.youtube.com/watch?v=5R8EpAv4miA

Ok ¿que tengo?. Tengo lo que parece ser unas credenciales, y un texto referencia al tema See Emily Play donde también cuentan que Pink Floyd se forma en 1965 y el por qué de este nombre para el grupo.

Eh!...1965, muy astuto, si llega a ser 1337 lo pillo a la primera.


Vaya toalla! Si aquí se van abriendo cosas cada dos por tres. O eso, o no me entero de nada… es igual, hemos venido a jugar y tenemos las llaves del kely de Syd!

SYD BARRETT

Ahí esta el tío, justo antes de ayudar a una señora a llevar la compra… espero.
Syd Barrett fué fundador del grupo, cantante y no sé si tocaba también la guitarra. Tuvo que abandonar el grupo por que sufría algún tipo de esquizofrenia. A saberse, me quedo con las canciones que la banda le hizo en su honor.

“Shine On You Crazy Diamond” - https://www.youtube.com/watch?v=8UXircX3VdM

Vale. ¿Podré entrar por ssh con las credenciales que tenemos (SydBarrett:pinkfloydrocks)?


Parece que no soy del todo bienvenido, dice que tengo que pasar por el sftp donde el flautista de Barrett ha intentado esconder algo. Para encontrarlo hay que listar archivos ocultos.


Madre mía, tengo un montón de cosas: bio.txt (Biografía de Syd Barrett sacada de  la wikipedia), syd_barret_profile_pic.jpg (foto de Syd), sent-items (mail de Syd a Roger Waters, habla sobre lo que anda escondiendo) y eclipsed_by_the_moon (el tesoro de Syd que realmente es un archivo gzip).

Si extraigo el contenido del archivo eclipsed_by_the_moon tengo el archivo eclipsed_by_the_moon.lsd, que resulta ser un archivo de disco. Hasta aquí todo correcto pero ¿.lsd? ¿Lucy in the Sky with Diamonds? ...guiño, codazo.


A priori no se ve nada si monto el archivo con mount, y con strings imposible xD. Pero cuando releo el mail en sent-items:

            Roger... I had to hide the stash.
            Usual deal.. just use the scalpel when you find it.
            Ok, sorry for that.
            Rock on man
            "Syd"

Ahí está la pista; scalpel es un file carver, pero testdisk viene instalado en kali xD


No está mal, en 1965 estaban más comprometidos con la seguridad que hoy en día. Bien hecho Syd, y brilla!

ROGER WATTERS

Esta es la imagen que se esconde en el disco... “Great LSD”, ¿Que querrá decir? ¿Y además me está dando su contraseña?, bueno, si el está feliz no le voy a poner yo ninguna pega, gracias.

 RogerWaters:hello_is_there_anybody_in_there?

“Is There Anybody Out There?” - https://www.youtube.com/watch?v=fNLhxKpfCnA 


Si señor! esas credenciales eran buenas, aquí he roto unos cuantos ladrillos más. Pero por hoy el doctor cierra sus consultas. Mañana continuamos las visitas médicas a The Wall desde la casa de Waters.

Continua en el siguiente post...

Comentarios