[VulnHub write-up] The Wall by Zaiuss (2 de 2)

Ya estoy en la casa de Waters. Aparte de su diario (es una parodia), encuentro una foto suya echándose un pitillo y su biografía, pero nada más interesante. Voy a echar un ojo por los alrededores.

Mirando el /etc/passwd veo que hay un usuario por cada miembro del grupo:

    SydBarrett:*:1000:1000:Syd Barrett:/home/SydBarrett:/sbin/nologin
    NickMason:*:1001:1001:Nick Mason:/home/NickMason:/bin/ksh
    RogerWaters:*:1002:1002:Roger Waters:/home/RogerWaters:/bin/ksh
    RichardWright:*:1003:1003:Richard Wright:/home/RichardWright:/bin/ksh
    DavidGilmour:*:1004:1004:David Gilmour:/home/DavidGilmour:/bin/ksh


No puedo entrar en las casas de los otros usuarios, pero esto no me impide buscar alguna llave debajo de la alfombra. Con find -user tengo más que suficiente.


Woow, dos binarios “setuideados” (maldita palabra fea), de los cuales solo puedo ejecutar brick, el otro tan solo lo podrá ejecutar DavidGulmour o RichardWrigth (y root obviamente). La siguiente prueba es fácil:


Mason has been the drummer on every Pink Floyd album (but not on every song; some feature session drummers, drum machines, or no drumming at all).

NICK MASON
Al acertar la pregunta salto de usuario y ahora soy Nick Manson, (pero sin un ferrari). En su home tengo más o menos lo mismo que en los demás, una foto y su biografía. ¿Una foto suya? A ver ese bigote…

Ajá! si no hay foto, está rota. No pasa nada, un vistazo con file vale para descubrir que se trata de un archivo .ogg. Bien, lo renombro y se lo mando a audacity.



Uy que divertido, si me tiene escondido un mensaje en morse ...(cabrón), y para ponerlo un poco más difícil mete una grabación de un piano de fondo. Pues nada... pulso corto y pulso largo. No tiene más; paciencia e ir despacito apuntando. El ir observando el dibujo de la onda con un el audacity ayuda (en unos pulsos se ve más claro que en otros.)
 
Esto es lo que me sale después de un rato muy divertido:

.-. .. -.-. .... .- .-. -.. ..-. .-. .. --. .... - .---- ----. ....- ...-- ..-. .- .-. ..-. .. ... .-

En la primera web que encontré para descodificar morse: http://www.onlineconversion.com/morse_code.htm.


Me sale Fright en vez de Wight, pero ya he tenido suficiente y tengo sus credenciales, jeje: RichardWright:1943farfisa


RICHARD WRIGHT

Yeah, ahora soy el teclista de los Pink Floyd, toma ya! A ver que tiene en casa:

Casi lo mismo que sus colegas: su biografía de la wikipedia, la típica foto con el cigarro y semblante pensativo, y un archivo mbox que también tenía el resto, pero en este caso no está vacío y se trata de un mail donde Rick (Richard Wright) le pide al guitarra David Wilmour que le recuerde algo. Su respuesta es: “just use that command I gave you with the menu”.
 
Esto me recuerda que tenía algo por ahí pendiente; el binario usr/local/bin/shineon, que ahora sí que puedo ejecutarlo.


Interesante, parece un inofensivo programa que muestra un calendario, hace un who, un ping y un mail… ¿si? pues dicen que un primer vistazo con strings siempre ayuda.


Uff, parece que alguien se ha despistado, se ha usado la ruta del PATH para llamar a mail. Pues lo siento por ti compañero (no sé con quien hablo), pero me voy a colar.

Esto es primero de vulnhub: modificar el $PATH, crear un ejecutable llamado mail con la línea /bin/ksh (es la shell que hay) y darle permisos de ejecución.

Ahora solo toca ir a la opción 4 del binario buggy:


DAVID GILMOUR
Tachán! Ahora tocamos la guitarra como un semi-dios. Soy David Gilmour y en casa veo una foto “david_gilmour_profile_pic.jpg” y un archivo de texto, “anotherbrick.txt”:

# Come on you raver, you seer of visions, come on you painter, you piper, you prisoner, and shine. - Pink Floyd, Shine On You Crazy Diamond

New website for review:    pinkfloyd1965newblogsite50yearscelebration-temp/index.php

# You have to be trusted by the people you lie to. So that when they turn their backs on you, you'll get the chance to put the knife in. - Pink Floyd, Dogs

Guay! Revela una carpeta en el servidor web, que por cierto ¿donde esta?, tiene toda la pinta de estar en /var/www/htdocs, pero no puedo entrar, tan solo root o un user del grupo welcometothemachine. Vaya!, que casualidad, DavidGilmour pertenece a este grupo... que suerte tengo.

Antes de seguir, es importante poner el tema mencionado en la ultima frase del archivo anotherbrick.txt:

“Dogs” - https://www.youtube.com/watch?v=qiaF4kuxJco


Mucho mejor... ahora que estoy en contexto voy seguir con la otra pista que encuentro a mano, la imagen de Gilmour.

¿Eso no será la contraseña del user, no?


Toma ya! Jajaja, que bueno strings, no falla. Ahora puedo entrar en /var/www/htdocs… que emoción!

Lo primero que llama la atención es un binario ...welcometothemachine/PinkFloyd, que al ejecutarlo pide una respuesta a la que no se como responder.


"In the flesh” - https://www.youtube.com/watch?v=jnU5V4Z9k88 

Ahora mismo esta canción es mi única pista. Y el binario este tampoco se puede leer… umm!,

Bueno ¿no tenía yo por ahí otra pista?. Claro! la carpeta “pinkfloyd1965newblogsite50yearscelebration-temp” en el webserver.


Joder, esta maquina está muy currada.
 
Desde el index.php he ido a dar con un pequeño blog de Pink Floyd: Más info de la banda, del autor del CTF, la discografía y un precioso dibujo.
 
Me ha encantado pero ahora me vuelvo a ver en un momento delicado con esta maquina. Cuando me pasa esto en una operación cierro los ojos y meto bisturí, pero aquí no funciona. ¿Que hago?.
 
Llevo un rato con cara de tonto delante de la pantalla viendo el dibujo del index. Está muy currado, con referencias a las canciones (el dinero por “Money”, los conejos “Breath”) y a la biografía (la cara de Syd Barrett en la nube).

Cuantas cosas en una sola imagen… Coño! Claro, y podría tener aún más cosas. Además con lo que le gusta la esteganografía al admin. Voy a buscar!


Uh! uh! Yo sé que es eso de welcometothemachine, aparte de ser un temazo. Tambien un hash, que no tengo pelotas a romper… aunque, espera un momento (mentira, me llevó un buen rato)


 "Fearless” - https://www.youtube.com/watch?v=TeyHPAdxuy0

¿Habia que meter el hash así “a pelo”? Que mala gente…

“You can now set your controls to the heart of the sun!”: Esto es lo que me sugiere revisar el id y el /etc/sudoers. Y es game over ...el paciente no ha sobrevivido, somos root.


Y así es como se junta arte y código. Mis respetos Don Xerubus.

Zaiuss.

Comentarios