L'équipe LGHM a participé à l'excellent challenge FIC 2019 Forensic organisé par l' Epita
Challenge forensic fic epita srs writeup
Le Projet a commencé au mois de mai, c'est un projet de fin d’étude, les épreuves sont conçues progressivement
Au mois de novembre tout était pret, la reserve cyberdefense est venu les tester, 40 reservices, les tester et les debugguer pour que ca fonctionne aujourd’hui
Voici le début du writeup
D'abord, Il faut récupérer une clé USB qui contient un cerfificat p12 pour se connecter
au programme, fuites de données, compromission d’un poste de travail, exploitation de vulnérabilités d’un site web, reverser analyser, lire les traces...
astuce, attendre l’happy hour pour valider les flags: les flags comptent double!
5 niveaux à chaque challenges
les indices coutent des points
3 sequences à chaque heure
2eme heure, points doubes des challenges
3eme heure, on débloque tous les challenges
fin 15h30 remise pris à 16h
CYBERPIFOUNE
|
Commencez par vous connecter au réseau filaire afin d'obtenir une IP. Vous
n'aurez pas besoin d'être connecté au WiFi en parallèle pour accéder à
Internet.
Rendez-vous ensuite sur https://fic.srs.epita.fr/ pour commencer le challenge.
Bon courage !
Cliquez sur Afficher les paramètres avancés.
Dans la section HTTPS/SSL, cliquez sur Gérer les certificats.
Sélectionnez l'onglet Vos certificats.
Cliquez sur Importer… et sélectionnez votre certificat client P12.
Entrer le mot de passe: Hihihihiahahahahaha*
Une question? Posez-la ici
Besoin d'un tests d'intrusion, contactez la Red Team LGHM
Bravo et merci aux organisateurs: Sudul Aurélien, Ron Hassan, Champault Romain, Ghosn Mathieu, Haulin Matthieu
CyberPifoune
Une question? Posez-la ici
Besoin d'un tests d'intrusion, contactez la Red Team LGHM
https://fic.srs.epita.fr/CyberPifoune
Pifoune, conçoit et vend en ligne des équipements équestres. La direction a constaté l’apparition de contrefaçons sur le marché de certains de leurs produits phares.
La précision des produits contrefaits laisse suspecter que des données confidentielles de l’entreprise ont été dérobées.
MyLittlePwney#Web#SQL#Wordpress
Le site de l’entreprise Pifoune a été compromis. Comment l’attaquant s’y est-il pris ?
Au cours de vos investigations, vous suspectez une campagne de phishing sur la base de données des clients, alerté par l’employée, Martine. En effet, elle explique avoir reçu un mail lui demandant de changer son mot de passe avec un lien menant directement sur le site de Pifoune. Cependant, quelques jours plus tard, après discussion avec l’administrateur du site, elle apprend qu’aucun lien pour changer de mot de passe n’a été envoyé.
Deux dumps de la base de données séparée par une période de 2 semaines vous sont fournis en plus d’une copie du site web.
A vous d’investiguer afin de comprendre ce qu’il s’est passé.
Attention : puisqu'il s'agit de captures effectuées dans le but de découvrir si des actes malveillants ont été commis, les contenus qui sont téléchargeables peuvent contenir du contenu malveillant !
On télécharge le fichier pifoune.tar.bz
On le décompresse dans Downloads/pifoune
Fichier contenant les passwords :
require( dirname( __FILE__) . '/wp-blog-header.php' );
require( dirname( __FILE__) . '/wp-includes/pluggable.php' );
Dans le repertoire dumps:
dump_06_10_18.sql
dump_21_10_18.sql
Astuce #1
L’administrateur a récamment ajouté une page permettant d’upload des photos.
Astuce #2
Le dossier CSS du wordpress ne contient pas forcément du contenue CSS.
Revue de code php du fichier reset_pass_success.php
Une question? Posez-la ici
Besoin d'un tests d'intrusion, contactez la Red Team LGHM
Dans le fichier reset_pass_success.php je trouve
d3AtaW5jbHVkZXMvY3NzL3dwLWNvbG9yLWJhci5jc3M=
décodé en base 64 je trouve:
wp-includes/css/wp-color-bar.css
Login: Olivier
Password: olivierlebest
Login: liliandu45
Password: Lilian4545
Login: Martine
Password: Ke23Qb-y#A
A suivre...
Ce transcript reflète exclusivement l'opinion de ses auteurs et n’engage en aucune façon ConsultingitVoilà, j'espère que ça vous a plu. Vos commentaires/remarques sont les bienvenus
Contactez-nous