HTB Business CTF 2022 - Trade

Assalamualaikum, teman-teman. Kali ini saya akan berbagi Write Up dari salah satu soal di HTB Business CTF 2022 yang berlangsung akhir pekan kemarin. Soal pertama yang akan saya bahas soal Trade yang masuk dalam kategori Cloud.

Deskripsi soal

With increasing breaches there has been equal increased demand for exploits and compromised hosts. Dark APT group has released an online store to sell such digital equipment. Being part of defense operations can you help disrupting their service ?

 Pertama kita scan dulu ip yang diberikan, untuk tau service apa saja yang berjalan pada server tersebut.

Terlihat ada 3 service yang berjalan, yaitu ssh, webserver dan subversion.

80 - Web server

Ketika mengakses dari port 80 muncul halaman login seperti ini. Sepertinya tidak ada yang spesial.

300 - Subversion

Lanjut akses ke subversion, disini kita bisa melakukan koneksi menggunakan svn client. Disini kita juga bisa melakukan enumerasi. Disini saya menemukan repository store/, langsung saja download repository tersebut.

Ketika dibuka file dynamo.py terdapat usernam dan password yang sepertinya bisa kita gunakan untuk login pada website yang sudah kita temukan sebelumnya.

Lalu pada file sns.py tidak ada yang menarik hanya kita tau bahwa ada service sns yang berjalan. Kita coba lihat log dari repository ini.

Terlihat ada beberapa modifikasi yang sudah dibuat, sekarang kita coba revert ke revisi yang sebelum. Ketika mencoba kembali ke revisi ke 2, pada file sns.py terdapat access dan secret key aws.

Kembali ke website, sekarang kita coba login menggunakan username dan password yang sudah kita dapatkan. Ternyata setelah berhasil login kita perlu memasukkan otp.

Kemungkinan otp tersebut bisa kita dapat dari sns. Langsung kita coba enumerate sns topic yang dimiliki dari account aws yang kita dapatkan sebelumnya.

Terdapat 1 topic bernama otp, langsung aja kita subscribe agar bisa mendapatkan pesannya. Karena mesin soal tidak mendapat akses ke internet maka kita tidak bisa menggunakan public email. Agar mudah disini saya memutuskan untuk menggunakan protocol http dengan endpoint ip pc saya. Di pc saya nanti saya akan open port 80 menggunakan netcat untuk menerima pesan.

Selanjutnya, tinggal open port 80 dan melakukan login pada website

Berikut tampilan websitenya. Selanjutnya saya mencoba melihat-lihat fitur apa saja yang ada di website tersebut. Ternyata ada sebuah halaman bernama search yang menerima inputan.

Setelah mencoba-coba berbagai macam inputan akhirnya muncul error ketika saya menginputkan "

Setelah mencari-cari di google dan teringat file yang kita temukan diawal sepertinya website tersebut menggunakan dynamodb. Langsung saja kita coba lakukan dynamo injection. Berikut payload injection yang saya gunakan.

Hasilnya, sekarang semua data yang ada di database muncul.

Disini saya stuck agak lama, lalu kepikiran menggukanan kredensial tersebut untuk ssh ke mesin soal. Ketika menggunakan user mario saya berhasil masuk ke mesin server. Langsung saja buka file flag.txt yang tersedia.

Referensi:

• https://book.hacktricks.xyz/network-services-pentesting/3690-pentesting-subversion-svn-server
• https://tutorgeeks.blogspot.com/2019/11/publicly-exposed-aws-sns-topics.html
• https://medium.com/appsecengineer/dynamodb-injection-1db99c2454ac