Задача о поиске секретной службы
Задача подойдет для специалистов по информационной безопасности и всех, кто интересуется CTF-турнирами.
Условие
Вы давно ищете путь к секретной службе. И вот, наконец, вам удалось перехватить трафик, в котором должен быть ключ к получению ее адреса. Разберите дамп и следуйте верным маршрутом.
Задача
Найдите флаг — строку в формате slcctf{}.
Чтобы выполнить задание, перейдите на страницу Secret Service и скачайте файл dump.pcap.
Решение
Переходим на указанную страницу и затем и скачиваем дамп. Открываем файл в Wireshark:
В строке фильтра добавляем выражение:
http.response.code == 200
На втором пакете нажимаем правую кнопку мыши и выбираем Follow → HTTP Stream. В результате получаем:
Открываем командную строку и отправляем аналогичный запрос:
curl -X GET -H 'Authorization: qrsoCswQkGWKagcRo37iDb0hPlOPfZVz' http://secretservice.slcctf.fun/api
Видим ответ:
["79.141.72.214","only the first thousand ports are important"]
Сканируем первые 1 000 портов IP-адреса 79.141.72.214 с помощью nmap:
nmap -p 0-999 79.141.72.214 -sV
И получаем результат:
Starting Nmap 7.80 ( https://nmap.org ) at 2024-11-24 20:56 MSK
Stats: 0:00:21 elapsed; 0 hosts completed (1 up), 1 undergoing Service Scan
Nmap scan report for juiceshop.test (79.141.72.214)
Host is up (0.090s latency).
Not shown: 996 filtered ports
PORT STATE SERVICE VERSION
80/tcp open http nginx 1.18.0 (Ubuntu)
180/tcp open http nginx 1.18.0 (Ubuntu)
566/tcp open http nginx 1.18.0 (Ubuntu)
900/tcp open http nginx 1.18.0 (Ubuntu)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 22.58 seconds
Так как на каждом порту отвечает Nginx, обращаемся на каждый порт по HTTP с помощью curl:
curl http://79.141.72.214:80
<!DOCTYPE html>
<html>
<head>
<title>Wrong way :/</title>
<style>
</style>
</head>
<body>
<h1>Wrong way :/</h1>
<p>This is not what you are looking for. Go another way.</p>
</body>
</html>
curl http://79.141.72.214:180
<!DOCTYPE html>
<html>
<head>
<title>Wrong way :/</title>
<style>
</style>
</head>
<body>
<h1>Wrong way :/</h1>
<p>This is not what you are looking for. Go another way.</p>
</body>
curl http://79.141.72.214:566
<!DOCTYPE html>
<html>
<head>
<title>Wrong way :/</title>
<style>
</style>
</head>
<body>
<h1>Wrong way :/</h1>
<p>This is not what you are looking for. Go another way.</p>
</body>
</html>
curl http://79.141.72.214:900
<!DOCTYPE html>
<html>
<head>
<title>Secret Service</title>
<style>
</style>
</head>
<body>
<h1>It is the super secret service!</h1>
<p>If you see this page, you are obviously looking for adventure. Quickly do your business, and forget that you were here.</p>
</body>
slcctf{11590b7e29918c560f85267463246dd01e67a11e}
</html>
Искомая служба находится по адресу http://79.141.72.214:900.
Ответ: slcctf{11590b7e29918c560f85267463246dd01e67a11e}.
