في يوم 21 من شهر ابريل كانت المسابقة الأولى من نوعها في المملكة، مسابقة التقاط الأعلام CTF المقدمة من مركز التميز لأمن المعلومات و شركة Scan. دامت المسابقة 30 ساعة تقريباً، وكان الفائز في المسابقة هم “القبعات البيضاء” 
.
من اليمن لليسار "محمد اليوسف، د.خالد الغثبر، رامي الهذلي، مهند شحات و ناصر عسيري"
هذا الموضوع سيتكلم عن بعض التفاصيل التقنية في المسابقة والإجابة على اهم الأسئلة. في اخر الموضوع هناك بعض المواضيع اللتي تكلمت عن المسابقة وعن مشاركة فريق القبعات البيضاء فيها.
طريقة المسابقة
هناك 15 علم يجب الحصول عليهم، والفريق الذي يحصل على اكبر عدد من الأعلام في اقل وقت يعتبر هو الفريق الفائز. بعد حصول كل متسابق على IP خاص به، يتم الدخول للسيرفر الخاص بتسجيل النتائج ومشاهدة الأسئلة. كانت الأسئلة على شكل اللغاز ويتم توجيهك لسيرفر داخلي معين لمحاولة الحصول على العلم الخاص بذلك.
الأسئلة
هنا الأسئلة حصلنا عليها من شركة Scan للمشاركة بها في هذه التدوينة. (المهمة بالخط الغامق)
at /secret اجابة بعض الأسئلة
سؤال 4
من المعلوم أن لكل ملف صيغته الخاصة أو Header الخاص به، ويمكنك معرفة كل Header لأي صيغة ملف من خلال عرضه بصيغة Hexadecimal .طريقة استخراج الصورة كانت سهلة للغاية، تم نسخ Header الخاص بالصورة والبحث عن صورة أخرى في نفس الصورة الأصلية، ومن ثم النسخ من بداية Header حتى نهايته، بعد هذا احفظ ماعملته واستعرضه بأي مستعرض للصور، ستجد الصورة المختبئة ظاهرة عياناً للجميع وبها الكلمة السرية للحصول على العلم.
سؤال 5
تأخرنا قليلاً في هذا السؤال، بسبب غلط تافه في عملية مسح الهدف باستخدام nmap. فإعتمدنا على البورتات الافتراضية اللتي يقوم nmap بفحصها. وكان المفترض ان نقوم بفحص لكل البورتات من 1 الى 65535 وبعدها وجدنا بورت جديد وبالاتصال بهذا البورت عن طريق netcat، رد علينا البورت برقم سري وكان هو العلم المطلوب.
سؤال 10
تم الدخول على السيرفر من خلال sharing folder، بعدها وجدت ملف flag.txt هذا الملف مدمج معه ملف آخر بطريقة ADS Alternate Data Stream، تم استخدام أداة LNS تقوم بالكشف عن هذه التقنية وما إن كان هذا الملف مدموج معه شيء آخر أم لا، وبالفعل وجدناه مدمج وكان هو كلمة السر الخاصة بالعلم العاشر.
سؤال 12
كان هذا السؤال من اكثر الأسئلة متعة. المطلوب كما هو واضح الحصول على الباسورد الخاص بالروت. بمعنى اخر الحصول على محتويات ملف ال shadow، وبعدها اخذ الباسورد الخاص بالروت واستخدامنا برنامج John The Reaper لفك الباسورد المشفر. لكن حتى تقرأ محتويات ملف shadow يجب ان تكون بصلاحيات root.
السيرفر كان مصاب بثغرة SQL Injection وكانت فرصة جميلة لنا لاستخدام برنامج SQLmap اللذي اثبت جدارته بكل امنه الا في جزئية بسيطة الخاصة بالشيل. عموماً، باستخدام SQLmap حصلنا على shell عن طريق الخيار -os-shell الموجود في SQLmap. كان هذا الشيل بصلاحيات عادية وكان يجب علينا عمل رفع للصلاحيات Privilege Escalation للروت. الشيل المقدم من SQLmap فيه بعض المشاكل ويتضح انه لا يعمل بشكل ممتاز فالتنقل بين المجلدات لايعمل. فقمنا برفع سكربت perl بعد التعديل عليه ليعطينا reverse-shell بشكل افضل بكثير من المقدم من SQLmap.
بعد البحث عن ثغرة مناسبة في موقع www.exploit-db.com وجدنا هذه الثغرة وبعد عمل كمبايل لها، هولاااا اخذنا روت على السيرفر. قمنا بعد ذلك باخذ باسورد الروت المشفر من ملف shadow وبدأنا عملية كسر الباسورد باستخدام jtr. بكل تأكيد كان حل السؤال مسألة وقت وقوة جهاز وهو الشي اللذي لا نملكه. قمنا بطلب تغير الباسورد لشي اسهل حتى يتم كسره لكن تم الرفض، فالباسورد كان مكون من 14 حرف ورقم وعلامة. بعد 12 ساعه من محاولة jtr لفك الباسورد، قمنا باستخدام Social Engineering فاخذنا الجزء الاخير من الباسورد “kiddinme” وقمنا بخداع شخص اخر فأخذنا الحرف الأول “u”. كنا قد بدأنا في صناعة wordlist تعتمد على المعطيات السابقة لكن كما ذكرنا لم يكن لدينا الوقت الكافي لهذه الخطوة.
خطوة اخيرة قمنا بها هنا، هي تغير الباسورد الأصلي في ملف shadow، فحتى لو تمكن احد من الفرق الثانية الوصول للملف سيقوم بفك باسورد خاطئ وقمنا بوضع ملف اخر باسم hideMe.txt يحمل باسورد خاطئ لتضيع وقت الفرق الثانية ايضاً .
سؤال 15
كان السؤال عبارة عن ملف صوت به صوت كلام اشخاص و صوت ضغطات على ازرار الهاتف و المطلوب هو ايجات كلمة السر و التي كما اتضح لنا هي عبارة عن ما يقابل هذه الضغطات من ارقام على ازرار الهاتف، الحل كان بتحليل الصوت و معرفه هذه الاصوات و هي ما يسمى بالـ Dual-tone multi-frequency signaling (DTMF) او النغمه الثنائية متعددة الذبذبات، حيث ان كل ضغطه زر في الهاتف تنتج ترددين مختلفين (او نغمتين مختلفتين) لكنهما متداخلتين و هو ما يتيح لمقاسم الهاتف التفريق بينها و معرفه الزر المضغوط و لتحليل الاصوات قمنا بتجزيئ ملف الصوت بعد الحصول عليه من السيرفر و تحليله باستخدام فلاتر معينه في برنامج audacity ثم تتبع الذبذات الناتجه و تسجيلها في لحظة الضغط على الزر و من ثم مقارنتها بجدول عالمي لهذه الذبذبات و يمكن الاستزاده من هذا الرابط على الوكيبيديا (http://en.wikipedia.org/wiki/Dual-tone_multi-frequency_signaling)
المشاركين
من فريق القبعات البيضاء شارك كل من:
- مهند شحات
- رامي الهذلي
- ناصر عسيري
- محمد اليوسف
صور للمسابقة
قد تبدو بعض الأسئلة سهلة جداً، لكن الفائدة الكبيرة لنا كانت هي معرفة قدرات الفريق، التعرف على الأشخاص القائمين على المركز والمسؤولين من شركة Scan ، والتعرف على المشاركين. سعدنا جداً بالحضور هناك وركزنا على تكرار المسابقة لسنوات قادمة لكن بتحديات اكبر. ونشكر مركز التميز وشركة Scan على ابداء اعجابهم بفريقنا وقدراته . نشكر مجموعة PSD على دعمهم الدائم لنا.
جميل جداً مبروك الفوز للفريق
..
بصراحة كانت فكرة الاشتراك بالمسابقة قائمة لدي لكن لم أتمكن من المجئ للمركز في وقت المسابقة أو بالاصح السفر الى الرياض
لاني أسكن بمدينة تبعد حوالي 1000 كيلو متر عن الرياض ..
مبروك يا أحباب و بالتوفيق ,, إ ن شاء الله نلتقي في مسابقات قادمة بإذن الله
مرة أخرى ألف مبروك و تستاهلون
تحياتي واحترامي
مبروك للقبعات البيضاء
جزاكم الله خيراً
أعجبتني كثيراً فكرة تغير الباسورد الأصلي في ملف shadow وأيضاً وضع ملف اخر باسم hideMe.txt يحمل باسورد خاطئ لتضيع وقت الفرق الثانية
مبروك ياشباب إلى الامام دائماً ..
ملاحظة
نقلت المقال فى مدونتى http://www.webpages4me.com/blog/?p=497#more-497
لتعم الفائدة
الله يبارك فيك يالغالي،
وعقبال مانشوفك في مسابقات قادمة ان شاء الله
فى مصر …مم
لا أعتقد أن تكون هناك مثل هذه المسابقات
ولكن نرجو
بتوفيق الفريق الفريق في المسابقه
وعقبال الفوز في المسابقات القادمه
الف مبروك للأخوة في القبعات البيضاء حصولهم على المركز الأول
ومع تمنياتي لهم بالتوفيق
عبدالسلام < احد المشاركين في المسابقة
انا اسف للتأخير
مبارك فوزكم
جميل جداً مبروك الفوز للفريق
و يا رب يقيمون هذه المسابقات عندنا فى مصر
و لكن لدى سؤال صغير جدا
كيف يمكننى عمل BruteForce على هاش MD5 من خلال برنامج جون
و ما هو الامر اللازم لهذا ( ارجوا الاجابه )
و الف الف مبروك للفريق و هم يستحقون هذا بجداره
شكرااااااااا