Неоквест 2019: «Связь С Небесами»

Еще один недавно закончился НеоКвест .

Ниже под катом — разбор третьего задания, связанного с поиском веб-уязвимостей и небольшим фишингом.

Хотите знать, как обманом заставить бота Telegram поделиться вашим ключом? Тогда добро пожаловать под кат.



Текст задачи содержит связь на Telegram-боте (который почему-то назвали каналом).

Бот сообщает нам, что ему нравится тусоваться на этот сайт .

Посмотрим, что там:



Вам нужен логин и пароль.

Вероятно, выучив их, вы сможете получить ключ.

Вернёмся к боту и попробуем с ним пообщаться.

Для таких команд, как /начинать или /помощь На медиа (картинки, видео, аудио) бот также не реагирует. Ответы на текстовые сообщения случайным ответом из списка.

Но на ссылки он всегда реагирует одинаково:



И это подозрительно.

Пробуем отправить ссылку на Олимпию и получить еще один интересный ответ:



Задержка по времени между первым и вторым ответом говорит о том, что бот пытается перейти по этой ссылке.

Так что все, что нам нужно, это попытаться заставить бота перейти по нашей ссылке, чтобы он подумал, что это ссылка на Олимпию.

Изучим Олимпию более подробно.

Попробуем открыть какой-нибудь другой раздел, например 213.170.100.214/сообщения .

Есть перенаправление на 213.170.100.214/loginЭnext=messages .

Ага! Перенаправление! Что нам нужно для генерации фишинговой ссылки.

Далее нам понадобится какой-то хостинг, на котором будет размещаться наша фишинговая Олимпия.

У меня был такой, поэтому оставалось сделать страницу, которая просто сохраняла бы все параметры запроса в файл.

PHP-код

   

 <?
 file_put_contents('request.txt', print_r($_REQUEST, true));
 ?>
 

   

Тогда мы не будем указывать протокол:



Вот и все, мы добились прогресса.

Бот действительно зашел на страницу, в request.txt появилась запись, хоть и пустая, потому что наша фишинговая страница ему не понравилась.

Идем дальше, вместо пустой страницы дадим ей тот же html, что и исходный сайт Олимпии:



Умный бот, ведь страница без стилей ему кажется подозрительной.

Что ж, мы не против, загрузим файлы изображений и стилей.

Теперь наш фишинговый сайт визуально идентичен Олимпии.

Может, сейчас получится?



И вроде бы бот ничего интересного не ответил, но давайте посмотрим файл, в котором сохраняются параметры запроса, а там:

Array ( [username] => godmom [password] => ed_ax3kWbdn3pjje5V5 )

Останется только авторизоваться в Олимпии и получить заветный ключ.

Теги: #информационная безопасность #ctf #neoquest2019

• Simplemachines — Наконец-То По Для Сообщества, Которое Вызывает Восторг!

  19 Oct, 24

• Тинберген, Ян

  19 Oct, 24

• Как Сделать Хорошую Интеграцию? Часть 2. Идемпотентные Операции – Основа Устойчивой Интеграции

  19 Oct, 24

• Политика Доступа В Интернет. Или Зачем Все Эти Сложности?

  19 Oct, 24

• Предвидя Вопросы «Что Случилось С Рут-Трекером?», Отвечу Сразу На Них.

  19 Oct, 24

• Восстановление Из Резервной Копии С Помощью Veeam Agent Для Linux

  19 Oct, 24

• Вы Доверяете Своему Провайдеру?

  19 Oct, 24

• И Снова Про Аську

  19 Oct, 24

• Размышления На Тему Dlp

  19 Oct, 24

• Отслеживание Эффективности Рекламных Кампаний В Интернет-Магазине

  19 Oct, 24