OverTheWire (Natas)

Natas es un CTF centrado mas en seguridad web del lado del servidor. Hasta la fecha son 34 niveles, tratare de llegar hasta el final y subire en el camino las soluciones.
Herramientas que use para esta primera parte

  • Chromium con algunas extensiones(pueden usar chrome tambien si quieren)
  • Firefox

Nivel 0

Nivel inicial
Nos dan como dato :

Username: natas0
Password: natas0

y la url del reto

http://natas0.natas.labs.overthewire.org

Screenshot_2020-03-13-Screenshot

A primera vista no hay nada sugestivo, entonces lo que se hace es revisar el codigo con el inspector de chromium(click derecho -> Inspect), y aparecera el codigo del html
natas0
Observandolo con detenimiento se aprecia en forma de comentario la flag

<!--The password for natas1 is gtVrDuiDfck831PqWsLEZy5gyDz1clto -->"

Nivel 1

Username: natas1
Password : gtVrDuiDfck831PqWsLEZy5gyDz1clto

En este nivel se nos dice que el click derecho ha sido bloqueado, y si lo intentamos nos sale un alert diciendonos que esta bloqueado.

natas1

Dado que tenemos que inspeccionar el codigo al no funcionar el click derecho , podemos usar los atajos directo(ctrl+shift+i,o aprentando F12)
natas1-2
Al inspeccionar el codigo se visualiza la flag

<!--The password for natas2 is ZluruAthQk7Q2MqmDeTiUij2ZvWy2mBi -->

Nivel 2

Username: natas2
Passwor: ZluruAthQk7Q2MqmDeTiUij2ZvWy2mBi

Este nivel nos dice que no hay nada en la pagina
Screenshot_2020-03-14-Screenshot-1-
Nos ponemos a inspeccionar el codigo y nos topamos con la direccion de una imagen, la cual nos revela informacion de su directorio.
natas2

<img src="files/pixel.png">

Entramos a la carpeta files mediante la url

http://natas2.natas.labs.overthewire.org/files/

Screenshot_2020-03-14-Index-of-files
Vemos que se encuentra el la imagen pixel.png y tambien el users.txt, y si lo revisaremos encontraremos

natas3:sJIJNW6ucpu6HPZ1ZAchaDtwd7oGrD14

Nivel 3

Username: natas3
Password:sJIJNW6ucpu6HPZ1ZAchaDtwd7oGrD14

Inspeccioanndo el codigo veremos un curioso mensaje que nos dice

Not even Google will find it this time

Y cuando hablamos de las busquedas de google en una pagina estamos hablando del archivo robots.txt

natas3
robots.txt o tambien "robots exclusion protocol" es usado por pagina para decir a las web crawlers o robots que partes no deben ser procesadas o escaneadas.
Y si ingresamos a ese txt ...

http://natas3.natas.labs.overthewire.org/robots.txt

Nos aparecera el nombre de una carpeta

Disallow: /s3cr3t/

y si ingresamos a esa carpeta

http://natas3.natas.labs.overthewire.org/s3cr3t/

nos aparecera como en el natas3 un users.txt el cual contiene nuestra flag

natas4:Z9tkRkWmpt9Qr7XrR5jWRkgOU901swEZ

Nivel 4

Username: natas4
Password : Z9tkRkWmpt9Qr7XrR5jWRkgOU901swEZ

Este reto nos dice que no tenemos acceso y que solo esta permitido para los usuarios que vengan de

"http://natas5.natas.labs.overthewire.org/"

Screenshot_2020-03-14-Screenshot-2-
En ese sentido, estariamos hablando de la cabecera Referer, mas informacion , la cual le sirve a una pagina para saber de donde venimos a la hora de ingresar a la misma, y en este nivel es justo lo que se necesita.
Usaremos una extension que se llama ModHeader
natas4
Agregamos el header Referer y asignamos su valor
Le damos un refresh a la pagina y nos dara efectivamente la flag
Screenshot-from-2020-03-14-18-13-45

iX6IOfmpN7AYOQGPwtn3fXpbaJVJcHfq

Nivel 5

Username: natas5
Password: iX6IOfmpN7AYOQGPwtn3fXpbaJVJcHfq

En este nivel nos dice que el acceso esta desactivado, que no estamos logeados, esta ultima palabra nos da la idea de cookies.
Y si revisamos las cookies encontraremos una en particular llamada loggedIn
Para manipular esta cookie se puede usar la extension EditThisCookie

Screenshot-from-2020-03-14-19-16-30
Aparece con valor 0(false) la cookie, entonces se cambia a 1 , hacemos click en el ticket verde para que se guarde, le damos un refresh a la pagina y listo
Screenshot-from-2020-03-14-19-23-38

aGoY4q2Dc6MgDq4oL4YtoKtyAg9PeHa1

Nivel 6

Username: natas6
Password: aGoY4q2Dc6MgDq4oL4YtoKtyAg9PeHa1

Este nivel nos da un campo de input, al cual se introducir la clave que nos dara la flag.
Hacemos click en View sourcode, dentro nos aparecera el codigo.
Screenshot_2020-03-14-Screenshot-4--1
Se puede apreciar que el codigo da informacion sobre un el archivo includes/secret.inc.
Al ingresar mediante la url aparecera el siguiente fragmento
<? $secret = "FOEIUWGHFEEUHOFUOIU"; ?>
Se toma el valor de $secret y lo ingresamos en el campo de input inicial y aparece la flag
Screenshot_2020-03-14-Screenshot-5-

7z3hEENjQtflzgnT29q7wAvMNfZdh0i9

Nivel 7

Username: natas7
Password : 7z3hEENjQtflzgnT29q7wAvMNfZdh0i9

En este nivel, ya empieza a requerir mas conocimientos.
Screenshot-from-2020-03-14-21-12-20
En la pagina sola hay dos links hacia Home y About, no se ve nada sospechoso a simple vista, asi que inspeccionando el codigo aparece una pista
<!-- hint: password for webuser natas8 is in /etc/natas_webpass/natas8 -->
El archivo /etc/natas_webpass/natas8 es ahora el objetivo, la carpeta etc es la que nos sugiere que se podria aplicar un LFI.

http://natas7.natas.labs.overthewire.org/index.php?page=/etc/natas_webpass/natas8

Screenshot-from-2020-03-14-21-26-35

DBfUBfqQG69KvJvJ1iAbMoIpwSNQ9bWe

Nivel 8

Username: natas8
Password: DBfUBfqQG69KvJvJ1iAbMoIpwSNQ9bWe

Similar al nivel 7, nos da una opcion para ver el codigo fuente.
Aparece una funcion que codifica nuestro input y lo compara con el encodedSecret
Screenshot-from-2020-03-14-21-36-02

El proceso actual es el siguiente :

binario a hex -> reversa de string -> base64 codificado

Pero para obtener la clave a partir de encodedSecret se debe hacer un proceso inverso

base64 -> reversa de string -> hex a binario

Abrimos la terminal para hacer correr el siguiente codigo php
php -r '$clave=base64_decode(strrev(hex2bin("3d3d516343746d4d6d6c315669563362")));echo $clave;'
Esto devuelve:

oubWYf2kBq

Volviendo al campo de entrada e introduciendo el valor nos dara la flag
Screenshot-from-2020-03-14-21-46-07

W0mMhUcRRnG8dcghE4qvk3JA9lGt8nDl

Nivel 9

Username: natas9
Password : W0mMhUcRRnG8dcghE4qvk3JA9lGt8nDl

De igual manera similar a los niveles previos, la pagina contiene un campo de entrada para buscar palabras que contengan el texto que introduzcamos.
Hacemos click en la opcion de ver el codigo fuente
Screenshot-from-2020-03-14-21-50-58-1
La pieza fundamental del codigo es
passthru("grep -i $key dictionary.txt");
Ya que passthru nos permite ejecutar comandos en nuestro php, podemos usar esto para acceder a archivos del servidor.
Recordar que en la pagina de inicio de bandit

All passwords are also stored in /etc/natas_webpass/.

De forma que a la hora de ingresar un texto en el campo de entrada podemos manipular esta linea
"grep -i $key dictionary.txt"
para acceder al archivo /etc/natas_webpass/natas10
Ingresamos el siguiente texto
; cat /etc/natas_webpass/natas10
Lo cual produce
Screenshot-from-2020-03-14-22-08-59

nOpp1igQAkUzaI1GUUjzn1bFVj7xCNzu

Eso seria todo por esta primera parte.

La sociedad perdona a veces al criminal, pero no perdona nunca al soñador.(Wilde)

-Luna