Malgrès nos efforts nous ne nous sommes que peu classé alors que certains challenge (Curl200 entre autre) étaient quasiment bouclé ce qui est trés frustrant mais finalement on aura passé un bon week end su ce CTF de qualité !
J'ai hésité à publier ce petit write up puis me suis dis que la partie importante de ce dernier (car sans ça il perd tout son intérêt) était la petite partie IPV6.
En effet, l'intitulé était:
Flag is out there:
http://[2a02:6b8:0:141f:fea9:d5ff:fed5:XX01]/
Flag format: CTF{..32 hexes..}
le message est clair: il nous faut trouver le bon link en bruteforçant l'octet incriminé.
Oui mais voila, nous devront travaillé en IPV6 et étant sur un CTF on aimerait faire vite pour scorer et passer à autre chose!!
J'ai donc opté pour la facilité (comme toujours) : l'encapsulation IPV6 en UDP IPV4 et ... certains tools sous Kali sont la pour nous faire ça en 2 temps, trois mouvement et c'est bon à savoir ! ;-)
Le lien vers le tutorial complet est dispo en fin d'article mais voici comment procéder:
dans le shell saisissez le commande miredo puis faites un ifconfig teredo (teredo étant l'interface créée par miredo) et voila, votre encapsulation IPV6 est en place, le reste est facile et est illustré ci-dessous avec en prime le script disponible en fin d'aticle.
Bien sûr ce script n'est pas des plus propre dans le sens ou, dans un soucis de gain de temps j'ai utiliser un appel à wget ce qui m'a permis de le laisser tourner en tâche de fond afin de commencer à exploiter le curl200 et ses "files disclosure" et "internal redirect".
Un challenge sur lequel nous avons passé énormément de temps et pour lequel j'ai hâte de voir les writes-ups.
Enfin, continuons notre bruteforce IPV6 pour le moment:
Et voila, reste qu'a lire ce fichier pour trouver en bas de page :
Aucun commentaire:
Enregistrer un commentaire