Google CTF 2017 - Notes

Cuối tuần rồi hóng Google CTF 2017 rồi note lại, giờ mới rảnh để post, too late =]]


MindReader


Truy cập vào https://mindreader.web.ctfcompetition.com/

mindreader_desc.png

Cần nhập cái gì đó để đọc dữ liệu, theo quán tính cứ /ect/passwd mà gõ :D

Có vẻ là kiểu Challenge truyền thống, bug cho phép đọc source-code, trong source-code sẽ chứa thông tin về nơi dấu FLAG. Cảm nhận cá nhân, hầu hết Challenge của Google mình thấy đều dùng Google App Engine + Python, nên cứ gõ tiếp :3

mindreader_main.py.png

Source-code đọc dô là hiểu liền, challenge này xếp vào loại Easy quả nhiên có lý do :3
  • FLAG dấu trong biến môi trường
  • Blacklist hết các input có chứa 'proc|random|zero|stdout|stderr'
Theo mình biết có thể đọc được biến môi trường của process tại /proc/self/environ, mà "proc" đã bị blacklist. Trí nhớ mách bảo trong /dev có một mớ symlink có liên quan tới proc :D

mindreader_proc_symlink.png
Nhìn qua thử thì có thằng /dev/fd -> /proc/self/fd thỏa điều kiện vừa là folder để traversal lên /proc/self/, vừa không nằm trong blacklist
mindreader_flag.png

Ghi bàn :3

mindreader_submit.png


A7 ~ Gee cue elle


p/s: Challenge này mình chỉ tìm ra hướng giải nhưng lúc đó chưa có thời gian hiện thực :(

 a7_Gee_cue_elle_desc.png

Thú thật không suy diễn được gì từ Challenge Name =]]

Tập tin start.html có nội dung ngắn gọn như sau:
<script>
location.replace('http://'+parseInt(Math.random()*1e15)+'-abuse.web.ctfcompetition.com/login');
</script>
Đoạn mã trên đơn giản sẽ chuyển hướng Browsers đến một random URL
http://[random_number]-abuse.web.ctfcompetition.com/login
Server sẽ return về một URL có cấu trúc
http://qu0t45 + base64(random_12_bytes) + www-abuse.gctf2017.lab/login
Lúc mình xem Challenge là đã thấy Hint .yaml~

Ý đồ của Hint chắc là Challenge được code bằng mấy Editor như nano, vi,… sẽ tự động có các tập tin backup có tên kết thúc với dấu ‘~’

Thử kiểm tra phát ra source luôn
A7_Gee_cue_elle app.yaml

Nhìn đoạn
- url: /login
 script: main.app
--> Code của /login sẽ là main.py

A7_Gee_cue_elle_mainpy.png

Full source tại https://lab.infosec.xyz/assets/main.py

Theo source-code thì FLAG FORMAT là
      flag = "CTF{%s-%s}" % (
          hostname, base64.b64encode(hmac.new(
              self.key, hostname, hashlib.sha512
          ).digest()[:(6*FLAG_LENGTH/8)], "-_"))
Túm váy lại thì FLAG = CTF{qu0t453lzcgiej7s1v5qeywww-XXXXBase64}

Với 'qu0t453lzcgiej7s1v5qeywww-' là subdomain_prefix có yếu tố random nên không cần quan tâm đến, chỉ cần tìm đoạn XXXXBase64 là ra FLAG

Kiểm tra login từ dữ liệu POST lên được xử lý bởi
  def post(self):
    sql = "SELECT password FROM UserModel WHERE ANCESTOR IS :1 AND user = 'admin'"
    query = ndb.gql(sql % self.request.get("user"), self.quota.key)
    result = query.fetch(1)
    if not result:
      self.redirect("/index.html?e=%s" % urllib.quote("Wrong username"))
    elif result[0].password != self.request.get("password"):
      raise Exception("Wrong password")
    else:
      self.response.write(self.request.get("password"))
Nhận xét:
  • FLAG cũng chính là Password của 'admin'
  • Blind Injection trong câu truy vấn GQL
"SELECT password FROM UserModel WHERE ANCESTOR IS :1 AND user = '%s'"
Buồn thay đây là GQL, bộ cú pháp rất ư là ngắn gọn súc tích, không quyến rũ như SQL, như thiếu %LIKE%, không thể lấy SUBSTR,không cho phép so sánh = hoặc != đối với các column đã được SELECT

May mắn thay vẫn có thể sử dụng >, <, >=, <= thay thế khi so sánh String (Ref: https://stackoverflow.com/questions/47786/google-app-engine-is-it-possible-to-do-a-gql-like-query)

Nên có thể Blind Injection đoạn XXXXBase64 tương tự Blind SQLi:
"SELECT password FROM UserModel WHERE ANCESTOR IS :1 AND user = 'admin' AND 'password' > ‘CTF{qu0t453lzcgiej7s1v5qeywww-Đoán_từng_ký_tự_Base64]}’"
Điều kiện kiểm tra:
  • Password Đúng: Response chứa ‘Wrong Password’
  • Password Sai: Response chứa ‘Wrong Username’
Ví dụ:
POST[Username] = admin' AND 'password' >= ‘CTF{qu0t453lzcgiej7s1v5qeywww-Z]}’" ==> Wrong Password --> True
POST[Username] = admin' AND 'password' >= ‘CTF{qu0t453lzcgiej7s1v5qeywww-Za]}’" --> Wrong Username --> False
POST[Username] = admin' AND 'password' >= ‘CTF{qu0t453lzcgiej7s1v5qeywww-Zb]}’" --> Wrong Username --> False
POST[Username] = admin' AND 'password' >= ‘CTF{qu0t453lzcgiej7s1v5qeywww-Zc]}’" --> Wrong Password --> True
Khi Blind Injection có thể bị block vì quá Quota, rate requests quá 13 req / 90 seconds / subdomain_prefix (nhìn lướt qua hình như là vậy :sexy:). Vì Quota sử dụng (subdomain_prefix + random(12_bytes)) để làm key cho bộ đếm, ta có thể bypass Quota này bằng cách random URL theo đúng định dạng như sau trong lúc Auto Blind Inject:
https://qu0t45%swww-%s/login" %
                    (base64.b64encode(os.urandom(6 * 16 / 8), "__"),
                     "abuse.web.ctfcompetition.com"))
=========

Chưa ra FLAG nhưng End Game CTF ở đây, tiếp tục sấp mặt với mớ công việc dồn ứ cuối tuần =((. Dù sao thì mỗi lần giải được một CTF Challenge thì cảm giác vẫn lâng lâng như ngày nào ^^

Nhận xét

Đăng nhận xét

Bài đăng phổ biến từ blog này

CVE-2019-12839: Lỗ hổng thực thi mã lệnh tùy ý trên OrangeHRM CMS

Hình ảnh
Tổng quan -        Ứng dụng bị lỗ hổng: OrangeHRM | Open Source Human Resource Management System -        Phiên bản ảnh hưởng: 4.3.1 và trước đó. -        Mã CVE: CVE-2019-12839 Giới thiệu OrangeHRM OrangeHRM l à một hệ thống quản lý nguồn nhân lực có thể được dùng để theo dõi các thông tin khác nhau liên quan đến nguồn nhân lực trong một tổ chức. Chi tiết lỗ hổng Khi thực hiện chức cài đặt các tham số gửi Mail của hệ thống thông qua menu Admin à Configuration à Email Configuration Chọn “Sending method” là Sendmail, lúc này tham số “Path to Sendmail” s ẽ là đường dẫn tuyệt đối đến tập tin thực thi sendmail có trên hệ thống (ví dụ /usr/sbin/sendmail). Sendmail là một tiện ích dùng để gửi mail rất phổ biến trên các hệ thống Unix/Linux. OrangeHRM không kiểm tra tính hợp lệ của tập tin Sendmail người dùng gửi lên máy chủ, dẫn đến lỗ hổng thực thi mã ...
Xem chi tiết »

[Steganography] Kỹ thuật che dấu thông tin - Phần 2

Hình ảnh
Bài viết này tôi chia sẻ về cách cài đặt thuật toán LSB Steganography mà tôi đã trình bày tại Phần 1 Một số lý thuyết cần chú ý trước khi chúng ta bắt đầu: Một bức ảnh sẽ có chiều rộng là W, chiều cao là H nên số điểm ảnh (pixel) là W x H, chúng ta sẽ có một ma trận các pixel có H dòng và W cột (W x H) Mỗi pixel có một giá trị màu RGB (Red – Green – Blue), mỗi giá trị R – G – B có giá trị từ 0 -> 255 tương ứng với một Byte trong lưu trữ, suy ra có tất cả 256 3 tổ hợp màu khác nhau có thể được tạo ra.  Ví dụ: Màu đỏ R có giá trị RGB là (255, 0, 0); Xanh lá cây G (0,255,0); màu vàng Yello (255,255,0);….  Mỗi Byte gồm 8 Bit, Bit có chỉ số nhỏ nhất gọi là LSB (Least Significant Bit).  Ví dụ: Giá trị 147 chuyển sang nhị phân là 10010011 sẽc có LSB là 1. Giá trị 200 chuyển sang nhị phân là 11001000 sẽ có LSB là 0  Ý tưởng của thuật toán này là sẽ thay thế các bit LSB của từng byte trong giá trị RGB của từng Pixel. Sỡ dĩ chúng ta chỉ thay thế các bit ...
Xem chi tiết »

PHP Race Condition Vulnerability Example

This article based-on the excellent article " Practical Race Condition Vulnerabilities in Web Applications ". I have made my own sample source-code for testing. ================ # Let's start! Log-into MySQL(or MariaDB) Shell to create sample database MariaDB [test]> create database test character set utf8 collate utf8_general_ci; MariaDB [test]> grant all privileges on test.* to test@'localhost' identified by 'test@123'; MariaDB [test]> flush privileges; MariaDB [test]> create table bank_accounts(uid int auto_increment primary key,ucode varchar(10) not null,balance int(11) not null default 0,uname varchar(50) not null); MariaDB [test]> insert into bank_accounts(ucode,uname,balance) values ('BANK000001','User 1',20000),('BANK000002','User 2',5500),('BANK000003','User 3',8700); We'll test with User-1's account. MariaDB [test]> select * from bank_accounts; +-----+--------...
Xem chi tiết »