Blog 👨‍💻

🔰[HackTM CTF 2023] Writeup Web

Vì giải kết thúc admin tắt sv luôn may mình chưa xóa các file đã tải từ trước. Mình sẽ build lại ở docker...

Blog

Lỗ hổng bài này mình đã có một bài research ở đây

Bài này cho source code cho chúng ta review code, trước khi review code chúng ta sẽ xem trên interface thì nó cho đăng ký rồi login, khi login mình check một vòng thì có chưa cookie.

Chúng ta sẽ reivew qua code được cũng cấp.

Sau một lúc xem code thì mình thấy rằng khi đăng ký hay đăng nhập thì cookie sẽ được theo theo kiểu serialize cookie.

Mình nghĩ lỗ hổng này liên quan tới PHP Deserialization, mình tiếp tục check thì ở file util.php như này:

Ở đây link ảnh được get về và encode nội dung dạng base64.

Chúng ta decode cookie ra như này, ở đây nhìn ở file util.php ở class User như đã nói có link ảnh nó base64 đi nội dung và được gắn vào cookie và serialize nó đi.

File docker như này:

Việc đơn giản rồi biết được vị trí của flag giờ chỉ cần cho địa chỉ vào path rồi serialize nó đi là được.

Note: nhớ thay đổi số ký tự ở đây là 26 nếu không thì nó không thể unserialize.

Blog revenge

Bài này source code tương tự bài trên nhưng có một điều chúng ta không thể biết được vị trí của flag, nên hơi khó. Một lúc suy nghĩ xem tất cả file nhưng không có cách nào để leak được vị trí của flag.

Suy nghĩa lâu thì nhớ rằng tại sao sqlite3 lại được cấp full quyền, một lúc mình nhờ ông anh mình xin hint xem bên KCSC ở trường cũ mình làm kiểu gì. Thì thấy bảo là tạo một Object ghi đè nó thêm sql query vào db.

Ở đây sau một lúc research thì ở Sqlite injection ở PayloadAllTheThing thì có đoạn như này.

Mình mới hiểu khi này chúng ta có thể SQL->RCE bằng cách Inject query vào database, bây giờ mình mới hiểu tại sao sqlite3 được cấp full quyền....Nhưng mà lỗ hổng này mình mới làm được ít và mình chưa thử build object overwrite cái trên bao giờ nên mình đoạn này hơi thọt.

Đoạn payload xây dựng sẽ như sau, mình xây dựng dựa trên file util.php

RCE thành công -> get flag!!!

----------------------------------------------------------------------------------------------------

Cảm ơn mọi người đã đọc Writeup hai bài web giải lần này......

Previous[M☆CTF Training 2023] Writeup WebNext[Incognito 4.0 2023] Writeup Web

Last updated