🔰[Maple CTF 2022] Writeup Web
HonkSay
Bài này mình nhìn vào interface thì mình đoán nó là lỗ hổng XSS
Mình thấy cookie khi thay đổi giá trị của honkcount thì có thể thay đổi giá trị ở dưới và nó có lỗ hổng XSS
Nhưng sau khi report không có gì trả về mình mới quyết định đọc code của đề cho:
Sau khi đọc code mình nhận ra rằng: Bot sẽ chỉ gửi về cookie chứa key là honk -> phải khai thác được XSS ở honk:
Ở đây khi vào /changehonk sẽ lấy newhonk và hiển thị ra nếu mình thay dổi sau đó httpOnly set là true từ đây cookie sẽ được bảo vệ nhưng khi đoạn code này.
Ở đây có một template literals ở đây có truyền vào 2 tham số đó là goosemsg và goosecount - ở đây có sử dụng toán tử 3 ngôi nếu có goosemsg==='' thì gán '' nếu không gán ${goosmsg} đọc tới đoạn code dưới thì nếu req.cookies.honk có tồn tại hay không, nghĩa là giá trị cookie với key là honk có tồn tại hay không, nếu có thì nó so sánh tiếp req.cookies.honk liệu có phải là object hay không nếu có thì finalhonk sẽ được gán req.cookies.honk. Tiếp theo nếu không có giá trị thì finalhonk là một object có key: message và amountoftimeshonked-> ở đây message bị xóa nên không thể xss
Cuối cùng để sử dụng cookie trong express thì trang web dùng middleware có tên cookie-parser, ở module này hỗ trợ Json Cookie có j:JSON.parse-> cuối cùng chúng ta cần cho req.cookies.honk là một object lúc này sẽ xss thành công vì không bị lọc()
Payload lúc này sẽ là:
Gửi nó cho admin.....
Flag: maple{g00segoHONK}
....
Last updated