Archive 2018

SVATTT final 2018 - roundcube mail

Published at November 20, 2018 ·  7 min read

Mô tả Roundcube 1.0.5 có 3 lỗi Tài khoản: guest/guest Thư mục web /opt/lampp/htdocs Source: part1, part2 Ý tưởng Lỗi 1: CVE-2015-8794 Lỗi 2: PHP Object Injection (cách 2 - cách noob ) Lỗi 3: Đăng nhập admin Tâm tư của tác giả Mặc dù theo dòng sự kiện scandal đang nóng hỏi trên facebook nhưng bài này chỉ nói về kỹ thuật không có kích động thù địch gì cả....


SVATTT 2018 - Secure document service

Published at November 5, 2018 ·  4 min read

Mô tả 1000 points (1⁄68 sovles) I made a simple and secure web service for upload and share document. Can you read document to get a gift? :D http://171.244.141.213:8337/ Gợi ý 1.Flag in /tmp/fl4g.php 2.Wrapper 3.https://pastebin.com/g6XSfVfB Ý tưởng Tìm cách đăng nhập admin bằng… googling . Upload file docx chứa mã độc (shell) và gọi ra bằng wrapper zip:// qua LFI. Dùng symlink để bypass filter và đọc flag....


Laravel object injection to RCE

Published at October 25, 2018 ·  3 min read

CVE-2018-15133 In Laravel Framework through 5.5.40 and 5.6.x through 5.6.29, remote code execution might occur as a result of an unserialize call on a potentially untrusted X-XSRF-TOKEN value. This involves the decrypt method in Illuminate/Encryption/Encrypter.php and PendingBroadcast in gadgetchains/Laravel/RCE/3/chain.php in phpggc. The attacker must know the application key, which normally would never occur, but could happen if the attacker previously had privileged access or successfully accomplished a previous attack. Lỗi này không có POC nhưng cũng khá dễ viết mã khai thác....


Php Object Injection Without Unserialize

Published at September 20, 2018 ·  3 min read

Stream wrapper Trong php có khái niệm gọi là stream wrapper, nói về các giao thức trong cách xử lý url, được sử dụng cùng với hàm filesystem như fopen, copy, file_exists, filesize. file:// http:// ftp:// php:// zlib:// data:// glob:// phar:// A wrapper is additional code which tells the stream how to handle specific protocols/encodings. Phar Những wrapper này đều có thể lợi dụng để khai thác nhiều loại lỗ hổng....


Matesctf final 2 - Brute mongodb _id

Published at September 13, 2018 ·  4 min read

EXPLOIT - source Trong source web có 1 file log ghi lại hành động của bot khi insert dữ liệu vào database. Từ thông tin đấy, có thể dễ dàng đoán là trong database có flag. 2018-08-21 10:48:38.035547 added page 1 2018-08-21 10:48:38.039078 added page 2 2018-08-21 10:48:38.039908 added page 3 2018-08-21 10:48:38.040720 added page 4 2018-08-21 10:48:38.041323 added page 5 2018-08-21 10:48:38.042003 added page 6 2018-08-21 10:48:38.042624 added page 7 2018-08-21 10:48:38....


Meepwn qual round - pycalx 1

Published at September 11, 2018 ·  4 min read

Thử thách cung cấp cho mình 1 form dữ liệu cùng với sourcecode như sau: #!/usr/bin/env python import cgi; import sys from html import escape FLAG = open('/var/www/flag','r').read() OK_200 = """Content-type: text/html <link rel="stylesheet" href="https://maxcdn.bootstrapcdn.com/bootstrap/4.0.0/css/bootstrap.min.css"> <center> <title>PyCalx</title> <h1>PyCalx</h1> <form> <input class="form-control col-md-4" type=text name=value1 placeholder='Value 1 (Example: 1 abc)' autofocus/> <input class="form-control col-md-4" type=text name=op placeholder='Operator (Example: + - * ** / // == != )' /> <input class="form-control col-md-4" type=text name=value2 placeholder='Value 2 (Example: 1 abc)' /> <input class="form-control col-md-4 btn btn-success" type=submit value=EVAL /> </form> <a href='?...


Matesctf final 2 - IP Spoofing to RCE in flask

Published at September 8, 2018 ·  5 min read

EXPLOIT - source Sau khoảng thời gian dài nghiên cứu và nhờ sự gợi ý hết sức nhiệt tình từ tác giả tôi đã có thể exploit được lỗi được tác giả cho là khó phát hiện nhất. Chuẩn luôn, là rất khó phát hiện vì code lỗi ở tận trong lib của flask. Đầu tiên, khi truy cập vào trang đăng nhập tác giả có gợi ý cho mọi người biết là app có handle real ip của client....


Matesctf final 2 - SSTI

Published at September 8, 2018 ·  3 min read

EXPLOIT - source Matesctf final được tổ chức theo dạng attack/defense. Cụ thể tác giả sẽ build web service trên server của mình, tức là cho source. Từng đội sẽ nghiên cứu lổ hổng trên server mình và exploit server đội khác để lấy flag. Có một lỗi trong bài web 1 là tài khoản của bot-check của BTC được gán mặc định và đội nào cũng như nhau admin:1....


Matesctf final 2 - XXE Injection

Published at September 8, 2018 ·  3 min read

EXPLOIT - source Mình nhận thấy lỗi này đầu tiên, mình tưởng đây là LFI cơ, vì cho mình đọc nội dung của cái gì đó (trên hình) và download file nữa. python-docx is a Python library for creating and updating Microsoft Word (.docx) files. Docx là thư viện sử dụng để xử lý file word. Cũng dễ hiểu đây là lỗi vì không cớ gì mà tác giả lại xử lý file word ở đây cả, chức năng upload và hiển thị nội dung file bình thường thì tại sao lại xử lý file docx làm gì....