Archive 2018

SVATTT final 2018 - roundcube mail

Published at November 20, 2018 ·  7 min read

Mô tả Roundcube 1.0.5 có 3 lỗi Tài khoản: guest/guest Thư mục web /opt/lampp/htdocs Source: part1, part2 Ý tưởng Lỗi 1: CVE-2015-8794 Lỗi 2: PHP Object Injection (cách 2 - cách noob ) Lỗi 3: Đăng nhập admin Tâm tư của tác giả Mặc dù theo dòng sự kiện scandal đang nóng hỏi trên facebook nhưng bài này chỉ nói về kỹ thuật không có kích động thù địch gì cả....


SVATTT 2018 - Secure document service

Published at November 5, 2018 ·  4 min read

Mô tả 1000 points (1⁄68 sovles) I made a simple and secure web service for upload and share document. Can you read document to get a gift? :D http://171.244.141.213:8337/ Gợi ý 1.Flag in /tmp/fl4g.php 2.Wrapper 3.https://pastebin.com/g6XSfVfB Ý tưởng Tìm cách đăng nhập admin bằng… googling . Upload file docx chứa mã độc (shell) và gọi ra bằng wrapper zip:// qua LFI. Dùng symlink để bypass filter và đọc flag....


Laravel object injection to RCE

Published at October 25, 2018 ·  3 min read

CVE-2018-15133 In Laravel Framework through 5.5.40 and 5.6.x through 5.6.29, remote code execution might occur as a result of an unserialize call on a potentially untrusted X-XSRF-TOKEN value. This involves the decrypt method in Illuminate/Encryption/Encrypter.php and PendingBroadcast in gadgetchains/Laravel/RCE/3/chain.php in phpggc. The attacker must know the application key, which normally would never occur, but could happen if the attacker previously had privileged access or successfully accomplished a previous attack. Lỗi này không có POC nhưng cũng khá dễ viết mã khai thác....


Php Object Injection Without Unserialize

Published at September 20, 2018 ·  3 min read

Stream wrapper Trong php có khái niệm gọi là stream wrapper, nói về các giao thức trong cách xử lý url, được sử dụng cùng với hàm filesystem như fopen, copy, file_exists, filesize. file:// http:// ftp:// php:// zlib:// data:// glob:// phar:// A wrapper is additional code which tells the stream how to handle specific protocols/encodings. Phar Những wrapper này đều có thể lợi dụng để khai thác nhiều loại lỗ hổng....


Meepwn qual round - pycalx 1

Published at September 11, 2018 ·  4 min read

Thử thách cung cấp cho mình 1 form dữ liệu cùng với sourcecode như sau: #!/usr/bin/env python import cgi; import sys from html import escape FLAG = open('/var/www/flag','r').read() OK_200 = """Content-type: text/html <link rel="stylesheet" href="https://maxcdn.bootstrapcdn.com/bootstrap/4.0.0/css/bootstrap.min.css"> <center> <title>PyCalx</title> <h1>PyCalx</h1> <form> <input class="form-control col-md-4" type=text name=value1 placeholder='Value 1 (Example: 1 abc)' autofocus/> <input class="form-control col-md-4" type=text name=op placeholder='Operator (Example: + - * ** / // == != )' /> <input class="form-control col-md-4" type=text name=value2 placeholder='Value 2 (Example: 1 abc)' /> <input class="form-control col-md-4 btn btn-success" type=submit value=EVAL /> </form> <a href='?...