Taiwhis

Pentester 👾 CTF-er 🚩

PISHCMCTF 2023 - webx4

1 minute read

Blog of “LoveSicker”

WEB

Solution

giao diện web :

dùng dirsearch để tìm các thư mục ẩn sau đó mình lại chạy các payload phổ biến để check lỗi. kết quả mình tìm thấy thư mục Display_Post.php có param là id. payload này hoạt động: /Display_Post.php?id=1337/(3*2-5)

tiếp tục mình lại cho request vào 1.txt và chạy sqlmap. và nhận được flag

flag: ChristCTF{SQLi_1s_3asy_R1ght?}

Chôm la

WEB

Solution:

tên chall này là chôm la và công nghệ web là Joomla

với dạng này thì đầu tiên mình sẽ tìm xem phiên bản Joomla hiện tại là bao nhiêu

thì mình thấy phiên bản hiện tại là 3.7.0 là một phiên bản thấp

Google search: Joomla 3.7.0 exploit thì mình tìm thấy một CVE có thể khai thác được

https://www.exploit-db.com/exploits/42033

command: sqlmap -u "http://54.169.55.172:8000/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

và mình nhận được flag trong database. flag ở trong table flag

giải mã base64 là nhận được cờ

flag: PISCTF{PHP_J00mla_3_7_0_!_CVE}

SQL Routed

WED

Solution

giao diện web như này:

mình nhập lung tung vào thì không thấy gì xảy ra cả.

bắt request và test thử một vài dấu hiệu hay gặp thì mình thấy payload này hoạt động: -1' OR 3*2*1=6 AND 000700=000700 --

Không hiểu sao nó in ra được thông tin của ID = 2

Điều này cho thấy có thể tấn công sql injection ở đây.

mình đưa luôn toàn bộ request vào file 1.txt và chạy sqlmap. ` sqlmap -r 1.txt –dump-all –threads=5`

flag chính là mật khẩu trong database.

“bài này chạy lâu quá, làm lại chưa lấy được flag”

Super hero

WED

Solution:

truy cập vào đường dẫn được cung cấp thì mình nhận được một form như này:

mình scan vào input bằng một số payload cơ bản thì nhận thấy rằng có thể tấn công SSTI.

payload: /?user=%7B%7B7*7%7D%7D

kết quả hiện thị ra màn hình là 49 nên ta có thể bắt đầu khai thác SSTI. từ đo sta có thể kết luận là jinja2 hoặc là twig

sau khi thử một vài payload SSTI trên payloadallofthing thì mình nhận thấy: các payload của jinja2 đều dùng được nên có thể chắc chắn là jinja2.

tiếp tục tìm kiếm trên một số trang thì mình tìm thấy, cách khai thác này:

payload:

flag: PISCTF{s0_3zsy_SSTI_F0R_K1d}

Comments