ISITDTU CTF 2018

[Web] Access Box
Bài này là một bài blackbox hoàn toàn, mặc dù có chút guessing nhưng ý tưởng cũng hay, chỉ có 1 vị trí đăng nhập và không nhiều chức năng có khả năng gây ra lỗi, bằng kinh nghiệm chơi ctf mình đoán lỗi nằm ở vị trí đăng nhập, sau khi fuzzing một hồi với một số payload thông dụng trong tham số username:

'or'1
guest'and'1'='1
...

Tới đây mình có thể xác định có thể có lỗi bảo mật xảy ra. Có thể là SQL Injection, XPath Injection, …
Sau một hồi thử kiểm tra với các logic về SQL Injection mình nhận ra hướng này có nhiều vấn đề phản logic do code hoặc không phải lỗi này.
Tiếp tục thử một số payload để kiểm tra logic XPath Injection, mình xác định 90% là hướng đi này chính xác.
Tới đây, mình chia ra làm 2 nhánh, nhánh thứ nhất là đi tìm kiếm database từ những file xml, sử dụng công cụ wfuzz với bộ payload sưu tầm, mình thấy được database http://35.190.131.105/accounts.xml, có lẽ đây là cách unintend mà nhiều đội làm ra.
Nhánh thứ 2 là tìm kiếm payload để leak được nhiều thông tin nhất có thể. XPath khác với SQL, do đó cách lấy toàn bộ schema là chuyện khó và có thể tốn nhiều thời gian, vì lười nên mình sẽ tìm một payload để tìm kiếm thông tin thay vì khai thác schema.
Payload:

username='and 1=0] | //*[contains(.,'tukhoatimkiem')] | //*['1'='0&password=lala

thay tukhoatimkiem bằng từng kí tự khác
bắt đầu tìm với những từ quen thuộc như admin, user, 4dmin, 4dm1n, ad1min, Adm1n…
mình thấy được 1 kết quả là Adm1n
Tuy nhiên không khả quan nếu cứ fuzzing bằng tay, mình dùng burp để blind từng cụm kí tự và thu được một số kết quả

Adm1n
Administrator
ColdTick
Ez_t0_gu3ss_PaSSw0rd
FromD2VNWithLove
guest

Không có captcha nên mình bruteforce cả username và password theo từ điển trên, thu được username=Adm1n&password=Ez_t0_gu3ss_PaSSw0rd
từ đó có được flag.