[Writeup] Chủ đề WebVuln - Vòng loại WhiteHat Grand Prix 2014

hawking

Re: [Writeup] Chủ đề WebVuln - Vòng loại WhiteHat Grand Prix 2014

yeuchimse;15760 đã viết:
Mặc dù đã có một số đội giải được Web400, nhưng mình vẫn mong BTC đưa ra lời giải từ phía đội ra đề. Có nghĩa rằng nếu các anh / chị tham gia thi với tư cách một đội chơi, các anh / chị sẽ suy luận và tiến hành các bước như thế nào ạ. Mình xin cảm ơn và hứa sẽ nhấn Thank

Writeup bạn vhnvn viết bài web400 là đúng rồi nha.
Nói về việc suy luận, khi gặp bài này, đầu tiên là sẽ dò ra link http://grandprix.whitehat.vn:8014/582a013d1336d7d4958590d36aa4b3e3/adminwww. Phát hiện ra link này mình nghĩ là không khó, chỉ là 1 bước trong các bước khi thực hiện pentest.
Ta sẽ nghĩ đến việc bypass qua cái authorize ở link trên. Thử với HTTP Verb Tampering thì không được, lúc này sẽ nghĩ tới tìm cách việc đọc file .htaccess. Quay trở lại cái link http://grandprix.whitehat.vn:8014/582a013d1336d7d4958590d36aa4b3e3/images.php?album=love ,thử sqlinjection các kiểu không được. Ta thử vào link http://grandprix.whitehat.vn:8014/582a013d1336d7d4958590d36aa4b3e3/images/love thì đọc được nội dung file này, ta nhận ra lỗi LFI để đọc file như bạn vhnvn đã viết ở dưới.
Đến form login của trang admin, như bạn vhnvn viết ở dưới là đúng với ý đội ra đề rồi. Nhưng đội ra đề còn cho thêm 1 file login.bak trong cùng thư mục adminwww ấy luôn, nhằm giúp cho việc bypass dễ dàng hơn. Bạn có thể kiểm tra khi vào link http://grandprix.whitehat.vn:8014/582a013d1336d7d4958590d36aa4b3e3/adminwww/login.bak .Cái file bak trên cũng không có gì vô lý để dò ra, vì trong các bước khi pentest thì việc tìm xem có file backup nào không là một trong những việc cần làm.
Ý tưởng của đội ra đề là như thế, bạn có góp ý gì không

yeuchimse

Re: [Writeup] Chủ đề WebVuln - Vòng loại WhiteHat Grand Prix 2014

hawking;15861 đã viết:
Writeup bạn vhnvn viết bài web400 là đúng rồi nha.
Nói về việc suy luận, khi gặp bài này, đầu tiên là sẽ dò ra link http://grandprix.whitehat.vn:8014/582a013d1336d7d4958590d36aa4b3e3/adminwww. Phát hiện ra link này mình nghĩ là không khó, chỉ là 1 bước trong các bước khi thực hiện pentest.
Ta sẽ nghĩ đến việc bypass qua cái authorize ở link trên. Thử với HTTP Verb Tampering thì không được, lúc này sẽ nghĩ tới tìm cách việc đọc file .htaccess. Quay trở lại cái link http://grandprix.whitehat.vn:8014/582a013d1336d7d4958590d36aa4b3e3/images.php?album=love ,thử sqlinjection các kiểu không được. Ta thử vào link http://grandprix.whitehat.vn:8014/582a013d1336d7d4958590d36aa4b3e3/images/love thì đọc được nội dung file này, ta nhận ra lỗi LFI để đọc file như bạn vhnvn đã viết ở dưới.
Đến form login của trang admin, như bạn vhnvn viết ở dưới là đúng với ý đội ra đề rồi. Nhưng đội ra đề còn cho thêm 1 file login.bak trong cùng thư mục adminwww ấy luôn, nhằm giúp cho việc bypass dễ dàng hơn. Bạn có thể kiểm tra khi vào link http://grandprix.whitehat.vn:8014/582a013d1336d7d4958590d36aa4b3e3/adminwww/login.bak .Cái file bak trên cũng không có gì vô lý để dò ra, vì trong các bước khi pentest thì việc tìm xem có file backup nào không là một trong những việc cần làm.
Ý tưởng của đội ra đề là như thế, bạn có góp ý gì không

Phát hiện ra thư mục adminwww là không khó? Cụ thể thì anh xài tool nào ạ?

Đồ Nhỏ

Re: [Writeup] Chủ đề WebVuln - Vòng loại WhiteHat Grand Prix 2014

yeuchimse;15862 đã viết:
Phát hiện ra thư mục adminwww là không khó? Cụ thể thì anh xài tool nào ạ?

Đồng quan điểm với bạn, mình dùng dirbuster cũng tìm ra được file images/love (Mime trả về là script), không biết dụng ý của tác giả là gì?, thêm nữa có cái aa trong phần note chắc cũng dùng để troll :3

Còn về phần tìm thư muc kia (mình cũng ko tìm ra) nhưng mình đoán dùng tool "Web Admin Finder v2.0"

xHunter

Re: [Writeup] Chủ đề WebVuln - Vòng loại WhiteHat Grand Prix 2014

Xin cho em hỏi bao giờ BTC có thể reup lại bài thi để test ạ

hoặc nếu ko mong BTC có thể share code đề được không ạ

yeuchimse

Re: [Writeup] Chủ đề WebVuln - Vòng loại WhiteHat Grand Prix 2014

Đồ Nhỏ;15864 đã viết:
Đồng quan điểm với bạn, mình dùng dirbuster cũng tìm ra được file images/love (Mime trả về là script), không biết dụng ý của tác giả là gì?, thêm nữa có cái aa trong phần note chắc cũng dùng để troll :3

Còn về phần tìm thư muc kia (mình cũng ko tìm ra) nhưng mình đoán dùng tool "Web Admin Finder v2.0"

Web chứ có phải forensic hay stegano đâu mà phải chọn đúng tool, đúng dict mới ra

sunny

Re: [Writeup] Chủ đề WebVuln - Vòng loại WhiteHat Grand Prix 2014

xHunter;15866 đã viết:
Xin cho em hỏi bao giờ BTC có thể reup lại bài thi để test ạ hoặc nếu ko mong BTC có thể share code đề được không ạ

Cảm ơn bạn xHunter, BTC đã tiếp nhận vấn đề và sẽ báo cho Ban ra đề để sớm publish đề cho tất cả các bạn cùng vào tham khảo.

Đồ Nhỏ

Re: [Writeup] Chủ đề WebVuln - Vòng loại WhiteHat Grand Prix 2014

yeuchimse;15867 đã viết:
Web chứ có phải forensic hay stegano đâu mà phải chọn đúng tool, đúng dict mới ra

), bạn không hiểu ý mình rồi :3

REBD

Re: [Writeup] Chủ đề WebVuln - Vòng loại WhiteHat Grand Prix 2014

1. Web200

Mã:

- Dùng Firebug của FF để decode Javascript
- Excute đoạn code này
- Get password
- Submit
- Get flag

2. Web400

Mã:

- Bài này có 2 vị trí tiềm năng có thể gây lỗi: trang view tin tức và trang view ảnh
- Không SQL injection, không XSS
- Ở trang view ảnh: thử inject: ?album=./love => không báo lỗi => chúng ta có lỗi Local File Inclusion.
- Với LFI trong tay, bước tiếp theo thường là read code trên server => thử inject: ?album=./index.php => Fail. Có lẽ tác giả không muốn ta tiếp cận theo hướng này. Thử các tập tin thú vị khác, thì success ở .htaccess (?album=./.htaccess).
- Tập tin .htaccess không có nội dung nào thú vị, đến đây thì bí ý tưởng. Thử tiến hành directory/file scanning thì phát hiện một directory thú vị là adminwww, bước ngoặt của bài này là đây.
- Truy cập adminwww, một HTTP authen bật ra. Hmm, ta cần một tài khoản. Với vũ khí LFI trong tay, ta biết là ta có thể có tài khoản đăng nhập thông qua tập tin .htpasswd
- Với request: ?album=adminwww/.htpasswd, ta có tài khoản đăng nhập adminwww: sup3r_4dm1n:$apr1$qbdYQbbG$Z5WLB6CphGAnWhAxSWtmw/. May mắn là password này có thể crack được trong vòng một nốt nhạc(sử dụng John de ripper).
- Truy cập adminwww, màn hình hiện ra một trang login, một trang register. Với tài khoản register không thể login thành công. Có lẽ tác giả muốn ta login bằng admin.
- Sau vài phép thử đăng nhập, nhận thấy ứng dụng kiểm tra username tồn tại trước, sau đó mới kiểm tra username và password correct.
- Thử vài SQL injection cơ bản, nhận thấy ý đồ tác giả muốn ta sử dụng ký tự "\" (backslash) để tấn công qua việc không tổ chức kèm cặp (filter) ký tự này. Nhưng ta không thể thoải mái sử dụng backslash vì khi reg, backslash bị chuyển thành \$.(1)
- Thử register vài username hơi dài so với quy định, nhận thấy bắt đầu ở len(username)=16, có thể register với cùng một username một cách thoải mái mà không bị báo lỗi username exists => có hiện tượng username truncate ở server, cụ thể là len(username)>15 thì sẽ truncate về 15. Vậy ta có thể giải quyết bài toán (1) bằng cách reg một username có dạng 'a' * 14 + '\'
- Vấn đề còn lại chỉ là bypass câu truy vấn đăng nhập, sử dụng pass: %09or%09True%23

by bibo

yeuchimse

Re: [Writeup] Chủ đề WebVuln - Vòng loại WhiteHat Grand Prix 2014

Đồ Nhỏ;15871 đã viết:
), bạn không hiểu ý mình rồi :3

Mình đang nói với BTC mà.

yeuchimse

Re: [Writeup] Chủ đề WebVuln - Vòng loại WhiteHat Grand Prix 2014

yeuchimse;15862 đã viết:
Phát hiện ra thư mục adminwww là không khó? Cụ thể thì anh xài tool nào ạ?

Up. Ban ra đề vẫn chưa giải thích cho mình biết làm sao tìm ra được adminwww.

Dungl588la

H8vn * M88 * 188bet * Dafabet * 138 *
CMD368 * Fun88 * W88

sunny

Re: [Writeup] Chủ đề WebVuln - Vòng loại WhiteHat Grand Prix 2014

yeuchimse;15897 đã viết:
Up. Ban ra đề vẫn chưa giải thích cho mình biết làm sao tìm ra được adminwww.

OK để mình chuyển câu hỏi cho Ban ra đề và sẽ phản hồi lại bạn yeuchimse nhé.

xHunter

Re: [Writeup] Chủ đề WebVuln - Vòng loại WhiteHat Grand Prix 2014

yeuchimse;15897 đã viết:
Up. Ban ra đề vẫn chưa giải thích cho mình biết làm sao tìm ra được adminwww.

yeuchimse: đọc quyển tâm lý học tội phạm đi

hawking

Re: [Writeup] Chủ đề WebVuln - Vòng loại WhiteHat Grand Prix 2014

Đồ Nhỏ;15864 đã viết:
Đồng quan điểm với bạn, mình dùng dirbuster cũng tìm ra được file images/love (Mime trả về là script), không biết dụng ý của tác giả là gì?, thêm nữa có cái aa trong phần note chắc cũng dùng để troll :3

Còn về phần tìm thư muc kia (mình cũng ko tìm ra) nhưng mình đoán dùng tool "Web Admin Finder v2.0"

Tìm được ra file images/love, khi truy cập file đó thì sẽ ra nội dung file:

images/love (1).jpg
images/love (2).jpg
images/love (3).jpg
images/love (4).jpg
images/love (5).jpg
images/love (6).jpg

=> Chứng tỏ có thể khai thác lỗi LFI để đọc file .htaccess , đấy là ý của mình.

hawking

Re: [Writeup] Chủ đề WebVuln - Vòng loại WhiteHat Grand Prix 2014

Đồ Nhỏ;15864 đã viết:
Đồng quan điểm với bạn, mình dùng dirbuster cũng tìm ra được file images/love (Mime trả về là script), không biết dụng ý của tác giả là gì?, thêm nữa có cái aa trong phần note chắc cũng dùng để troll :3

Còn về phần tìm thư muc kia (mình cũng ko tìm ra) nhưng mình đoán dùng tool "Web Admin Finder v2.0"

yeuchimse;15862 đã viết:
Phát hiện ra thư mục adminwww là không khó? Cụ thể thì anh xài tool nào ạ?

Mình dùng tool Web Admin Finder v2.0, mình thấy tool này cũng khá là nhiều người dùng. Hơn nữa thì adminwww cũng không phải là quá đánh đố. Ở đây mình mong muốn đề nó mang tính thực tế 1 chút, trong thực tế thì những người biết về bảo mật một chút chả ai đặt trang admin panel là admin hay administrator,... cả.
Bạn cũng có thể dùng cái List trong "http://www.hackforums.net/printthread.php?tid=195128" để tìm ra link adminwww.
Btw, @REBD : nice writeup!

[Writeup] Chủ đề WebVuln - Vòng loại WhiteHat Grand Prix 2014

Số người đang xem

Thống kê diễn đàn