DEV Community: Peppa

CBJS: Magazin 1

Peppa — Fri, 27 Sep 2024 02:13:46 +0000

Detail

Website có 2 chức năng, 1 là đổi ngôn ngữ website, 2 là đính kèm 1 file text hoặc image kèm theo comment và gửi lên server

Ban đầu mặc định nếu chưa có cookie lang thì sẽ set là english
Sau đó dựa vào hàm include để lấy ra giao diện tương ứng với ngôn ngữ đã chọn

Có thể bị lỗi local file inclusion

Phần comment và đính kèm file, đoạn code đã check extension phải là 1 trong 3 đuôi jpg, png, txt. Nếu không nằm trong 3 đuôi này thì sẽ không up được
Sẽ ra sao nếu ta up file .txt với content là đoạn code php sau đó lợi dụng biến cookie lang kèm theo path traversal để hàm include thực thi file txt chúng ta vừa up. Vì hàm include sẽ thực thi code php trong file nếu có

CBJS: SSRF 7

Peppa — Thu, 26 Sep 2024 09:21:59 +0000

Detail

Mục tiêu: Tìm cách đọc được nội dung file hidden_feature.php trên server hiện tại
Trong trường hợp này, ta không biết absolute path của file
Trong php:// ta có thể tìm thấy thứ thú vị
Có thể sử dụng filter trên url, có chức năng tương tự như readfile và chấp nhận relative path

CBJS: SSRF 6

Peppa — Thu, 26 Sep 2024 08:56:45 +0000

Detail

Mục tiêu: Đọc nội dung file /etc/passwd của server hiện tại
Trong hàm file_get_content() có thể nhận trực tiếp absolute path

Nhưng nếu truyền trực tiếp absolute path thì không thể đi qua điều kiện là input phải thỏa mãn là url
Ta có thể sử dụng file:// để cho absolute path nhìn giống 1 url, hàm file_get_content hỗ trợ giao thức này

CBJS: SSRF 5

Peppa — Thu, 26 Sep 2024 04:03:19 +0000

Detail

Mục tiêu: Được biết có một server FTP nội bộ, hãy lợi dụng để đọc nội dung file flag.txt ở /flag.txt
Khi truy cập vào admin ta sẽ thấy thông tin của server được response

Nhận thấy rằng server có địa chỉ private ip là 192.168.128.4 và có netmask là 255.255.240.0
Giờ hãy tìm kiến dải ip nội bộ của mạng này

Địa chỉ ip sẽ gồm có 2 phần: network bits và host bits
Network bits: sẽ xác định địa chỉ ip đó thuộc mạng con (subnet) nào
Host bits: sẽ xác thiết bị (host) nằm trong mạng con đó
Với netmask 255.255.240.0 = 11111111.11111111.11110000.00000000 sẽ có 20 network bits và có 12 host bits. Cho phép tối đa 2^12 - 2 thiết bị
Địa chỉ ip 192.168.128.4 = 1100000.10101000.1000000.00000100
Dải ip khả dụng sẽ nằm trong khoảng địa chỉ mạng (network address) đến địa chỉ boardcast (boardcast address)
Tìm địa chỉ mạng: lấy phép AND giữa ip và netmask = 11000000.10101000.10000000.00000000 = 192.168.128.0
Tìm địa chỉ boardcast: Đảo bit netmask = 00000000.00000000.00001111.11111111 sau đó sử dụng phép OR giữa các bit vừa đảo với địa chỉ ip = 11000000.10101000.10001111.11111111 = 192.168.143.255

Vậy dải private ip lúc này sẽ là từ 192.168.128.1 đến 192.168.143.254 vì phải trừ đia 2 địa chỉ là network và boardcast

Địa chỉ mạng: Xác định mạng mà các địa chỉ ip thuộc về
Địa chỉ boardcast: Được sử dụng để gửi dữ liệu cho tất cả các thiết bị trong mạng đó

Server ftp có link sẽ là ftp://

CBSJ: SSRF 4

Peppa — Wed, 25 Sep 2024 15:12:18 +0000

Detail

Mục tiêu: Kết hợp với một loại tấn công khác để đọc flag trong service tìm được ở level3
Sau khi decode base64 khi truy cập port 8888 ta thấy có nội dung sau. Thấy rằng có tham số id, nghi ngờ bị sqli
Ta thử gây lỗi với '

Giờ hay thử cho server sleep 3s, ta nhận được thông báo url không hợp lệ

Vì server nhận parameter sẽ phải decode các kí tự đặc biệt chẳng hạn như space. Vì vậy các kí tự space của parameter thứ 2 (sau post.php) phải decode 2 lần.
Lần 1 server sẽ decode để nhận url, lần thứ 2 sẽ nhận id

CBJS: SSRF 3

Peppa — Wed, 25 Sep 2024 12:04:41 +0000

Detail

Mục tiêu là tìm 1 port khác ngoài port 9001
Nếu đúng port thì response sẽ kèm theo img tag, nếu sai thì không có img tag

Chúng ta scan từ port 1 đến 65535 vì trong mạng máy tính sử dụng 16 bit để đại diện cho các số hiệu port, port 0 thường không được sử dụng cho các kết nối mạng nên các port hợp lệ bắt đầu từ port 1

CBJS: SSRF 2

Peppa — Wed, 25 Sep 2024 10:59:16 +0000

Detail

Truy cập admin.php và đọc content
Giống lv1 là chỉ có địa chỉ ip 127.0.0.1 mới có thể truy cập admin
Sau khi nhận kết quả trả về khi dùng hàm file_get_content() thì sẽ được encode base64 sau đó nối nội dung vào image tag để hiển thị ra image

Sau đó chỉ cần decode là có thể đọc được content

CBJS: SSRF 1

Peppa — Wed, 25 Sep 2024 10:39:57 +0000

Detail

Mục tiêu: shutdown server
Khi nhấn shutdown, chỉ có ip 127.0.0.1 mới có quyền

Website cho phép điền link để lấy và hiển thị ảnh
Vậy nếu ta điền http://127.0.0.1:9001/shutdown.php thì chính server sẽ truy cập và tự shutdown chính mình vì khi đó địa chỉ ip truy cập vào endpoint là địa chỉ loopback
Tại sao điền http://ssrf.cyberjutsu-lab.tech:9001/shutdown.php lại không được ??? Vì khi truy cập vào domain trên, server sẽ sử dụng public ip để truy cập dẫn đến việc không thể shutdown vì ip không phải là 127.0.0.1
Bất kì máy tính hoặc web server nào đều có địa chỉ loopback
Các dịch vụ nội bộ có thể có hoặc không có domain, chỉ có thể truy cập thông qua các ip nội bộ và không thể truy cập từ các ip bên ngoài internet
Trong trường hợp này website có dịch vụ nội bộ là shutdown server khi ip là 127.0.0.1. Mà muốn ip truy cập tới là 127.0.0.1 thì phải sử dụng loopback

CBJS: Html Injection 6

Peppa — Sun, 22 Sep 2024 15:55:41 +0000

Detail

Mục tiêu là cướp cookie của admin
Ban đầu nhập email để đăng nhập, email không có bất kì filter nào
Đã xử dụng EJS để ngăn chặn và loại bỏ các html tags
Ta có thêm chức năng thông báo lỗi cho admin

Phía admin sẽ nhận được các thông báo của client bao gôm email và content
Nhưng đối với dòng hiển thị email đã không sử dụng EJS để loại bỏ các html tags. Vì vậy có thể nhập email là 1 thẻ <script> sau đó gửi để hiển thị phía admin

CBJS: Html Injection 5

Peppa — Thu, 19 Sep 2024 09:15:27 +0000

Detail

Giống lv1 nhưng website đã sử dụng EJS (Embedded Javascript template) disable các html tags
Ta phát hiện trước khi login, website có 1 parameter là return_url nhằm mục đích ghi nhớ đường dẫn và sau khi login thành công thì sẽ redirect sang endpoint đó

Ta thử thay thế thành link google.com, ta thấy sau khi nhập email thì website sẽ redirect sang google.com

Vậy điều cần làm bây giờ là tìm cách nào đó chạy được js thông qua url, ta có thể sử dụng javascrip:

CBJS: Access Control 4.1

Peppa — Tue, 17 Sep 2024 10:35:16 +0000

Detail

Giống lv1 nhưng đã sử dụng query để chọn ra những posts có public=1. Nhưng lại bị thừa phần or. Nếu ta đọc những post có public=0 thì chỉ cần truyền thêm user_id của user cần đọc là khai thác thành công

CBJS: Access Control 3

Peppa — Tue, 17 Sep 2024 09:36:51 +0000

Detail

Giống lv1 nhưng sau khi lấy các bài post dựa theo id thì id là 1 chuỗi 32 kí tự ngẫu nhiên, không có quy luật. Giờ ta phải tìm chỗ leak các id này để từ đó đọc được các private posts.
Có thêm chức năng xem post của admin và crush
Bài post của crush đã private, nhưng ta lại tìm được id của bài post đó

Có thể sử dụng id này để xem