[MATESCTF] Balaca – web 400

Challenge: http://weblab03.matesctf.org/index.php

mình ra bài này phút 91, sau khi giải kết thúc được 1 phút, rất là akay

#TeamSecrekt

Nhìn vào bài ta thấy 1 form chả quen gì……
Có 2 function login/register.

Reg thử 1 nick, để ý thì thấy username được tạo bởi email. Cụ thể là bỏ @ và đuôi phía sau, do đó ta có thể fake 1 nick admin bằng cách reg nick như sau:
email=adm@in.com
password=123456
—- bỏ @ và đuôi.com => username=admin

Tới đây login vào bạn sẽ thấy 1 tab hiện lên là tab quản trị, tuy nhiên click vào thì page này đã biến mất vì lí do bảo mật củ chuối nào đó, nhiệm vụ ở đây là tìm được link quản trị thật sự.

Để ý ta thấy có con bot admin luôn check bài ta đăng lên => lợi dụng điều đó import thẻ [img](host của mình)[/img] vào phần nội dung, khi bot admin view thì sẽ tự động load lên => lấy được thông tin header

Ok vậy là ta đã có được thư mục admin
http://weblab03.matesctf.org/s3crEt_AdM1n_pAg3/

Trong thư mục này ta có thể xem tất cả bài gửi lên + đính kèm

Nhớ lại bài owlur hồi codegate2015 xài zip:// để đọc file, mình tạo 1 file shell php, zip nó lại, đổi đuôi .zip thành .docx và gửi kèm theo bài => thành công

cuối cùng thì LFI chạy shell thôi 😀

http://weblab03.matesctf.org/index.php?page=zip:///var/www/html/upload/27a61c82e9f0c3408bbc32a60ec22dd7.docx#omg&0=passthru&1=cat%20flag.txt

2 thoughts on “[MATESCTF] Balaca – web 400

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s