Tuesday, May 17, 2016

DKHOCTF Web-500

Bu soruda sunucuya baglandigimizda

This is an internal app. You are not allowed.

yazisiyla karsilasiyorduk, gorur gormez x-forwarded-for headerini 127.0.0.1 yapip denemek geldi aklimiza ve bam icerdeydik, ardindan bizi bir kayit formu karsiliyordu, kayit formunun source codeuna baktigimizda en ustunde

<!--
require('config.inc');
require('functions.php');
-->

satirlarini goruyorduk. hemen config.inc'nin icine girdik ve

define("SECRETKEY", "SYG1BZUUTjsKesRq5uZJWB8ggXQyaS8hZR0hKMQj4is9V36W9x");



secretkeyimizi aldik. daha sonra formu submitledigimizde gonderdigimiz datalar ile belirli bir checksum yapildigi belliydi ve form sadece [a-zA-Z] karakterleri ile submission yapmamiza izin veriyordu. Bu secret keyle nasil bir hashleme yapildigini cozduk once, bilimum varyasyonlari denerken md5("f+l+secret") oldugunu kesfettik. Butun bunlar soru acildiktan yarim saat sonra falan gerceklesmisti sanirim tam hatirlamamakla birlikte, sonra yarismanin son 9 dakikasina kadar bilimum xss, code injection,sqli,rfi,lfi falan herseyi denedik ama nafile. Yarismanin sonuna kadar gelen hintler de hep bu bildigimiz yerlerden oldugu icin yine pek kar etmedi ama yarismanin son aninda "SSTI" denmesi ile birlikte kafalarimizi taslara vurduk, rendering engine'i kesfedecek kadar zamanimiz yoktu maalesef resmen "buna bas buna bas" methodolojisi ile cozmeye calistik lakinki sure yetmedi. Mehmet Ince'nin postundan engine'in twig oldugunu gorduk dun, bugun de soyle tatli bir payload yazdik. Guzel soru +rep ellerinize saglik.

http://52.58.73.114/success.php?f={{_self.env.registerUndefinedFilterCallback(%27exec%27)}}&l={{_self.env.getFilter(%27cat%20flag.txt%27)}}&t=xxxxx

Congratulations

Dear flag{Y0uRWebStaRSendUrCVtoxxxxDOTxxxATxxxxDOTxxx}. Thank you for registration.

4 comments :

  1. destek aldığınız doğrumu ?

    ReplyDelete
    Replies
    1. Dogru hocam, nsa cia ve fbi arkamizdaydi. Bizi bilenler zaten biliyor, gerek online gerek onsite yarismalardaki durumumuz malum. Ulasilamayan ete mundar diyerek ilerlemek zor olur gibi herhangu bir alanda aklinizda bulunsun.

      Delete
  2. Bi rev500 fena olmaz aslına bakarsan. O korumayı nasıl atlattığınızı merak ettim.

    ReplyDelete
    Replies
    1. Maalesef bu yarismada revler yumusak karnimizdi :( rev500 cozum not found.

      Delete