Tổng quan Một số thông tin về lỗ hổng: https://nvd.nist.gov/vuln/detail/CVE-2025-24813 https://lists.apache.org/thread/j5fkjv2k477os90nczf2v9l61fb0kkgq Versions Affected: Apache Tomcat 11.0.0-M1 to 11.0.2 Apache Tomcat 10.1.0-M1 to 10.1.34 Apache Tomcat 9.0.0.M1 to 9.0.98 Điều kiện khai thác

Sanity Check image Check discord: image Flag: KMACTF{KMACTF2024_h4s_b3gun} pickleball

DOM Clobbering là gì? Nó được sử dụng khi nào? Theo PortSwigger: DOM Clobbering là một kỹ thuật inject HTML vào một trang để thao tác với DOM với mục địch cuối cùng là thay đổi hành vi của JavaScript trên trang. Kỹ thuật đặc biệt hữu ích trong trường hợp không thể thực hiện được XSS, nhưng có thể kiểm soát các HTML elements trên trang có thuộc tính id hoặc name sau khi được filter bằng whitelist. Thuật ngữ clobbering (ghi đè) xuất phát từ thực tế là việc "clobbering" một biến global hoặc thuộc tính của một đối tượng và thay vào đó ghi đè lên nó bằng DOM hoặc HTMLCollection. Tổng quan object window và khả năng truy cập Theo WHATWG về named access on the window object: image

Giải này hầu như là Client-Side, đặc biệt là XSS, source cũng khá ngắn khá tương tự nhau nên cũng không phải tìm hiểu nhiều về các thư viện,... như các giải khác. Tổng kết các chall với điểm và lượt solve: image Never gonna tell a lie and type you Source: <?php

Keywords NoSQL injection SSTI using CRLF SQLi over Websocket Server-side XSS SQLi bypass vsprintf - format string injection Link: https://ctf.intigriti.io/challenges CTFC

Oke bắt đầu: Bài có cho source code: Vào routes xem các endpoint: /register (POST): Đầu tiên nó kiểm tra IP thực hiện request nếu là 127.0.0.1 thì mới thực hiện tiếp. (Ta có thể nghĩ đến SSRF) Sau đó nó nhận 2 param (username, password) và đưa vào function register() trong database.js:

PECL (PHP Extension Community Library) là thư viện mở rộng cho ngôn ngữ PHP, cung cấp các extensions, cho phép mở rộng khả năng của PHP bằng các tính năng mới và tích hợp các thư viện. Điều kiện khai thác Thông qua lỗ hổng LFI Trong mọi phiên bản Docker image, pecl/pear sẽ mặc định được cài đặt và path là /usr/local/lib/php (nằm trong setting include_path). register_argc_argv được set là on. register_argc_argv Giá trị mặc định này là off. Nếu nó được set là on thì có thể kiểm soát được $_SERVER['argc'] và $_SERVER['argv'] trong code PHP.

SOP Same-origin policy (SOP) là một cơ chế bảo mật được triển khai trong web browser, nó kiểm soát và ngăn chặn việc các scripts truy cập dữ liệu, tài nguyên từ nguồn khác. SOP dựa vào URI để thực hiện việc ngăn chặn URI thường có cấu trúc sau: http://normal-website.com/example/example.html Trong đó:

JWT - Introduction Link tại <a href="https://www.root-me.org/en/Challenges/Web-Server/JWT-Introduction">đây</a>. Bài cho 1 form login. Sau đó login với guest Kiểm tra cookie: jwt=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6Imd1ZXN0In0.OnuZnYMdetcg7AWGV6WURn8CFSfas6AQej4V9M13nsk Sau đó decode JWT này tại <a href="https://jwt.io/">jwt.io</a>. Kết quả:

CSP là gì? Content Security Policy (CSP) là một lớp bảo mật làm giảm thiểu các cuộc tấn công như XSS hay Injection. Để enable CSP cần cấu hình web server để trả về header Content-Security-Policy hoặc có thể X-Content-Security-Policy (Phiên bản cũ) như sau: Content-Security-Policy: <policy-directive>; <policy-directive> Ngoài ra có thể dùng tag <meta> để cấu hình, ví dụ như: <meta http-equiv="Content-Security-Policy" content="default-src 'self'; img-src https://*; child-src 'none';" /> CSP bảo vệ các cuộc tấn công như thế nào?

gremlin Source: <?php include "./config.php"; login_chk(); $db = dbconnect(); if(preg_match('/prob|_|\.|\(\)/i', $_GET[id])) exit("No Hack ~_~"); // do not try to attack another table, database! if(preg_match('/prob|_|\.|\(\)/i', $_GET[pw])) exit("No Hack ~_~"); $query = "select id from prob_gremlin where id='{$_GET[id]}' and pw='{$_GET[pw]}'";

Bài này mình sẽ viết về những thứ mà mình học được về lỗ hổng Insecure Deserialization trong PHP nhằm ôn lại và củng cố thêm kiến thức. Nếu có sai sót ở đâu mong mọi người góp ý và bỏ qua (^_^) Khái niệm Trước hết tìm hiểu về khái niệm serialization và deserialization. Serialization là quá trình chuyển đối của một đối tượng thành định dạng như chuỗi byte, JSON, YAML,... Mục đích chính của quá trình này để dễ dàng lưu trữ và truyền dữ liệu giữa các ứng dụng. Deserialization là quá trình ngược lại với serialization để chuyển từ những định dạng dữ liệu trên thành đối tượng ban đầu. Như vậy lỗ hổng Insecure Deserialization xảy ra khi thực hiện quá trình deserialization. Nguyên nhân chính là do việc ứng dụng web để người dùng có thể kiểm soát được các dữ liệu sau khi serialize đối tượng nào đó (gọi là serialized data), khi thay đổi chúng ứng dụng sẽ thực hiện quá trình deserialization để khôi phục lại đối tượng ban đầu và đương nhiên đối tượng đó sẽ bị thay đổi và có thể gây ra ảnh hưởng tới ứng dụng, thậm chí là máy chủ chứ không chỉ đối tượng đó.

Mở đầu Chắc bởi vì mình thấy dạng này khác hay nên mình đã kiếm một số bài về nó để làm. Có bài mình tự làm cũng có bài xem qua writeup nên đôi khi lời mình khá lũng củng và khó hiểu. Một số bài mình dựng lại trên local nên flag chỉ mang tính tượng trưng thôi ^^. Về POP chain trong PHP thì mình đã nói sơ qua ở <a href="https://hackmd.io/@chuong/HJCXnpo4h#POP-chain">đây</a>. Oke bắt đầu thôi :v . Một số bài 1. Rootme: PHP - Unserialize Pop Chain. Link tại <a href="https://www.root-me.org/en/Challenges/Web-Server/PHP-Unserialize-Pop-Chain">đây</a>. Bài cho soure code và đây là thứ cần quan tâm: <?php