# HKCERT CTF ## New Free Lunch  - chúng ta cần có trên 300 điểm để lấy flag ### Phân tích Sau khi bạn hoàn thành trò chơi, Điểm sẽ được cập nhật vào cơ sở dữ liệu qua /update_score.php  - để ý mã nguồn khi endgame - em thấy chuỗi hash được gửi lên server có chứa secretKey(đã biết), username va điểm sau khi kết thúc lượt chơi và chúng được cộng chuỗi rồi hash theo sha256  - vậy để update số điểm của mình trên 300 em chỉ cần tạo ra chuỗi hash theo các bước tương tự và thay đổi điểm ### Khai thác    ## Webpage to PDF (1)  ### Phân tích  - web nhận vào 1 url và trả về bản pdf từ trang html của url  - đọc đoạn code xử lý em thấy file pdf được tạo ra bằng cách chuyển đổi file html qua pdf bởi lệnh wkhtmltopdf - với tên file được lấy từ trong cookie do người dùng kiểm soát và có thể khai thác command injection tại đây  ### Khai thác - tuy nhiên khi em chèn command thấy thực thi lỗi  - khai thác theo hướng LFI - khi ứng dụng nhận vào 1 file html chúng ta có thể chèn thẻ ```<iframe src="file:///flag.txt" height="500" width="500">``` để thử chèn các file local vào tài liệu html biết flag nằm ở ```/```  - để tạo trang html em dùng https://jsbin.com/?html,output   - tuy nhiên khi gửi tài liệu này suất hiện lỗi block access to file  - và lý do bởi wkhtmltopdf sẽ tắt truy cập vào local file theo mặc định - và để giải quyết vẫn đề này chúng ta chỉ cần thêm cờ ```--enable-local-file-access``` vào lệnh wkhtmltopdf - mà chúng ta có thể chèn thêm cờ này thông qua cookie   - Chức năng chuyển hướng bị hỏng vì tệp này sẽ được tạo tại {session_id}.pdf. Xóa khỏi --enable-local-file-access%20URL, sau đó bạn có thể lấy được cờ    ## Webpage to PDF (2)  ### Phân tích - tương tự lab trên thì ứng dụng chuyển trang html sang pdf nhưng lần này có sử dụng thư viện để thực hiện thay vì gọi lệnh hệ thống như trước  - và theo mặc định khi chuyển đổi sang pdf thì pdfkit sẽ tắt truy cập local file và muốn thực hiện điều này thì phải cấu hình trong source code  - em lên tải source code của thư viện này về phân tích  - đáng chú ý có đoạn code sử lý html chúng ta chuyền tới  - Đoạn code này trích xuất thông tin từ các thẻ ```<meta>``` trong nội dung HTML (content). Cụ thể, nó tìm kiếm các thẻ ```<meta>``` có thuộc tính name bắt đầu với một tiền tố  sau đó lấy giá trị content tương ứng. Kết quả sẽ là một dictionary chứa các cặp name và content từ các thẻ ```<meta>``` phù hợp. - Trả về dictionary found, chứa các cặp name và content từ các thẻ ```<meta>``` phù hợp.  - đoạn mã này nhằm mục đích khởi tạo self.options và cập nhật nó với các tùy chọn tìm thấy từ hàm _find_options_in_meta nếu self.source là một chuỗi.  - option sẽ được truyền vào và thực thi ### Khai thác - vậy em tạo trang html với ```<meta name="pdfkit---enable-local-file-access" content="">``` để cho bật cờ ```--enable-local-file-access``` cho phép đọc file local