# Setup project ## Download project ```git # khởi tạo một Git repository git init # kích hoạt tính năng sparse-checkout git sparse-checkout init # Thêm đường dẫn của thư mục bạn muốn sao chép: git sparse-checkout set task_2 # Cuối cùng, sao chép (clone) repository từ GitHub: git remote add -f origin https://github.com/AT190510-Cuong/BlueCyber.git git pull origin main ``` ## Run project - bật Docker Desktop - vào thư mục có file **docker-compose.yml**  - Mở terminal chạy `docker-compose up` - đợi cho đến khi database báo **ready for connections** và **Server running on [http://0.0.0.0:8000].**  - truy cập trang web tại `127.0.0.1:8000` - đã có 2 tài khoản được tạo sẵn là: - tài khoản giáo viên: `admin:123` - tài khoản học viên: `cuong:123` database gồm 5 table:   ### users   ### messages  ### assignments   ### challenges   ## Exploit ### IDOR - đoạn code lấy ```user_id``` trong session rồi chuyền vào truy vấn database   - hiện tại có 3 user trong database  - mình thay đổi parameter ```id``` và đọc được message của các user khác     - để hạn chế lỗi này: - chúng ta có thể lấy trực tiếp ```user_id``` trong session mà không cần chuyền qua parameter trên url - kiểm tra kiểm soát quyền truy cập cho từng đối tượng mà người dùng cố gắng truy cập - user_id này nên được mã hóa và random ### File upload - đoạn code không chỉ định rõ định dạng file được phép tải lên - và lưu đường dẫn có chứa tên file do người dùng tải lên mà không mã hóa hay random tên file  - trang web bị lỗi file upload ở chức năng upload bài của giáo viên lẫn học viên - do tên file chúng ta upload được lưu không bị thay đổi nên chúng ta có thể ghi đè nội dung lên các file khác trùng tên như file ```.htaccess```và khi xóa file này thì file trùng tên cũng bị xóa theo #### Server side - mình upload file chứa webshell php đọc ```phpinfo()```   - upload thành công và trigger được lỗi  - mình có thể thực hiện lệnh các lệnh system        - có thể xem thêm RCE <a href='https://hackmd.io/@cuongnh/B1WSanCp6'>tại đây</a> - để hạn chế lỗi này: - xác thực ```file's type``` ví dụ với file ảnh ```'images.*' => 'required|image|mimes:png,jpg,jpeg,gif,svg|max:2048'``` để tránh attacker tải lên các file webshell - xác thực ```file's name```: để tránh kẻ tấn công có thể ghi đè lên các tệp quan trọng của hệ thống bằng cách tải lên các tệp cùng tên. Chúng ta có thể đặt tên file theo thời gian thực rồi lưu trên server```$filename = time()``` - xác thực ```file's size```: tránh kẻ tấn công có thể chiếm dụng hết disk space, từ đó tấn công Dos ví dụ với file ảnh ```'images.*' => 'required|image|mimes:png,jpg,jpeg,gif,svg|max:2048'``` #### Client side - khi giáo viên, học viên upload lên 1 file bài tập là html  - và khi có user truy cập vào xem đề bài thì trang web sẽ thực thi được trang html này  - trang web vẫn trả về ```Content-Type: text/html```  - từ đây có thể code ra trang html để phishing, CSRF - mình sẽ đánh cắp cookie của các user  - trang web sẽ load 1 ảnh bị lỗi và nó sẽ gửi 1 request đến webhook của mình kèm theo cookie  - trên webhook mình thấy được thông tin của cookie  - vì khi gửi request upload file thành công thì chúng ta sẽ được setCookie ở trường ```XSRF-TOKEN``` và ```laravel_session``` trong đó thì ```laravel_session``` được set thêm trường httponly, thuộc tính HTTPOnly giúp bảo vệ cookie khỏi việc bị đánh cắp qua JavaScript nên trong cookie trả về cho chúng ta chỉ có ```XSRF-TOKEN``` ### Path traversal  - file ```.htaccess``` nằm ở thư mục public cách thư mục chứa các file upload assignment 2 cấp - chúng ta có thể tận dụng path traversala đọc file này  ### Store XSS, SSTI - trang web không bị XSS và SSTI do đã được framework encode ký tự đặc biệt