お絵描きやプログラミングやアーマードコアについて綴っていくつもりです。プログラミングは備忘録的に使うつもりだったりする。
プロフィール

typeすつーか

Author:typeすつーか
FC2ブログへようこそ!

最新トラックバック
カウンターです
ついったー

広告とか

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
--/--/-- --:-- スポンサー広告 TB(-) CM(-)
seccon2014 onlineソーシャルハック?の罠にハマったすつーか氏。
今後ミスリードを踏んでしまっても引き返せるような人間になりたい。

...とその前に
omoi.png
競技開始直後、問題画面やランキング画面にアクセスするとこんな画面が表示されてた。

ひょっとしてこれが問題なのか・・・?

と思ったりもした。(ほんのちょっとだけ。


さて、「ソーシャルハック?」のミスリードについてだ。

top.png

ソースを見るとひどい。改行もない。
topsrc.png

jsbeautifierにかけて整形してソースを読む。
定型文が予め定数でセットされていることがわかるが、ここに記述されている文章以外もunknownは発言している。
なぜだろうか?

とりあえずjsの難読化packerがかかっているのでunpackする。
unpack前↓
packer.png


unpack後↓
message.png

ソースを見ると、stageという変数で、今どのセリフをいうかorゲームオーバー(退席とか)を管理していることがわかる
こちらが発言をしたときに、ChromeのConsoleをみると何かエラー出たりする。
ので、Consoleで何かできないか探ってみると、
post("はつげん")とかするとブラウザの方には表示されないがGET通信で発言をサーバーに送信してることがわかる。
posthack.png
あと、post()メソッドを直接実行すると、英数字の正規表現に引っかからないため、ふつーにサーバーに英語の文字列送信できる。(フォーム使って、英語のみだったらjsのせいで、サーバーに一切リクエスト飛ばさない。
english.png


実はbogus()メソッドを使うと乗っ取りアカウントで発言できたりする。
bogus.png

あとscroll()メソッドを実行すると画面の最下部に自動でスクロールする(そんなことよりフラグくれ



GETメソッドで発言をサーバーに投げると、サーバーからはjsonが送られてくる
kaiwaCallback({"kaiwa":"ctf"})

kaiwaCallbackでkaiwaが帰ってくるんだからflagCallbackでflagが返ってくるのでは?とかテキトーに考えてリクエスト飛ばすもkaiwaしか返ってこない(つらい

URLからOSコマンドインジェクションとか出来んじゃね?とか思ってリクエスト投げまくってたら「ソーシャルハック?」鯖のレスポンスが悪くなってきて、気がついたらスコアサーバー落ちてたりした。(ぼ、ぼくのせいじゃないと思いたい・・・
で、ttp://chat.quals.seccon.jp/index.cgi?   にアクセスすると、なんかフォーム出てきたのでここからでもダイレクトに発言をサーバーに飛ばせれる。ソースを見るとこんな感じ。
keigo.png


なやみに悩んだ挙句、unknownが「画像を送信しろ」的なことを言ってるので
「DataURISchemeで送信してやるよ!!! ほらよ!!!」
ってやると「500 Internal Server Error」が発生した。
500error.png

メールアドレスが書いてあったので、チームの一人が「keigoアカウントでsshログインとか?」と提案。
しかし、パスワードで弾かれてしまう。

( ˘⊖˘) 。o(待てよ?「ソーシャルハック?」ってタイトルだし、keigoさんにメール送信してsshパスワードとか聞くのでは?)
と思ってラブレター送信!!!!

loveletter.png

・・・しかし、keogoさんからお返事が返ってくることはありませんでした・・・(´・ω:;.:...
(文面めっちゃ適当だったからかな・・・




WriteUpみると、
正解はホントに画像を見せる。。だった。。
画像を貼り付けたURL(というか画像の拡張子を含んだURL)
を発言すると、そのURLを踏みに行ってくれる。
しかも、ご丁寧に「見たよ」といってくれる。

画像の拡張子を貼らなかったら「画像のURLを教えてよ。」ってヒントくれたりする。

で、アクセスログとか見ると、UserAgentのところらへんが「」
access.png
あとはnmapしてサーバーに会いているポート調べてVNC開いてるのがわかるからそこにさっき手に入れたパスワード入れる。と、デスクトップにメモ帳が開いてて、フラグが書いてあるそうな。
追い詰めるとはこの事だったのか。


ジャンルがネットワークってなってるのを、もっと尊重するべきでした_(:3」∠)_

スポンサーサイト
2014/07/19 23:15 ctf TB(0) CM(0)
検索フォーム
ブロとも申請フォーム
QRコード
QR
IPv4枯渇時計
linuxコマンド
ぶくろぐ
本棚です
icat
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。