HITB năm nay do 1 vài sự cố nên mình cũng như các anh không đi được, nên đợi các anh em chung team chơi xong về cho mượn acc làm ké nên hôm nay mới có writeup này để note lại 1 số thứ cũng như chia sẻ cách giải

Lazy Web (http://lazyweb.wargames.my/)

Dirsearch 1 vòng thì có /.git

Dump /.git bằng Git-Dumper thì có full source

Focus vào /s3cretadm1n, /libs/common.php, /save_session.php, /config.php

Flow của web là khi đăng nhập vào sẽ có các chức năng của user thường, nếu muốn sử dụng webshell ở /s3cretadm1n thì phải có SESSION[‘admin’] = 1

Xử lí session admin thì đã có hàm save_session.php

Sau đó thì vào /s3cretadm1n để tìm flag, dễ dàng tìm thấy flag ở /opt/flag/flag.txt nhưng đã phân quyền chỉ cho user pma có quyền read

Kiểm tra các service nó đang chạy, dễ dàng thấy được có 1 service đang chạy trên port 8081

Nhưng nó chỉ cho phép localhost truy cập, vì đã có shell nên chỉ cần Forward Port của web về thành của mình sau đó dùng user,password có trong file config.php để login vào phpmyadmin, sau đó thì dùng 1day phpmyadmin để vụt

Gooble (https://gooble.wargames.my/)

Server tắt rồi nên chỉ còn kể chuyện được thôi, 1 người anh thiện lành của mình (@k0m4ng) đã chỉ cho mình đây là trang dùng API Google chứ không phải fake Google cho vui

Phần còn lại chỉ cần request tới nó qua 1 con proxy của Google là hết 403 => có flag

Is Rain (http://is-rain.wargames.my/)

Bài này thì có máy vào được, có máy không, game nhân phẩm

Đại khái là nó nhận giá trị param url xong rồi trả về respone cho mình, có mùi SSRF

(Đoạn này mình xài vps vì máy mình nhân phẩm thấp nên không vào được trang)

SSRF thì để xác định mình cần làm gì thì cứ đè 127.0.0.1, localhost, … hoặc cứ cầm 1 list Payload mà Intruder thẳng vào xem respone có gì thú vị không

Đây là 1 con Amazon EC2, với thể loại này thì cần lấy AccessKeyId, SecretAccessKey, Token, instanceId, accountId, region (Tham Khảo)

Vậy là RCE xong

Sau đó chỉ cần vụt flag thôi

Noted (http://noted.wargames.my/)

Bài này có 2 chức năng, đăng note và report, cái thể loại này không XSS nữa thì thôi, test các thể loại XSS vào thì thấy bị filter hết :))). Nhưng chỗ color có thể set CSS vào mà không bị filter, nên bài này có thể là CSS injection, và với CSS injection thì chỉ có thể search nội dung trên trang chứ không đá động gì vào cookie được, nó chỉ lấy được token CSRF, giá trị input, … nên thử search xem thằng admin có cầm cái note nào có flag không

Thử chỉ extract 1 kí tự thì mỗi lần extract nó lại trả về 1 kí tự khác nhau, cũng như con BOT cũng có địa chỉ IP khác nhau nốt. Nên bài này mình chỉ để ý tưởng lại đây vì chưa xong, có thể do mình sida hoặc cũng có thể do BOT sida…