WhiteHat Summer Contest

Web150: http://web01.wargame.whitehat.vn/

_ Ta reg 1 acc tancuibap xem thử.

_Mở BurpSuite để xem khi ta “stored” flag và secret.

_ Ở đây chúng ta lưu ý chuỗi JSON và biến cookie data.

_ Biến data của chúng ta sẽ được mã hóa theo AES-ECB  mỗi 13 ký tự trong chuỗi JSON có nghĩa là

Data = 256ROT13(AES_ECB(“Chuỗi JSON”))

_ Lúc đầu theo team gợi ý là Flip bit nhưng do mình code nope quá không ra. Sau đó mình thấy đề bài nói là  “get locidol 's flag, then try diving in Nha Trang beach.” Nên mình tìm cách làm sao để username thành locidol

_ Đầu tiên mình reg một acc là {"username":"loc1234","secret":"","flag":""} từ đó mình sẽ được 32byte đầu tương ứng với {"username":"loc. Sau đó mình reg thêm 1 acc là {"username":"tanidol","secret":"","flag":""} sau đó mình thay 32byte đầu của acc trên thay cho 32 byte đầu của acc sau thì sau khi decrypt sẽ được chuỗi JSON {"username":"locidol","secret":"","flag":""}.

Cookie:data=eed3b3226d35e3b11453d502c844062159adbb170c73e85d2d45c9dfa423f3a4f209fcfe392d0aa86ba8a7ceeb044cd3

Continue Reading..

Volgactf

   
          Web 100(http://bloody-feedback.quals.2017.volgactf.ru):
- Bài này mình tìm ra exploit còn payload thì nhờ có thằng em phụ nên ra nhanh hihi :)
- Nhìn sơ thì mình nghĩ hai hướng là XSS hoăc SQLI

- Sau một hồi test các thứ thì mình thấy có chỗ Email khả nghi và thử thì đúng là SQLI

- Ở đây ta thấy chữ not process mỗi lần chúng ta send một cái gì đó thì trang web sẽ tạo cho chúng ta một cái code khi nhấn vô cái code nó sẽ in ra là "Your message status is not processed"  Nên ý tưởng là chúng ta sẽ select gì đó đè lên cái not process và khi web trả về code click vô sẽ cho ta giá trị
- Và đây là payload để lấy Flag : name=a&email=a';'x',(select s3cr3tc0lumn from s3cret_tabl3 limit 1 offset 4))-- &message=a.

Continue Reading..

0-CTF

SIMPLE SQL(http://202.120.7.203)
 - Giải này mình chỉ làm được bài này :(
 - Đây là 1 bài sql khá căn bản do ở đây WAF filter các Select, From, Where,.. Nên việc chúng ta cần làm là by pass nó. Sau một hồi search google và thử thì mình tìm ra cách là sẽ chèn %0b vào giữa các chữ để by pass . Lúc đầu mình định Blind do tưởng Union không được may có thằng em nhắc  ahihi :)
 - Query : http://202.120.7.203/index.php?id=1 and 1=2 union sel%0bect 1,flag,1 fr%0bom flag  

Continue Reading..

BITSCTF

1) BOTBOT
- First i view source of website and i see

- "Nothing to see here. Maybe try looking up seo .txt"  so i think about file robots.txt

"fl4g"=> i has a flag BITCTF{take_a_look_at_googles_robots_txt}
2)BAT MAN VS JOKER:
_ This challenge is about SQLI. I use Union and it's work

- So go and get flag first and get name of the database(), and it's hack then i get all name table of database() and i get a table name Joker

- Finally i get column name and flag :v

 

The FLAG:

BITSCTF{wh4t_d03snt_k1ll_y0u_s1mply_m4k3s_y0u_str4ng3r!}

Continue Reading..

RC3 CTF

               WEB 300 (https://ctf.rc3.club:3100/)

P/s: Sorry if my English is bad.

-        - This challenge is very cute (Because I love dog so much :) ).

-         -When I see this web I think it’ s about injection. So I change the value and view source.

-         -You can see the value cat(the web’s about dog but use cat :( )=> It’s about cmd injetion.

-         -I use “|” and ls but it’s not right.Sad 5 minutes 

-        - But I don’t give up I try hard to find the vulnerability.

-         -I test the value ‘bork=TheBorkFiles.txt bork[a..s]’

-         -  “Borks is a dictionary” oh => It will check the value in [] I think so.

-It’s time for code :)

-         - And wa bla I got the code of website

-         - The flag’ s in bork.txt . it’s not to use ../ but I don’t believe it so I change ‘$data’ in  my code.

-         - And it’s return flag for me after many hours try hard :v (but I get flag when the game is end :v)

       

Continue Reading..

HitCon ctf

Challenge Are You Rich?No I'm poor :)(http://52.197.140.254/are_you_rich/)
- This Challenge about  SQL injection.

- So i use Time-Based to get the Flag
- First we need to be know a name of the table_name(It's flag1)
- And then we just get flag (I guess the name of column is flag)
- So this is my code to do this but sometime  some words of the flag return wrong so i print the time to check it  :)

Continue Reading..

Write up IceCtf

Write up IceCtf

Web- Minner(65): http://miners.vuln.icec.tf/

-Hint: No user in Database.;

=> I use Count to bypass if condition.

-Login fail :( ; May be table has more two column

-So i use null for the column i don't know the name.

-Oh! Login :)

Crypto- Over Hill(65): 

-This challenge will hard if i don't use tool but i find a tool help me decrypt it :) J

Crypto-RSA(60)

-Source Code

-Total :)

Continue Reading..