“區塊鏈安全進化論”
三重禮
Blockchain Security Evolution:What\’s next? 北京站
DVP“區塊鏈安全進化論”黑客松北京站已圓滿落幕,衷心感謝協辦方和衆多合作伙伴的大力支持! 感謝白帽黑客的踊躍參與!感謝觀衆朋友們的關注和支持!
爲便於交流學習,現將 CTF 競賽環節中 Web 部分的解題思路公佈如下:
Web 解題思路
考慮到黑客松現場留給參賽者的只有 3 個小時的時間,而且分爲挖洞和解題兩部分,所以 CTF 部分的題目都沒有太難,一共只有 6 道題,分 Web 和區塊鏈兩部分,Web 部分共 4 題。
1、Welcome 這是 Web 部分的簽到題,在場的隊伍應該都差不多解出來了,首先打開題目給的鏈接。
除了一串“hello hackers. ”什麼都沒有了,響應包的 header、body 裏面也沒有發現 flag 的痕跡,然後就是常規套路掃備份文件、敏感文件了。
掃出來一個 phpinfo.php
在環境變量裏面可以發現 flag
PS:其實 phpinfo 環境變量泄漏敏感信息是有實際的場景和案例的,隨着微服務和容器化的興起,越來越多的企業開始使用 docker 來編排和管理集羣,在啓動一些業務容器的時候就需要向容器注入一些配置信息,不然配置信息是死的,不夠靈活。常規的注入配置信息的方法就是通過 docker run 中的-e 參數將配置項以環境變量的形式注入到容器中,然後容器內的業務程序檢測有沒有相應的環境變量,並進行調整。最常見的是向 Web 業務容器注入數據庫、redis 等配置項,在這種“奇妙”的組合下,phpinfo 等類似的低危信息泄漏也會有比較高的危害,DVP 平臺就曾收到過這種案例。
2、dns
題目給的鏈接是一串沒有域名的鏈接:http://23.91.100.236
打開鏈接提示 403,看了下 Web 部分的 1、3、4 題,都是
-
web1.dvpbox.site
-
web3.dvpbox.site
-
web4.dvpbox.site
這樣的域名形式。嘗試修改本地 hosts 將 web2.dvpbox.site 指向到 23.91.100.236,然後訪問。
彈出來一個登錄框,嘗試爆破,但是沒有結果,翻一下前端源碼可以發現線索。
拿測試賬號去登錄就可以拿到 flag 了
PS:參加過 8 月 4 日 FOFA 空間站的同學可能會比較熟悉,當時 R3start 師傅在議題上介紹了 HOST 碰撞和 JS 信息泄漏兩個姿勢,詳情可以看在 https://nosec.org/home/detail/2846.html。
3、SS_F
看題名可以猜到是 SSRF,考的是 SSRF 相關的內容,打開題目給的鏈接顯示非法訪問
應該是限定了內網或者本地才能訪問,所以需要通過 SSRF 訪問這個鏈接,去掉 flag,進到首頁可以看到存在 ssrf 的頁面
熟悉 base 系列編碼的同學應該看的出來是 base 加密,挨個試一遍,可以發現 b16 編碼可以解開
然後把 flag 的 url 編碼一下就可以訪問到了
不提示非法訪問了,但是返回 false,應該和 k 參數有關,fuzz 一下
發現 k 爲這些值的時候會返回 true,可以猜測到應該是 key 中包含這個 k 參數的值就會返回 true,所以現在只要再枚舉一下這些字母的順序就行了。 最終排序可以得出來 k 的值爲 keyisdvpisbest,然後會顯示 flag。
** **
4、 simpleinject **
通過題名可以推測出是與注入相關的題目,先打開題目
** **
給了一個 id 參數,測試一下
** **
發現報錯了,而且是 django 的報錯頁面,應該是前段時間 django 爆的一個 SQL 注入的漏洞 CVE-2019-14234。
要利用這個漏洞首先得知道哪個字段是 json 類型的,這裏不用猜字段名,通過報錯就可以得到。
**
可以看到除了 id 字段就只剩 info 字段了,不出意外應該就是這個字段存在注入點,測試一下 ** ****
報錯了,確認存在注入,然後就是手工猜數據庫名、表名等,最後爆出 flag
** **
關於 DVP
DVP 全稱 Decentralized Vulnerability Platform (去中心化漏洞平臺)旨在利用區塊鏈技術,建立匿名化的安全衆測社區場景,打造去中心化、漏洞即挖礦的平臺概念。DVP 致力於解決區塊鏈企業安全危機,將連結區塊鏈廠商、安全公司和白帽子等社區參與者,以最小的成本最大化減少漏洞暴露風險,共築區塊鏈生態安全。
更多信息,請訪問 https://dvpnet.io
合作聯繫:[email protected]
掃碼添加小愛同學,加入 DVP 週年慶典羣~ 多重大禮等你來領!
END
往期 DVP 文章集錦: