Mô tả thử thách
NOTE FROM ADMINS: Use of automated fuzzing tools are allowed for this challenge. Fuzzing. Not Crawling. All endpoints aside from one are rate limited.
https://wormhole.sunshinectf.games/
Phân tích
Như web đã gợi ý thì mình nghĩ đây có thể là SSRF
Nhưng khi ấn vào "LAUNCH SSRF TOOL" thì sẽ bị chặn
Nó bảo lỗi thiếu access header và trong đề bài cũng gợi ý mình fuzzing vậy mình sẽ dùng Burp Intruder để tiến hành brute-force tìm ra header thỏa mãn bài này
Chúng ta sẽ tạo một header tên là Header và đặt nó là true, sau đó sẽ chèn $$ vào tiến hành attack với list header từ đây: https://github.com/danielmiessler/SecLists/blob/f2d366a237436a904df19d19ca5545b9942bcabc/Discovery/Web-Content/BurpSuite-ParamMiner/lowercase-headers
Nhận thấy header Allow trả về 200OK
Mình sẽ chọn Request này và Send to Repeater để phân tích tiếp
Gửi thử một request POST xem sao
Web báo thiếu URL nên mình sẽ thử thêm một URL=https://127.0.0.1:8000/ để test tiếp
Nhận thấy nó vẫn báo lỗi 400, lỗi này có thể là do mình đã khai báo thiếu gì đó trong request, rất có thể là do mình thêm url vào nhưng chưa có Content-Type, vậy mình sẽ thêm Content-Type vào và test thiếp
Vậy là đã thành công
Mình sẽ thử tiếp với payload /admin xem sao
Web báo mình thiếu một parameter, điền bừa gì đấy và test tiếp
Vậy là đã test thành công, ở đây theo suy đoán của mình thì rất có thể là lỗi SSTI dẫn đến SSRF
Hãy thử test với payload đơn giản như {{7*7}}
Web trả về 49, xác nhận lỗ hổng SSTI
Khai thác
Mình đã thử khai thác với các payload từ https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Server%20Side%20Template%20Injection/Python.md và sau rất nhiều thời gian test thì mình đã xác nhận được rằng payload bypass gần như tất cả mọi thứ ('.','_','|join','[',']','mro' and 'base') mới hoạt động được, vậy nên mình rút ra kinh nghiệm sau này sẽ test payload mạnh nhất trước luôn
Đến đây thì sẽ khá là đơn giản rồi, mình chỉ cần sửa payload của họ với những lênh cơ bản như cat /flag xem có ra không
Sau một hồi thử nghiệm thì mình cũng đã thành công, ở đoạn này cũng cần obfuscate một chút khi có vẻ server đã chặn luôn flag.txt nên mình sẽ sử dụng dấu "*" thay thế, "*" tức là nó sẽ thay cho toàn bộ ký tự đằng sau, bất kể ký tự nào cũng được nên nó sẽ tương đương với flag.txt hoặc file gì đó bắt đầu với flag
Flag
Flag: sun{h34der_fuzz1ng_4nd_ssti_1s_3asy_bc10bf85cabe7078}
'WriteUp > Web' 카테고리의 다른 글
| [Web] Puzzle - Securinets CTF Quals 2025 (0) | 2025.10.06 |
|---|---|
| [Web] Lunar File Invasion (SunshineCTF 2025) (0) | 2025.10.01 |
| [Web] Lunar Shop (SunshineCTF 2025) (0) | 2025.10.01 |
| [Web] Intergalactic Webhook Service (SunshineCTF 2025) (0) | 2025.10.01 |
| [Web] Lunar Auth (SunshineCTF 2025) (0) | 2025.10.01 |