• Вступление
  
  
• Определение точки входа
  
  
• Эксплуатация
  
  
• Профит

Добро пожаловать, уважаемые читатели этого форума, а также участники CTF-платформы Antichat! Давненько от меня не было авторских врайтапов, и вот сегодня, я решил исправиться.

Antichat представляет собой современную, интуитивно понятную, активно развивающуюся среду для новичков и профессионалов в сфере информационной безопасности и программирования.

Сегодня мы разберем с вами задание с платформы Antichat - Джарвис / Веб.

https://forum.antichat.xyz/attachmen...2633260903.png

Откроем в браузере сайт

https://forum.antichat.xyz/attachmen...2631884681.png

Нам предлагают загрузить аудио-файл, который скрипт потом переведет в текст. Но, так же нам доступны какие-то кейкоды. Нажимаем на кнопку KeyCodes

https://forum.antichat.xyz/attachmen...2631961491.png

Тут нам объясняют, каким образом передавать специальные символы/знаки, потому-что программа может переводить только буквы и цифры. Ниже видим пример, как использовать кейкоды.

Эксплуатация

После интенсивного фаззинга, сканирования и прочих попыток хоть что-то найти, вспоминаем что веб-приложение поднято на Python/Flask

https://forum.antichat.xyz/attachmen...2632156315.png

Раз в специальных символах есть кейкоды для { и }, мы можем проверить приложение на наличие уязвимости SSTI (Server Side Template Injection)

Находим любой онлайн-сервис для создания голосовой записи по тексту. Я буду пользоваться этим - Voicemaker® - Text to Speech Converter.

Создаем запись с текстом для нагрузки {{7*7}}, соблюдая кейкоды

https://forum.antichat.xyz/attachmen...2632281920.png

Получится что-то вроде этого F5 F5 7 F3 7 F6 F6

F5 - {

F3 - *

F6 - }

Скачиваем запись и конвертируем в .wav, так как с другими форматами веб-приложение не умеет работать

https://forum.antichat.xyz/attachmen...2632368163.png

Загружаем нашу запись с пейлоадом через форму загрузки

https://forum.antichat.xyz/attachmen...2632404117.png

Момент истины...

https://forum.antichat.xyz/attachmen...2632445277.png

Отлично! Мы выяснили, что веб-приложения уязвимо к проведению атаки SSTI. Вряд ли нас просят в таких условиях взятьRCE (Remote Code Execution), так что, попробуем прочесть конфигурацию веб-приложения

Полезная нагрузка: {{config.items()}}
Этот пейлоад нужно перевести в формат, который поймет веб-приложение, соблюдая кейкоды

Конечный пейлоад для озвучки будет таким: F5 F5 config F7 items F1 F2 F6 F6

https://forum.antichat.xyz/attachmen...2632549424.png

Скачиваем запись, конвертируем в WAVи скармливаем форме загрузки.

https://forum.antichat.xyz/attachmen...2632578761.png

Выбираем только что подготовленную запись

https://forum.antichat.xyz/attachmen...2632676863.png

Бинго!

Классный, необычный таск

Меня проинструктировали, как переводить специальные символы/знаки, ведь программа умеет переводить только буквы и цифры. Ниже приведен пример загрузки новой игры, в котором показано, как использовать ключ.