/// WriteUp NeoQUEST 2016 — Вам Telegramma!

Visit link
25 Мар / 2016
Author: d1ment Tags: , , Comments: 5

Bookmark and Share

Описание:
Нам удалось выйти на человека, оказавшегося информатором мафии… Он быстро согласился сотрудничать с нами, наверное, очень не хотел за решетку… И теперь 24 часа в сутки он с нами на связи через Telegram, его логин там — @NeoAccountBot, чтобы начать общение с ним, нужно зайти на IP-адрес 213.170.91.84

Вам Telegramma!

Ключ первый (4-1):

Первый ключ находим с помощью sparql injection, уязвимая база «users-db». Нужно будет отправлять POST-запрос, так как GET он не понимает. Создадим на хостинге вот такую форму для отправки запроса:

Данным запросом «username ?a ?b } offset 0 limit 1 #», меняя параметр offset, можно узнать методы. Нам нужен метод hasFirstKey. Повторяем отправку формы с вот таким запросом «admin :hasFirstKey ?id } #» и получаем первый флаг.

Ключ второй (4-2):

Второй ключ достаем с помощью csrf и Telegram-бота. Заставляем бота перейти по подготовленной ссылке:

И получаем в приват второй ключ.

key 2

Ключ третий (4-3):

Повторяем те же операции с ботом, только немного изменяем csrf.

И получаем третий ключ! 😉

key 3


KEY-1: 0356c848f23540060a84b453dd9cf0e4
KEY-2: 9235bfeeb0cf939f4cf5075c9c7e13f8
KEY-3: c69d16050cda975cd39de




/// 5 комментариев

  • Serf 25 Мар 2016

    Спасибо за writeup!


  • d1ment 25 Мар 2016

    Не за что! 😉 Надеюсь было полезно!


  • fudo 29 Мар 2016

    Салют!
    username ?a ?b } offset 0 limit 1 # . Вот насчет этой инъекции понятно более менее, хотя я сам смог дойти только до вот этого — username ?id } #
    » . :derty :hasPrivateDatabase 1 . :_ :hui » А как вот до этой ты дошел?


    • d1ment 30 Мар 2016

      Привет!
      Смотри, выполняя запрос «username ?a ?b } offset 3 limit 1 #» можно увидеть еще один метод «hasPrivateDatabase».
      «hasPrivateDatabase» — флаг доступности приватной БД для пользователя. Установить его может только админ. Значит инъекция делается через бота, он же у нас админ. 🙂
      А дальше в основном перебор различных вариантов инъекции. Да и саппорт немного помог, так сказать направил.


  • DARPO 07 мая 2016

    Привет! Не могли бы подсказать, как вы установили флаг hasPrivateDatabase?


/// Leave a Reply

*

code


Sandbox © 2013