Bentornati su Exploitnetworking! Alienise era una challenge web del ctf SECT 2018, dove bisognava abusare di una misconfiguration di nginx per ottenere la flag. Il primo step è aprire il sito web e ispezionare il codice sorgente:

Come possiamo vedere c’è un link commentato, proviamo allora a inserire questa directory nell’url per vedere cosa succede, ma quello che otteniamo è una risposta 403. Proviamo allora a ispezionare la richiesta usando Burp per vedere i dettagli:

Interessante, c’è una redirection e abbiamo inoltre ottenuto altre informazioni perché abbiamo trovato una nuova directory /static/admin_current.zip. Sfortunatamente questa directory non funziona in alienise.se, ma funziona solo nel subdomain cdn (grazie all’hint su Twitter di @sectctf!). Quindi scriviamo questa url: cdn.alieni.se/static/admin_current.zip e scarichiamo il file zip.

Nello zip c’è tutto il backup del sito di admin, con due files interessanti: creator.py e nginx.conf. Nel primo possiamo trovare questa funzione:

Copy to Clipboard

che significa che l’output della pagina index è la flag. Ma come raggiungere quella directory? Apriamo il file config.py e vediamo che questi file sono della “applicazione” admin che è nella porta 81:

Copy to Clipboard

quindi la flag è stampata solo se raggiungiamo l’homepage di admin! Ma come? Apriamo il file nginx.conf per ispezionarlo:

Copy to Clipboard

Come possiamo vedere il server ritorna l’errore 403 se l’url è “admin.alieni.se” e l’indirizzo ip non è “10.1.33.7”. Ma osserviamo attentamente la prima condizione:

Copy to Clipboard

possiamo vedere che c’è una comparazione “stretta”, quindi cosa succede se noi inseriamo “Admin.alieni.se” o “aDmin.alieni.se”? Proviamo a modificare il campo host in Burp, il parametro dell’url e la porta e poi eseguiamo la richiesta:

Qui c’è un libro interessante per la sicurezza web: https://amzn.to/2OmkBMU

Recent Tweets

For privacy reasons Twitter needs your permission to be loaded.
I Accept