2019年4月5日 星期五

【Write-up】4th 讀書會成員招募 Write-up HG 巡禮

這是我們在第四屆讀書會成員招募題目釋出 Write-up


題目列表:

HG 巡禮
Web Naughty!!!
Web 基本題
binary1
misc


HG 巡禮 

  • 到處看看吧,瞭解 HITCON GIRLS 有經營哪些平台,就一邊就可以找到 Flag 囉!
  • 提示:建議你們要紀錄每題獲得的訊息喔!這題的 flag 是 hg_4th{XXXXXXXXXX}
  • (Hint: 本關卡有七個階段,大部分都是翻找,只在特定階段具備基本的程式觀念即可!)
  • (Hint: Flag 不是 hg_4th_nowriteup{XXXXXXXXXX} 喔! XD)
  • (Hint: 我們有官網、Blog、Slideshare、FB粉絲專頁、FB社團、GitHub 跟 Linkenin)

第一階段:

報名表單給一張圖片,檔案名稱是 C 槽路徑加上使用者帳號,圖片則是 Linkedin 的 logo。

這題有兩個解法可以到下一階段,第一種是我們注意到圖片最下方有點不正常,因此用 Hex Fiend 打開圖片,搜尋 HG 可以看到線索「http://girls.hitcon.org/main/page.php?debug=woowooooooo00OOOO8888」
第二種方式是到 Linkedin 搜尋 HITCON GIRLS 帳號,或是使用圖片名稱暗示的使用者名稱https://www.linkedin.com/in/61tc0h9ic15/

第二階段:



我們可以發現這個Linkedin 帳號有一張公開圖片是 HG 官網的截圖


第三階段:

我們到官網試試看獲得的參數,發現其實這個頁面跟參數根本不存在,驗證方式可以帶任意已知不存在參數比較反應,例如 http://girls.hitcon.org/main/123.php、http://girls.hitcon.org/main/123.php?123=123

發現反應都跟 http://girls.hitcon.org/main/page.php?debug=woowooooooo00OOOO8888 一樣

猜測參數跟頁面目前可能用不到,那我們就翻翻官網,看到下面這段線索

hitcon-girls.blogspot.com
hitcon-ctf-2016
slideshare

You will need this in the next step.
d68f0b43acf6d58599009d506a6f9c78/YS4yOTE3NTk3NzQzNjY3MDQ=/164e9a160204b



第四階段:


我們移動到 hitcon-girls.blogspot.com,根據線索,我們找 「2016」「HITCON CTF」


根據線索我們發現較符合的是這篇,中間嵌入了來自 Slideshare 的投影片



因此我們移動到 Slideshare 看看!就在這篇的留言發現線索!


www.facebook.com/HITCONGIRLS/$aa/$bb/$cc
$aa = md5($aa);
$bb = base64_encode($bb);
$cc = dechex($cc);
echo $aa."/".$bb."/".$cc

這個格式跟上階段的提示好像
You will need this in the next step.
d68f0b43acf6d58599009d506a6f9c78/YS4yOTE3NTk3NzQzNjY3MDQ=/164e9a160204b

因此我們做了下列步驟:
d68f0b43acf6d58599009d506a6f9c78 解 MD5 或是搜尋,可以得到 photo
YS4yOTE3NTk3NzQzNjY3MDQ= 做 base64_decode,可以得到 a.291759774366704
164e9a160204b 從 hex 成 dec ,可以得到 392429574299723

最後組成 www.facebook.com/HITCONGIRLS/photos/a.291759774366704/392429574299723/

第五階段:

於是我們到了 FB 粉絲頁過去的貼文,並得到下個階段的線索 https://github.com/hitcon-girls

第六階段:

在 Github 會從 commit log 翻到線索「girls.hitcon.org/main/MD5($debug."hitcongirls")」


第七階段:

咦這個參數我好像看過?就是最一開始沒用到的!!!

並根據 http://girls.hitcon.org/main/page.php?debug=woowooooooo00OOOO8888 的暗示我們知道這是 PHP,$debug 指的就是 woowooooooo00OOOO8888,只要將 woowooooooo00OOOO8888hitcongirls 做 MD5 得到 215ee0090d90bb270dbd67426ccb97e3 


我們就可以在官網 girls.hitcon.org/main/215ee0090d90bb270dbd67426ccb97e3  得到 Flag 了