{"id":401,"date":"2015-08-02T00:12:37","date_gmt":"2015-08-01T22:12:37","guid":{"rendered":"https:\/\/0x90r00t.com\/?p=401"},"modified":"2015-08-02T00:26:20","modified_gmt":"2015-08-01T22:26:20","slug":"cybercamp-2015-web-17-write-up","status":"publish","type":"post","link":"https:\/\/0x90r00t.com\/fr\/2015\/08\/02\/cybercamp-2015-web-17-write-up\/","title":{"rendered":"[Cybercamp 2015] [Web 17 – Url Thumbs] Write Up"},"content":{"rendered":"

Sur la page d’accueil, nous retrouvons ce qui semble \u00eatre un g\u00e9n\u00e9rateur de vignette de site web.
\nIl y a un champ de formulaire nous proposant de rentrer l’url de notre choix.<\/p>\n

1er test bidon, on essaye de mettre l’url de google, sur la page suivante on mange une erreur, que s’est-il pass\u00e9 ?<\/p>\n

Test suivant, on tente de charger une url dont nous pouvons consulter les journaux d’acc\u00e8s, et rien, aucune connexion. L’outil de g\u00e9n\u00e9ration de vignette n’a m\u00eame pas tent\u00e9 d’analyser notre page, cela nous a ammen\u00e9 \u00e0 la conclusion que c’\u00e9tait une url locale qu’il fallait charger car le firewall devait bloquer les connexions ext\u00e9rieures.<\/p>\n

On continue les tests avec un joli http:\/\/localhost, http:\/\/localhost:8097, http:\/\/127.0.0.1 … L’outil nous dit que ces urls ne sont pas autoris\u00e9es. Est-ce que nous-nous raprocherions pas de quelque chose d’int\u00e9ressant ?<\/p>\n


\nSachant que 127.0.0.1 est filtr\u00e9, on tente donc 127.0.0.2:8097 et la ohhh, une vignette est enfin affich\u00e9e avec la page de saisie de l’url des thumbs.
\nComment exploiter ceci, sachant qu’au final nous avons seulement r\u00e9ussi \u00e0 avoir une vignette d’une page dont nous avions d\u00e9j\u00e0 acc\u00e8s. Quelles pages pourraient \u00eatre accessibles que par une adresse ip locale ?
\nComme nous savons que le serveur http tourne sous apache, un peu de documentation nous informe qu’une page de diagnostic d’\u00e9tat du serveur existe et est accessible par d\u00e9faut qu’\u00e0 partir de localhost, la page \/server-status.<\/p>\n

Tentons donc l’url http:\/\/127.0.0.2:8097\/server-status\/ avec notre superbe outil de g\u00e9n\u00e9ration de vignette… Ca marche ! Mais pas de flag dedans \ud83d\ude41
\n\"server-status\"<\/a>
\nSur la vignette g\u00e9n\u00e9r\u00e9e, nous voyons un tat de requ\u00eates OPTIONS en provenance de 127.0.0.1:8101, on va alors essayer d’avoir une vignette de ce qu’il se passe sur ce port en utilisant l’url http:\/\/127.0.0.2:8101.<\/p>\n

\"flag\"<\/a>
\nGagn\u00e9 !<\/p>\n

 <\/p>\n","protected":false},"excerpt":{"rendered":"

Sur la page d’accueil, nous retrouvons ce qui semble \u00eatre un g\u00e9n\u00e9rateur de vignette de site web. Il y a un champ de formulaire nous proposant de rentrer l’url de notre choix. 1er test bidon, on essaye de mettre l’url de google, sur la page suivante on mange une erreur, que s’est-il pass\u00e9 ? Test … Continuer la lecture de [Cybercamp 2015] [Web 17 – Url Thumbs] Write Up<\/span> →<\/span><\/a><\/p>\n","protected":false},"author":9,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[34,35,36],"tags":[],"class_list":["post-401","post","type-post","status-publish","format-standard","hentry","category-2015-fr","category-ctf-fr","category-cybercamp-fr"],"_links":{"self":[{"href":"https:\/\/0x90r00t.com\/fr\/wp-json\/wp\/v2\/posts\/401","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/0x90r00t.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/0x90r00t.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/0x90r00t.com\/fr\/wp-json\/wp\/v2\/users\/9"}],"replies":[{"embeddable":true,"href":"https:\/\/0x90r00t.com\/fr\/wp-json\/wp\/v2\/comments?post=401"}],"version-history":[{"count":5,"href":"https:\/\/0x90r00t.com\/fr\/wp-json\/wp\/v2\/posts\/401\/revisions"}],"predecessor-version":[{"id":628,"href":"https:\/\/0x90r00t.com\/fr\/wp-json\/wp\/v2\/posts\/401\/revisions\/628"}],"wp:attachment":[{"href":"https:\/\/0x90r00t.com\/fr\/wp-json\/wp\/v2\/media?parent=401"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/0x90r00t.com\/fr\/wp-json\/wp\/v2\/categories?post=401"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/0x90r00t.com\/fr\/wp-json\/wp\/v2\/tags?post=401"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}