Do thử thách này hơi nhiều nên mình sẽ chia làm 3 phần để bạn tiện theo dõi và cũng đọc cho đỡ chán hơn nhé.

Mình sẽ đi thẳng vào phần thực hành và bỏ qua các kiến thức kỹ thuật. Nếu bạn muốn tìm hiểu kiến thức hay cách hoạt động của lỗ hổng đó thì có thể vào phòng để đọc nha. Và lưu ý, những trang web mình truy cập trong bài viết này là máy chủ ảo của Tryhackme.

TryHackMe: Thử thách OWASP Top 10 Phần 1

Nhiệm vụ 5: [Mức độ nghiêm trọng 1]  Command Injection

 Active Command Injection là gì?

Tiêm lệnh mù (Blind command injection) xảy ra khi lệnh hệ thống được thực hiện cho máy chủ không trả lại phản hồi cho người dùng trong tài liệu HTML. Còn ACI (Active command injection) sẽ trả lại phản hồi cho người dùng. Nó có thể được hiển thị thông qua một số phần tử HTML.

Xem script sau: EvilCorp bắt đầu phát triển trên nền tảng web nhưng đã vô tình tiếp xúc với Internet. Nó chưa hoàn thành nhưng vẫn chứa lỗ hổng chèn lệnh. Nhưng lần này, phản hồi từ lệnh gọi hệ thống có thể được nhìn thấy trên trang web.

Đọc code mẫu từ evilhell.php và xem nó đang làm gì và lý do tại sao nó lại bị ACI. Mình sẽ để code mẫu ở dưới.

EvilShell (evilshell.php)

Phân tích chương trình:

1. Kiểm tra xem tham số “commandString” đã được khai báo chưa.
2. Nếu đúng như vậy, thì biến $command_string lấy những gì đã được chuyển vào trường đầu vào.
3. Sau đó, chương trình đi vào một khối lệnh try để thực thi hàm passthru($command_string). Bạn có thể đọc tài liệu về hàm passthru() trên trang web của PHP, nhưng nói chung, nó sẽ thực thi những gì được nhập vào trường đầu vào, sau đó chuyển đầu ra trực tiếp trở lại trình duyệt.
4. Nếu không thành công, nó sẽ báo lỗi. Nói chung, thì nó cũng không xuất ra cái gì đâu vì bạn không thể xuất ra stderr.

Các cách phát hiện Active Command Injection

ACI xảy ra khi bạn có thể thấy phản hồi từ lệnh gọi của hệ thống (system call). Trong đoạn code trên, hàm passthru() chuyển phản hồi trực tiếp đến tài liệu để bạn có thể thấy. Lệnh này sẽ giúp bạn dễ dàng xem và phân tích các lỗi của hệ thống.

Các lệnh có thể thử

Linux

• whoami
• id
• ifconfig/ip addr
• uname -a
• ps -ef

Windows

• whoami
• ver
• ipconfig
• tasklist
• nestat -an

Để trả lời những câu hỏi bên dưới thì bạn cần điều hướng đến http://10.10.147.50/evilshell.php.

# 1 Tập tin văn bản lạ nào nằm trong thư mục root của trang web?

Chúng ta có thể truy cập evilhell.php và thử lệnh whoami.

Thử tiếp lệnh uname -a.

Tiếp tục thử lệnh ls.

Các bạn thấy gì không? Mình tìm được file drpepper.txt.

#2 Có bao nhiêu người dùng không phải root/non-service/non-daemon?

Bạn có thể thử lệnh cat /etc/passwd

Không tìm được gì cả.

#3 Ứng dụng này đang chạy với tư cách người dùng nào?

Chúng tôi đã tìm thấy nó ở tầng trên, nhưng chúng ta hãy viết lại lệnh whoami.

Đáp án: www-data

#4 Shell của người dùng?

Chúng ta có thể tìm thấy nó bằng lệnh cat /etc/passwd.

Đáp án: usr/sbin/nologin

#5 Phiên bản Ubuntu đang chạy?

Như ảnh trên, các bạn chỉ cần nhập lệnh lsb_release -a để biết phiên bản Ubuntu ứng dụng đang chạy.

Đáp án: 18.04.4

#6 Xem MOTD

Chỉ cần tìm kiếm một chút trên internet là bạn sẽ biết lệnh hiển thị MOTD. MOTD (Message Of The Day) là đoạn tin nhắn khi bạn khởi động một ứng dụng trong terminal.

Đường dẫn của file MOTD là  /etc/update-motd.d. Mình đã làm thử, nhưng không có gì cả. Bí quá nên quyết định quay lại xem gợi ý :v.

cat /etc/update-motd.d/00-header

Thành công!

Đáp án: DR PEPPER

Nhiệm vụ 7: [Mức độ nghiêm trọng 2] Broken Authentication

Đối với lỗ hổng này, chúng ta sẽ nghiên cứu một lỗ hổng logic trong cơ chế xác thực.

Các nhà phát triển thường quên lọc đầu vào (tên người dùng và mật khẩu) do người dùng cung cấp trong ứng dụng của họ, điều này có thể khiến ứng dụng dễ bị tấn công SQL injection. Và chúng ta sẽ tập trung vào một lỗ hổng bảo mật xảy ra do lỗi của nhà phát triển nhưng rất dễ bị khai thác – đăng ký lại người dùng hiện có.

Ví dụ, giả sử có một người dùng hiện có với tên admin và bây giờ chúng ta muốn có quyền truy cập vào tài khoản đó, vì vậy những gì chúng ta có thể làm là cố gắng đăng ký lại tên người dùng đó nhưng có sửa đổi lại một chút. Chúng ta sẽ nhập “ admin” (lưu ý khoảng trống ở đầu). Bây giờ khi bạn nhập thông tin đó vào trường username và nhập các thông tin cần thiết khác như email hoặc mật khẩu và gửi dữ liệu đó. Nó sẽ đăng ký một người dùng mới nhưng người dùng đó sẽ có quyền giống như quản trị viên bình thường. Người dùng mới đó cũng sẽ có thể xem tất cả nội dung được trình bày dưới quyền quản trị viên người dùng.

Để xem demo, hãy truy cập trang web http://10.10.147.50:8888 và thử đăng ký username, bạn sẽ thấy người dùng đó đã tồn tại, vì vậy hãy thử đăng ký một người dùng “ darren” và bạn sẽ thấy rằng mình hiện đã đăng nhập và sẽ có thể xem nội dung chỉ có trong tài khoản của Darren, và đây là lúc chúng ta khai thác lỗ hổng này.

# 1 Flag mà bạn tìm thấy trong tài khoản của darren là gì?

Truy cập trang web http://10.10.147.50:8888.

 

 

Mình đang cố gắng đăng ký với tư cách là darren.

Áp dụng lý thuyết ở trên.

 

Mình để một khoảng trắng ở trước từ darren.

Mình đang đăng nhập với tư cách là thành viên. Thành công rồi nè!

Chúng ta đã tìm ra được flag.

Đáp án: fe86079416a21a3c99937fea8874b667

#2 Bây giờ hãy thử thực hiện thủ thuật tương tự và xem liệu bạn có thể đăng nhập bằng tài khoản arthur hay không.

# 3 Flag mà bạn tìm thấy trong tài khoản của arthur là gì?

Đáp án: d9ac0f7db4fda460ac3edeb75d75e16e

Hoàn thành 2 lỗi phổ biến trong OWASP 10 là Broken Authentication và Command Injection.

Phần tiếp theo vẫn sẽ là khai thác các lỗi khác trong OWASP 10 nữa nhé.

Câu hỏi thường gặp

OWASP Top 10 trên TryHackMe là gì?

Thử thách OWASP Top 10 trên TryHackMe là một môi trường học tập thực hành cho phép bạn khám phá và khai thác 10 lỗ hổng bảo mật web quan trọng nhất, dựa trên danh sách OWASP Top 10.

Tôi có cần kiến thức kỹ thuật sâu rộng để tham gia thử thách này không?

Không cần thiết. Bài viết hướng dẫn tập trung vào thực hành, bạn có thể tìm hiểu thêm kiến thức kỹ thuật trong phòng học TryHackMe nếu cần.

Tôi có thể tìm thấy câu trả lời cho các câu hỏi trong bài viết ở đâu?

Bạn cần truy cập vào địa chỉ http://10.10.147.50/evilshell.php và sử dụng các lệnh được đề cập trong bài viết để tìm ra câu trả lời.

Cốt truyện Game Thử Thách 14 tỷ

Theo nội dung Game, sau khi Download Thử thách 14 tỷ, người chơi sẽ hóa thân thành chú hề tốt bụng, hài hước đi nhặt tiền, quyên góp tiền để cứu trợ bà con miền Trung gặp khó khăn. Khi vào vai nhân vật chú hề, bạn sẽ dùng 4 nút giả lập để joystick để di chuyển nhân vật qua trái, phải lên, xuống và nhặt những cọc tiền, tờ tiền rơi rải rác ở khắp nơi.

Game được thiết kế theo dạng 2D với thao tác chơi khá đơn giản với lối chơi điển hình và dễ làm quen. Tuy nhiên cách chơi cực kỳ khó nhai, vì sau mỗi lần ăn thêm tiền 1 bóng đen mới sẽ xuất hiện và nhại lại các thao tác của nhân vật chính. Nếu bạn chạm vào bóng đen trò chơi sẽ kết thúc.

Khi số tiền lên cao, một “bóng ma lương tâm” rất giống với nhân vật chính (danh hài) xuất hiện và tham gia vào trò đuổi bắt. Mục tiêu cuối cùng của trò chơi này là quyên góp đủ số tiền 14 tỷ. Điều đặc biệt là nhân vật bóng ma lương tâm trong Game được thiết kế khá giống danh hài Hoài Linh. Do đó nhiều người chơi chưa biết tác giả có hàm ý gì? Bạn đã thử chơi trò chơi này chưa?

Download Game Thử thách 14 tỷ

Sau khi ra mắt vào ngày 24/6/2021, Thử thách 14 tỷ đã có trên 1000 lượt tải về và được đánh giá 4,7*.

Hiện nay Tải Game Thử thách 14 tỷ chỉ mới hỗ trợ tải trên Google Play Store của hệ điều hành Android. Bạn có thể tải về trực tiếp trên điện thoại Android để chơi. Hy vọng trong thời gian tới tác giả sẽ phát triển thêm trên iOS, số đông người dùng iPhone rất muốn tải Game Thử thách 14 tỷ nhưng chưa có trên Appstore.

Nếu bạn dùng Windows, có thể cài các phần mềm giả lập Android, sau đó tải Thử thách 14 tỷ để chơi trên máy tính.

Có thể nói đây là game mang tính giả trí và cà khịa cực cao. Bạn nên chơi cùng bạn bè hoặc gia đình để xem ai nhặt được tiền nhiều hơn nhé. Nhớ đừng để bóng ma lương tâm ám mà “ngâm 14 tỷ chờ nhắc mới nhả” nha.

Câu hỏi thường gặp

Game Thử thách 14 tỷ chơi như thế nào?

Bạn sẽ điều khiển một chú hề nhặt tiền để quyên góp. Trò chơi sử dụng 4 nút điều khiển để di chuyển và thu thập tiền. Tuy nhiên, sẽ có bóng đen xuất hiện và bắt chước bạn, chạm vào bóng đen là thua cuộc.

Game có hỗ trợ hệ điều hành iOS không?

Hiện tại, game chỉ hỗ trợ trên Android (Google Play Store). Nhà phát triển chưa công bố kế hoạch hỗ trợ iOS.

Tôi dùng máy tính Windows, có chơi được không?

Có thể chơi trên máy tính Windows bằng cách sử dụng phần mềm giả lập Android.