WRITE UP : SERI CHALLENGE SECURITY FOUNDATION OF ICS CTF 2024 (PART 2)

Như đã đề cập ở phần trước, ở bài viết này mình sẽ đi tiếp 2 phần còn lại là ICS & Security Basics - Web và ICS & Security Basics - Forensics

ICS & Security Basics - Web

Security liên quan đến web rất dễ tiếp cận và trực quan, tuy nhiên khi đi càng lâu bạn sẽ nhận ra rằng mình lại cần rất rất là nhiều kiến thức liên quan đến mảng này.Ở những challenge lần này, người ra đề sẽ hướng dẫn các bạn các công cụ cơ bản nhất để có thể "mổ xẻ" một trang web.

Challenge 1: View Page Source
Yeah, một cú Ctrl + u và có được Flag, chắc chắn nhiều bạn làm CTF challenge trên các nền tảng như rootme thì đây là một trong những challenge đầu tiên mà các bạn giải được, thao tác này dùng để xem source code của một page, người ra thường rất hay xuyên dấu những thông tin quan trọng lên quan đến challenge trong file css hoặc js, nên hãy dùng Ctrl + u để vào check những file này nhé !

Challenge 2: Sites map

Sitemap, hay còn gọi là sơ đồ trang web, là một tệp tin đặc biệt chứa danh sách các URL (đường dẫn) của trang web và các thông tin liên quan khác. Nó được sử dụng để cung cấp cho các công cụ tìm kiếm như Google,Bing,.. thông tin về cấu trúc và nội dung của trang web, giúp họ dễ dàng thu thập dữ liệu và lập chỉ mục trang web của bạn tốt hơn.
Vậy đường dẫn của sitesmap nằm ở đâu ? Yeah bạn có thể đoán, trong gợi ý họ cũng đã chỉ ra đường dẫn của sitesmap của trang web

Trong trường hợp bạn không để đoán được đường dẫn của sitesmap bằng cách thử những đường dẫn sitesmap hay gặp, bạn có thể dùng các công cụ scan directory để tìm ra các path ẩn của một website bằng việc Bruce force (vét cạn) một wordlists các đường dẫn thường gặp nhất, có một số công cụ hỗ trợ cho việc này như: ffuf, gospider, ... Đây cũng là một trong những bước đầu tiên khi bạn tiến hành kiểm thử một mục tiêu nào đó, đó chính là: Recon (do thám). Ở đây mình có thử fuzzing bằng ffuf

Không những sitemap mà những endpoint ẩn khác cũng được hiện ra

Secret message nằm ở endpoint /user_data

Challenge 3: Manipulate the HTML ?

Ở ô input người ra đề đặt giá trị max của thẻ input là 100, nếu ta nhập một số lớn hơn 100 sẽ bị chặn lại

Tuy nhiên, ta có thể dễ dàng thay đổi giá trị của thẻ input bằng cách nhấp đôi là giá trị max và thay thế bằng bất kỳ giá trị nào mà ta muốn

Vậy là có thể qua màn rồi ! Trick này khá hay, ta có thể dùng nó một lần và để cho các công cụ hỗ trợ kiểm thử như Burp Suite bắt lại gói tin và chỉnh sửa gói tin để gửi đi
Challenge 4: Change cookie

Cookie là những phần dữ liệu được trình duyệt web sử dụng vì nhiều lý do như quản lý phiên, cá nhân hóa và theo dõi.

F12 -> Application -> Cookie -> Change Cookie show_message = true --> secret message appear

ICS & Security Basics - Forensics

Forensics không phải trường phái mình theo đuổi, nhưng hãy làm qua các challenge này để học thêm các kiến thức mới hay và thú vị nhé, kiến thức không bao giờ thừa đâu !

" Máy tính hiện đại sử dụng tệp để lưu trữ, sắp xếp và truy cập dữ liệu. Tuy nhiên, những tập tin này không phải lúc nào cũng giống như vẻ ngoài của chúng; dữ liệu ẩn có thể được nhúng vào các phần của tệp mà người dùng thường không nhìn thấy được. Dữ liệu ẩn này có thể được xác định và trích xuất bằng cách sử dụng dữ liệu pháp y. "

Challenge 1: Detect File Type

Lại dùng trang web cyberchef mình đã giới thiệu lần trước để giải các challenge này

Extension của file là mp3

Challenge 2: String a file

Challenge 3: EXIF
Khi xem một bức ảnh, bạn hay thấy người ta kèm theo các thông tin như thông số phơi sáng, nhãn hiệu máy ảnh, thời gian chụp, GPS ... thông tin này được gọi là dữ liệu EXIF. Ở challenge này hỏi tên của tác giả