SocForum, CTF, XXE OOB

Gray

Пролог.

История началась с моей поездки в Москву на это мероприятие. Народу там было около 2к+ человек и в перерывах на кофебрейк приходилось выдыхать, чтобы пройти через толпу оголодевших галстуков. Вот честно, такое ощущение было, что приехали не послушать, а пожрать, простите.. В залах, где вещали спикеры, не было такого ажиотажа, как у столиков с бутербродами и печеньками...

Проходя полосу препядствий, между официантами с подносами, а также набравшими полные тарелки всякой снеди, пиджаками, я вышла в уютный уголок, где стояли столики и была надпись CTF.. Ох я прокляла все на свете, что не взяла свой ноут, а все почему... потому что мак накрылся, а тащить 17" здоровенный агрегат на 1 день...такая себе идея. В общем пришлось стоять в сторонке и кусать локти. Лишь иногда поглядывая на Scoreboard участников..и ждать возвращения домой...

История 1. Начало.

Зарегестрировав команду с одноименным именем, я стала изучать задания.. И решив парочку из forensics, мне захотелось проверить свои навыки в web. Ну и конечно взяла самое дорогое по баллам.. http://92.53.78.249/ <== именно это. Убила на него примерно сутки, с чем и хочу поделиться с Вами...

История 2. FuckMyBrain или XXE

Ощупывала я его со всех сторон, под разными углами и честно говоря, если бы не Betepo_Ok, который прилетел, нашептал мудрую мысль и также быстро улетел, то страдала бы я наверно еще долго... Также хочу еще поблагодарить RB за компанию и A.Gr., за своевременную поддержку ;)

Когда я поняла, что это XXE OOB, встал вопрос о моих познаниях в xml запросах и вообще о парсерах json/xml. Пришлось перелопатить кучу инфы по этим вопросам, чтобы прийти к какому-то общему пониманию.

История 3. Решим уже эту задачку =)