WeChall - Fix Us

Challenge

Fix Us (Exploit, PHP)

Your mission is now to maintain access to the solution boards for the Z challenges. Your plan is to gather information about the challenge solutions and gain more points on WeChall.net. Because Z is a naive, click-before-think guy, he clicks on every link you send him. Your plan is to send Z a malicious, but innocent looking link, and once he logs in WeChall, you will be able to login in the credentials of Z - and read the solution boards as well. Gizmore did a good job against XSS and CSRF, so you have to find another flaw to log in. After examining the WeChall source code, you found a hidden login page for the Z solution boards.

Analysis

攻击面

挑战提供三个入口: 1. login.php — 隐藏的 Z solution boards 登录表单(字段:zusername + zuserp) 2. forum.php — 秘密论坛,需要 Z 权限才能访问 3. "Send a link to Z" — 向 Z 发送恶意链接

登录验证使用 WeChall 主站数据库(论坛 hint 证实:"To use the login form, simply use your real wechall username/password."),所以 Z 的 fixus 密码就是他的 WeChall 密码。

攻击链(理论)

  1. 搭建一个 HTTP endpoint(VPS、Cloudflare Tunnel 等)
  2. 通过 "Send a link to Z" 给 Z 发送恶意链接
  3. Z 的 bot 点击链接,访问 endpoint
  4. 捕获 Z 的请求(HTTP headers、cookie、Authorization 等)
  5. 用 Z 的身份登录 fixus → 获取 secret forum 内容 → 拿到 flag

关键线索

论坛 hint 帖(forum-t223)给出以下信息: - "Check the Links, Tutorials..." — Z 在 tutorials 区发过一个链接,内容与本挑战相关 - "It's neither a bee nor a hornet" — 排除 BeEF(#58),不是 XSS 框架攻击 - "it might work with the data in URLs, but does not work sent in the http headers" — fixus 登录接受 GET 参数(原为 bug),但预期攻击方式是通过 HTTP headers - "The challenge might be currently a bit buggy" — 挑战可能有 bug,Z bot 可能不正常

阻塞原因

Z bot 不可用(疑似损坏)。用 Cloudflare Tunnel 建立了公开 HTTP endpoint,发送了多个不同格式的链接给 Z,没有任何请求到达。挑战论坛的最后一个 hint 帖(2015年)已指出挑战可能有 bug。

结论

挑战依赖 Z bot 的外部交互,该 bot 目前停用。留待 Z bot 修复后再尝试。

解题历史

查看 challenge solvers 页面,Fix Us 的解题时间线如下:

  • 2009-03-25: gizmore (创建者)
  • 2009-03-27 ~ 2012-03-25: 陆续 91 人解出
  • 2012-03-25: 最后一人解出
  • 2012-03-25 ~ 至今 (14年+): 零人解题

92 人的总解题数自 2012 年起从未增长。bot 早在 14 年前就已失效,挑战在当前状态下不可解。

参考

  • https://www.wechall.net/en/challenge/fixus/index.php
  • https://www.wechall.net/forum-t223/Just_a_hint.html