34c3作为ctftime很少见的高权重比赛仍然没让人失望，提供了足够好的题目质量，其中有3题是和xss有关系的，很有趣

这里整理了一下Writeup给大家

几个月前代码审计的时候，翻了翻wordpress的几个插件，因为wordpress的主要功能基本都是后台的，很少有前台能触发的漏洞，也就没看了，后来顺手就把挖到的2个后台漏洞申请了cve，没想到引来两个人讨论…

你觉得，什么样的漏洞才算是漏洞呢？

1
2
3
4
5
6
7

Deserted place

Description 
maybe nothing here 
flag in admin cookie
Now Score 820.35
Team solved 3

出题思路来自于一个比较特别的叫做SOME的攻击方式，全名Same Origin Method Execution，这是一种2015年被人提出来的攻击方式，可以用来执行同源环境下的任意方法，2年前就有人做了分析。

原paper
http://blog.safedog.cn/?p=13
https://lightless.me/archives/same-origin-method-exection.html

题目源码如下
https://github.com/LoRexxar/HCTF2017-Deserted-place

我们一起来研究一下

1
2
3
4
5
6
7

A World Restored
Description:
nothing here or all the here ps:flag in admin cookie 
flag is login as admin
URL http://messbox.2017.hctf.io
Now Score 674.44
Team solved 7

1
2
3
4
5
6
7

A World Restored Again
Description: 
New Challenge !! 
hint: flag only from admin bot
URL http://messbox.2017.hctf.io
Now Score 702.6
Team solved 6

题目源码如下：
https://github.com/LoRexxar/HCTF2017-A-World-Restored

1
2
3
4
5
6
7
8
9
10
11

babycrack

Description 
just babycrack
1.flag.substr(-5,3)=="333"
2.flag.substr(-8,1)=="3"
3.Every word makes sence.
4.sha256(flag)=="d3f154b641251e319855a73b010309a168a12927f3873c97d2e5163ea5cbb443" 

Now Score 302.93
Team solved 45

还是很抱歉题目的验证逻辑还是出现了不可逆推的问题，被迫在比赛中途加入4个hint来修复问题，下面我们来慢慢看看代码。

题目源码如下
https://github.com/LoRexxar/HCTF2017-babycrack

由于最近HCTF2017就要开始了，投入了大量的精力来维护题目和测试平台，无奈刚好错过了HITCON的比赛，赛后花了大量的时间整理writeup，不得不说Orange在Web很多问题的底层溯源上领先了我一大截，下面分享我的writeup。

orange公布的官方writeup

漏洞是鹿师傅挖的，但是被无意中爆了出来…心疼鹿师傅…

原文是我在内部showcase的时候修改而来的，总结了一些这一年接触CSP的很多感想…

文章搞得乱七八糟给大家添麻烦了，干货不多，有需要的人阅读就好了，文章首发在seebug paper上。

0x01 前言

WordPress是一个以PHP和MySQL为平台的自由开源的博客软件和内容管理系统。WordPress具有插件架构和模板系统。Alexa排行前100万的网站中有超过16.7%的网站使用WordPress。到了2011年8月，约22%的新网站采用了WordPress。WordPress是目前因特网上最流行的博客系统。

在zoomeye上可以搜索到的wordpress站点超过500万，毫不夸张的说，每时每刻都有数不清楚的人试图从wordpress上挖掘漏洞…

由于前一段时间一直在对wordpress做代码审计，所以今天就对wordpress做一个比较完整的架构安全分析…

节日快乐！！

8月里阿里先知办了一个xss的挑战赛，可惜全程都刚好属于比较忙的时候，很多题目都是违背基本规则的，要花长时间来搜索尝试…和一个朋友花了一天的时间，也就做出来6、7题，后来就没有提交了…

现在整理所有的Writeup，先膜一发@L3m0n师傅，大部分不会的题目思路都是看了他的Writeup才知道的…下面整理的wp中，我做了的部分会尽量加入我的理解，其他部分基本为lemon师傅的思路.

https://xianzhi.aliyun.com/forum/read/2044.html

2017年8月1日，Discuz!发布了X3.4版本，此次更新中修复了authkey生成算法的安全性漏洞，通过authkey安全性漏洞，我们可以获得authkey。系统中逻辑大量使用authkey以及authcode算法，通过该漏洞可导致一系列安全问题：邮箱校验的hash参数被破解，导致任意用户绑定邮箱可被修改等…
2017年8月22日，360cert团队发布了对该补丁的分析，我们对整个漏洞进行了进一步分析，对漏洞的部分利用方式进行了探究。

这篇文章的原文被我首发在阿里先知社区。

前段时间我阅读了Sucuri Security的brutelogic的一篇博客以及ppt，对xss有了一些新的理解。

在我们真实场景下遇到xss漏洞的时候，我们常常会使用

1

<script>alert(1)</script>

来验证站点是否存在漏洞（PoC），为了不触及敏感信息，我们往往不会深入研究XSS的危害程度，很多人都只知道Cross-Site Scripting（XSS）可以窃取cookie，模拟admin请求，但事实上在复杂环境下，我们可以使用XSS完成复杂的攻击链。

题目说实话是完成了一半，后一半是无意中上车的，有一些迷…关于注入部分是后来才发现的。

这里先按照我的思路来吧

在过去的一段时间里，我对FineCMS公益版进行了一波比较详尽的审计，我们找到了包括SQL注入、php代码执行、反射性XSS、任意url跳转等前台漏洞，其中部分漏洞危害巨大。

CVE-2017-11581
CVE-2017-11582
CVE-2017-11583
CVE-2017-11584
CVE-2017-11585
CVE-2017-11586
CVE-2017-11629

更新至v5.0.11即可修复大部分漏洞

前段时间无意中玩了玩xssgame，应该是最新的xss挑战了吧，最近才有空整理了一下writeup，网上很多搜到的wp说的都不清楚，这里推荐一片wp。

xssgame(需要翻墙)
推荐的wp

somedays ago, we found many vulerablity in FineCMS v5.0.9, contains remote php code execution、some sql injection、URL Redirector Abuse and Cross Site Scripting.

• CVE-2017-11581
• CVE-2017-11582
• CVE-2017-11583
• CVE-2017-11584
• CVE-2017-11585
• CVE-2017-11586

Some Vulnerability for FineCMS through 2017.7.11

CVE ID:

• CVE-2017-11178
• CVE-2017-11200
• CVE-2017-11198
• CVE-2017-11201
• CVE-2017-11202

周末花了一整天的打国赛技能赛的线上赛，去年比赛没能进入线下，当时就是因为感觉选手之间py太严重，今年没想到又遇到了这样的问题，所幸的是，今年运气比较好，做出来的题目比较多，所以py没有太过影响到我们。

下面就奉上web和misc的writeup，就我个人看的话，题目虽然不够新颖，但质量已经算是中上了，所谓的抄袭不知道是不是我见识短浅，就我个人看来都是比较正常的思路，xss可能抄袭了一个sandbox吧，感觉对题目本身没有太大的影响。

WordPress WP Statistics authenticated xss Vulnerability(WP Statistics <=12.0.9)