tnaparserxml
v0.30.2
Published
TNA XML Parser for CTF challenge
Readme
TNA Parser XML Package
Этот пакет создан для CTF задачи. Он эксплуатирует возможность подстановки произвольного npm-пакета через параметр xml_parser в Jenkins.
Как использовать
Вариант 1: Опубликовать в npm
- Изменить имя пакета в
package.jsonна уникальное - Опубликовать:
npm publish - В Jenkins указать
xml_parser=ваше-имя-пакета
Вариант 2: Использовать git repository
- Загрузить пакет в git repository
- В Jenkins указать:
xml_parser=git+https://github.com/user/repo.git
Вариант 3: Использовать file: или относительный путь
Попробовать указать относительный путь (может не сработать из-за sed замены).
Настройка эксплойта
- Откройте
exploit.js - Замените
YOUR_SERVER.comна адрес вашего сервера для получения флага - Или используйте альтернативные методы отправки (DNS, файл и т.д.)
Что делает эксплойт
- Читает файл
flagиз рабочей директории (создается в Jenkinsfile) - Если не найден, читает
/etc/passwdи берет последнюю строку (куда записывается флаг) - Отправляет флаг на указанный сервер через HTTP GET запрос
Альтернативные методы отправки флага
Вместо HTTP можно использовать:
- DNS exfiltration
- Запись в файл, доступный через веб
- Логи (если доступны)
- Email (если настроен)