Enketo 6.2.1 - Auth-Bypass, SSRF et abus de XXE navigateur pour lecture de fichiers

contact@rodolpheg.xyz (0xRo) — Sat, 07 Feb 2026 00:00:00 +0000

Introduction

Article original : OffenSkill - Enketo 6.2.1 - Auth-Bypass, SSRF, and XXE Browser Abuse to File Read

Cette session de formation était axée sur la revue de code en boîte blanche, l’application et l’introspection runtime du système.
Nous voulions travailler sur un framework backend JavaScript et Enketo Express semblait être un bon candidat. Le code source est disponible sur GitHub - enketo/enketo-express et la version que nous avons évaluée était la version 6.2.1, construite avec les Dockerfiles officiels.

Amazon AppSec CTF : PageOneHTML

contact@rodolpheg.xyz (0xRo) — Sun, 21 Sep 2025 00:00:00 +0000

Résumé exécutif

Défi : PageOneHTML
Catégorie : Sécurité Web
Vulnérabilité : Server-Side Request Forgery (SSRF) via le protocole gopher://
Impact : Accès à un endpoint d’API interne menant à la divulgation du flag
Flags :
- Local : HTB{f4k3_fl4g_f0r_t3st1ng}
- Distant : HTB{l1bcurL_pla7h0r4_0f_pr0tocOl5}

Analyse Source-to-Sink

1. Point d’entrée - Entrée utilisateur (Source)

La vulnérabilité commence au endpoint /api/convert qui accepte du contenu markdown contrôlé par l’utilisateur :

// routes/index.js:15-28
router.post('/api/convert', async (req, res) => {
 const { markdown_content, port_images } = req.body; // User input
 
 if (markdown_content) {
 html = MDHelper.makeHtml(markdown_content); // Convert MD to HTML
 if (port_images) { // If port_images is true
 return ImageConverter.PortImages(html) // Process images
 .then(newHTML => res.json({ content: newHTML }))
 .catch(() => res.json({ content: html }));
 }
 return res.json({ content: html });
 }
 return res.status(403).send(response('Missing parameters!'));
});

2. Traitement des images - Confusion de protocole

Le module ImageConverter extrait toutes les balises <img> et traite leurs attributs src :