• Natas Level 6 → Level 7

Info

• Username: natas7
• Password: 從上關獲取
• URL: http://natas7.natas.labs.overthewire.org

Walkthrough

• 存取網頁後使用帳號和上關獲取的密碼登入，看到有 Home 和 About 兩個超連結
  • 
• 右鍵選擇 View Page Source 或 Ctrl + U 來檢視網頁原始碼，發現有提示密碼路徑 (同 Day 0x01 Intro & Natas Level 0 所述)
  • 
• 分別點擊 Home 和 About 超連結，發現上方 URL 會隨之改變，例如 ?page=home
  • 
  • 
• 嘗試將 ?page= 後的字串刪除並發送，結果網頁顯示錯誤訊息，得知以下兩點資訊
  1. 有使用 include() 函式
  2. 網頁實際路徑 /var/www/natas/natas7/index.php
  • 
• 存取密碼檔案 ?page=/etc/natas_webpass/natas8 獲得下題的登入密碼；根據錯誤訊息得知的資訊，也可改用相對路徑 ../ 回到系統根目錄
  • 
  • 

Note

• 允許透過使用者未經驗證的輸入來動態引入檔案，而根據引入檔案對於網站是本地或遠端，又分成 Local File Inclusion、Remote File Inclusion 兩種
  • E.g., /?page=/etc/passwd、/?page=http://google.com
• 因為此關帳號是 natas7，所以可存取 ?page=/etc/natas_webpass/natas7，但 natas9 就會有錯誤訊息顯示 Permission denied
  • 
  • 
• 常見測試 LFI (Local File Inclusion) 的路徑為 /etc/passwd，因為 Linux 系統中幾乎必定存在，且基本上一般使用者皆可讀取，檔案內容的格式可參考 Understanding /etc/passwd File Format
  • 
• 另外也可搭配 PHP 的偽協議取得任意檔案，再透過 CyberChef 等方式解碼，即可了解後端邏輯
  1. ?page=php://filter/convert.base64-encode/resource=/etc/passwd (絕對路徑)
  2. ?page=php://filter/convert.base64-encode/resource=index.php (相對路徑)

  <?
      if(array_key_exists("page", $_GET)) {
          include($_GET["page"]);
      }
  ?>
  

  • 
• 可建立白名單限制使用者輸入，避免引入非預期的檔案，如果確定不需要引入功能，PHP 可透過 allow_url_fopen=Off、allow_url_include=Off 來禁用外部檔案引入

Summary

• 相關弱點：
  • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')
  • CWE-98: Improper Control of Filename for Include/Require Statement in PHP Program ('PHP Remote File Inclusion')
• 弱點原因：
  • 可控制網站後端 PHP 引入的檔案來獲取敏感資料
• 修補建議：
  • 取消將錯誤訊息回傳給用戶端、建立白名單機制過濾使用者輸入，並建議立即更換密碼，以減少資訊洩漏的風險

Reference

• allow_url_include
• Testing for Local File Inclusion
• File Inclusion/Path traversal - HackTricks
• PHP: Supported Protocols and Wrappers - Manual