• Natas Level 8 → Level 9

Info

• Username: natas9
• Password: 從上關獲取
• URL: http://natas9.natas.labs.overthewire.org

Walkthrough

• 存取網頁後使用帳號和上關獲取的密碼登入，看到 Find words containing 輸入框和 Search 按鈕，底下 Output 則是空的
  • 
• 點擊 View sourcecode 超連結查看後端 PHP 程式碼
  • 
• 分析程式碼邏輯後畫成流程圖如下，使用 GET 或 POST 等方式提交 needle=<使用者輸入>，會將串接進指令執行
  • 
• 例如在網址輸入 ?needle=CHA 或是框中輸入 CHA，網站後端會執行 grep -i CHA dictionary.txt 並將結果回顯於網頁
  • 
• 對於 grep 不熟的話，可以試著在本地練習看看，先創建自訂的 dictionary.txt 再構造出同樣的指令，發現不論大小寫 (-i)，會將 dictionary.txt 中包含關鍵字 CHA 的對應行打印在終端機中
  • 
• 在已知敏感檔案路徑的情況下，透過 ; 截斷前後指令，構造出 ;cat /etc/natas_webpass/natas10; 的輸入
  • 
• 任選 GET 或 POST 的方式提交，成功獲得下題的登入密碼
  • 

Note

• 允許透過使用者未經驗證的輸入來執行任意指令，通常會嚴重影響產品的機密性、完整性與可用性，讓攻擊者可完全控制受影響的機器，進而任意讀取、修改資料或停用服務等
• 通常改用 API 來實作所需的功能，且對使用者輸入進行白名單過濾

Summary

• 相關弱點：
  • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')
• 弱點原因：
  • 網站未經驗證就將使用者輸入當作指令的一部分來執行
• 修補建議：
  • 謹慎評估是否真的需要將使用者輸入併進指令中，如果可以最好停用此方案，否則建議制定白名單嚴格過濾使用者輸入，並尋找可行的 API 等替代手段；並建議立即更換密碼，以減少資訊洩漏的風險

Reference

• $_REQUEST
• passthru()
• 3.2.4 Lists of Commands
• grep(1) — Arch manual pages
• OS command injection - PortSwigger
• Command Injection | OWASP Foundation
• code2flow - online interactive code to flowchart converter