• Natas Level 10 → Level 11

Info

• Username: natas11
• Password: 從上關獲取
• URL: http://natas11.natas.labs.overthewire.org

Walkthrough

• 存取網頁後使用帳號和上關獲取的密碼登入，有一個可以調背景顏色的輸入框，網頁提示寫 Cookies 用 XOR 加密來保護
  • 
  • 
• 點擊 View sourcecode 超連結查看後端 PHP 程式碼
  • 
• 分析程式碼邏輯後畫成流程圖如下，$defaultdata 內的 showpassword 初始為 "no"，如果經過解碼、解密後 bgcolor 是長度為六的十六進位字串，則根據使用者輸入 (Cookie 可被用戶端修改) 調整 bgcolor 和 showpassword，最後再透過 showpassword 是否為 "yes" 決定是否回顯下關登入密碼
  • I.e., 要透過調整 Cookie 來讓 showpassword 變成 "yes"
  • 
• 用 Ctrl + Shift + i 或 F12 開啟 DevTools，選擇 Storage (Chrome 的在 Application) 查看 Cookies，發現確實存有名為 data 的參數
  • 
• 複製出 data 的值，根據 XOR 的特性 (加解密都用同樣步驟，所以 loadData() 和 saveData() 都呼叫 xor_encrypt())，使用 PHP (看個人習慣，我只是因為網頁有現成的程式碼可以抄) 撰寫腳本來推出金鑰
  1. 已知 pt ^ key = ct、ct ^ key = pt
  2. 將兩個等式做 XOR 得出 ct ^ pt = pt ^ key ^ ct ^ key
  3. 根據交換律得知 1. 的 ct ^ key = pt 可以改寫成 key ^ ct = pt
  4. 根據結合律將 2. 改寫成 ct ^ pt = pt ^ (key ^ ct) ^ key = pt ^ pt ^ key
  5. 根據自反性將 4. 改寫成 ct ^ pt = 0 ^ key = key
  • 
• 再透過 PHP 把想要的明文 showpassword="yes" 使用金鑰 KNHL 做加密
  • 
• 修改 Cookies 中 data 的值
  • 
• 重新整理網頁，成功獲得下題的登入密碼
  • 

Note

• 程式碼變長了～但耐心看其實該做的事情很單純，網站根據不安全的來源 (Cookie) 做不安全的加密 (XOR) 來決定是否顯示敏感資訊 (下題的登入密碼)

Summary

• 相關弱點：
  • CWE-327: Use of a Broken or Risky Cryptographic Algorithm
  • CWE-784: Reliance on Cookies without Validation and Integrity Checking in a Security Decision
• 弱點原因：
  • 根據可被任意修改且未經嚴格驗證及確認完整性的 Cookie 來獲取敏感資訊
• 修補建議：
  • 取消此方式依賴 Cookie 做權限控管，否則對 Cookie 採取保護措施，例如做輸入驗證及完整性檢查，並建議立即更換密碼，以減少資訊洩漏的風險

Reference

• 邏輯互斥或
• code2flow - online interactive code to flowchart converter
• Carbon | Create and share beautiful images of your source code