• Natas Level 11 → Level 12

Info

• Username: natas12
• Password: 從上關獲取
• URL: http://natas12.natas.labs.overthewire.org

Walkthrough

• 存取網頁後使用帳號和上關獲取的密碼登入，發現有上傳檔案功能，網頁描述要求 JPEG 格式寫最大 1KB
  • 
• 點擊 View sourcecode 超連結查看後端 PHP 程式碼
  • 
• 分析程式碼邏輯後畫成流程圖如下，最初生成亂數檔案名稱並寫入網頁的 input 標籤的 value 中，上傳檔案後會重新生成檔案名稱但保留副檔名，並將檔案位址的超連結回顯於網頁中
  • 
• 構造出 PHP 的 one-liner webshell，用 Ctrl + Shift + i 或 F12 開啟 DevTools，找到包含亂數檔案名稱的 input 標籤，修改成 value=<隨便你>.php 後按下 Upload File 按鈕上傳檔案

  <?php system("cat /etc/natas_webpass/natas13"); ?>
  

  • 
• 看到有成功回顯亂數檔案名稱但副檔名不變的超連結
  • 
• 點擊超連結成功看到下題的登入密碼
  • 

Note

• 完全依靠前端來限制上傳檔案的名稱、副檔名，後端唯一有檢查的是檔案大小，因此攻擊者可以任意修改來繞過阻擋，上傳惡意檔案可能導致攻擊者完全接管網站，達成任意修改、新增、刪除、停用等行為，嚴重影響網站服務品質與承受相關資安風險

Summary

• 相關弱點：
  • CWE-434: Unrestricted Upload of File with Dangerous Type
• 弱點原因：
  • 透過前端調整副檔名，允許使用者上傳惡意檔案
• 修補建議：
  • 由網站建立白名單驗證檔案類型，並重新創建檔案、名稱、副檔名，並建議立即更換密碼，以減少資訊洩漏的風險

Reference

• mt_rand()
• pathinfo()
• move_uploaded_file()
• Upload Insecure Files - PayloadsAllTheThings
• code2flow - online interactive code to flowchart converter
• Carbon | Create and share beautiful images of your source code