Day 0x11 Natas Level 15 → Level 16 - iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

2023 iThome 鐵人賽

DAY 17

0

Security

Natas 網頁安全：從入門到放棄系列第 17 篇

Day 0x11 Natas Level 15 → Level 16

15th鐵人賽 web security natas

團隊好想放假大學

2023-10-02 23:09:43

317 瀏覽

分享至

Natas Level 15 → Level 16

Info

Username: natas16
Password: 從上關獲取
URL: http://natas16.natas.labs.overthewire.org

Walkthrough

存取網頁後使用帳號和上關獲取的密碼登入，發現類似 Day 0x0A Natas Level 8 → Level 9 和 Day 0x0B Natas Level 9 → Level 10 的頁面，但描述改成「因為安全問題，現在已過濾更多字元」
點擊 View sourcecode 超連結查看後端 PHP 程式碼
分析程式碼邏輯後畫成流程圖如下，主要區別是特殊字元的黑名單檢查更多，包含 ;|&`\'"
嘗試搜尋任意字，例如 duck，發現找到多筆匹配，再根據結果改成搜尋 ducks 則只有一筆符合
利用黑名單中不包含的 $(command) 構造 Payload ducks$(grep ^a /etc/natas_webpass/natas17)，代表以 a 開頭的字串是否存在於下關密碼中，若存在則執行 grep –i "ducksa" dictionary.txt 導致回顯為空；若不存在則執行 grep –i "ducks" dictionary.txt 則回顯只包含 ducks 字串
透過上述資訊撰寫 Python 腳本枚舉下題的登入密碼，在只有一筆符合條件的前提下，目標單字根據喜好選用即可

Note

如上所述，此題類似 Day 0x0A Natas Level 8 → Level 9 和 Day 0x0B Natas Level 9 → Level 10，雖然增加黑名單的條件，但仍存在繞過方法，因此建立白名單才是最優解

Summary

相關弱點：
- CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')
弱點原因：
- 網站未經驗證就將使用者輸入當作指令的一部分來執行
修補建議：
- 謹慎評估是否真的需要將使用者輸入併進指令中，如果可以最好停用此方案，否則建議制定白名單嚴格過濾使用者輸入，並尋找可行的 API 等替代手段；並建議立即更換密碼，以減少資訊洩漏的風險

Reference

Day 0x10 Natas Level 14 → Level 15

Day 0x12 Natas Level 16 → Level 17

系列文

Natas 網頁安全：從入門到放棄共 35 篇

目錄

RSS系列文訂閱系列文

9 人訂閱

完整目錄

直播研討會

{{ item.subject }}

{{ item.channelVendor }} {{ item.webinarstarted }} |

{{ formatDate(item.duration) }}

直播中

尚未有邦友留言

立即登入留言

參賽組數

1064 組

團體組數

40 組

累計文章數

22053 篇

完賽人數

594 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙