Day 0x11 Natas Level 15 → Level 16

2023 iThome 鐵人賽

DAY 17

Security

15th鐵人賽 web security natas

328 瀏覽

Info

存取網頁後使用帳號和上關獲取的密碼登入，發現類似 Day 0x0A Natas Level 8 → Level 9 和 Day 0x0B Natas Level 9 → Level 10 的頁面，但描述改成「因為安全問題，現在已過濾更多字元」
點擊 View sourcecode 超連結查看後端 PHP 程式碼
分析程式碼邏輯後畫成流程圖如下，主要區別是特殊字元的黑名單檢查更多，包含 ;|&`\'"
嘗試搜尋任意字，例如 duck，發現找到多筆匹配，再根據結果改成搜尋 ducks 則只有一筆符合
利用黑名單中不包含的 $(command) 構造 Payload ducks$(grep ^a /etc/natas_webpass/natas17)，代表以 a 開頭的字串是否存在於下關密碼中，若存在則執行 grep –i "ducksa" dictionary.txt 導致回顯為空；若不存在則執行 grep –i "ducks" dictionary.txt 則回顯只包含 ducks 字串
透過上述資訊撰寫 Python 腳本枚舉下題的登入密碼，在只有一筆符合條件的前提下，目標單字根據喜好選用即可

如上所述，此題類似 Day 0x0A Natas Level 8 → Level 9 和 Day 0x0B Natas Level 9 → Level 10，雖然增加黑名單的條件，但仍存在繞過方法，因此建立白名單才是最優解

相關弱點：
- CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')
弱點原因：
- 網站未經驗證就將使用者輸入當作指令的一部分來執行
修補建議：
- 謹慎評估是否真的需要將使用者輸入併進指令中，如果可以最好停用此方案，否則建議制定白名單嚴格過濾使用者輸入，並尋找可行的 API 等替代手段；並建議立即更換密碼，以減少資訊洩漏的風險