• Natas Level 18 → Level 19

Info

• Username: natas19
• Password: 從上關獲取
• URL: http://natas19.natas.labs.overthewire.org

Walkthrough

• 存取網頁後使用帳號和上關獲取的密碼登入，同 Day 0x13 Natas Level 17 → Level 18 有帳號密碼輸入框，多了描述表示大部分的程式沒有變，但 "session IDs are no longer sequentials"
  • 
• 沒有 View sourcecode 超連結可以查看後端 PHP 程式碼，用 Ctrl + Shift + i 或 F12 開啟 DevTools，選擇 Storage (Chrome 的在 Application) 查看 Cookies，資料剛開始為空，提交表單後會獲得 PHPSESSID
  • 
  • 
• 再於 DevTools 的 Network 中找到請求，並點擊右鍵選擇 Resend 重送封包，發現 PHPSESSID 似乎會隨機變化
  • 
  • 
• 可參考 Day 0x02 Natas Level 0 → Level 1 的方法，透過 Burp Suite 的 Proxy 攔截封包並 Send to Repeater 進一步分析，不斷重送後注意到後綴 2d61646d696e 保持不變，嘗試將 username 改為 admi，發現後綴改為 2d61646d69 保持不變，若 username 清空則每次都隨機變化
  • 
  • 
  • 
• 透過 CyberChef 發現有自動分析出編碼方式，可知此題只是多加後綴並做 Hex 編碼
  • 
  • 
• 將封包 Send to Intruder，在 Positions 找到 PHPSESSID 選擇 Add §
  • 
• 在 Payloads 的 Payload type 選擇 Numbers，下方 Payload settings 的 Number range 改成 From 0 To 999 (因為前面重送過程中有 17 和 586 才猜測此範圍)，再於 Payload processing 添加後綴 -admin 和 Hex 編碼選項 (注意順序，是先加後綴再整個編碼)
  • 
• 點擊右上方 Start attack 開始枚舉，根據 Length 排序，找到不同的獲得下題的登入密碼
  • 

Note

• 本質上和 Day 0x13 Natas Level 17 → Level 18 相同，但在沒有後端程式碼的情況下，只能透過不斷嘗試和經驗推敲出 Session ID 是否具有規則性
• 同樣也可以自行撰寫腳本枚舉
  • 

Summary

• 相關弱點：
  • CWE-384: Session Fixation
• 弱點原因：
  • 網站根據 Cookie 中可預期的 PHPSESSID 判斷使用者身分，進而擁有權限存取敏感資料
• 修補建議：
  • 取消 debug 參數等開發者的功能，避免洩漏可用資訊給攻擊者，且採用不可預期且不唯一的 Session ID，由 server side 驗證 Cookie 合法與完整性，並限制使用效期來緩解攻擊的利用範圍；另建議立即更換密碼，以減少資訊洩漏的風險

Reference

• Carbon | Create and share beautiful images of your source code