Day 0x19 Natas Level 23 → Level 24 - iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

2023 iThome 鐵人賽

DAY 25

0

Security

Natas 網頁安全：從入門到放棄系列第 25 篇

Day 0x19 Natas Level 23 → Level 24

15th鐵人賽 web security natas

團隊好想放假大學

2023-10-10 21:38:12

283 瀏覽

分享至

Natas Level 23 → Level 24

Info

Username: natas24
Password: 從上關獲取
URL: http://natas24.natas.labs.overthewire.org

Walkthrough

存取網頁後使用帳號和上關獲取的密碼登入，和 Day 0x18 Natas Level 22 → Level 23 一樣有密碼輸入框
點擊 View sourcecode 超連結查看後端 PHP 程式碼
分析程式碼邏輯後畫成流程圖如下，透過 strcmp() 驗證密碼，相等時回傳 0 代表通過
嘗試輸入 passwd[]，包含 passwd 通過第一個 if，再透過 [] 代表 array() 使 strcmp() 觸發非預期行為回傳 0，成功獲得下題的登入密碼

Note

PHP Manual 底下的 User Contributed Notes 就有多則關於回傳值問題，例如 "If you rely on strcmp for safe string comparisons, both parameters must be strings, the result is otherwise extremely unpredictable." 已提醒需要兩個參數都是 strings 型態；另外底下 "you never need to use array as a parameter in string comparisions." 描述 5.2 和 5.3 間對於輸入是 array() 的差異，若同 Day 0x18 Natas Level 22 → Level 23 猜測 natas24 是 PHP Version 7.4.33，透過線上 Sandbox 發現 5.3.0 和 7.4.33 都是回傳 0 和 Warning (警告而不是錯誤)
開發者需要清楚知道所用函式的定義、回傳等細節，或者更換已廢棄或停用的 API (例如 MySQL Functions)，否則不當使用反而可能導致弱點發生

Summary

相關弱點：
- CWE-676: Use of Potentially Dangerous Function
弱點原因：
- 透過 strcmp() 在 5.3.x 到 7.x 間，若參數為陣列導致非預期的回傳值，使攻擊者可繞過身份驗證，獲取權限閱覽敏感資訊
修補建議：
- 更換其它較安全的認證方式和 API，且針對使用者輸入的長度、型態、特殊字元等過濾及轉譯，並建議立即更換密碼，以減少資訊洩漏的風險

Reference

Day 0x18 Natas Level 22 → Level 23

Day 0x1A Natas Level 24 → Level 25

系列文

Natas 網頁安全：從入門到放棄共 35 篇

目錄

RSS系列文訂閱系列文

9 人訂閱

完整目錄

直播研討會

{{ item.subject }}

{{ item.channelVendor }} {{ item.webinarstarted }} |

{{ formatDate(item.duration) }}

直播中

尚未有邦友留言

立即登入留言

參賽組數

1064 組

團體組數

40 組

累計文章數

22200 篇

完賽人數

602 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙