• Natas Level 23 → Level 24

Info

• Username: natas24
• Password: 從上關獲取
• URL: http://natas24.natas.labs.overthewire.org

Walkthrough

• 存取網頁後使用帳號和上關獲取的密碼登入，和 Day 0x18 Natas Level 22 → Level 23 一樣有密碼輸入框
  • 
• 點擊 View sourcecode 超連結查看後端 PHP 程式碼
  • 
• 分析程式碼邏輯後畫成流程圖如下，透過 strcmp() 驗證密碼，相等時回傳 0 代表通過
  • 
• 嘗試輸入 passwd[]，包含 passwd 通過第一個 if，再透過 [] 代表 array() 使 strcmp() 觸發非預期行為回傳 0，成功獲得下題的登入密碼
  • 

Note

• PHP Manual 底下的 User Contributed Notes 就有多則關於回傳值問題，例如 "If you rely on strcmp for safe string comparisons, both parameters must be strings, the result is otherwise extremely unpredictable." 已提醒需要兩個參數都是 strings 型態；另外底下 "you never need to use array as a parameter in string comparisions." 描述 5.2 和 5.3 間對於輸入是 array() 的差異，若同 Day 0x18 Natas Level 22 → Level 23 猜測 natas24 是 PHP Version 7.4.33，透過線上 Sandbox 發現 5.3.0 和 7.4.33 都是回傳 0 和 Warning (警告而不是錯誤)
• 開發者需要清楚知道所用函式的定義、回傳等細節，或者更換已廢棄或停用的 API (例如 MySQL Functions)，否則不當使用反而可能導致弱點發生

Summary

• 相關弱點：
  • CWE-676: Use of Potentially Dangerous Function
• 弱點原因：
  • 透過 strcmp() 在 5.3.x 到 7.x 間，若參數為陣列導致非預期的回傳值，使攻擊者可繞過身份驗證，獲取權限閱覽敏感資訊
• 修補建議：
  • 更換其它較安全的認證方式和 API，且針對使用者輸入的長度、型態、特殊字元等過濾及轉譯，並建議立即更換密碼，以減少資訊洩漏的風險

Reference

• strcmp()
• code2flow - online interactive code to flowchart converter
• PHP Sandbox - Execute PHP code online through your browser