Day 0x1A Natas Level 24 → Level 25 - iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

2023 iThome 鐵人賽

DAY 26

0

Security

Natas 網頁安全：從入門到放棄系列第 26 篇

Day 0x1A Natas Level 24 → Level 25

15th鐵人賽 web security natas

團隊好想放假大學

2023-10-11 23:20:54

267 瀏覽

分享至

Natas Level 24 → Level 25

Info

Username: natas25
Password: 從上關獲取
URL: http://natas25.natas.labs.overthewire.org

Walkthrough

存取網頁後使用帳號和上關獲取的密碼登入，有一堆字和 language 下拉式選單，選擇 de 會變德文，URL 增加 ?lang=de
點擊 View sourcecode 超連結查看後端 PHP 程式碼
分析程式碼邏輯後畫成流程圖如下，透過 ../ 觸發 safeinclude() 呼叫 logRequest()，串接 HTTP_USER_AGENT 的內容寫入 log 檔案
可參考 Day 0x02 Natas Level 0 → Level 1 的方法，透過 Burp Suite 的 Proxy 開啟 Intercept 攔截
1. URL 的 ..././ 會導致呼叫 logRequest() 並去除 ../
2. logRequest() 寫入 HTTP_USER_AGENT 中的 PHP 腳本
3. 藉由 1. 過濾後的正確路徑，利用 LFI 引入 log 檔案
4. 查看回顯的網頁獲得下題的登入密碼

Note

因為畢竟是 Wargame 練習平台？巧妙地構造出一條神奇利用道路，直接引入 natas_webpass 會 exit()，但網站嘗試以黑名單 ../ 的方式阻止 LFI 卻唯獨沒有提前終止或 return，而且剛好又需要 ../ 才能呼叫 logRequest() 寫入 PHP 腳本
不過只要符合上述的指定道路，Payload 也可以有限度地產生不同變化，例如 ....//、..././logs/natas25_bv8cu7lk6pped9chjf8guj73qh.log 等

Summary

相關弱點：
- CWE-807: Reliance on Untrusted Inputs in a Security Decision
弱點原因：
- 透過未經驗證的 User-Agent 寫入 PHP 腳本，利用 LFI 獲取敏感資訊
修補建議：
- 建立白名單驗證所有使用者輸入，另建議立即更換密碼，以減少資訊洩漏的風險

Reference

Day 0x19 Natas Level 23 → Level 24

Day 0x1B Natas Level 25 → Level 26

系列文

Natas 網頁安全：從入門到放棄共 35 篇

目錄

RSS系列文訂閱系列文

9 人訂閱

完整目錄

直播研討會

{{ item.subject }}

{{ item.channelVendor }} {{ item.webinarstarted }} |

{{ formatDate(item.duration) }}

直播中

尚未有邦友留言

立即登入留言

參賽組數

1064 組

團體組數

40 組

累計文章數

22200 篇

完賽人數

602 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙