• Natas Level 27 → Level 28

Info

• Username: natas28
• Password: 從上關獲取
• URL: http://natas28.natas.labs.overthewire.org

Walkthrough

• 存取網頁後使用帳號和上關獲取的密碼登入，存在一個搜尋框和按鈕，並有描述寫是笑話「資料庫」，但並沒有 sourcecode 超連結可以查看後端程式碼
  • 
• 嘗試輸入 A 提交和重新整理，發現每次都會隨機顯示三則笑話，且上方有看似亂碼的長字串，猜測是透過 LIMIT 限制至多三筆資料
  • 
  • 
• 將 ?query= 後面的字串清空，得到錯誤訊息 "Zero padding found instead of PKCS#7 padding"，猜測是區塊加密法
  • 
• 透過 CyberChef 解碼，發現若每次 query 輸入不變則結果相同但不可讀
  • 
• 使用 Python 自行撰寫腳本枚舉不同長度 A 的輸入
  • 
• 觀察結果發現每 16 次會增加 32 hex 的相同字串，且有多組重複區塊，因此猜測是 ECB mode 且區塊大小為 32 hex = 16 bytes；而輸入 AAAAAAAAAAA (11 個 A) 時會產生新的區塊，得知 padding 長度為 10 bytes
  • 
  • 
• 經過測試後發現輸入 AAAAAAAAAA' (10 個 A) 同樣為 5f22a727f625419a466f9af53891f9b2，而 AAAAAAAAA' (9 個 A) 為 16276a702e32b177475d890ddad5ce65，因此猜測網站有轉譯特殊字元成 \'，導致 AAAAAAAAAA\ (10 個 A) 將 ' 擠到下一個區塊
• 可參考 Day 0x02 Natas Level 0 → Level 1 的方法，透過 Burp Suite 的 Proxy 攔截封包並 Send to Repeater，獲取 AAAAAAAAAA (10 個 A) 密文，並使用 CyberChef 獲取第三個區塊 (使用者輸入開頭) 的結果
  • 
  • 
• 構造 Payload AAAAAAAAA' UNION SELECT password FROM users # 和 CyberChef 獲得密文
  • 
  • 
• 再使用 CyberChef 替換 AAAAAAAAA\ (9 個 A) 成 AAAAAAAAAA (10 個 A) 的密文
  • 
• 將結果放進 URL 中的 query 並提交，成功獲得下題的登入密碼
  • 

Note

• 如果想理解細節可以參考 Breaking ECB Crypto (No programming) - Natas 28 Walkthrough - Overthewire.org，這是我覺得分析最好、最完整的 Write-up，過程中使用 Burp Suite 和 CyberChef 替代自行撰寫腳本
• 密碼學真難，但我覺得要觀察到弱點是 ECB + SQLi 更難 🫠 通靈能力 經驗不夠要再加油

Summary

• 相關弱點：
  • CWE-327: Use of a Broken or Risky Cryptographic Algorithm
  • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
• 弱點原因：
  • 將使用者輸入轉譯後以字串串接的方式動態生成 SQL 查詢語句，並透過 ECB mode 的區塊加密將結果放在 URL 回傳給使用者，導致使用者可繞過轉譯獲取資料庫中的敏感資訊
• 修補建議：
  • 取消回傳錯誤訊息，避免洩漏可用資訊給攻擊者，同時停用不安全的區塊加密法工作模式，如果評估可行的話，改採用參數化查詢的方式預先構建 SQL 語句，另建議立即更換密碼，以減少資訊洩漏的風險

Reference

• PKCS 7 - Wikipedia
• 區塊加密法工作模式 - 電子密碼本（ECB）