• Natas Level 29 → Level 30

Info

• Username: natas30
• Password: 從上關獲取
• URL: http://natas30.natas.labs.overthewire.org

Walkthrough

• 存取網頁後使用帳號和上關獲取的密碼登入，存在帳號密碼輸入框
  • 
• 點擊 View sourcecode 超連結查看後端 Perl 程式碼
  • 
• 分析程式碼邏輯後畫成流程圖如下，透過 param() 和 quote() 處理使用者輸入的帳號密碼，再字串串接生成 SQL 查詢語句
  • 
• 可參考 Day 0x02 Natas Level 0 → Level 1 的方法，透過 Burp Suite 的 Proxy 攔截封包，將 Message Body 修改成 username=natas31&password="CHA" or 1=1 &password=4 後送出
  • 
• 查看網頁成功獲得下題的登入密碼
  • 

Note

• 第一個問題是 param() 可以接收多個參數，並會改用 array 回傳

  "If the parameter is multivalued (e.g. from multiple selections in a scrolling list), you can ask to receive an array." - FETCHING THE VALUE OR VALUES OF A SINGLE NAMED PARAMETER

• 第二個問題是 quote() 如果傳入 array 會解析成多個參數，其中第二個參數代表資料型態，i.e., ['"CHA" or 1=1', 4] 因為 4 代表 SQL_INTEGER，導致輸入不會被轉譯成 \"CHA\" or 1=1，影響生成的 SQL 查詢語句
  • 而資料型態 2 ~ 8 都是代表數字，因此第二個 password= 可以從中任選一個

  "If $data_type is supplied, it is used to try to determine the required quoting behaviour by using the information returned by "type_info". As a special case, the standard numeric types are optimized to return $value without calling type_info." - quote

Summary

• 相關弱點：
  • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
  • CWE-1287: Improper Validation of Specified Type of Input
• 弱點原因：
  • 將未經驗證的使用者輸入，以字串串接的方式動態生成 SQL 查詢語句
• 修補建議：
  • 建立白名單驗證使用者輸入的長度、型態等，透過合適的 API 過濾及轉譯特殊字元，且如果評估可行的話，改採用參數化查詢的方式預先構建 SQL 語句，另建議立即更換密碼，以減少資訊洩漏的風險

Reference

• code2flow - online interactive code to flowchart converter
• CGI - Handle Common Gateway Interface requests and responses - Perldoc Browser
• DBI - Database independent interface for Perl - metacpan.org
• Re: SQL data type codes - nntp.perl.org
• sql - Is perl function dbh->quote still secure? - Stack Overflow