Day 0x21 Natas Level 31 → Level 32 - iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

2023 iThome 鐵人賽

0

Security

Natas 網頁安全：從入門到放棄系列第 33 篇

Day 0x21 Natas Level 31 → Level 32

15th鐵人賽 web security natas

團隊好想放假大學

2023-10-18 23:26:30

800 瀏覽

分享至

Natas Level 31 → Level 32

Info

Username: natas32
Password: 從上關獲取
URL: http://natas32.natas.labs.overthewire.org

Walkthrough

存取網頁後使用帳號和上關獲取的密碼登入，功能同 Day 0x20 Natas Level 30 → Level 31，但多了描述 "This time you need to prove that you got code exec. There is a binary in the webroot that you need to execute."，似乎需要執行網頁根目錄的 binary 檔案
點擊 View sourcecode 超連結查看後端 Perl 程式碼，和 Day 0x20 Natas Level 30 → Level 31 相同
分析程式碼邏輯後畫成流程圖如下，同 Day 0x20 Natas Level 30 → Level 31 (廢話XD)
先嘗試看看 Day 0x20 Natas Level 30 → Level 31 的流程，可參考 Day 0x02 Natas Level 0 → Level 1 的方法，透過 Burp Suite 的 Proxy 攔截封包，將 Message Body 新增 ARGV 區塊，並在 URL 指定檔案路徑
查看網頁發現沒有內容
嘗試將 URL 的 Query 改成 ?ls%20.%20|，發現存在 getpassword 檔案
透過 ?file%20getpassword%20| 確定是可執行檔
執行 ?./getpassword%20|，成功獲得下題的登入密碼

Note

基本上同 Day 0x20 Natas Level 30 → Level 31，upload() 接收到特殊字串 ARGV 時會呼叫 open()，而在 Day 0x1E Natas Level 28 → Level 29 已知存在 Command Injection
透過 ?ls%20-l%20/etc/natas_webpass%20| 查看，發現 /etc/natas_webpass/natas33 只有 root 擁有讀寫權，因此直接使用 Day 0x20 Natas Level 30 → Level 31 的方法會因為 natas32 無權限而失效
藉由上述 file 的結果和 ls -l 皆可得知 getpassword 有設定 SUID，而當前使用者 natas32 所在的群組權限具有 x 執行功能，因此執行期間具有擁有者 root 的權限

Summary

相關弱點：
- CWE-250: Execution with Unnecessary Privileges
- CWE-676: Use of Potentially Dangerous Function
弱點原因：
- 透過 upload() 背後實作的漏洞，若輸入為 ARGV 能夠讀取任意檔案、執行任意指令，並由不當的存取管控提升權限，獲取敏感資訊
修補建議：
- 更換其它 API 或程式語言，且針對使用者輸入的長度、型態、特殊字元等過濾及轉譯，並採取存取控管，重新配置適當的檔案權限，另建議立即更換密碼，以減少資訊洩漏的風險

Reference

Day 0x20 Natas Level 30 → Level 31

Day 0x22 Natas Level 32 → Level 33

系列文

Natas 網頁安全：從入門到放棄共 35 篇

目錄

RSS系列文訂閱系列文

9 人訂閱

完整目錄

熱門推薦

{{ item.subject }}

{{ item.channelVendor }} | {{ item.webinarstarted }} |

{{ formatDate(item.duration) }}

直播中

尚未有邦友留言

立即登入留言

參賽組數

902 組

團體組數

37 組

累計文章數

19792 篇

完賽人數

529 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 17th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# linux windows server css react

IT邦幫忙