Konu karmaşası olmaması adına tek başlıkta toplayalım dedik.
Çözümler eklendikçe konuya post geçilecektir.
"Propaganda Mail" sorusu
Selamlar,
İnternette bulunan online CTF’ler arasından en beğendiklerimden birisi olan RingZeroTeam CTF’inde bulunan web sorularından “Propaganda Mail” sorusunun çözümünü anlatacağım. Bu soru genel manada RCE ve zayıf filtreleme konularını içermektedir.
Soru Linki ; Propaganda mail 12
Üye olup giriş yapıp soruya gittiğinizde aşağıda ki gibi bir ekranla karşılaşacaksınız.
Burada bulunan “Download Propaganda Package” butonuna basarak kullanılan scripti indirip inceliyoruz.
Bu kodlar incelendiğinde, 11. satırda “Command Execution” zafiyetlerinden çok iyi bildiğimiz “shell_exec” fonksiyonunun kullanıldığını görebiliyoruz.
shell_exec('cd ' . $path . ' && python ' . $module . ' ' . $_REQUEST['target'] . ' 2>&1')
Şimdi bu fonksiyona nasıl erişebiliyoruz, erişebilmek için hangi koşulları sağlamamız gerekiyor onu inceleyelim.
“index.php” dosyasında yapılan işlemler bu şekildeydi. Şimdide son maddede belirttiğimiz “utils” dizininde bulunan python scriptlere bir göz atalım.
“utils” dizininde 3 adet python script bulunuyor ve 3 scriptin içeriği de birebir aynı. Bu scriptler mail göndermiyor sadece kendisine verilen parametreyi alarak, ekrana “Email sent to [TARGET]” şeklinde bir yazı basıyor. Yani bu scriptlerde bizim için önemli bir durum yoktur.
Şimdi biz index.php dosyamızda bulunan shell_exec fonksiyonunu çalıştırmak adına çeşitli sorgular gireceğiz.
Bu sorgularda dikkat etmemiz gereken mevzu ise FILTER_VALIDATE_EMAIL adlı fonksiyon. Bu fonksiyon bizim “boşluk” - “parantez” gibi karakterlerimizi engelliyor, ve girdiğiniz değerin “@xx.com” olarak sonlanıp sonlanmadığını kontrol ediyor. Dolayısıyla girdiğimiz değerleri bu doğrultuda modifiye etmemiz gerekmektedir.
Normal şartlarda shell_exec fonksiyonu kullanılmış olsaydı “$(ls)@test.com” komutunu kullanarak “ls” komutunun çıktısını alabilirdik ama “FILTER_VALIDATE_EMAIL” fonksiyonu gereğince parantezleri kullanamıyoruz. Fakat bu fonksiyon “backtick” özel karakterini filtrelemiyor ve biz komutlarımızı bu karakter vasıtasıyla çalıştırabiliyoruz.
`ls`@test.com payloadını kullanarak “ls” komutunun çıktısını alabiliyoruz.
Şimdi kök dizine inip burada hangi dosyalar olduğuna bakalım. Bu amaçla `ls /`@test.com payloadını giriyoruz.
Fakat gördüğünüz üzere hata ile karşılaşıyoruz. Bunun nedeni yukarıda anlattığımız üzere “boşluk” karakterinin FILTER_VALIDATE_EMAIL fonksiyonu ile engellenmiş olmasıdır.
Bu filtreyi atlatırken de daha önce açtığımız Godaddy Firewall Bypass → RCE Bypass 3 adlı konuda anlattığımız üzere boşluk karakterine alternatif olarak “$IFS” değerini kullanabiliyoruz.
Bu şekilde kök dizinde bulunan dosyaları listeleyebiliyoruz fakat birden fazla dosya bulunmasına rağmen sadece 1 adet dosyayı gösterdi. Bunu atlatmak amacıyla “çift tırnak” karakteri ile komut olarak olarak anlaşılmasını sağlıyoruz ve "`ls$IFS/`"@test.com payloadı ile tam çıktıyı elde ediyoruz.
Bu çıktıda görüldüğü üzere “flag_weak_filter_or_regex.txt” adlı dosya bizim flag değerini içeriyor.
Final payload olarak "`cat$IFS/flag_weak_filter_or_regex.txt`"@test.com değerini giriyoruz ve flag değerini elde ediyoruz.
Demo Uygulama ;
Vakit buldukça bu CTF’in Web ve SQL Injection kategorilerinde bulunan kaliteli soruların çözümlerini paylaşacağız.
Jonturk @ JRBops
Çözümler eklendikçe konuya post geçilecektir.
"Propaganda Mail" sorusu
Selamlar,
İnternette bulunan online CTF’ler arasından en beğendiklerimden birisi olan RingZeroTeam CTF’inde bulunan web sorularından “Propaganda Mail” sorusunun çözümünü anlatacağım. Bu soru genel manada RCE ve zayıf filtreleme konularını içermektedir.
Soru Linki ; Propaganda mail 12
Üye olup giriş yapıp soruya gittiğinizde aşağıda ki gibi bir ekranla karşılaşacaksınız.
Burada bulunan “Download Propaganda Package” butonuna basarak kullanılan scripti indirip inceliyoruz.
Bu kodlar incelendiğinde, 11. satırda “Command Execution” zafiyetlerinden çok iyi bildiğimiz “shell_exec” fonksiyonunun kullanıldığını görebiliyoruz.
shell_exec('cd ' . $path . ' && python ' . $module . ' ' . $_REQUEST['target'] . ' 2>&1')
Şimdi bu fonksiyona nasıl erişebiliyoruz, erişebilmek için hangi koşulları sağlamamız gerekiyor onu inceleyelim.
- 1 numaralı bölümde “target” ve “module” adlı iki parametre göndermemiz durumunda scriptin çalışacağını görüyoruz.
- 2 numaralı kısımda “target” parametremizin email adresi olup olmadığını kontrol etmek adına “FILTER_VALIDATE_EMAIL” fonksiyonu kullanılmış.
- 3 numaralı kısımda ise shell_exec kullanılarak, önce $path değişkeni olarak belirlenen “/var/www/html/propaganda/utils” dizinine geçiş yapılıyor ve daha sonra bu “utils” dizininde bulunan ve bizim “module” parametresi ile gönderdiğimiz python scripti “target” parametresini içerisine alarak çalıştırılıyor.
“index.php” dosyasında yapılan işlemler bu şekildeydi. Şimdide son maddede belirttiğimiz “utils” dizininde bulunan python scriptlere bir göz atalım.
“utils” dizininde 3 adet python script bulunuyor ve 3 scriptin içeriği de birebir aynı. Bu scriptler mail göndermiyor sadece kendisine verilen parametreyi alarak, ekrana “Email sent to [TARGET]” şeklinde bir yazı basıyor. Yani bu scriptlerde bizim için önemli bir durum yoktur.
Şimdi biz index.php dosyamızda bulunan shell_exec fonksiyonunu çalıştırmak adına çeşitli sorgular gireceğiz.
Bu sorgularda dikkat etmemiz gereken mevzu ise FILTER_VALIDATE_EMAIL adlı fonksiyon. Bu fonksiyon bizim “boşluk” - “parantez” gibi karakterlerimizi engelliyor, ve girdiğiniz değerin “@xx.com” olarak sonlanıp sonlanmadığını kontrol ediyor. Dolayısıyla girdiğimiz değerleri bu doğrultuda modifiye etmemiz gerekmektedir.
Normal şartlarda shell_exec fonksiyonu kullanılmış olsaydı “$(ls)@test.com” komutunu kullanarak “ls” komutunun çıktısını alabilirdik ama “FILTER_VALIDATE_EMAIL” fonksiyonu gereğince parantezleri kullanamıyoruz. Fakat bu fonksiyon “backtick” özel karakterini filtrelemiyor ve biz komutlarımızı bu karakter vasıtasıyla çalıştırabiliyoruz.
`ls`@test.com payloadını kullanarak “ls” komutunun çıktısını alabiliyoruz.
Şimdi kök dizine inip burada hangi dosyalar olduğuna bakalım. Bu amaçla `ls /`@test.com payloadını giriyoruz.
Fakat gördüğünüz üzere hata ile karşılaşıyoruz. Bunun nedeni yukarıda anlattığımız üzere “boşluk” karakterinin FILTER_VALIDATE_EMAIL fonksiyonu ile engellenmiş olmasıdır.
Bu filtreyi atlatırken de daha önce açtığımız Godaddy Firewall Bypass → RCE Bypass 3 adlı konuda anlattığımız üzere boşluk karakterine alternatif olarak “$IFS” değerini kullanabiliyoruz.
Bu şekilde kök dizinde bulunan dosyaları listeleyebiliyoruz fakat birden fazla dosya bulunmasına rağmen sadece 1 adet dosyayı gösterdi. Bunu atlatmak amacıyla “çift tırnak” karakteri ile komut olarak olarak anlaşılmasını sağlıyoruz ve "`ls$IFS/`"@test.com payloadı ile tam çıktıyı elde ediyoruz.
Bu çıktıda görüldüğü üzere “flag_weak_filter_or_regex.txt” adlı dosya bizim flag değerini içeriyor.
Final payload olarak "`cat$IFS/flag_weak_filter_or_regex.txt`"@test.com değerini giriyoruz ve flag değerini elde ediyoruz.
Demo Uygulama ;
Vakit buldukça bu CTF’in Web ve SQL Injection kategorilerinde bulunan kaliteli soruların çözümlerini paylaşacağız.
Jonturk @ JRBops
