Интересная задача на PHP

Question

[betal]

Понравилась одна из задач с одного из последних CTF за свою простоту, предлагаю поломать немного голову.
Есть исполняемый скрипт:

<?php
    $key = "KKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKK";
    $pass = "KKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKK";
    if ( strcasecmp( $_GET['pass'], $pass ) == 0 ) {
        echo($key);
    }
?>

Собственно вопрос в получении ключа, как это сделать?
Где уязвимость которую многие из нас бывает оставляют?

Answer 1

[BoShurik]

?pass[]=something

Comments

[betal]

Быстро :)

[Вячеслав Плиско]

Только без квадратных скобок.
А в чём интерес, что есть ещё те, кто отправляет такие данные гетом?

[betal]

Попробуйте без квадратных скобок. Данные могут быть любые, уязвимость останется.

[betal]

Если недостаточно проверять входные параметры.

[betal]

К тому же для POST это тоже работает.

[Вячеслав Плиско]

:) Да, будет варнинг, но проверка проходит. А я отвлекся на опысный GET.

[betal]

варнинг это как минимум раскрытие путей.

[Вячеслав Плиско]

Да, в таких ситуациях должен срабатывать кастомный еррор хэндлер, который пишет ошибку в лог и выводит пользователю страницу-ошибку.

[eresik]

А я что-то нифига не понял.
Ну да, варнинг, но кей ведь не выдаётся, вопрос был в получении кей

[betal]

Тут смысл в том что передавая скрипту параметр pass в виде script.php?pass[]=dsdsfsd
на стороне сервера в переменную $pass кладется массив array ( 'dsdsfsd'), но многие стандартные функции ожидают вполне конкретных типов и не готовы к приему массива. В данном случае функция если принимает массив возвращает NULL, а при сравнении типа NULL == 0 возвращается 1 (если бы было NULL === 0, то было бы иначе).
Выложил скрипт для примера тут
slus.name/hackme.php?pass[]=1
Главная проблема даже не в этой конкретной функции, многие функции могут вести себя нестандартно, выложил задачку чтобы напомнить еще раз о необходимости фильтровать все входные параметры из вне, даже если на первый взгляд они не могут нанести вреда. (даже раскрытие пути по сути своей опасно)
PS. Хабрапарсер в скрипте заменил кавычки на свои, может поэтому Ваш скрипт не отработал, а может в разных версиях по разному ведут себя скрипты.

[betal]

Еще из этой серии понравилась уязвимость, когда возможно скомпрометировать систему в которой содержится связка {} и autoload, но это посложнее будет.

[betal]

Ну и комментарий снизу про switch тоже очень интересный.

[eresik]

Проверил у себя, — есть варнинг, и var_dump(strcasecmp( $_GET['pass'], $pass )); возвращает int(-10).
Т.к. приведение массива к строке даёт строку «Array», т.е. фактически выполняется strcasecmp( «Array», $pass );

Задача не решена. Key не получен. (хотя пути раскрыты, если display_errors=1, у себя всегда отключаю в первую очередь, от греха подальше)

[BoShurik]

Какая версия php? Стоит suhosin патч?
У меня на 5.3.8 сработало.

[eresik]

Изначально пробовал на версии 5.2 — там всё нормально, варнинг и всё.

Попробовал 5.3 и 5.4 — действительно на них key выдаётся, блин.

Только что-то я в документации не могу найти, что strcasecmp может возвращать NULL. Вот это самый главный косяк.

[eresik]

Я так понимаю, замена == 0 на ===0 исправляет проблему (в данном конкретном случае)?

[BoShurik]

Либо

strcasecmp( (string) $_GET['pass'], $pass )

Answer 2

[egorinsk]

Ох май май, какой косяк в PHP, сразу же вспоминается еще путаница в возвращаемых значениях в strpos(), когда она может вернуть 0 или false

Comments

[Inori]

Опять эта тема с «я не осилил динамическую типизацию, поэтому осуждаю»?
Или просто документацию (в которой этот момент аж красным выделен) не читали?

[egorinsk]

Я докукентацию осилил, но предпочел бы, чтобы язык не провоцировал ошибки, а предотвращал.

[Вячеслав Плиско]

PHP это обёртка над когда-то перловыми, а нынче сишными библиотеками, так что билиберды с параметрами и названиями во многом тянется ещё оттуда, чтобы сишникам было проще входить в php. Собственно быстрая популяризация языка во многом с этим и связана. Так что здесь язык никому ничего не должен.
С типизацией стоит разобраться, в доке всё хорошо расписанно, но так как много заморочек остаётся, нужно самому явно приводить к нужному типу, тем более что во входных данных может быть ещё куча мусора, например, пробелы в начале и конце и т.д.

[egorinsk]

Вы ошибаетесь. В Си нету типа данных boolean и нету значения false. Это именно ошибка в проектировании функции. В особенностях преобразования типов в PHP я разбираюсь, но мне эта система простой и логичной не кажется.

Answer 3

[betal]

Боюсь многие не проверяют в GET тип входных параметров.

Comments

[Владимир Чернышев]

Я не проверяю, я привожу :)

[betal]

Кстати тоже интересный вопрос.
Я часто делаю что-то типа $i=(int)$_GET['i'];
Но в исходниках одного программиста увидел конструкцию приблизительно такую
$id = (is_numeric($id))? (int)$id: false;
Неспроста ведь…

[Владимир Чернышев]

Просто решил (или было сказано в ТЗ), что комбинация '123456qwerty' должна приводиться к false, а не к 123456, а 'qwerty' тоже к false, а не к 0. И, вероятно, где-то есть проверка if (false === $id) {} .

[Sergey Lerg]

Всё просто. Есди $id не false, значит оно было введено как число и можно работать. Если бы был передан тот же массив, то (int)array() вернёт 0, а 0 может быть валидным $id.
Где-то такие дополнительные проверки имеют смысл, где-то нет.

[betal]

Чуть ниже выяснили истинное значение этой строки.

<?
$pass = (int)$_GET['pass'];
if ($pass=='dsdsdsd')
    echo 'key = 12345';

возвращает ключ если отправить ноль, и похожая штука есть для bool

[betal]

Блин, и такой код у меня вернул ключ

<?
$id = (is_numeric($_GET['pass']))? (int)$_GET['pass']: false;
if ('dsdsdsd'==$id)
    echo 'key = 12345';

[betal]

т.е. надо сравнивать нужно через ===

[betal]

А нет… я туплю надо идти спать… сравниваю со строкой, конечно будет true…

Answer 4

[Doktor_Gradus]

Вот тогда вам ещё вопрос. Если делаете так:
switch( $_GET['pass'] ) { // ... }

нужно ли проверять $_GET['pass']?

Comments

[betal]

Это вопрос или тут в тоже есть уязвимость? Если второе буду ломать голову, а вообще интересный вопрос :)
Вообще я везде как минимум привожу к нужному типу из соображений «Береженого бог бережет», затраты минимальные а нервов сбережет много.

[Doktor_Gradus]

Это просто интересный вопрос. По идее, делать этого не нужно, т.к. switch сам по себе этакий валидатор.

[betal]

Ну данному типу уязвимостей он не подвержен и что интересно, передавая ему массив можно сравнивать его с массивами.

[BoShurik]

Странно
www.php.net/manual/en/control-structures.switch.php

The case expression may be any expression that evaluates to a simple type, that is, integer or floating-point numbers and strings. Arrays or objects cannot be used here unless they are dereferenced to a simple type.

www.php.net/manual/en/language.types.string.php

Arrays are always converted to the string «Array»; because of this, echo and print can not by themselves show the contents of an array.

Что в таком случае подразумевается под «dereferenced to a simple type», ибо этот код рабочий:

$testArray = array('BBB', 'BBB');
$array1 = array('AAA', 'AAA');
$array2 = array('BBB', 'BBB');

switch($testArray) {
	case $array1:
	echo 'First<br />';

	case $array2:
	echo 'Second<br />';
}

[betal]

Да, и объекты работают, хотя по сути это почти одно и то же.

class a{}
class b{}
$a=new a;
$b=new b;
$test = new b;
switch ($test) {
    case $a:
        echo "a";
        break;
    case $b:
        echo "b";
        break;
    default: echo "No match!"; break;
}

[Doktor_Gradus]

Кстати, в комментариях на странице www.php.net/manual/en/control-structures.switch.php я наткнулся на код, который показывает, как можно наколоться со switch при $_GET['pass'] == 0 или $_GET['pass'] == true (допустим, мы привели $_GET['pass'] к int или bool):

switch( $_GET['pass'] )
{
    case "foo": 
        echo 'foo'; 
        break;
    
    case "bar": 
        echo 'bar'; 
        break;

    default: 
        echo 'no matches'; 
}

// output: "foo"

[Doktor_Gradus]

Это ещё и объясняет, почему $id = (is_numeric($id))? (int)$id: false;

[betal]

Да, действительно, данный подход будет более эффективный и позволит избежать ряда проблем!

[betal]

Век живи, век учись)

[betal]

к if это тоже относится что интересно, вообще немного в шоке, ведь раньше делал почти везде приведение типа.

[betal]

<?
$pass = (int)$_GET['pass'];
if ('dsdsdsd'==$pass)
    echo 'key = 12345';

Вот такой код у меня вернул ключ, если отправить 0
%)

[betal]

а… туплю… сравниваю int и string… нужно спать идти…