Найти тему

CTF — File upload - ZIP

Тренируем мозг, продолжаем решать задачки по информационной безопасности web-серверов. Сегодня задачка с портала root-me.org, называется "File upload - ZIP". За решение задачки дают 30 баллов, средний уровень.

-2

Наша цель — прочитать содержимое файла index.php. Всё понятно.

В процессе поиска решения мы столкнёмся в уязвимостью Zip-symlink. Суть уязвимости заключается в том, что в архив можно вложить символьную ссылку, которая ссылается на нужный нам файл системы. При распаковке архива ссылка будет указывать на файл, прописанный в ней. Таким образом можно получить доступ к любому файлу на уязвимом сервере.

Ссылки

CTF - Capture The Flag

Символические и жёсткие ссылки в Linux

Решение

Переходим на страницу задания:

challenge01.root-me.org/web-serveur/ch51/

-3

Нам предлагают загрузить ZIP файл. Создаю текстовый файл 123.txt, запаковываю его в ZIP и загружаю.

-4

Архив загружен, нам дают на него ссылку "File unzipped here". Посмотрим что там.

-5

Прекрасно, здесь наш архив, который здесь же распакован. Хм, а если туда загрузить PHP файл? Попробуем. Создаю какой-нибудь PHP файл, пакую, загружаю архив.

-6

Файл загружен, распакован.

-7

Однако, он нее выполняется. Shell нам загрузить не удастся.

Не расстраиваемся. Само задание нам подсказывает, что уязвимость в самом процессе распаковки ZIP архива. Попробуем воспользоваться уязвимостью Zip-symlink.

ОФФТОПИК: поскольку в задаче у нас Linux, то и ссылку нам нужно будет делать в Linux. Потому как ссылка Windows отличается. Я попробовал, на Linux виндовая ссылка не работает.

Подготовим ZIP архив в любом Linux. Я использую Kali Linux. Создадим ссылку:

ln -s "../../../index.php" ./internet-lab.txtКопировать

Здесь:

  • "../../../index.php" — относительный путь к файлу, к которому нам нужно получить доступ по устовию задачи.
  • internet-lab.txt — имя ссылки

Запакуем ссылку в ZIP архив:

zip --symlinks -r internet-lab.zip ./internet-lab.txtКопировать

Здесь:

  • --symlinks — атрибут, разрешающий архивировать ссылки.
-8

Загружаем полученный архив.

-9

Архив загрузился, распаковался. И, судя по размеру файла internet-lab.txt, там что-то у нас есть.

-10

По ссылке вместо нашего текстового файла распаковался искомый файл index.php. А в нём флаг. Валидируем.

-11

И зарабатываем 30 баллов.

Безопасность

Уязвимость Zip-symlink — это не баг, а особенность. Просто не распаковывайте в своём коде чужие архивы. И тем более не давайте доступ к результатам распаковки.

Пример работы уязвимости:

Источник:

CTF — File upload - ZIP | internet-lab.ru

💰 Поддержать проект

Если вам понравилась статья, то ставьте 👍🏻 каналу. Пишите комментарии, задавайте вопросы, подписывайтесь.