HTB UNIV CTF 24 Armaxix靶场漏洞链：命令注入与账户接管实战

HTB UNIV CTF 24 (Armaxix - WEB) 漏洞分析

作者：ABDELKARIM MOUCHQUELITA

4 分钟阅读 · 2024年12月18日

在本篇技术报告中，我们将探索一个实验环境而非聚焦漏洞赏金中的新漏洞。虽然CTF挑战教会我们很多知识，但它们通常与现实场景有所不同。然而，提取其中重要的经验教训至关重要。

在本实验中，我们通过链式利用两个漏洞实现了命令注入。环境配置包括源代码访问权限和两个独立主机：

• 83.136.254.158:45660 → 这是Armaxis。虽然不确定其主要用途，但包含通过管理员向用户发送项目的功能，类似于报告发送系统
• 83.136.254.158:33602 → 这似乎是一个邮件服务，类似于Gmail

在检查源代码之前，我测试了所有能想到的方法：JWT操纵、身份验证绕过和SQL注入。然而，这些方法均未奏效。

随后我重点关注密码重置功能，在此发现通过操纵密码重置请求可实现账户接管漏洞。

以下是密码重置请求体：

{
  "token": "f35137e53d9d900a8435a9734a79165d",
  "newPassword": "f35137e53d9d900a8435a9734a79165d", 
  "email": "test@email.htb"
}

请求体采用JSON格式。要实现账户接管（ATO），我们只需要一个有效的token。这可以通过重置密码页面为目标账户test@email.htb请求密码重置来获取，随后token将被发送到邮件服务主机。

之后，我将收到该token。

在深入分析源代码后，我发现了邮箱admin@armaxis.htb。

接下来，我将获取有效token，操纵请求，并将测试邮箱替换为管理员邮箱。

以下是操纵后的请求体：

{
  "token": "获取的有效token",
  "newPassword": "新密码",
  "email": "admin@armaxis.htb"
}

成功！现在我们获得了管理员权限，可以访问一些有趣的功能进行探索和测试。

"dispatch weapon"页面包含一个表单，其中"note (MarkDown)"部分最为有趣。我随后返回源代码，发现名为markdown.js的文件，其中包含Markdown处理器。其中包含一个URL处理器，当在Markdown中提供URL时会执行curl请求：

const fileContent = execSync(`curl -s ${url}`);

要实现命令注入，我们只需要在URL末尾添加分号来分隔命令。

当然，我最初尝试使用普通URL（http://...），但没有成功。于是我研究了Markdown中URL的处理方式，发现有两种格式：[]()用于常规URL和<!URL>用于自动链接。

最终payload格式为：<!http://example.com;id>

现在，当管理员查看包含我们payload的note时，服务器将执行我们的命令。

经验总结：在测试功能时，始终检查源代码。如果发现命令执行函数，尝试使用分号、管道符或反引号进行注入。对于XML解析器，尝试XXE等技术。

希望本文能帮助您理解一些知识盲区。下次，Inshallah（如蒙主佑），我们将处理一个关键漏洞！