Differences

This shows you the differences between two versions of the page.

--- web_nemoguca_misija [2025/02/21 15:21] – created kresimir
+++ web_nemoguca_misija [2025/12/01 11:40] (current) – external edit 127.0.0.1
@@ Line 12: / Line 12: @@
-{{unicodeiterp:slika1.png}}
+{{unicodeinterp:slika1.png}}
 Analizom izvornog koda zadatka u datoteci index.php vidi se da se „payload“ uzima kao parametar GET zahtjeva. Izvorni kod prikazan je na slici 2.
@@ Line 24: / Line 24: @@
 Slanjem ovog parametra pri pristupu web stranici, poruka greške se više ne pojavljuje.
-Sljedeći korak je analizirati izvorni kod da se pronađe način kako se manipulacijom payload parametra može dohvatiti flag. Izvorni kod je dovoljno mal i očito je da je ovo jedini unos nad kojim korisnik stranice ima kontrolu, pa je ovo „točka fokusa“ u zadatku.
+Sljedeći korak je analizirati izvorni kod da se pronađe način kako se manipulacijom parametra payload može dohvatiti flag. Izvorni kod je dovoljno kratak i očito je da je ovo jedini unos nad kojim korisnik stranice ima kontrolu, pa je ovo „točka fokusa“ u zadatku.
-Pregledom dokumentacije funkcija mb_strpos i mb_substr, može se vidjeti da mb_strpos u kodu pronalazi indeks prvog pojavljivanja substringa „flag“ u stringu definiram u payloadu. Funkcija mb_substr vraća substring od indexa 0 do indexa pojavljivanja substringa „flag“ u stringu definiranom u payloadu, koji je poslan kao zadnji argument funkciji u varijabli flag_position.
+Pregledom dokumentacije funkcija mb_strpos i mb_substr, može se vidjeti da mb_strpos u kodu pronalazi indeks prvog pojavljivanja substringa „flag“ u stringu definiranom u payloadu. Funkcija mb_substr vraća substring od indexa 0 do mjesta (indexa) pojavljivanja substringa „flag“ u stringu definiranom u payloadu, koji je poslan kao zadnji argument funkciji u varijabli flag_position.
-Važno je za uočiti da obje funkcije imaju prefiks „mb“ – multibyte. Obje funkcije su iz PHP Multibyte String paketa koji služi za obrađivanje znakova i stringova koji su enkodirani s više od jednog bajta. Dok su ASCII znakovi enkodirani jednom bajtom, UTF-8 znakovi mogu biti enkodirani s dva bajta, što bi moglo narušiti očekivano izvršavanje PHP string funkcija koje očekuju samo znakove enkodirane jednim bajtom, kada bi obrađivale stringove koji sadržavaju Unicode znakove. Više o biblioteci može se pročitati na linku https://www.php.net/manual/en/intro.mbstring.php.
+Važno je uočiti da obje funkcije imaju prefiks „mb“ – multibyte. Obje funkcije su iz PHP Multibyte String paketa koji služi za obrađivanje znakova i stringova koji su enkodirani s više od jednog bajta. Dok su ASCII znakovi enkodirani jednim bajtom, UTF-8 znakovi mogu biti enkodirani s dva bajta, što bi moglo narušiti očekivano izvršavanje PHP string funkcija koje očekuju samo znakove enkodirane jednim bajtom, kada bi obrađivale stringove koji sadržavaju Unicode znakove. Više o biblioteci može se pročitati na linku https://www.php.net/manual/en/intro.mbstring.php.
-Logika programa je da prvo nalazi poziciju prvog substringa „flag“ u stringu koji je zadan u payloadu, onda od njega radi novi substring, od indexa 0 do indexa pojavljivanja substringa „flag“, te tako efektivno „izrezuje“ ostatak poslanog stringa od indeksa nakon što je pronađen substring „flag“ u njemu. Nakon toga u if provjeri ponovno poziva funkciju mb_strpos s kojom provjerava nalazi se substring „flag“ u izrezanom stringu, koji će vratiti false ako se ne nalazi „string“ u sanitized varijabli ili će vratiti true, ako mb_strpos pronađe „flag“ i vrati bilo koji broj.
+Logika programa je da prvo nalazi poziciju prvog substringa „flag“ u stringu koji je zadan u payloadu, onda od njega radi novi substring, od indexa 0 do indexa pojavljivanja substringa „flag“, te tako efektivno „izrezuje“ ostatak poslanog stringa od indeksa nakon što je pronađen substring „flag“ u njemu. Nakon toga u if provjeri ponovno poziva funkciju mb_strpos s kojom provjerava nalazi li se substring „flag“ u izrezanom stringu, koji će vratiti false ako se ne nalazi „string“ u sanitized varijabli ili će vratiti true, ako mb_strpos pronađe „flag“ i vrati bilo koji broj.
 Na prvi pogled, nemoguće je unijeti payload koji će vratiti true u if provjeri, jer će dio stringa od prvog pojavljivanja znakova „flag“ uvijek biti izrezan.
-Npr. slanjem stringa
+Npr. slanjem stringa:
 <file>
 /?payload=AAAAAAflag
@@ Line 39: / Line 39: @@
 U sanitized varijabli će se nakon poziva funkcija nalaziti samo podstring  “AAAAAA”, te će if provjera vratiti false.
-Kako bi se detaljnije analizirao izvorni kod programa, može se lokalno skinuti php engine odgovarajuće verzije kao ona koja se koristi u zadatku, može se uočiti da je to verzija “8.1.30” na slici 1.
+Kako bi se detaljnije analizirao izvorni kod programa, može se lokalno preuzeti php engine odgovarajuće verzije kao ona koja se koristi u zadatku, može se uočiti da je to verzija “8.1.30” na slici 1.
-Na Linux-Ubuntu operacijskom sustavu, php engine se može instalirati naredbom
+Na Linux-Ubuntu operacijskom sustavu, php engine se može instalirati naredbom:
 <file>
 apt install php8.1-cli
@@ Line 51: / Line 51: @@
 apt-get install php8.1-mbstring
 </file>
-Pozicioniranjem u direktorij u kojemu se nalazi index.php, lokalna instanca zadatka se može pokrenuti na portu 8000 s naredbom:
+Pozicioniranjem u direktorij u kojemu se nalazi index.php, lokalna instanca zadatka se može pokrenuti na portu 8000 naredbom:
 <file>
 php -S localhost:8000
 </file>
+===Korištenje Docker kontejnera za namještanje okoline===
 Osim ovog načina, može se koristiti i Docker kontejner, što je preporučeni način korištenja. Dockerizacijom se može olakšati korištenje točnih verzija i paketa kao što se koriste u zadatku, u slučaju da paketi php8.1-cli i php8.1-mbstring budu uklonjeni iz Ubuntu repozitorija.
-!!!...Dovrsiti upute za postupak stvaranje Dockerfilea u kojem su adekvatno postavljene verzije i env varijable, FROM php:8.1-apache…
-Sada se može promijeniti izvorni kod zadatka koji se lokalno pokreće, dodajući nove ispise kako bi moglo bolje analizirati varijable i stanja programa pri unosu različitih payloadova.
+Na stranici greške može se vidjeti poruka prikazana na slici 3.
-** Može se dogoditi da verzija lokalno instaliranog PHP engine paketa bude npr. 8.1.2, a verzija na platformi bude 8.1.30. Uglavnom ne bi trebale biti značajne promjene između ovih dviju verzija koje bi učinile razliku između rješavanja zadatka lokalno i izvršavanja zadatka na platformi, no može se dogoditi. To se može osigurati ili instalacijom iste verzije, ili provjerom razlika između verzija, da se utvrdi da razlike neće utjecati na izvršavanje programske logike zadatka.
+{{unicodeinterp:slika7.png}}
+Uzevši u obzir da je za server kotišten Apache, a verzija PHP-a 8.1.X, može se koristiti sljedeći Dockerfile, prikazan na slici 4.
+{{unicodeinterp:slika8.png}}
+Ovaj Docker kontejner se prvo treba sagraditi, pozicionirajući se u isti direktorij kao i Dockerfile, u kojem je također postavljen i index.php, te pokretanjem naredbe:
+<file>
+docker build -t php- zadatak.
+</file>
+Nakon toga se iz izgrađene slike može stvoriti i pokrenuti kontejner naredbom:
+<file>
+Docker run -p 8000:80 php-zadatak
+</file>
+Ovom kontejneru će se onda također moći pristupiti na URL-u:
+<file>
+http://localhost:8000/
+</file>
+Ako se kontejner gradi i pokreće na Linuxu, bit će ga potrebno izgraditi i pokrenuti naredbom "sudo".
+** Može se dogoditi da verzija lokalnog PHP enginea u kontejneru ili izvan, bude npr. 8.1.2 ili 8.1.31, a verzija na platformi bude 8.1.30. Uglavnom ne bi trebale biti značajne promjene između ovih verzija koje bi učinile razliku između rješavanja zadatka lokalno i izvršavanja zadatka na platformi, no može se dogoditi. To se može osigurati ili instalacijom iste verzije, ili provjerom razlika između verzija, da se utvrdi da razlike neće utjecati na izvršavanje programske logike zadatka.
+===Dodavanje ispisa u lokalnu instancu pokrenutog zadatka===
+Kada je osiguran jedan od dva opisana načina pokretanja zadatka lokalno (preporučeno je korištenje Dockera), može se modificirati lokalna instanca zadatka, dodajući ispise kako bi se lakše i efikasnije našao prikladan payload, koji će se onda iskoristiti na stvarnoj instanci zadatka. Ispisi omogućuju jednostavniju i efikasniju analizu varijabli i stanja programa pri unosu različitih payloadova.
-Kod indeks.php skripte se onda može promijeniti, dodavanjem novih ispisa i uređivanjem ispisa, kako bi se moglo pratiti stanje varijabli i programa lokalne instance zadatka pri različitim payload unosima. Primjer ovakve modifikacije prikazan je na slici 3.
+Primjer  modifikacije skripte index.php s odgovarajućim ispisima je prikazan slici 5.
 {{unicodeinterp:slika3.png}}
-Slanjem payloada
+Slanjem payloada:
 <file>
 /?payload=aaaaflagflagflagflag
@@ Line 75: / Line 108: @@
 </file>
-Može se vidjeti stanje varijabli prikazano na slici 4.
+Može se vidjeti stanje varijabli prikazano na slici 6.
 {{unicodeinterp:slika4.png}}
-Vidi se da je flag_position varijabla postavljena na vrijednost 4, što je indeks prvom pojavljivanja znakova „flag“ u payloadu, i da se u sanitized varijabli nalazi samo string „aaaa“, što je dio stringa payload prije prvog pojavljivanja znakova „flag“. Funkcija mb_strpos ne vraća ništa, jer se znakovi „flag“ ne nalaze u varijabli sanitized.
+Vidi se da je varijabla "flag_position" postavljena na vrijednost 4, što je indeks prvog pojavljivanja znakova „flag“ u payloadu, i da se u sanitized varijabli nalazi samo string „aaaa“, što je dio stringa payloada prije prvog pojavljivanja znakova „flag“. Funkcija mb_strpos ne vraća ništa, jer se znakovi „flag“ ne nalaze u varijabli sanitized.
-Pristup kako bi se uspješno zaobišlo izrezivanje znakova „flag“ iz varijable payload u varijablu sanitized je nekom manipulacijom funkcija mb_strpos i mb_substr. Resurs koji pruža informacije kako bi se ova tehnika mogla postići dostupan je ovdje:
+Pristup kojim bi se uspješno zaobišlo izrezivanje znakova „flag“ iz varijable payload u varijablu sanitized je nekom manipulacijom funkcija mb_strpos i mb_substr. Resurs koji pruža informacije kako bi se ova tehnika mogla postići dostupan je ovdje:
 https://www.sonarsource.com/blog/joomla-multiple-xss-vulnerabilities/
 Članak objašnjava kako je Joomla CMS imao XSS ranjivost u prethodnim verzijama koja se temeljila na nedostatku u sanitizaciji korisničkog unosa radi korištenja funkcija iz PHP multibyte strings paketa koje se koristi u zadatku. Patch koji je popravio nedostatak je prisutan u PHP verzijama 8.3, 8.4 i daljnjim verzijama, ali je nedostatak i dalje prisutan u PHP verziji 8.1 koja se koristi u zadatku.
- Ranjivost se temeljila na razlici u procesiranju nevažećih (eng. invalid) UTF-8 sekvenci između funkcija mb_strpos i mb_substr. UTF-8 (Unicode Transformation Format-8 ) znakovi mogu biti enkodirani s 1 do 4 bajtova. Po vrijednosti prvog bajta se zna broj bajtova kojim je znak enkodiran.
+Ranjivost se temeljila na razlici u procesiranju nevažećih (eng. invalid) UTF-8 sekvenci između funkcija mb_strpos i mb_substr. UTF-8 (Unicode Transformation Format-8) znakovi mogu biti enkodirani s 1 do 4 bajtova. Po vrijednosti prvog bajta se zna broj bajtova kojima je znak enkodiran.
- Funkcija mb_substr, nakon što pročita prvi bajt Unicode znaka u kojemu je zapisan broj bajtova s kojim je znak enkodiran, preskače taj broj bajtova, tretirajući ga kao jedan znak. U slučaju kada je ovoj funkciji poslan nevažeći Unicode znak, koji počinje npr. bajtom koji daje informaciju da se znak sastoji od 4 bajtova, ali su samo dva bajta prisutna, nakon čega su npr. znakovi AA -, funkcija će tretirati prva dva bajta nevažećeg unicode znaka zajedno s dva važeća znaka AA kao samo jedan znak. Pravilan Unicode znak bi bio \xf0\x9f\x9f\x9f, no umjesto toga je poslano \xf0\x9fAA, ovdje se 2 znaka A tretiraju kao bajt s vrijednošću 41 (A je 41 u unicodeu) pa se nevažeći skup unosa \xf0\x9fAA ne tretira kao jedan nevažeći unicode znak i 2 važeća unicode znakova A, nego se tretira kao samo jedan unicode znak -\xf0\x9f\x41\x41.
+Funkcija mb_substr, nakon što pročita prvi bajt Unicode znaka u kojemu je zapisan broj bajtova s kojim je znak enkodiran, preskače taj broj bajtova, tretirajući ga kao jedan znak. U slučaju kada je ovoj funkciji poslan nevažeći Unicode znak, koji počinje npr. bajtom koji daje informaciju da se znak sastoji od 4 bajtova, ali su samo dva bajta prisutna, nakon čega su npr. znakovi AA -, funkcija će tretirati prva dva bajta nevažećeg unicode znaka zajedno s dva važeća znaka AA kao samo jedan znak. Pravilan Unicode znak bi bio \xf0\x9f\x9f\x9f, no umjesto toga je poslano \xf0\x9fAA, ovdje se 2 znaka A tretiraju kao bajt s vrijednošću 41 (A je 41 u unicodeu) pa se nevažeći skup unosa \xf0\x9fAA ne tretira kao jedan nevažeći unicode znak i 2 važeća unicode znakova A, nego se tretira kao samo jedan unicode znak -\xf0\x9f\x41\x41.
-Funkcija mb_strpos na drugu stranu kada pri parsiranju naiđe na nevažeći unicode znak, tretira ga kao samo jedan znak, nakon čega nastavlja normalno brojati slijedeće znakove. Tako se unos \xf0\x9fAA pri korištenju funkcije mb_strpos ne bi tretirao kao samo jedan nevažeći unicode znak, nego kao jedan nevažeći unicode znak \xf0\x9f i 2 važeća Unicode znakova A.
+Funkcija mb_strpos drugačije radi. Kada pri parsiranju naiđe na nevažeći unicode znak, tretira ga kao samo jedan znak, nakon čega nastavlja normalno brojati slijedeće znakove. Tako se unos \xf0\x9fAA pri korištenju funkcije mb_strpos ne bi tretirao kao samo jedan nevažeći unicode znak, nego kao jedan nevažeći unicode znak \xf0\x9f i 2 važeća Unicode znakova A.
 Ovo znači da se pri istom unosu koji se sastoji od jednog ili više nevažećih Unicode znakova, tako da je broj bajtova nevažećih Unicode znakova manji nego što je zapisano u prvom bajtu, dobiva drugačije ponašanje ovih dviju funkcija. Za svaku razliku od 2 nedostajuća bajta nevažećeg Unicode znaka, funkcija mb_strpos će indeks naknadnih znakova u unosu „vidjeti“ kao da je veći za vrijednost 2.
 Korištenjem unosa \xf0\x9fAAflag, mb_strpos će vratiti da se znakovi „flag“ nalaze na indeksu 3, a funkciji mb_substr će se na indeksu tri nalaziti predzadnje slovo „a“.
-Upravo ova razlika između načina na koji ove dvije funkcije procesuiraju nevažeći Unicode znak se treba iskoristiti da bi se zadatak riješio.
+Upravo ova razlika između načina na koji ove dvije funkcije procesiraju nevažeći Unicode znak se treba iskoristiti da bi se zadatak riješio.
 Testiranjem prethodno spomenutog skupa znakova na lokalnoj instanci, da bi testirali payload \xf0\x9fAAflag, trebamo ga zapisati u formatu: %f0%9fAAflag (umjesto \x za oznaku vrijednosti bajta, koristi se % ). Tako bi payload izgledao ovako:
@@ Line 100: / Line 133: @@
 </file>
-Rezultat pri slanju ovog payloada prikazan je na slici 5.
+Rezultat pri slanju ovog payloada prikazan je na slici 7.
 {{unicodeinterp:slika5.png}}
-Može se uočiti da je pretpostavljeni scenarij točan, radi razlike od 2 bajta u nevažećem Unicode znaku, sanitized varijabla sdržava 2 znaka više, umjesto da su zadnji znakovi „flag“ odrezani, odrezana su samo 2 zadnja znaka „fl“.
+Može se uočiti da je pretpostavljeni scenarij točan, radi razlike od 2 bajta u nevažećem Unicode znaku, sanitized varijabla sadrži dva znaka više, umjesto da su zadnji znakovi „flag“ odrezani, odrezana su samo dva zadnja znaka „fl“.
 Kako bi se cijeli skup znakova „flag“ nalazio u varijabli sanitized, potrebno je samo dodati još jedan isti nevažeći Unicode znak na početak payloada, kako bi pomaknuli indeks rezanja payload stringa za još 2 znaka dalje i tako uspjeli sadržati cijeli skup znakova „flag“ u varijabli sanitized.
@@ Line 111: / Line 144: @@
 http://localhost:8000/index.php/?payload=%f0%9fAA%f0%9fAAflag
 </file>
-Može se vidjeti da je if uvjet za ispisivanje flaga uspješno zadovoljen, prikazano na slici 6.
+Može se vidjeti da je if uvjet za ispisivanje flaga uspješno zadovoljen, prikazano na slici 8.
 {{unicodeinterp:slika6.png}}