cyberchallenge-modem/webpanel
2020-07-19 16:30:37 +02:00
..
css Web panel draft 2020-05-20 09:54:59 +02:00
includes Added automatic root password 2020-07-19 16:30:37 +02:00
index.php Keygen subsystem 2020-05-22 14:06:31 +02:00
Readme.md Flag options in build script 2020-07-19 14:29:34 +02:00
update.php Update mechanism 2020-05-22 18:34:46 +02:00
utils.php Minor syntax fix 2020-05-21 21:39:01 +02:00

Webpanel

Il pannello non e' autenticato, e cioe' una volta che un utente sara' connesso alla rete wifi potra' utilizzarlo visitando l'ip del dispostivo alla porta 80.

Il pannello simula molto limitatamente le funzioni base dei classici modem/router casalinghi, una pagina informatica, una pagina per testare la connessione (ping/traceroute) e una pagina per caricare eventuali aggiornamenti.

Vulnerabilita'

In utils.php nelle funzioni di ping e traceroute sono presenti delle command injection causate dal mancato utilizzo di escapeshellarg(). Normalmente, quando non vengono utilizzate le funzioni precise per effettuare l'escape degli argomenti dei comandi vengono invece utilizzate delle blacklist di caratteri, quasi sempre incomplete. La blacklist di caratteri e' specificata nel file includes/config.php e puo' essere piu' o meno completa a seconda delle difficolta' che si vuole stabilire per la challenge.

Attualmente risulta configurata cosi':

$blacklist = array(';', '#', '(', ')', '|', '&', ' ', "\t", '<', '>');

Come si puo' evincere i normali caratteri che permettono di terminare un comando e iniziarne un altro, cosi' come i carateri din whitespace sono bloccati. Tuttavia e' possibile utilizzare ${IFS} come whitespace e il newline come command separator. Un esempio di exploit e' il seguente:

curl http://192.168.77.1/utils.php --data $'action=ping&host=127.0.0.1\nuname${IFS}-a'

Update

La pagina di update suggerisce di guardare lo script di update la cui vulnerabilita' permette di acquisire la terza flag. Tuttavia per sfruttare tale vulnerabilita' e' richiesta una reverse shell e non e' quindi possibile solo tramite il pannello web.

Flag

Nella home page del pannello web viene rivelata la prima flag, che viene impostata dallo script di build in includes/config.php. E' chiaro che un attaccante puo' accedere a questa flag solo dopo esserci connessa via wifi. La flag della command injection e' invece inserita nel filesystem in fase di build.