hacktricks/pentesting-web/parameter-pollution.md

Parameter Pollution | JSON Injection

Parameter Pollution

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

• Check the subscription plans!
• Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
• Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

{% endhint %}

{% embed url="https://websec.nl/" %}

Panoramica sull'HTTP Parameter Pollution (HPP)

HTTP Parameter Pollution (HPP) è una tecnica in cui gli attaccanti manipolano i parametri HTTP per cambiare il comportamento di un'applicazione web in modi non intenzionati. Questa manipolazione avviene aggiungendo, modificando o duplicando i parametri HTTP. L'effetto di queste manipolazioni non è direttamente visibile all'utente, ma può alterare significativamente la funzionalità dell'applicazione sul lato server, con impatti osservabili sul lato client.

Esempio di HTTP Parameter Pollution (HPP)

Un URL di transazione di un'applicazione bancaria:

• URL originale: https://www.victim.com/send/?from=accountA&to=accountB&amount=10000

Inserendo un ulteriore parametro from:

• URL manipolato: https://www.victim.com/send/?from=accountA&to=accountB&amount=10000&from=accountC

La transazione potrebbe essere erroneamente addebitata a accountC invece di accountA, dimostrando il potenziale dell'HPP di manipolare transazioni o altre funzionalità come il ripristino della password, le impostazioni 2FA o le richieste di chiavi API.

Parsing dei parametri specifico per tecnologia

• Il modo in cui i parametri vengono analizzati e prioritizzati dipende dalla tecnologia web sottostante, influenzando come l'HPP può essere sfruttato.
• Strumenti come Wappalyzer aiutano a identificare queste tecnologie e i loro comportamenti di parsing.

Sfruttamento di PHP e HPP

Caso di manipolazione OTP:

• Contesto: È stata sfruttata una meccanismo di login che richiede una Password Usa e Getta (OTP).
• Metodo: Intercettando la richiesta OTP utilizzando strumenti come Burp Suite, gli attaccanti hanno duplicato il parametro email nella richiesta HTTP.
• Risultato: L'OTP, destinato all'email iniziale, è stato invece inviato al secondo indirizzo email specificato nella richiesta manipolata. Questo difetto ha consentito l'accesso non autorizzato eludendo la misura di sicurezza prevista.

Questo scenario evidenzia una grave svista nel backend dell'applicazione, che ha elaborato il primo parametro email per la generazione dell'OTP ma ha utilizzato l'ultimo per la consegna.

Caso di manipolazione della chiave API:

• Scenario: Un'applicazione consente agli utenti di aggiornare la propria chiave API tramite una pagina delle impostazioni del profilo.
• Vettore di attacco: Un attaccante scopre che aggiungendo un ulteriore parametro api_key alla richiesta POST, può manipolare l'esito della funzione di aggiornamento della chiave API.
• Tecnica: Utilizzando uno strumento come Burp Suite, l'attaccante crea una richiesta che include due parametri api_key: uno legittimo e uno malevolo. Il server, elaborando solo l'ultima occorrenza, aggiorna la chiave API al valore fornito dall'attaccante.
• Risultato: L'attaccante ottiene il controllo sulla funzionalità API della vittima, potenzialmente accedendo o modificando dati privati in modo non autorizzato.

Questo esempio sottolinea ulteriormente la necessità di una gestione sicura dei parametri, specialmente in funzionalità critiche come la gestione delle chiavi API.

Parsing dei parametri: Flask vs. PHP

Il modo in cui le tecnologie web gestiscono i parametri HTTP duplicati varia, influenzando la loro suscettibilità agli attacchi HPP:

• Flask: Adozione del primo valore del parametro incontrato, come a=1 in una stringa di query a=1&a=2, privilegiando l'istanza iniziale rispetto ai duplicati successivi.
• PHP (su Apache HTTP Server): Al contrario, privilegia l'ultimo valore del parametro, optando per a=2 nell'esempio fornito. Questo comportamento può facilitare involontariamente gli exploit HPP onorando il parametro manipolato dall'attaccante rispetto all'originale.

Inquinamento dei parametri per tecnologia

I risultati sono stati presi da https://medium.com/@0xAwali/http-parameter-pollution-in-2024-32ec1b810f89

PHP 8.3.11 E Apache 2.4.62

https://miro.medium.com/v2/resize:fit:1100/format:webp/1*l_Pf2JNCYhmfAvfk7UTEbQ.jpeg

1. Ignora tutto dopo %00 nel nome del parametro.
2. Gestisce name[] come array.
3. _GET non significa metodo GET.
4. Preferisce l'ultimo parametro.

Ruby 3.3.5 e WEBrick 1.8.2

https://miro.medium.com/v2/resize:fit:1100/format:webp/1*kKxtZ8qEmgTIMS81py5hhg.jpeg

1. Usa i delimitatori & e ; per separare i parametri.
2. Non riconosce name[].
3. Preferisce il primo parametro.

Spring MVC 6.0.23 E Apache Tomcat 10.1.30

https://miro.medium.com/v2/resize:fit:1100/format:webp/1*llG22MF1gPTYZYFVCmCiVw.jpeg

1. POST RequestMapping == PostMapping & GET RequestMapping == GetMapping.
2. POST RequestMapping & PostMapping riconoscono name[].
3. Preferisce name se name E name[] esistono.
4. Concatenare i parametri e.g. first,last.
5. POST RequestMapping & PostMapping riconoscono i parametri di query con Content-Type.

NodeJS 20.17.0 E Express 4.21.0

https://miro.medium.com/v2/resize:fit:1100/format:webp/1*JzNkLOSW7orcHXswtMHGMA.jpeg

1. Riconosce name[].
2. Concatenare i parametri e.g. first,last.

GO 1.22.7

https://miro.medium.com/v2/resize:fit:1100/format:webp/1*NVvN1N8sL4g_Gi796FzlZA.jpeg

1. NON riconosce name[].
2. Preferisce il primo parametro.

Python 3.12.6 E Werkzeug 3.0.4 E Flask 3.0.3

https://miro.medium.com/v2/resize:fit:1100/format:webp/1*Se5467PFFjIlmT3O7KNlWQ.jpeg

1. NON riconosce name[].
2. Preferisce il primo parametro.

Python 3.12.6 E Django 4.2.15

https://miro.medium.com/v2/resize:fit:1100/format:webp/1*rf38VXut5YhAx0ZhUzgT8Q.jpeg

1. NON riconosce name[].
2. Preferisce l'ultimo parametro.

Python 3.12.6 E Tornado 6.4.1

https://miro.medium.com/v2/resize:fit:1100/format:webp/1*obCn7xahDc296JZccXM2qQ.jpeg

1. NON riconosce name[].
2. Preferisce l'ultimo parametro.

JSON Injection

Chiavi duplicate

obj = {"test": "user", "test": "admin"}

Il front-end potrebbe credere alla prima occorrenza mentre il backend utilizza la seconda occorrenza della chiave.

Collisione di Chiavi: Troncamento dei Caratteri e Commenti

Alcaratteri non verranno interpretati correttamente dal frontend, ma il backend li interpreterà e utilizzerà quelle chiavi, questo potrebbe essere utile per bypassare certe restrizioni:

{"test": 1, "test\[raw \x0d byte]": 2}
{"test": 1, "test\ud800": 2}
{"test": 1, "test"": 2}
{"test": 1, "te\st": 2}

Nota come in questi casi il front end potrebbe pensare che test == 1 e il backend penserà che test == 2.

Questo può anche essere usato per bypassare le restrizioni sui valori come:

{"role": "administrator\[raw \x0d byte]"}
{"role":"administrator\ud800"}
{"role": "administrator""}
{"role": "admini\strator"}

Utilizzo della Troncatura dei Commenti

{% code overflow="wrap" %}

obj = {"description": "Duplicate with comments", "test": 2, "extra": /*, "test": 1, "extra2": */}

{% endcode %}

Qui utilizzeremo il serializer di ciascun parser per visualizzare il rispettivo output.

Serializer 1 (ad esempio, la libreria GoJay di GoLang) produrrà:

• description = "Duplicate with comments"
• test = 2
• extra = ""

Serializer 2 (ad esempio, la libreria JSON-iterator di Java) produrrà:

• description = "Duplicate with comments"
• extra = "/*"
• extra2 = "*/"
• test = 1

In alternativa, l'uso diretto dei commenti può essere altrettanto efficace:

obj = {"description": "Comment support", "test": 1, "extra": "a"/*, "test": 2, "extra2": "b"*/}

La libreria GSON di Java:

{"description":"Comment support","test":1,"extra":"a"}

La libreria simdjson di Ruby:

{"description":"Comment support","test":2,"extra":"a","extra2":"b"}

Precedenza Incoerente: Deserializzazione vs. Serializzazione

obj = {"test": 1, "test": 2}

obj["test"] // 1
obj.toString() // {"test": 2}

Float e Intero

Il numero

999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999

può essere decodificato in più rappresentazioni, inclusi:

999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999
9.999999999999999e95
1E+96
0
9223372036854775807

Which might create inconsistences

Riferimenti

• https://medium.com/@shahjerry33/http-parameter-pollution-its-contaminated-85edc0805654
• https://github.com/google/google-ctf/tree/master/2023/web-under-construction/solution
• https://medium.com/@0xAwali/http-parameter-pollution-in-2024-32ec1b810f89
• https://bishopfox.com/blog/json-interoperability-vulnerabilities

{% embed url="https://websec.nl/" %}

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Supporta HackTricks

• Controlla i piani di abbonamento!
• Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
• Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos di github.

{% endhint %}