Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-27 07:01:09 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/network-services-pentesting/pentesting-web/graphql.md

27 KiB
Raw Blame History

GraphQL

Aprende hacking en AWS de cero a héroe con htARTE (HackTricks AWS Red Team Expert)!

Otras formas de apoyar a HackTricks:

Introducción

GraphQL actúa como una alternativa a la API REST. Las API REST requieren que el cliente envíe múltiples solicitudes a diferentes puntos finales de la API para consultar datos de la base de datos del backend. Con GraphQL solo necesitas enviar una solicitud para consultar el backend. Esto es mucho más simple porque no tienes que enviar múltiples solicitudes a la API, una sola solicitud puede ser utilizada para recopilar toda la información necesaria.

GraphQL

A medida que surgen nuevas tecnologías, también lo hacen nuevas vulnerabilidades. Por defecto GraphQL no implementa autenticación, esto queda en manos del desarrollador para implementarlo. Esto significa que por defecto GraphQL permite a cualquiera consultarla, cualquier información sensible estará disponible para atacantes sin autenticación.

Cuando realices tus ataques de fuerza bruta de directorios, asegúrate de agregar las siguientes rutas para verificar instancias de GraphQL.

  • /graphql
  • /graphiql
  • /graphql.php
  • /graphql/console
  • /api
  • /api/graphql
  • /graphql/api
  • /graphql/graphql

Una vez que encuentres una instancia abierta de GraphQL, necesitas saber qué consultas admite. Esto se puede hacer utilizando el sistema de introspección, más detalles se pueden encontrar aquí: GraphQL: Un lenguaje de consulta para APIs.
A menudo es útil pedir a un esquema GraphQL información sobre qué consultas admite. GraphQL nos permite hacer esto…

Huella digital

La herramienta graphw00f es capaz de detectar qué motor de GraphQL se utiliza en un servidor y luego imprime información útil para el auditor de seguridad.

Consultas universales

Si envías query{__typename} a cualquier punto final de GraphQL, incluirá la cadena {"data": {"__typename": "query"}} en algún lugar de su respuesta. Esto se conoce como una consulta universal y es una herramienta útil para sondear si una URL corresponde a un servicio de GraphQL.

La consulta funciona porque cada punto final de GraphQL tiene un campo reservado llamado __typename que devuelve el tipo del objeto consultado como una cadena.

Enumeración Básica

GraphQL generalmente admite GET, POST (x-www-form-urlencoded) y POST(json). Aunque por seguridad se recomienda permitir solo json para prevenir ataques CSRF.

Introspección

Para utilizar la introspección para descubrir información del esquema, consulta el campo __schema. Este campo está disponible en el tipo raíz de todas las consultas.

query={__schema{types{name,fields{name}}}}

{
  __schema {
    types {
      name
  }
}

{% endcode %}

Con esta consulta encontrarás el nombre de todos los tipos que se están utilizando:

query={__schema{types{name,fields{name,args{name,description,type{name,kind,ofType{name, kind}}}}}}}

{% endcode %}

Con esta consulta puedes extraer todos los tipos, sus campos y sus argumentos (y el tipo de los argumentos). Esto será muy útil para saber cómo consultar la base de datos.

Errores

Es interesante saber si los errores se van a mostrar, ya que aportarán información útil.

?query={__schema}
?query={}
?query={thisdefinitelydoesnotexist}

Enumerar el Esquema de la Base de Datos mediante Introspección

{% hint style="info" %} Si la introspección está habilitada pero la consulta anterior no se ejecuta, intenta eliminar las directivas onOperation, onFragment y onField de la estructura de la consulta. {% endhint %}

#Full introspection query

query IntrospectionQuery {
__schema {
queryType {
name
}
mutationType {
name
}
subscriptionType {
name
}
types {
...FullType
}
directives {
name
description
args {
...InputValue
}
onOperation  #Often needs to be deleted to run query
onFragment   #Often needs to be deleted to run query
onField      #Often needs to be deleted to run query
}
}
}

fragment FullType on __Type {
kind
name
description
fields(includeDeprecated: true) {
name
description
args {
...InputValue
}
type {
...TypeRef
}
isDeprecated
deprecationReason
}
inputFields {
...InputValue
}
interfaces {
...TypeRef
}
enumValues(includeDeprecated: true) {
name
description
isDeprecated
deprecationReason
}
possibleTypes {
...TypeRef
}
}

fragment InputValue on __InputValue {
name
description
type {
...TypeRef
}
defaultValue
}

fragment TypeRef on __Type {
kind
name
ofType {
kind
name
ofType {
kind
name
ofType {
kind
name
}
}
}
}

Consulta de introspección en línea:

/?query=fragment%20FullType%20on%20Type%20{+%20%20kind+%20%20name+%20%20description+%20%20fields%20{+%20%20%20%20name+%20%20%20%20description+%20%20%20%20args%20{+%20%20%20%20%20%20...InputValue+%20%20%20%20}+%20%20%20%20type%20{+%20%20%20%20%20%20...TypeRef+%20%20%20%20}+%20%20}+%20%20inputFields%20{+%20%20%20%20...InputValue+%20%20}+%20%20interfaces%20{+%20%20%20%20...TypeRef+%20%20}+%20%20enumValues%20{+%20%20%20%20name+%20%20%20%20description+%20%20}+%20%20possibleTypes%20{+%20%20%20%20...TypeRef+%20%20}+}++fragment%20InputValue%20on%20InputValue%20{+%20%20name+%20%20description+%20%20type%20{+%20%20%20%20...TypeRef+%20%20}+%20%20defaultValue+}++fragment%20TypeRef%20on%20Type%20{+%20%20kind+%20%20name+%20%20ofType%20{+%20%20%20%20kind+%20%20%20%20name+%20%20%20%20ofType%20{+%20%20%20%20%20%20kind+%20%20%20%20%20%20name+%20%20%20%20%20%20ofType%20{+%20%20%20%20%20%20%20%20kind+%20%20%20%20%20%20%20%20name+%20%20%20%20%20%20%20%20ofType%20{+%20%20%20%20%20%20%20%20%20%20kind+%20%20%20%20%20%20%20%20%20%20name+%20%20%20%20%20%20%20%20%20%20ofType%20{+%20%20%20%20%20%20%20%20%20%20%20%20kind+%20%20%20%20%20%20%20%20%20%20%20%20name+%20%20%20%20%20%20%20%20%20%20%20%20ofType%20{+%20%20%20%20%20%20%20%20%20%20%20%20%20%20kind+%20%20%20%20%20%20%20%20%20%20%20%20%20%20name+%20%20%20%20%20%20%20%20%20%20%20%20%20%20ofType%20{+%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20kind+%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20name+%20%20%20%20%20%20%20%20%20%20%20%20%20%20}+%20%20%20%20%20%20%20%20%20%20%20%20}+%20%20%20%20%20%20%20%20%20%20}+%20%20%20%20%20%20%20%20}+%20%20%20%20%20%20}+%20%20%20%20}+%20%20}+}++query%20IntrospectionQuery%20{+%20%20schema%20{+%20%20%20%20queryType%20{+%20%20%20%20%20%20name+%20%20%20%20}+%20%20%20%20mutationType%20{+%20%20%20%20%20%20name+%20%20%20%20}+%20%20%20%20types%20{+%20%20%20%20%20%20...FullType+%20%20%20%20}+%20%20%20%20directives%20{+%20%20%20%20%20%20name+%20%20%20%20%20%20description+%20%20%20%20%20%20locations+%20%20%20%20%20%20args%20{+%20%20%20%20%20%20%20%20...InputValue+%20%20%20%20%20%20}+%20%20%20%20}+%20%20}+}

La última línea de código es una consulta graphql que volcará toda la meta-información de graphql (nombres de objetos, parámetros, tipos...)

Si la introspección está habilitada, puedes usar GraphQL Voyager para ver en una GUI todas las opciones.

Consultas

Ahora que sabemos qué tipo de información se guarda dentro de la base de datos, intentemos extraer algunos valores.

En la introspección puedes encontrar qué objeto puedes consultar directamente (porque no puedes consultar un objeto solo porque existe). En la siguiente imagen puedes ver que el "queryType" se llama "Query" y que uno de los campos del objeto "Query" es "flags", que también es un tipo de objeto. Por lo tanto, puedes consultar el objeto flag.

Nota que el tipo de la consulta "flags" es "Flags", y este objeto se define como a continuación:

Puedes ver que los objetos "Flags" están compuestos por name y value. Entonces puedes obtener todos los nombres y valores de las flags con la consulta:

query={flags{name, value}}

Tenga en cuenta que si el objeto a consultar es un tipo primitivo como string, como en el siguiente ejemplo

Puede consultarlo simplemente con:

query={hiddenFlags}

En otro ejemplo donde había 2 objetos dentro del objeto "Query": "user" y "users".
Si estos objetos no necesitan ningún argumento para buscar, podrías recuperar toda la información de ellos simplemente pidiendo los datos que quieras. En este ejemplo de Internet podrías extraer los nombres de usuario y contraseñas guardados:

Sin embargo, en este ejemplo si intentas hacerlo obtienes este error:

Parece que de alguna manera buscará utilizando el argumento "uid" de tipo Int.
De todos modos, ya sabíamos eso, en la sección Enumeración Básica se propuso una consulta que nos mostraba toda la información necesaria: query={__schema{types{name,fields{name, args{name,description,type{name, kind, ofType{name, kind}}}}}}}

Si lees la imagen proporcionada cuando ejecuto esa consulta verás que "user" tenía el arg "uid" de tipo Int.

Así que, realizando un poco de fuerza bruta ligera en uid encontré que en uid=1 se recuperó un nombre de usuario y una contraseña:
query={user(uid:1){user,password}}

Nota que descubrí que podía pedir los parámetros "user" y "password" porque si intento buscar algo que no existe (query={user(uid:1){noExists}}) obtengo este error:

Y durante la fase de enumeración descubrí que el objeto "dbuser" tenía como campos "user" y "password".

Truco de volcado de cadena de consulta (gracias a @BinaryShadow_)

Si puedes buscar por un tipo de cadena, como: query={theusers(description: ""){username,password}} y buscas una cadena vacía volcará todos los datos. (Nota que este ejemplo no está relacionado con el ejemplo de los tutoriales, para este ejemplo supón que puedes buscar usando "theusers" por un campo String llamado "description").

GraphQL es una tecnología relativamente nueva que está empezando a ganar tracción entre startups y grandes corporaciones. Además de la falta de autenticación por defecto, los puntos finales de GraphQL pueden ser vulnerables a otros errores como IDOR.

Búsqueda

Para este ejemplo imagina una base de datos con personas identificadas por el correo electrónico y el nombre y películas identificadas por el nombre y la calificación. Una persona puede ser amiga de otras personas y una persona puede tener películas.

Puedes buscar personas por el nombre y obtener sus correos electrónicos:

{
searchPerson(name: "John Doe") {
email
}
}

Puedes buscar personas por el nombre y obtener sus películas suscritas:

{
searchPerson(name: "John Doe") {
email
subscribedMovies {
edges {
node {
name
}
}
}
}
}

Tenga en cuenta cómo se indica recuperar el name de los subscribedMovies de la persona.

También puede buscar varios objetos al mismo tiempo. En este caso, se realiza una búsqueda de 2 películas:

{
searchPerson(subscribedMovies: [{name: "Inception"}, {name: "Rocky"}]) {
name
}
}r

O incluso relaciones de varios objetos diferentes utilizando alias:

{
johnsMovieList: searchPerson(name: "John Doe") {
subscribedMovies {
edges {
node {
name
}
}
}
}
davidsMovieList: searchPerson(name: "David Smith") {
subscribedMovies {
edges {
node {
name
}
}
}
}
}

Mutaciones

Las mutaciones se utilizan para realizar cambios en el lado del servidor.

En la introspección puedes encontrar las mutaciones declaradas. En la siguiente imagen, el "MutationType" se llama "Mutation" y el objeto "Mutation" contiene los nombres de las mutaciones (como "addPerson" en este caso):

Para este ejemplo, imagina una base de datos con personas identificadas por el correo electrónico y el nombre, y películas identificadas por el nombre y la calificación. Una persona puede ser amiga de otras personas y una persona puede tener películas.

Una mutación para crear nuevas películas dentro de la base de datos puede ser como la siguiente (en este ejemplo la mutación se llama addMovie):

mutation {
addMovie(name: "Jumanji: The Next Level", rating: "6.8/10", releaseYear: 2019) {
movies {
name
rating
}
}
}

Observe cómo tanto los valores como el tipo de datos están indicados en la consulta.

También puede haber una mutación para crear personas (denominada addPerson en este ejemplo) con amigos y películas (note que los amigos y películas deben existir antes de crear una persona relacionada con ellos):

mutation {
addPerson(name: "James Yoe", email: "jy@example.com", friends: [{name: "John Doe"}, {email: "jd@example.com"}], subscribedMovies: [{name: "Rocky"}, {name: "Interstellar"}, {name: "Harry Potter and the Sorcerer's Stone"}]) {
person {
name
email
friends {
edges {
node {
name
email
}
}
}
subscribedMovies {
edges {
node {
name
rating
releaseYear
}
}
}
}
}
}

Fuerza bruta por lotes en 1 solicitud API

Esta información fue tomada de https://lab.wallarm.com/graphql-batching-attack/.
Autenticación a través de la API GraphQL con envío simultáneo de muchas consultas con diferentes credenciales para verificarla. Es un ataque de fuerza bruta clásico, pero ahora es posible enviar más de un par de usuario/contraseña por solicitud HTTP debido a la característica de lotes de GraphQL. Este enfoque engañaría a las aplicaciones de monitoreo de tasa externa haciéndoles creer que todo está bien y que no hay un bot intentando adivinar contraseñas.

A continuación, puedes encontrar la demostración más simple de una solicitud de autenticación de aplicación, con 3 pares de correo electrónico/contraseña diferentes a la vez. Obviamente, es posible enviar miles en una sola solicitud de la misma manera:

Como podemos ver en la captura de respuesta, las primeras y terceras solicitudes devolvieron null y reflejaron la información correspondiente en la sección de error. La segunda mutación tenía los datos de autenticación correctos y la respuesta tiene el token de sesión de autenticación correcto.

GraphQL Sin Introspección

Cada vez más puntos finales de graphql están desactivando la introspección. Sin embargo, los errores que graphql arroja cuando recibe una solicitud inesperada son suficientes para que herramientas como clairvoyance puedan recrear la mayor parte del esquema.

Además, la extensión de Burp Suite GraphQuail observa las solicitudes de la API GraphQL que pasan por Burp y construye un esquema GraphQL interno con cada nueva consulta que ve. También puede exponer el esquema para GraphiQL y Voyager. La extensión devuelve una respuesta falsa cuando recibe una consulta de introspección. Como resultado, GraphQuail muestra todas las consultas, argumentos y campos disponibles para su uso dentro de la API. Para más información consulta esto.

Una buena lista de palabras para descubrir entidades GraphQL se puede encontrar aquí.

Eludiendo las defensas de introspección de GraphQL

Si no puedes hacer que las consultas de introspección se ejecuten para la API que estás probando, intenta insertar un carácter especial después de la palabra clave __schema.

Cuando los desarrolladores desactivan la introspección, podrían usar una expresión regular para excluir la palabra clave __schema en las consultas. Deberías probar caracteres como espacios, nuevas líneas y comas, ya que son ignorados por GraphQL pero no por expresiones regulares defectuosas.

Como tal, si el desarrollador solo ha excluido __schema{, entonces la siguiente consulta de introspección no sería excluida.

#Introspection query with newline
{
"query": "query{__schema
{queryType{name}}}"
}

Si esto no funciona, intente ejecutar la sonda sobre un método de solicitud alternativo, ya que la introspección solo puede estar deshabilitada para POST. Pruebe una solicitud GET o una solicitud POST con un tipo de contenido de x-www-form-urlencoded.

Estructuras GraphQL Filtradas

Si la introspección está deshabilitada, intente mirar el código fuente del sitio web. Las consultas a menudo se cargan previamente en el navegador como bibliotecas de javascript. Estas consultas preescritas pueden revelar información valiosa sobre el esquema y el uso de cada objeto y función. La pestaña Sources de las herramientas para desarrolladores puede buscar en todos los archivos para enumerar dónde se guardan las consultas. A veces, incluso las consultas protegidas por el administrador ya están expuestas.

Inspect/Sources/"Search all files"
file:* mutation
file:* query

CSRF en GraphQL

Si no sabes qué es CSRF, lee la siguiente página:

{% content-ref url="../../pentesting-web/csrf-cross-site-request-forgery.md" %} csrf-cross-site-request-forgery.md {% endcontent-ref %}

Encontrarás varios puntos finales de GraphQL configurados sin tokens de CSRF.

Ten en cuenta que las solicitudes de GraphQL generalmente se envían a través de peticiones POST utilizando el Content-Type application/json.

{"operationName":null,"variables":{},"query":"{\n  user {\n    firstName\n    __typename\n  }\n}\n"}

Sin embargo, la mayoría de los puntos finales de GraphQL también admiten form-urlencoded solicitudes POST:

query=%7B%0A++user+%7B%0A++++firstName%0A++++__typename%0A++%7D%0A%7D%0A

Por lo tanto, como las solicitudes CSRF como las anteriores se envían sin solicitudes de preflight, es posible realizar cambios en el GraphQL abusando de un CSRF.

Sin embargo, ten en cuenta que el nuevo valor predeterminado de la cookie para la bandera samesite de Chrome es Lax. Esto significa que la cookie solo se enviará desde una web de terceros en solicitudes GET.

Ten en cuenta que generalmente es posible enviar la solicitud de consulta también como una solicitud GET y el token CSRF podría no estar validado en una solicitud GET.

Además, abusando de un ataque XS-Search podría ser posible exfiltrar contenido del punto final de GraphQL abusando de las credenciales del usuario.

Para más información consulta la publicación original aquí.

Autorización en GraphQL

Muchas funciones de GraphQL definidas en el punto final solo podrían verificar la autenticación del solicitante, pero no la autorización.

Modificar las variables de entrada de la consulta podría llevar a que se filtren detalles sensibles de la cuenta.

La mutación incluso podría llevar a la toma de control de la cuenta intentando modificar otros datos de la cuenta.

{
"operationName":"updateProfile",
"variables":{"username":INJECT,"data":INJECT},
"query":"mutation updateProfile($username: String!,...){updateProfile(username: $username,...){...}}"
}

Eludir la autorización en GraphQL

Encadenar consultas juntas puede eludir un sistema de autenticación débil.

En el siguiente ejemplo, puedes ver que la operación es "forgotPassword" y que solo debería ejecutar la consulta forgotPassword asociada con ella. Esto se puede eludir agregando una consulta al final, en este caso agregamos "register" y una variable de usuario para que el sistema registre a un nuevo usuario.

Eludir el límite de tasa usando alias

Normalmente, los objetos GraphQL no pueden contener múltiples propiedades con el mismo nombre. Los alias te permiten eludir esta restricción nombrando explícitamente las propiedades que deseas que la API devuelva. Puedes usar alias para devolver múltiples instancias del mismo tipo de objeto en una sola solicitud.

Para obtener más información sobre los alias de GraphQL, consulta Aliases.

Aunque los alias están destinados a limitar la cantidad de llamadas a la API que necesitas hacer, también se pueden usar para forzar bruscamente un punto final de GraphQL.

Muchos puntos finales tendrán algún tipo de limitador de tasa en su lugar para prevenir ataques de fuerza bruta. Algunos limitadores de tasa funcionan en base al número de solicitudes HTTP recibidas en lugar del número de operaciones realizadas en el punto final. Debido a que los alias efectivamente te permiten enviar múltiples consultas en un solo mensaje HTTP, pueden eludir esta restricción.

El ejemplo simplificado a continuación muestra una serie de consultas con alias que verifican si los códigos de descuento de una tienda son válidos. Esta operación podría potencialmente eludir la limitación de tasa ya que es una sola solicitud HTTP, aunque podría usarse para verificar un gran número de códigos de descuento a la vez.

#Request with aliased queries
query isValidDiscount($code: Int) {
isvalidDiscount(code:$code){
valid
}
isValidDiscount2:isValidDiscount(code:$code){
valid
}
isValidDiscount3:isValidDiscount(code:$code){
valid
}
}

Herramientas

Escáneres de vulnerabilidades

Clientes

Pruebas Automáticas

{% embed url="https://graphql-dashboard.herokuapp.com/" %}

Referencias

Aprende a hackear AWS de cero a héroe con htARTE (HackTricks AWS Red Team Expert)!

Otras formas de apoyar a HackTricks: