[閒聊] 漏洞回報心得：PTT註冊驗證碼繞過

看板Marginalman作者fxfxxxfxx (愛麗絲)時間11月前 (2023/05/21 12:40)推噓18(18推 0噓 10→)

留言28則, 25人參與討論串1/2 (看更多)

這次偶然間發現了能夠無限註冊 PTT 帳號的方法，回報到 HITCON ZeroDay 平台，目前已修復並公開。 (https://zeroday.hitcon.org/vulnerability/ZD-2023-00133) 契機 ---- 其實最一開始是跟找漏洞無關的。單純是有一天突然在想，不知道有沒有辦法在不編輯文章的情況下，提前知道準備發出去的文章代碼，這樣豈不是很酷嗎翻了一下 PTT 的程式碼後可以發現，文章代碼和檔名之間有一套轉換規則。而檔名由三個部份組成： 1. 種類（文章或文摘） 2. 發文時間 3. 某個隨機的值前兩項都不難控制，所以剩下最後一項的隨機值。一看之後發現竟然是用 C 標準庫的 random()。那這樣就蠻簡單的了，只要能讓他生出多一點隨機數出來就能反推 seed，因為 seed space 只有 2^32 這麼多，這個數量級對現在的電腦來說可以直接暴力硬搜。剩下的問題在要怎麼生出足夠多的隨機數。第一個想法是連發好幾篇文，不過這樣有點突兀。翻一翻程式碼之後發現一個比較好的辦法，就是利用 PTT 的 ANSI 動畫支援的隨機跳頁面功能。只要讓第一頁的內容是只有「1」、第二頁的內容只有「2」... 在開頭加上隨機跳頁面，就馬上可以知道這次 random() % (頁數) 的值了。生出足夠多的值之後對每個 seed 都試試看符不符合就可以反推出 seed。在這之後的隨機數就都是可預測的。在我的電腦上完整的試完 2^32 種可能的 seed 需要大約 40 分鐘左右。不過我沒這個耐心，就順便寫一下 CUDA 來用顯卡跑。在我的 GTX 1080 上完整跑完需要大約一分鐘，已經非常能接受了。無限認證帳號 ------------ 能夠提前知道文章代碼當然很不錯，接著我就順便看一下還有哪些地方用了 random()，發現有個 makeregcode() 也用了 random()。繼續追下去發現是用來生成註冊驗證碼的，但只有信箱註冊會用到，其他像是簡訊註冊、重設密碼等等都是乖乖從 /dev/urandom 拿的。應該是當初漏改到這個部份。實際測試還真的讓我驗證成功，所以只要用任何沒被註冊過的台大信箱都可以驗證，前面是亂碼也沒關係，就算 mail server 壞掉寄不出去也沒差，因為在我們進入驗證頁面的那一刻就知道驗證碼是什麼了。回報 ---- 我在 3/16 號時回報給 HITCON ZeroDay 平台。規定是兩個月後自動公開。大約一個月後（有點慢）狀態改成修復中，再過一個月後，也就是 5/16 號凌晨時就自動公開了。我當時覺得站方認為這是不值得修的小漏洞，畢竟只是能一直註冊而已，不是資料外洩或整個站被駭。所以我就把 PoC 丟一丟，就當這件事結束了。沒想到同一天的晚上我收到平台寄來的信，說是之前的通報有點問題，現在他們重新聯絡到 PTT 站長，所以要把狀態退回非公開。我回到 GitHub 上看，竟然已經有兩個 fork 了，也不知道他們怎麼發現的。不過已經 fork 的我也管不了，反正不是我的問題，把我自己的 repo 移除相關內容就仁至義盡了。這次 PTT 的反應就非常快，隔天 (5/17) 我就收到通知說修好了請我複測，所以當初兩個月沒人回大概就真的是聯絡上有點問題，確定修好之後三天，也就是 5/21 的凌晨時重新變回公開。完整的時間軸： 03/16: 回報至 HITCON ZeroDay 03/26: 平台審核完成（應該是指確定有漏洞） 04/24: 修補中（理論上應該要聯絡到 PTT 站方了） 05/16: 第一次公開 05/16: 寄信來說要改回非公開 05/17: 寄信來說修好了 05/21: 再度公開結論 ---- 這是我第一次比較正式的回報漏洞，雖然不是什麼大漏洞，不過我自己是覺得挺有趣的。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 140.112.16.175 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Marginalman/M.1684644050.A.0DE.html

→

XROCK

05/21 12:41, 11月前 , 1^F

05/21 12:41, 1^F

→

kitune

05/21 12:41, 11月前 , 2^F

05/21 12:41, 2^F

推

Mikotosama

05/21 12:41, 11月前 , 3^F

05/21 12:41, 3^F