[閒聊] 漏洞回報心得:PTT註冊驗證碼繞過
這次偶然間發現了能夠無限註冊 PTT 帳號的方法,
回報到 HITCON ZeroDay 平台,目前已修復並公開。
(https://zeroday.hitcon.org/vulnerability/ZD-2023-00133)
契機
----
其實最一開始是跟找漏洞無關的。
單純是有一天突然在想,不知道有沒有辦法在不編輯文章的情況下,
提前知道準備發出去的文章代碼,這樣豈不是很酷嗎
翻了一下 PTT 的程式碼後可以發現,文章代碼和檔名之間有一套轉換規則。
而檔名由三個部份組成:
1. 種類(文章或文摘)
2. 發文時間
3. 某個隨機的值
前兩項都不難控制,所以剩下最後一項的隨機值。
一看之後發現竟然是用 C 標準庫的 random()。
那這樣就蠻簡單的了,只要能讓他生出多一點隨機數出來就能反推 seed,
因為 seed space 只有 2^32 這麼多,
這個數量級對現在的電腦來說可以直接暴力硬搜。
剩下的問題在要怎麼生出足夠多的隨機數。
第一個想法是連發好幾篇文,不過這樣有點突兀。
翻一翻程式碼之後發現一個比較好的辦法,
就是利用 PTT 的 ANSI 動畫支援的隨機跳頁面功能。
只要讓第一頁的內容是只有「1」、第二頁的內容只有「2」...
在開頭加上隨機跳頁面,就馬上可以知道這次 random() % (頁數) 的值了。
生出足夠多的值之後對每個 seed 都試試看符不符合就可以反推出 seed。
在這之後的隨機數就都是可預測的。
在我的電腦上完整的試完 2^32 種可能的 seed 需要大約 40 分鐘左右。
不過我沒這個耐心,就順便寫一下 CUDA 來用顯卡跑。
在我的 GTX 1080 上完整跑完需要大約一分鐘,已經非常能接受了。
無限認證帳號
------------
能夠提前知道文章代碼當然很不錯,
接著我就順便看一下還有哪些地方用了 random(),
發現有個 makeregcode() 也用了 random()。
繼續追下去發現是用來生成註冊驗證碼的,但只有信箱註冊會用到,
其他像是簡訊註冊、重設密碼等等都是乖乖從 /dev/urandom 拿的。
應該是當初漏改到這個部份。
實際測試還真的讓我驗證成功,
所以只要用任何沒被註冊過的台大信箱都可以驗證,
前面是亂碼也沒關係,就算 mail server 壞掉寄不出去也沒差,
因為在我們進入驗證頁面的那一刻就知道驗證碼是什麼了。
回報
----
我在 3/16 號時回報給 HITCON ZeroDay 平台。規定是兩個月後自動公開。
大約一個月後(有點慢)狀態改成修復中,
再過一個月後,也就是 5/16 號凌晨時就自動公開了。
我當時覺得站方認為這是不值得修的小漏洞,
畢竟只是能一直註冊而已,不是資料外洩或整個站被駭。
所以我就把 PoC 丟一丟,就當這件事結束了。
沒想到同一天的晚上我收到平台寄來的信,
說是之前的通報有點問題,
現在他們重新聯絡到 PTT 站長,所以要把狀態退回非公開。
我回到 GitHub 上看,竟然已經有兩個 fork 了,也不知道他們怎麼發現的。
不過已經 fork 的我也管不了,反正不是我的問題,
把我自己的 repo 移除相關內容就仁至義盡了。
這次 PTT 的反應就非常快,隔天 (5/17) 我就收到通知說修好了請我複測,
所以當初兩個月沒人回大概就真的是聯絡上有點問題,
確定修好之後三天,也就是 5/21 的凌晨時重新變回公開。
完整的時間軸:
03/16: 回報至 HITCON ZeroDay
03/26: 平台審核完成(應該是指確定有漏洞)
04/24: 修補中(理論上應該要聯絡到 PTT 站方了)
05/16: 第一次公開
05/16: 寄信來說要改回非公開
05/17: 寄信來說修好了
05/21: 再度公開
結論
----
這是我第一次比較正式的回報漏洞,
雖然不是什麼大漏洞,不過我自己是覺得挺有趣的。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 140.112.16.175 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/Marginalman/M.1684644050.A.0DE.html
→
05/21 12:41,
11月前
, 1F
05/21 12:41, 1F
→
05/21 12:41,
11月前
, 2F
05/21 12:41, 2F
推
05/21 12:41,
11月前
, 3F
05/21 12:41, 3F
→
05/21 12:42,
11月前
, 4F
05/21 12:42, 4F
→
05/21 12:42,
11月前
, 5F
05/21 12:42, 5F
→
05/21 12:42,
11月前
, 6F
05/21 12:42, 6F
推
05/21 12:43,
11月前
, 7F
05/21 12:43, 7F
推
05/21 12:43,
11月前
, 8F
05/21 12:43, 8F
推
05/21 12:43,
11月前
, 9F
05/21 12:43, 9F
→
05/21 12:44,
11月前
, 10F
05/21 12:44, 10F
→
05/21 12:44,
11月前
, 11F
05/21 12:44, 11F
推
05/21 12:45,
11月前
, 12F
05/21 12:45, 12F
推
05/21 12:49,
11月前
, 13F
05/21 12:49, 13F
推
05/21 12:50,
11月前
, 14F
05/21 12:50, 14F
推
05/21 12:50,
11月前
, 15F
05/21 12:50, 15F
推
05/21 12:51,
11月前
, 16F
05/21 12:51, 16F
→
05/21 12:52,
11月前
, 17F
05/21 12:52, 17F
推
05/21 12:56,
11月前
, 18F
05/21 12:56, 18F
推
05/21 12:58,
11月前
, 19F
05/21 12:58, 19F
推
05/21 12:59,
11月前
, 20F
05/21 12:59, 20F
推
05/21 13:00,
11月前
, 21F
05/21 13:00, 21F
推
05/21 13:00,
11月前
, 22F
05/21 13:00, 22F
推
05/21 13:00,
11月前
, 23F
05/21 13:00, 23F
推
05/21 13:01,
11月前
, 24F
05/21 13:01, 24F
推
05/21 13:05,
11月前
, 25F
05/21 13:05, 25F
推
05/21 13:13,
11月前
, 26F
05/21 13:13, 26F
→
05/21 13:41,
11月前
, 27F
05/21 13:41, 27F
→
05/21 14:31,
11月前
, 28F
05/21 14:31, 28F
討論串 (同標題文章)
完整討論串 (本文為第 1 之 2 篇):