Безопасность MODX, часть 1 - обход фильтрации MODX тегов

Это первая часть доклада с конференции MODX Meetup Moscow. Информацию решил разбить на 2 статьи посвященных разным векторам атак. Полная запись доклада доступна в ВК, а на ютубе запись моего экрана. Ну и естественно слайды.

Для тех, кто в танке, скажу еще раз — парсер, который разбирает MODX теги рекурсивен. И благодаря именно этому возможна нежелательная обработка каких-то случайных данных полученных от пользователя. Разработчики движка это прекрасно понимают, потому позаботились о том, чтобы из получаемых данных вырезалось все, что хоть чем-то похоже на MODX теги.

Таким образом, если вы передадите сайту строчку похожую на

Hi [[++dsn]]!

То движок ее отфильтрует и вы увидите всего лишь

Hi !

В 2012 году мной был обнаружен способ обойти эту фильтрацию

Hi [[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[]]]]]]]]]]]]]]]]]]]]++dsn]]!

И запрос с кучей скобок преобразовывался и становился вполне легитимным для MODX
Hi [[++dsn]]!
В конечном счете это приводило к тому, что на выходе мы получали обработку тега и наблюдали параметры подключения к базе данных

Hi mysql:host=127.0.0.1;dbname=modx;charset=utf8mb4!

На тот момент, из глобальных плейсхолдеров можно было узнать не только параметры подключения к базе через плейсхолдер [[++dsn]], но еще и логин-пароль пользователя этой самой базы. Сейчас плейсхолдеры с логином и паролем убрали. Но это не единственные плейсхолдеры которые стоит спрятать.

• [[++emailsender]] Хранит в себе почтовый адрес отправителя. По умолчанию, после установки движка, этот адрес совпадает с почтовым ящиком администратора.
• [[++mail_smtp_pass]] — Содержит пароль от почты в случае если вы настроили отправку писем с использованием SMTP. Зачастую с этим паролем можно не только отправлять, но и читать почту.

В общем зная значения этих плейсхолдеров можно деанонимизировать администратора, попробовать получить доступ к почте и сбросить пароль. Что в конечном счете приведет к несанкционированному доступу.

Я согласен, что уязвимость 2012 года для обхода фильтрации тегов на данный момент уже не актуальна. Но тем не менее, вектор атаки остался прежним. Поскольку политика MODX — не воспринимать багрепорты с потенциальными угрозами безопасности, я считаю, что все разработчики должны знать как самостоятельно сделать свои сниппеты безопасными. Поэтому теперь давайте посмотрим на метод modX::sanitize и разберем различные типовые ситуации, которые помогут обойти фильтрацию.

Я создал тестовый сниппет с названием flag на демо-сайте. И вот несколько способов как его можно вызвать

Фильтрация HTML — способ 1

Перед выводом пользовательских данных вы предусмотрительно воспользовались функцией strip_tags() или даже Jevix.

Таким образом, уязвимый сниппет в сильно упрощенном варианте будет выглядеть примерно следующим образом

return strip_tags($_REQUEST['data']);

Соответственно строка

[<b></b>[flag]<b></b>]

преобразуется во

[[flag]]

Многомерные массивы — способ 2

Следующая ситуация немного необычная, но тем не менее, о ней стоит знать, т.к. все зависит от настроек вашего сайта. По умолчанию, метод modX::sanitize поддерживает массивы максимум с 99 уровнями вложенности. Соответственно если кто-то завернет вызов сниппета в массив с более чем 99 уровнями вложенности, то фильтрацию удастся обойти.

На данный момент от этого вектора атаки спасают лишь настройки PHP по умолчанию.
Максимальная вложенность массивов ограничена параметром max_input_nesting_level, который равен 64. Если в настройках вашего сервера установлено значение больше 100, то сайт потенциально уязвим.

Уязвимый сниппет на демо-сайте называется StageTwo. Для простоты, данные просто пропускаются через JSON:

return json_encode($_REQUEST['data'], JSON_FORCE_OBJECT);

Соответственно запрос

data[][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][]=[[flag]]

Успешно обойдет фильтрацию, т.к. массив data имеет 100 уровень вложенности.

Вывод данных из сторонних источников — способ 3

Наконец мое любимое — вывод данных из сторонних источников. Это может быть список тем или комментариев с форума, который установлен у вас где-то на поддомене. Или даже лента сообщений из какой-нибудь социальной сети по определенному хеш-тегу.
Как можно догадаться, эксплуатация очень простая. Заходим на форум, создаем сообщение, в котором будут использоваться MODX теги. Затем открываем сайт и радуемся результату. 6 лет назад даже официальный сайт был подвержен этому вектору атаки

Вывод

Как вы видите, способы обхода фильтрации достаточно типовые.
Поэтому единственное разумное решение — всегда подменять квадратные скобки на сущности, а не полагаться на встроенный обработчик.

[ - [
] - ]

P.S. В 2013 году был еще один способ обхода фильтрации, но о нем мало кто помнит и знает. Для истории и полноты статьи оставлю тут видео, которое тогда было передано в MODX для демонстрации уязвимости.