前言
之前见过一些介绍GraphQL漏洞的文章,翻看参考了很多相关文章,特以此文记录学习DVGA靶场的过程要点。
GraphQL介绍
GraphQL 是一个用于API的查询语言,使用基于类型系统来执行查询的服务(类型系统由你的数据定义)。GraphQL并没有和任何特定数据库或者存储引擎绑定,而是依靠你现有的代码和数据支撑。
再REST API中,往往我们的请求需要多个API,每个API是一个类型。比如:http://www.test.com/users/{id} 这个API可以获取用户的信息;再比如:http://www.test.com/users/list 这个API可以获取所有用户的信息。
在graphql中则不需要这么多api来实现不同的功能,只需要一个API,比如:http://www.test.com/graphql这个API。查询不同的内容仅需要改变post内容,不再需要维护多个api。
打开GraphQL的官方demo(https://graphql.org/swapi-graphql),查询personID为1的人的id和birthYear信息:
query{
person(personID: 1){
id
birthYear
}
}
在这种架构中,客户端首先与GraphQL进行交互,后者又与后端逻辑代码进行交互,最终逻辑代码与数据库进行信息交互。描述这种情况的图是:
这种架构的优势如下:
- 可以在单个请求中获得客户端所需的所有数据(而REST API需要执行多个请求)
- 使用一个Endpoint(URL路由)即可处理多种请求。
根据官方文档,主要的操作类型有三种:query(查询)、mutation(变更)、subscription(订阅),最常用的就是query,所有的查询都需要操作类型,除了简写查询语法。
DVGA靶场环境
GitHub项目:https://github.com/dolevf/Damn-Vulnerable-GraphQL-Application
使用docker搭建漏洞环境:
docker pull dolevf/dvga
docker run -d -p 5000:5000 -e WEB_HOST=0.0.0.0 dolevf/dvga
访问http://ip:5000即可:
DVGA靶场学习
DVGA靶场提供了一个官方解题solution,对靶场中存在的漏洞接口进行讲解,我们可以按照这个顺序学习GraphQL相关的漏洞知识。
1. Denial of Service
1.1 批量查询攻击
GraphQL 支持批处理请求,这使其成为DoS攻击以及其他攻击(例如暴力破解和枚举攻击等)的良好候选者。
如果识别出资源密集型 GraphQL 查询,我们可以利用批处理来调用查询接口,导致服务器淹没在请求中,造成拒绝服务攻击。
在该靶场中,查询 systemUpdate 接口需要很长时间才能完成,可用于通过批处理系统更新请求查询来攻击服务器。
POST /graphql HTTP/1.1
Host: dvga:5000
User-Agent: python-requests/2.24.0
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
Content-Length: 56
Content-Type: application/json
{"query": "query {\n systemUpdate\n}", "variables": []}
请求一次该接口所需时间:
使用批处理请求,请求两次该接口,所需时间翻倍:
1.2 深度递归查询攻击
在 GraphQL 中,当类型之间相互引用时,就会构建一个循环查询,该查询以指数方式增长到可以使服务器瘫痪的程度。诸如 max_depth 之类的方法可以帮助减轻这些类型的攻击。
修复措施:max_depth 功能作为一种保护措施,定义了查询的深度,确保超过该深度的查询不会被 GraphQL 接受。
该靶场提供了Owner和Paste两种类型,它们之间相互引用(``Owner拥有Paste,Paste对应Owner`),可以成功执行递归查询。
如此查询方式,使得服务器查询效率大大降低:
query {
pastes {
owner {
paste {
edges {
node {
owner {
paste {
edges {
node {
owner {
paste {
edges {
node {
owner {
id
}
}
}
}
}
}
}
}
}
}
}
}
}
}
}
1.3 资源密集型查询攻击
某些查询在计算上可能比其他查询更昂贵。一个查询可能包括某些字段,这些字段会触发更复杂的后端逻辑以实现查询解析。作为攻击者,我们可以通过频繁调用这些操作来滥用它以导致资源耗尽。
修复措施:在 GraphQL 中,存在一个称为查询成本分析的概念,它将权重值分配给解析成本高于其他字段的字段。使用此功能,我们可以创建一个上限阈值来拒绝昂贵的查询。或者,可以实现缓存功能以避免在短时间内重复相同的请求。
2. 信息泄露
2.1 GraphQL 内省查询
简单来说就是,GraphQL内置了接口文档,你可以通过内省的方法获得这些信息,如对象定义、接口参数等信息。
当使用者不知道某个GraphQL接口中的类型哪些是可用的,可以通过__schema字段来向GraphQL查询哪些类型是可用的。
POST /graphql HTTP/1.1
Host: dvga:5000
User-Agent: python-requests/2.24.0
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
Content-Length: 1927
Content-Type: application/json
{"query":"\n query IntrospectionQuery {\r\n __schema {\r\n queryType { name }\r\n mutationType { name }\r\n subscriptionType { name }\r\n types {\r\n ...FullType\r\n }\r\n directives {\r\n name\r\n description\r\n locations\r\n args {\r\n ...InputValue\r\n }\r\n }\r\n }\r\n }\r\n\r\n fragment FullType on __Type {\r\n kind\r\n name\r\n description\r\n fields(includeDeprecated: true) {\r\n name\r\n description\r\n args {\r\n ...InputValue\r\n }\r\n type {\r\n ...TypeRef\r\n }\r\n isDeprecated\r\n deprecationReason\r\n }\r\n inputFields {\r\n ...InputValue\r\n }\r\n interfaces {\r\n ...TypeRef\r\n }\r\n enumValues(includeDeprecated: true) {\r\n name\r\n description\r\n isDeprecated\r\n deprecationReason\r\n }\r\n possibleTypes {\r\n ...TypeRef\r\n }\r\n }\r\n\r\n fragment InputValue on __InputValue {\r\n name\r\n description\r\n type { ...TypeRef }\r\n defaultValue\r\n }\r\n\r\n fragment TypeRef on __Type {\r\n kind\r\n name\r\n ofType {\r\n kind\r\n name\r\n ofType {\r\n kind\r\n name\r\n ofType {\r\n kind\r\n name\r\n ofType {\r\n kind\r\n name\r\n ofType {\r\n kind\r\n name\r\n ofType {\r\n kind\r\n name\r\n ofType {\r\n kind\r\n name\r\n }\r\n }\r\n }\r\n }\r\n }\r\n }\r\n }\r\n }\r\n ","variables":null}
将响应内内容粘贴到该网站:https://apis.guru/graphql-voyager/
可以针对 GraphQL 运行内省查询的结果展示模型关系。
2.2 GraphQL 接口
GraphQL 有一个名为 GraphiQL(注意 i)的集成开发环境,它允许在友好的用户界面中构建查询。
GraphiQL 通常位于 /graphiql 或 __graphiql 等路径中,但也可能位于其他位置。可枚举的存在路由如下:
"/",
"/graphql",
"/graphiql",
"/v1/graphql",
"/v2/graphql",
"/v3/graphql",
"/graphql/console",
"/v1/graphql/console",
"/v2/graphql/console",
"/v3/graphql/console",
"/v1/graphiql",
"/v2/graphiql",
"/v3/graphiql",
"/playground",
"/query",
"/explorer",
"/altair",
可以使用此 Nmap 的 NSE 脚本来枚举 GraphiQL 端点:https://github.com/dolevf/nmap-graphql-introspection-nse/blob/6594cce7b590a7194641494ed33c018d9ecd6b89/graphql-introspection.nse#L47
2.3 GraphQL 字段建议
GraphQL 具有字段和操作反馈建议的功能。例如,当开发人员想要与 GraphQL API 集成并键入不正确的字段时,GraphQL 将反馈建议相似的字段。
字段建议本身并不是一个漏洞,而是一个可以被滥用以更深入地了解 GraphQL 模式的功能,尤其是在不允许自省的情况下。
如尝试查询system字段,响应包给出反馈建议:
POST /graphql HTTP/1.1
Host: dvga:5000
User-Agent: python-requests/2.24.0
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
Content-Length: 49
Content-Type: application/json
{"query":"query {\n system\n}","variables":null}
2.4 服务端请求伪造SSRF
该靶场中,GraphQL mutation 的 importPaste 接受任意主机、端口和协议来导入粘贴,并且不限制使用诸如 localhost 或其他内部服务器之类的输入。这可以允许代表应用服务器伪造针对其他网络节点的请求。
该功能为请求URL并将响应内容保存为paste,功能点所在位置:
请求dnslog:
dnslog收到请求:
该过程的请求包如下:
可以使用gopher、dict等协议进行内网探测等。
3. 代码执行
在上面介绍SSRF的导入paste功能处,通过分析源码,发现此处还存在代码注入漏洞,接收输入,拼接到curl --insecure命令后面并执行系统命令:
core/views.py ImportPaste类中
def mutate(self, info, host='pastebin.com', port=443, path='/', scheme="http"):
url = security.strip_dangerous_characters(f"{scheme}://{host}:{port}{path}")
cmd = helpers.run_cmd(f'curl --insecure {url}')
可以通过
``
||
;;
&&
等方式拼接执行命令:
未完待续。。。
