About Teletype
Join
A
Artyom Semenov
@wearetyomsmnv
January 16, 2024

PortSwigger labs, Web LLM attacks, writeup, p1

Начнём с самой простой лабы

Exploiting LLM APIs with excessive agency

Наша задача, удалить пользователя carlos. Несмотря на то, что в описании к лабе пишут о маппинге API - есть более элегантный способ.

Открываем лабу и попадаем сюда:

в боковом меню мы видим чат, который нам позволит взаимодействовать с LLM. Переходим по нему.

пробуем по-человечески поздороваться с LLM.

Далее, вместо маппинга мы можем сделать трюк, который можно часто встретить в платформах для обучения prompt injection. Мы грубо попросим дать нам информацию о доступных юзерах.

После чего мы заходим под этими учётными данными и удаляем аккаунт.

Видим заветную зелёную кнопку, для выполнения данной задачи. Нажимаем её и получаем PROFIT!

Exploiting vulnerabilities in LLM APIs

А вот уже в этой лабе маппинг - необходимое условие для решения задачи. Наша цель файл morale.txt из /home/carlos . Приступим.

Пропустим тот момент, когда нам необходимо перейти к чату.

В самом начале общения, нам необходимо понять - с какими API может взаимодействовать LLM.

Делаем простой запрос.

Но давайте сделаем его на английском, и попросим его дать нам названия API call's.

Описание в лабе говорит, что нам необходимо проэксплуатировать OS command injection, и в таком случае, единственный вариант для решения этой лабы это сделать перебор, вставив в каждый из параметров PAYLOAD.

За PAYLOAD мы возьмём следующую команду:

rm -rf /home/carlos/morale.txt

Пробуем подставлять в любые параметры


password_reset: rm -rf /home/carlos/morale.txt - не работает, даже если перекодируем в URL

product_info: Тоже самое.

Остаётся параметр subscribe_to_newsletter, который может принимать email для подписки.

Если мы просто укажем туда полезную нагрузку, то к сожалению в ответ нам придёт ошибка.

Поэтому отправляем следующим образом:

subscribe_to_newsletter: carlos@mail.com; rm -rf /home/carlos/morale.txt

В бэкенде этот параметр прошёл и его зажевало вместе с email:

Спустя некоторое время лаба перестала быть доступной, а её статус изменился на:

Это был максимально краткий райтап по новым лабам на PortSwigger. В следующей части мы разберём лабы которые связаны с Indirect Prompt Injection.

Bye!

Artyom Semenov
January 16, 2024, 18:51
0 views
1 reaction
0 reposts