前回：やられアプリ BadTodo - 25.1 色々混ぜてやってみる１（XSS - CSRF -WebShell） - demandosigno 前回、BadTodo上にWebShellを設置することができました。 WebShell＝Web上でシェルを動かせる、ということで色々なことができるようになります。 (WebShellをすぐには用意できないという方は、通常のターミナルでコマンドを打つ・編集・コピーするなどしてファイルの改ざん以降だけでも試してみてください) 幾つかコマンドを試す ファイルの改ざん 次にBadTodoのWebファイルを改ざんしユーザの入力値を盗めるようにしたいと思います。しかし、 このWebShellは簡単な機能しかないためエディタなどは開けません ワンライナーで書き込むこともできるが面倒くさい→後日 wget や curl が使えれば、外部からファイルごとダウンロ

BadTodo - 4.1 XSS（クロスサイト・スクリプティング） BadTodo - 10.1 CSRF（クロスサイト・リクエスト・フォージェリ） BadTodo - 10.7 XSSによるCSRF対策の突破 前回：BadTodo - 24 適切でないアップロートファイル制限 などを混ぜて色々やってみます。 まず今回、XSSの脆弱性を使い、ユーザーにCSRF相当の罠を実行させ、悪意のあるハッカーが利用できるプログラムファイルをアップロードさせます。 次回、そのウェブ上に設置したプログラム（WebShell）を使いサイトを改ざんし、ユーザーの入力情報を盗みます。 XSSの脆弱性を使い、ファイルをアップロードさせる 既存のユーザが作成済みの Todo を狙い、それに対する編集・修正リクエストをXSSにて実行させることでWebShellファイルのアップロードを行います。（Todoを新規作成"

前回：やられアプリ BadTodo - 17.3 パスワードハッシュ化の目的 - demandosigno パスワード解析ソフトの John the Ripper でもハッシュの解析はできるのですが、今回は hashcat を使います。 その名の通りハッシュの解析ができます。強力なグラフィックボードはハッシュの解析も速いため、ベンチマークソフトとしても使われています。 hashcat - advanced password recovery hashcatは様々なハッシュの種類やソルト付きハッシュに対応していますが、私のPCのグラフィックボードは古くて性能が低いため以下の内容で試します。 ・ハッシュ関数はMD5（ソルト無し） ・ハッシュの元とするパスワードは、8文字の英大文字・小文字・数字 ・hashcat-5.1.0（昨年試した際の記録かつ私のグラボに対応可能なバージョンのため古いです）

前回：やられアプリ BadTodo - 17.2 補足 保存するパスワードのハッシュ化 - demandosigno 今回の内容は記事の最後にリンクを貼った徳丸さんの解説動画の内容などから自分なりにまとめたものです。（細かい点はわざと省いています。徳丸さんの動画はとても分かりやすいですのでぜひ全編視聴してみてください） これらを踏まえた上で、次回のハッシュ値の解析に進みます。 データベースに保存されるデータは盗まれた際の保険として暗号化されます。 データベース暗号化の目的 重要情報を保護したい 情報が漏洩しても悪用されないようにデータを暗号化する つまり情報漏洩に対する緩和策です。 （暗号化 AES:共通鍵, RSA:公開鍵。AES-256：Amazon RDS, S3, IAM など） 一方、前回 password_hash 関数を使ったように、パスワードはハッシュ値で保存されることが多

前回：やられアプリ BadTodo - 25.3 NULLバイト攻撃（+XSS） - demandosigno 前回までに挙げたNULLバイト攻撃の３つの例はどれもGETリクエストに対するものでした。 続けて、POSTリクエストに対して試してみようとした際に疑問点が残ったためメモしておきます。 eregi() で試します（正規表現によるマッチングを行う関数） まず GET の場合 eregi_get.php <?php $id = $_GET['id']; var_dump($id); var_dump(eregi("^[a-z]{4}$", $id)); // a-zの4文字であるか否か。マッチしたら「1」を返す これに対し GET /eregi_get.php?id=hoge は 結果：string(4) "hoge" int(1) となります。 一方、 GET /eregi_get.

前回：やられアプリ BadTodo - 22 A8:2017 - 安全でないデシリアライゼーション - demandosigno 幾つかのプログラミング言語は eval（イーバル）という機能や関数を持っています。 eval には複数のコードを解釈し実行する機能がありますが、evalの利用法に問題がある場合、外部から送り込んだスクリプトを実行される危険があります。 （PHPの場合『注意: これは、関数ではなく 言語構造のため、可変関数や名前付き引数を用いてコールすることはできません』とのことです。） PHP: eval - Manual ちなみに、「evalインジェクション」という呼称は変ですね。evalを注入するわけではなくて、evalを元々使っている中で、スクリプトを注入するわけですから。しかしCWE-95に「evalインジェクション」とあるので、それに従っています— 徳丸 浩 (@oc

前回：やられアプリ BadTodo - 4.6 XSS パスワード変更ページ - demandosigno Todoの題名をクリックすると開くTodoの詳細画面のリクエスト https://todo.example.jp/todo.php?rnd=6639eec0ed1b2&item=2の item パラメータにXSSがあります。 itemに'><script>alert(1)</script>を付加。 https://todo.example.jp/todo.php?rnd=6639eec0ed1b2&item=2%27%3E%3Cscript%3Ealert(1)%3C/script%3E レスポンス内、「添付ファイル」の「削除ボタンフォーム」位置に出力されます。 そのため添付ファイルの無いTodoでは機能しません。 次回：やられアプリ BadTodo - 4.7 XSS 対策方法（エ

前回：やられアプリ BadTodo - 3.9 SQLインジェクション 対策方法 - demandosigno これまでのSQLインジェクションは、UNION SELECT 演算子を使って既に存在する表に追記させたり、SLQエラー文の出力を利用して情報を得たりしました。 しかし、結果を出力する場所がなかったり、エラーメッセージが表示される場合でもカスタムされたエラーページでテンプレート文が表示されるだけの場合は使えません。 そこで第3の方法としてブラインドSQLインジェクションがあります。ブラインドSQLインジェクションには Boolean-Based と Time-Based がありますが、まずは Boolean-Based SQLインジェクションについて。 SQL文の問い合わせに対する回答が「真か偽か」の2択を確認することで結果を推測していく方法です。 練習 BadTodoで実際に試す

前回：やられアプリ BadTodo - 27 レースコンディション - demandosigno キャッシュを利用することでアプリケーションの読み込み処理を高速化したり、サーバーの負荷を軽減させたりできます。 BadTodoでは Nginx がリバースプロキシサーバとなりキャッシュ機能を持っています。 今、"test"ユーザでBadTodoにログインしマイページを見ています。（これ以降少し時間のかかる操作のため、ログイン時に「ログインしたままにする」をチェックしておきます） このときURLに"rnd=6603fd696be28"という文字列が付いています。これは「キャッシュバスター」といい、URLのクエリー文字列として乱数値を付与することでキャッシュからの情報漏洩を防ぐ保険的な対策の一つです。 ここでは、キャッシュバスターが付いていない場合について見ていきます。 アドレスから"rnd=66

前回：やられアプリ BadTodo - 26 TOCTOU競合 - demandosigno 競合状態 (race condition) 情報処理における競合状態は「イベントタイミングへの予期せぬ依存が引き起こす異常な振る舞い」である。特に複数のプロセスやスレッドが通信しながら動作する場合（並行計算）に発生するが、単一スレッドで動作している場合であっても、シグナルによる割り込みが原因で発生することもある。 競合状態 - Wikipedia TOCTOUも競合状態の一種と考えて良いようです。 システム開発のセキュリティにおいてレースコンディションと TOCTOU は、しばしば混同して使われることがありますが、それぞれの違いについて用語の整理から確認していきましょう。 レースコンディション(Race Condition)とは、複数の処理が同じデータに対してアクセスしたときに、競合状態になること

前回：やられアプリ BadTodo - 25.4 NULLバイト攻撃（POSTリクエストの場合） - demandosigno TOCTOU（トックトゥー）Time of check to Time of use. ある条件をチェック (check) したあと、その結果を行使 (use) するまでに変更が発生することで引き起こされるバグの一種。競合状態の一例。 まったく同一のIDで登録できてしまう。同一のファイル名でアップロードできてしまう。その結果、本来のユーザーでない人に機密情報が洩れる事故などが想定されます。 というわけで、最初はBadTodoの新規登録部分に目を付けて確認してみました。実際下記の記事でもそこが言及されています。 www.itmedia.co.jp しかしながら「Docker版 BadTodo Ver 2.1.0」では新規登録部分に問題は見つけられませんでした。（確認

前回：やられアプリ BadTodo - 26.2 NULLバイト攻撃（+SQLインジェクション） - demandosigno 前回と同じ場所で今度はXSSを試します。 入力値 https://todo.example.jp/api/v1/is_valid_id.php?id=hoge%00%3Cscript%3Ealert(1)%3C/script%3E Nullバイト（%00）を入れているためバリデーションは回避できているようです（true） しかし入力値が何も出力されないためXSSは発動しません。 （JSONを返しているのに Content-Type が application/json ではなく text/html であることも問題の一つですがまた後日。JSONであれば古いIEでもなければXSSは発火しません） 前回SQLインジェクションを試した際に、シングルクォーテーション' =

前回：やられアプリ BadTodo - 25.1 NULLバイト攻撃（+ファイルインクルード） - demandosigno 新規ユーザー登録時などにバリデーションチェックが入り（記号などの入力はダメで）「英数字で」と注意されます。 この時のチェックはAPIが行っているのですが、このidパラメータにSQLインジェクションがあります。 まず、問題ない入力の場合。 https://todo.example.jp/api/v1/is_valid_id.php?id=test true が返ってきます。 次にSQLインジェクションを試します。 BadTodo - 3.4 SQLインジェクション ID・パスワードの取得で試した「エラーメッセージに情報を埋め込む」方法を使います。（MySQLのextractvalue関数を使いXPATHのエラーを起こし、サブクエリの結果をCONCATで展開して目的の文

前回：やられアプリ BadTodo - 24 適切でないアップロートファイル制限 - demandosigno Todoリストを「完了」にしたり「削除」や「エクスポート」する際に走るリクエストhttps://todo.example.jp/editlist.phpにはprocessというパラメータがありますが、これにファイルインクルードの脆弱性があります。 ここでは「完了」ボタンで試します。BurpSuiteのインターセプトをONにしてから「完了」をクリックし、POSTパラメータをprocess=../../../../../etc/passwdと書き換え送信します。参考 : BadTodo - 7 リモート・ファイルインクルード（RFI） この結果は"require(../../../../../etc/passwd.php): failed to open stream"というエラーに

Kali LinuxをDocker Desktopにインストールします。 https://www.kali.org/get-kali/#kali-containers Dockerイメージの取得 Docker イメージのリポジトリは下記となりますが、 https://hub.docker.com/u/kalilinux/ Docker Desktop 最上部の検索バーからも探すことができます。 「Kali」と検索してイメージをダウンロード(Pull)。 イメージ一覧に「kalilinux/kali-rolling」ができました。 追記 （systemd を使ったバージョン） Kali 公式のイメージ（kalilinux/kali-rolling）では起動プロセスに systemd ではなく SysVinit (SystemV) を使っています。そのため systemctlコマンドが使えませ

前回：やられアプリ BadTodo - 10.5 CSRF（対策） - demandosigno トークンが推測可能 BadTodoで利用されていたトークンを幾つか抜き出してみました。 c4ca4238a0b923820dcc509a6f75849b 7bd4762216e1953efd194f3868c1e8ba 449e7e9838eabd52940a36d22c654228 3df2a117736ceea78e5fa72dca9f3af2 eccbc87e4b5ce2fe28308fd9f2a7baf3 4720ebfded0bb54afcec179e57ac8ac8 fd2899aa6326f03350ffe97653fa13d9 それぞれ32桁の英数字です。MD5アルゴリズムで算出されたハッシュ値の可能性があります。試しに"c4ca4238a0b923820dcc509a6f75

前回：やられアプリ BadTodo - 10.6 CSRF対策トークンの不備 - demandosigno 今回は XSS を使ってCSRF相当の攻撃を行います。（パスワードの変更） 前回確認したように、CSRF対策としてトークンのチェックが行われます。 トークンは実行ページ直前のページで生成され、セッション変数とhiddenパラメータに保存されます。そして変更操作実行時にPOSTパラメータでトークンを飛ばし、先ほどセッション変数に保存したトークンと一致しているかがチェックされます。 トークンは通常は乱数で生成されるため、悪意のある第3者には分からずCSRFが実行できません。 しかしXSSがあると、スクリプトで変更直前のページにアクセスしCSRFトークンを取得することができます。続けてそのトークンを使いリクエストを実行することでトークンによるCSRF対策をかいくぐれます。 通常のCSRF攻

前回：やられアプリ BadTodo - 10.1 CSRF（クロスサイト・リクエスト・フォージェリ） - demandosigno 安全なウェブサイトの作り方 - 1.6 CSRF（根本的解決） 処理を実行するページをPOSTメソッドでアクセスするようにし、その「hiddenパラメータ」に秘密情報が挿入されるよう、前のページを自動生成して、実行ページではその値が正しい場合のみ処理を実行する。 ここでは具体的な例として、「入力画面 → 確認画面 → 登録処理」のようなページ遷移を取り上げて説明します。 まず、利用者の入力内容を確認画面として出力する際、合わせて秘密情報を「hidden パラメータ」に出力するようにします。この秘密情報は、セッション管理に使用しているセッションIDを用いる方法の他、セッションIDとは別のもうひとつのID（第2セッションID）をログイン時に生成して用いる方法等が考

前回：やられアプリ BadTodo - 23 evalインジェクション - demandosigno CWE - CWE-434: Unrestricted Upload of File with Dangerous Type (4.15) Todoリストにはファイルをアップロードする機能があります。 これを使いPHPファイルなどをアップロードしようとすると「この拡張子のファイルはアップロードできません」と出ます。 ぱっと見アップロードできていないように見えますが、 BadTodo - 19 ディレクトリ・リスティングで確認できたアップロード先/attachmentを見てみるとアップロードされており閲覧できてしまいます。 （サーバーのキャッシュにより表示が更新されない場合がありますが少し時間を空けてみてください。参考：BadTodo - 28 キャッシュからの情報漏洩） このままだとウイル