EXP-301の構成

EXP-301はTRAINING MATERIALという教育資料や動画/ExerciseやExtraMilesという各セクション用の演習問題や発展問題がセットになった学習用コンテンツとCHALLENGE LABSと呼ばれる演習環境で構成されています。

TRAINING MATERIALのうちの教育資料は、以下の内容で構成されています。
※syllabusについてはこちらを参照下さい。

• WinDbg and x86 Architecture
• Exploiting Stack Overflows
• Exploiting SEH overflows
• Introduction to IDA Pro
• Overcoming Space Restrictions: Egghunters
• Creating Custom Shellcode
• Reverse Engineering for Bugs
• Stack Overflows and DEP Bypass
• Stack Overflows and ASLR Bypass
• Format String Specifier Attack Part I
• Format String Specifier Attack Part II
  • ※Windows x86のスタックベースのExploit開発がメインです。

上記内容を参照すると、解析に慣れていない方にとっては、少々敷居の高い内容に見えてしまいますが、Windowsにおけるx86アーキテクチャの概要説明として「スタックとは何か？」や「呼び出し規約」「各CPUレジスタの用途」等の基本的な内容も資料内で説明してくれています。

また、WinDbgやIDA Freeの使用方法も説明してくれているのでそこまで敷居は高くないと思います。

EXP-301を受講する前に身に着けておくと楽になるスキル

私が考えるEXP-301を受験する前に身に着けておくと楽になるスキルは以下の通りです。

• 基本的なPython3の構文を理解し、意図したヘッダ/ボディを含むHTTPリクエストを送信するコードを直ぐに記述できる。
• x86アセンブリ言語のコードを読んで、動作を理解できる。
  • 更に、アセンブリを読んだ時にC言語のソースコードをイメージできる。
• プログラム実行時にメモリ領域がどのように管理されているかを知っている。(スタックの積み上げ順序やデータの格納順序の理解程度で問題ありません。)

併せて、スタックベースでもヒープベースでも良いのでBuffer Overflowを用いてShellcodeを実行した経験がある方は、より資料の内容を理解しやすいと思います。

※もちろん、EXP-301の受講を通じて上記のスキルを身につけられますのでご安心ください。あくまで身に着けておくと楽になるスキルと考えています。

EXP-301を受講した後に身につけられるスキル

TRAINING MATERIALやCHALLENGE LABSの内容から以下のスキルを身に着ける事ができます。

【解析に関わる技術】

• WinDbgでの動的解析/IDAでの静的解析を組み合わせた解析技術
  • 二つのツール間で解析対象のベースアドレスを同期させ、静的解析にてローカル変数/レジスタへの格納値や条件分岐の分岐先を予測しつつ、動的解析にて意図した値が格納されているかを確認します。
  • 私は、静的解析を行って、ある程度脆弱性のありそうな場所に見切りをつけた後に、動的解析を使用しながら、送信したペイロードがどの処理を辿っているかを確認していました。🤖
  • ※脆弱性発見の技術に焦点を当てているのでマルウェア解析の技術とは少々異なります。

【Stack Overflowに関わる技術】

• SEH(Structured Exception Handling)
  • SEHとは、構造化例外処理とも呼ばれるWindows OSにおけるプログラムの例外処理用に実装された機構です。

• Egghunter
  • クラッシュ時点で使用できるスタック領域が少ない場合に、メモリ上に配置したShellcodeを探し出し先頭アドレスに遷移させるアセンブリ(Egghunter)を作成します。
  • 操作可能なメモリ領域にPivotするための目印となるバイナリパターンがEggで、それを探し出す処理を実装するからEgghunterです。🥚

• ROP(Return-Oriented Programming)
  • Return-Oriented Programmingは直訳すると、リターン指向プログラミングですが、簡単に説明すると「命令+RET命令」が存在するメモリアドレス指定を繰り返すことでDEPが有効化されたバイナリ上でも悪意のある操作を実現しようという内容です。
  • 「命令+RET命令」の組み合わせをROPガジェットと呼び、バイナリ上に存在するROPガジェットを探す作業は、宝さがし💎に似ているため個人的にはとても好きです。CTF等で扱った経験がありご存知の方も多いと思います。
  • 後ほど簡単なROPガジェットとその動作について紹介します。

• DEP/ASLR bypass
  • DEPについては、ROPを使用して回避できますが、ASLRの場合にはヒープやスタック等の領域が仮想アドレス空間上のランダムなアドレスに配置されてしまっているので、主に以下のような方法で回避する必要があります。
    • 1.ASLRが無効化されているモジュールを探す。
      • ←モダンなプログラムでは有効化されている場合が多い。
    • 2.ASLRが有効化されているバイナリでも、メモリ上に配置された際に一部のbitが固定されることを利用し、部分的な上書きを実行する。
      • ←ROPを併用する場合は、使用できるガジェットが限られてしまう。
    • 3.ベースアドレスをブルートフォースする。
      • ←アクセスできない無効なアドレスをブルートフォース途中で指定してもプログラム自体がクラッシュしないか、クラッシュしても自動的に再起動するプログラムに対してしか実行できない。
      • ←ハイエントロピーASLRが有効化されている環境では計算量が非常に大きくなってしまう。
    • 4.Info Leak(Information Leakage)関連の脆弱性を使用してモジュールのアドレスを取得する。
      • ←Info Leak関連の脆弱性がないと実行できない。

上記の手法のうち、EXP-301では、4番目のInfo Leakの手法を中心に演習を実施していきます。

【開発に関わる技術】

• Python3での開発技術
  • 全てのExploit CodeはPython3で開発します。また、OSEDではリモートからペイロードを送信し、プログラムに対して値を入力する事でShellcodeの発火を行うまでが焦点になっています。
  • よって、ペイロードを送信するときには意図した値をパケットに含めるようにPython3のコードを記述する必要があります。
    • より厳密には、ペイロードを受け取ったプログラムでメモリに値を格納するときには、(OSEDではx86系のCPUを標的としているために)リトルエンディアンを考慮してコードを記述します。
  • これらの「値の送信→メモリへの格納→プログラムでの処理」までを意図した流れで行えるように開発を行います。🐍

• Shellcodeの開発技術
  • アセンブリで記述した処理内容を16進数に変換し、Shellcodeを作成します。この時にShellcodeのバイト数を減らし、処理を効率化するためにEDTから取得したWindows APIの名前をror命令を使用してハッシュ化(API Hashing)したり、Windows APIの関数呼び出し時のスタックを再現したりと工夫を施します。🐚

少々長くなりましたが、イメージを具体化したい方のためにも詳しく書きました。
なお、以下のようなエクスプロイト開発は含まれないコースになっています。

• Heap領域を対象にしたメモリ破壊
• 64bitアプリケーションを対象にしたエクスプロイト
• Windowsのカーネルドライバを対象にした解析と脆弱性発見

上記は、EXP-301の上位互換であるEXP-401/OSEEを受講し、学習する必要があります。

私は解析が比較的好きな方なので総じてとても楽しく、毎日ワクワクしながら資料や演習環境と向き合っていました。

特に実業務内でバックエンドの処理が分からず、ずっと悩んでいる事があったので、それよりも低レイヤで処理を一つずつ整理している方が、ずっと楽しいと感じました。🥳

Windows OSに関わる処理の細かい部分まで追っていけますので、学べる内容は多いと思います。また、脆弱性ってどうやって探すんだろう？に興味がある方は是非、受けてみてください。

試験までの準備

大まかな試験対策項目とそのスケジュール(期間)は以下の通りです。

※EXP-301の登録時には、90日コースを選択していました。少々時間がなく焦りましたが、最終的には約20日残して試験合格まで達成できたので、事前知識があれば90日コースでも良いと思います。

試験当日の流れ

OSEDの試験は、47時間45分の演習と24時間のレポート作成で構成されています。

60点が合格点となっており、2つの課題は30点ずつ、1つの課題は40点となっています。つまり、3つの課題のうち2つ以上を完了すれば合格点には達します。

試験当日のタイムスケジュールは以下の通りです。

• 全ての課題を終えられた達成感は凄まじく、終わった後に散歩したときの空はとても青く感じました。🌍
• レポート提出後、1営業日くらいで結果が送付されてきました。