å‰å›ž ã¯ã€C言語ã¨ã‚¢ã‚»ãƒ³ãƒ–ラã§ã‚·ã‚§ãƒ«ã‚’èµ·å‹•ã™ã‚‹ãƒ—ãƒã‚°ãƒ©ãƒ を機械語ã«ç›´ã—ã¦å‹•ã‹ã—ã¦ã¿ã¾ã—ãŸã€‚
今回ã¯ã€ã€Œå…¥é–€ã‚»ã‚ュリティコンテストーーCTFを解ããªãŒã‚‰å¦ã¶å®Ÿæˆ¦æŠ€è¡“ã€ã‚’èªã¿ã¾ã—ãŸã€‚CTF ã®å„ジャンルã”ã¨ã«ã€ç·´ç¿’å•é¡Œã®è§£ã方をä¸å¯§ã«èª¬æ˜Žã•ã‚ŒãŸæœ¬ã§ã€ã¨ã¦ã‚‚オススメã§ãる内容ã§ã—ãŸã€‚å˜ãªã‚‹è§£æ³•ã ã‘ã§ã¯ãªãã€ãã“ã§ä½¿ã‚ã‚Œã¦ã„る技術ã«ã¤ã„ã¦ã‚‚ä¸å¯§ãªè§£èª¬ãŒã•ã‚Œã¦ã„ã¾ã—ãŸã€‚
ã¾ãŸã€ã“ã®æœ¬ã§ã¯ã€CTF ã§ã€ã‚ˆã使ã‚ã‚Œã¦ã„ã‚‹ã¨ã•ã‚Œã‚‹ãƒ„ールãŒã€ãŸãã•ã‚“紹介ã•ã‚Œã¦ã„ãŸã®ã§ã€ä»Šå›žã¯ã€ãã®ãƒ„ールを調ã¹ãŸã‚Šã€å®Ÿéš›ã«ä½¿ã£ã¦ã¿ãŸã‚Šã—ãŸã„ã¨æ€ã„ã¾ã™ã€‚
ãã‚Œã§ã¯ã€ã‚„ã£ã¦ã„ãã¾ã™ã€‚
å‚考文献
ã¯ã˜ã‚ã«
「セã‚ュリティã€ã®è¨˜äº‹ä¸€è¦§ã§ã™ã€‚良ã‹ã£ãŸã‚‰å‚考ã«ã—ã¦ãã ã•ã„。
ã‚»ã‚ュリティã®è¨˜äº‹ä¸€è¦§
ãã‚Œã§ã¯ã€ã‚„ã£ã¦ã„ãã¾ã™ã€‚
入門セã‚ュリティコンテストã®æ¦‚è¦
ç´„220ページã®æœ¬ã§ã€CTF ã«åˆã‚ã¦æŒ‘戦ã™ã‚‹äººå‘ã‘ã®å†…容ã§ã—ãŸã€‚ç§ã‚‚åˆå¿ƒè€…ãªã®ã§ã€ã¨ã¦ã‚‚å‚考ã«ãªã‚‹å†…容ã§ã—ãŸã€‚
国内ã®è‘—å㪠CTF ã¨ã—ã¦ã€ä»¥ä¸‹ãŒç´¹ä»‹ã•ã‚Œã¦ã„ã¾ã—ãŸã€‚
ã¾ãŸã€è‘—åãªã‚ªãƒ³ãƒ©ã‚¤ãƒ³å¸¸è¨åž‹ã® CTF ã¨ã—ã¦ã€ä»¥ä¸‹ãŒç´¹ä»‹ã•ã‚Œã¦ã„ã¾ã—ãŸã€‚
ä»–ã«ã‚‚ã€åˆå¿ƒè€…å‘ã‘ã¨ã—ã¦ã€picoCTFã€CSAW CTF ã® writeup ãŒå‚考ã«ãªã‚‹ã¨æ›¸ã‹ã‚Œã¦ã„ã¾ã—ãŸã€‚
å•é¡Œã®ã‚¸ãƒ£ãƒ³ãƒ«åˆ¥ã®è§£èª¬
以é™ã¯ã€å•é¡Œã®ã‚¸ãƒ£ãƒ³ãƒ«åˆ¥ã«ã€éŽåŽ»ã®å•é¡Œã‚’実際ã«è§£ã„ã¦ã„ãéŽç¨‹ã‚’解説ã•ã‚Œã¦ã„ã¾ã™ã€‚
リãƒãƒ¼ã‚¹ã‚¨ãƒ³ã‚¸ãƒ‹ã‚¢ãƒªãƒ³ã‚°å•é¡Œï¼šIDA Pro
逆アセンブラã®ãƒ„ールã¨ã—ã¦ã€ã€ŒIDA Proã€ã®ç„¡å„Ÿç‰ˆã®ã€ŒIDA Freewareã€ãŒç´¹ä»‹ã•ã‚Œã¦ã„ã¾ã™ã€‚
以下ãŒå…¬å¼ã‚µã‚¤ãƒˆã§ã™ã€‚ã“ã“ã‹ã‚‰ç„¡å„Ÿç‰ˆã¨ã—ã¦ã¯ã€ã€ŒIDA Freeã€ã¨ã€ŒIDA Demoã€ãŒãƒ€ã‚¦ãƒ³ãƒãƒ¼ãƒ‰ã§ããã†ã§ã™ã€‚機能一覧を見ãŸã¨ã“ã‚ã€ç„¡å„Ÿç‰ˆã¯ã€ã©ã¡ã‚‰ã‚‚ã€x86 㨠x64 ã®ã¿å¯¾å¿œã§ã€ARM ã«ã¯å¯¾å¿œã—ã¦ãªã•ãã†ã§ã—ãŸã€‚
hex-rays.com
æš—å·å•é¡Œï¼šPkCrack
ã“ã“ã§ã¯ã€ãƒ‘スワード付ãã® ZIPファイルãŒå•é¡Œã®å¯¾è±¡ã§ã—ãŸã€‚
パスワードã¯åˆ†ã‹ã‚‰ãªã„状æ³ã§ã‚‚ã€ZIPファイルã®ä¸èº«ä»¥å¤–ã®æƒ…å ±ï¼ˆZIPファイルã«æ ¼ç´ã•ã‚Œã¦ã„るファイルåã€ãƒ•ã‚¡ã‚¤ãƒ«ã‚µã‚¤ã‚ºãªã©ï¼‰ã‚’å–å¾—ã™ã‚‹ã®ã«ã€zipinfoコマンドを使用ã•ã‚Œã¦ã„ã¾ã—ãŸã€‚
å•é¡Œã®å¯¾è±¡ãƒ•ã‚¡ã‚¤ãƒ«ï¼ˆunzipã¨ã„ã†ãƒ•ã‚¡ã‚¤ãƒ«å)をダウンãƒãƒ¼ãƒ‰ã—ã¦ãã¦ã€å®Ÿéš›ã«ã€zipinfoコマンドを使ã£ã¦ã¿ã¾ã™ã€‚3ã¤ã®ãƒ•ã‚¡ã‚¤ãƒ«ãŒåœ§ç¸®ã•ã‚ŒãŸã“ã¨ãŒåˆ†ã‹ã‚Šã¾ã™ã€‚Windows ã® 7-zip ã¨ã„ã†åœ§ç¸®è§£å‡ãƒ„ールã§ã‚‚ã€åœ§ç¸®ãƒ•ã‚¡ã‚¤ãƒ«ã‚’ 7-zip ã§é–‹ãã¨ã€åŒã˜ã‚ˆã†ãªæƒ…å ±ã¯å¾—られã¾ã™ã€‚
$ zipinfo unzip
Archive: unzip
Zip file size: 21710 bytes, number of entries: 3
-rw-r----- 3.0 unx 14182 TX defN 15-Nov-30 16:23 backnumber08.txt
-rw-r----- 3.0 unx 12064 TX defN 15-Nov-30 16:22 backnumber09.txt
-rw------- 3.0 unx 22560 BX defN 15-Dec-01 15:21 flag
3 files, 48806 bytes uncompressed, 21148 bytes compressed: 56.7%
パスワード付ãZIPファイルã®ãƒ‘スワードをクラックã™ã‚‹ãƒ„ールã¨ã—ã¦ã€PkCrack ãŒä½¿ã‚ã‚Œã¦ã„ã¾ã—ãŸã€‚
www.unix-ag.uni-kl.de
ソースファイルã¸ã®ãƒªãƒ³ã‚¯ãŒã‚ã‚‹ã®ã§ã€ãƒ€ã‚¦ãƒ³ãƒãƒ¼ãƒ‰ã—ã¦ã€ãƒ“ルドã™ã‚‹å¿…è¦ãŒã‚ã‚Šã¾ã™ã€‚ビルドãŒå®Œäº†ã™ã‚‹ã¨ã€pkcrack ã¨ã„ã†å®Ÿè¡Œãƒ•ã‚¡ã‚¤ãƒ«ãŒå¾—られã¾ã™ã€‚
$ tar zxvf pkcrack-1.2.3.tar.gz
$ cd pkcrack-1.2.3/
$ cd src/
$ make
ã§ã¯ã€å®Ÿéš›ã«ã€ãƒ‘スワードをクラックã—ã¦ã¿ã¾ã™ã€‚
ãªãœã€ãƒ‘スワード付ãZIPファイルã®ãƒ‘スワードãŒã‚¯ãƒ©ãƒƒã‚¯ã§ãã‚‹ã‹ã¨è¨€ã†ã¨ã€ãƒ‡ãƒ•ã‚©ãƒ«ãƒˆã§ãƒ‘スワード付ãZIPファイルを作æˆã™ã‚‹å ´åˆã€Traditional PKWARE Encryption ã¨ã„ã†æš—å·æ–¹å¼ãŒä½¿ã‚れるãã†ã§ã€ã“ã‚Œã¯ã€æ—¢ã«ç°¡å˜ã«ã‚¯ãƒ©ãƒƒã‚¯ã•ã‚Œã¦ã—ã¾ã†æ–¹å¼ã ãã†ã§ã™ï¼ˆæ›¸ç±ã«ã¯ã€ä¸å¯§ãªè§£èª¬ãŒã‚ã‚Šã¾ã™ï¼‰ã€‚
Traditional PKWARE Encryption ã¯ã€ZipCrypto ã¨ã‚‚呼ã°ã‚Œã¦ã„ã¦ã€ã“れらã¯åŒã˜ã‚‚ã®ã§ã™ã€‚パスワード付ãZIPファイルã®æš—å·æ–¹å¼ã¯ã€ã‚‚ㆠ1ã¤ã‚ã£ã¦ã€AES を用ã„ã‚‹ã‚‚ã®ã§ã™ã€‚
ãŸã ã—ã€ãƒ‘スワード付ãZIPファイルã«æ ¼ç´ã•ã‚ŒãŸãƒ•ã‚¡ã‚¤ãƒ«ï¼ˆä»Šå›žã®å ´åˆã¯3ファイル)ã®ã†ã¡ã€æš—å·åŒ–ã•ã‚Œã¦ãªã„ファイルãŒã€1ファイルã¯æ‰‹å…ƒã«ã‚ã‚‹ã“ã¨ãŒæ¡ä»¶ã§ã™ã€‚今回ã®ã‚ˆã†ã«ã€3ã¤ã®ãƒ•ã‚¡ã‚¤ãƒ«ã®ã†ã¡ã€2ã¤ã®ãƒ•ã‚¡ã‚¤ãƒ«ã® backnumber08.txt 㨠backnumber09.txt ã¯ã€Web を検索ã™ã‚‹ã¨ã€ã™ãã«å…¥æ‰‹ã™ã‚‹ã“ã¨ãŒå‡ºæ¥ã¾ã™ã€‚ã“ã“ã§ã¯ã€backnumber08.txt を使ã„ã¾ã™ã€‚
ã‚ã¨ã€æº–å‚™ã¨ã—ã¦ã€äº‹å‰ã«ã€åŒã˜åœ§ç¸®çŽ‡ã§ ZIPファイルã«æ ¼ç´ã•ã‚Œã¦ã„る平文ファイルをã€æ™®é€šã« ZIP圧縮ã—ãŸãƒ•ã‚¡ã‚¤ãƒ«ãŒå¿…è¦ã§ã™ã€‚ã§ã¯ã€ã‚„ã£ã¦ã¿ã¾ã™ã€‚ç´„2分åŠã§ã‚¯ãƒ©ãƒƒã‚¯ã§ããŸã‚ˆã†ã§ã™ã€‚指定ã—ãŸãƒ•ã‚¡ã‚¤ãƒ«ã€Œunzip_decrypted.zipã€ã¯ã€ãƒ‘スワードãŒç„¡ã„ ZIPファイルã§ã™ã€‚
$ zip backnumber08.zip backnumber08.txt
$ ../../pkcrack-1.2.3/src/pkcrack -C unzip -c backnumber08.txt -p backnumber08.txt -P backnumber08.zip -d unzip_decrypted.zip
Files read. Starting stage 1 on Sun Sep 1 22:55:09 2024
Generating 1st generation of possible key2_5299 values...done.
Found 4194304 possible key2-values.
Now we're trying to reduce these...
Lowest number: 984 values at offset 970
Lowest number: 932 values at offset 969
Lowest number: 931 values at offset 967
Lowest number: 911 values at offset 966
Lowest number: 906 values at offset 965
Lowest number: 904 values at offset 959
Lowest number: 896 values at offset 955
Lowest number: 826 values at offset 954
Lowest number: 784 values at offset 606
Lowest number: 753 values at offset 206
Done. Left with 753 possible Values. bestOffset is 206.
Stage 1 completed. Starting stage 2 on Sun Sep 1 22:55:51 2024
Ta-daaaaa! key0=270293cd, key1=b1496a17, key2=8fd0945a
Probabilistic test succeeded for 5098 bytes.
Ta-daaaaa! key0=270293cd, key1=b1496a17, key2=8fd0945a
Probabilistic test succeeded for 5098 bytes.
Stage 2 completed. Starting zipdecrypt on Sun Sep 1 22:57:35 2024
Decrypting backnumber08.txt (5315a01322ab296c211eecba)... OK!
Decrypting backnumber09.txt (83e6640cbec32aeaf10ed1ba)... OK!
Decrypting flag (34e4d2ab7fe1e2421808bab2)... OK!
Finished on Sun Sep 1 22:57:35 2024
パスワード付ãZIPファイルを使ã†ã¨ãã¯ã€æš—å·åŒ–æ–¹å¼ã‚’デフォルトã®ã¾ã¾ä½¿ã£ã¦ã¯ã„ã‘ãªã„ã€ã¨ã„ã†çŸ¥è¦‹ãŒå¾—られã¾ã—ãŸã€‚
フォレンジックå•é¡Œï¼šusnparser
ã“ã“ã§ã¯ã€Windows 上ã§ã€ãƒ•ã‚¡ã‚¤ãƒ«ã‚„フォルダã«å¯¾ã™ã‚‹å¤‰æ›´å‡¦ç†ã‚’記録ã—ãŸãƒã‚°ãƒ•ã‚¡ã‚¤ãƒ«ã§ã‚ã‚‹ã€USN(Updated Sequence Number)ジャーナルãŒè§£æžå¯¾è±¡ã¨ãªã£ã¦ã„ã¾ã™ï¼ˆåˆã‚ã¦çŸ¥ã‚Šã¾ã—ãŸï¼‰ã€‚ã“ã®ãƒã‚°ãƒ•ã‚¡ã‚¤ãƒ«ã‚’パースã™ã‚‹ã®ã«ã€usnparser ã¨ã„ã†ãƒ„ール(Pythonパッケージ)ãŒç´¹ä»‹ã•ã‚Œã¦ã„ã¾ã™ã€‚
pypi.org
事å‰çŸ¥è˜ãŒãªã„ã¨ã€çµ¶å¯¾ã«ãŸã©ã‚Šç€ã‘ãªã„ã§ã™ã。
ã‚ã¨ã€è§£èª¬ã®é€”ä¸ã§ã€stringsコマンドã§ã€2byteæ–‡å—を扱ã£ã¦ã‚‹ã¨ã“ã‚ãŒã‚ã‚Šã¾ã—ãŸã®ã§ãƒ¡ãƒ¢ã—ã¦ãŠãã¾ã™ã€‚
実際ã«ä½¿ã‚ã‚Œã¦ã„ãŸã®ã¯ã€ã€Œ$ strings -e l Jã€ã§ã€J ã¨ã„ã†ãƒ•ã‚¡ã‚¤ãƒ«åã«å¯¾ã—ã¦ä½¿ã‚ã‚Œã¦ã„ã¾ã—ãŸã€‚
-e オプションã§ã€ã€Œsã€Sã€bã€lã€Bã€Lã€ã‚’指定ã™ã‚‹ã“ã¨ãŒå‡ºæ¥ã¾ã™ã€‚ParrotOS 㧠stringsコマンドを manコマンドã§è¦‹ãŸçµæžœã‚’表ã«ã—ã¦ãŠãã¾ã™ã€‚
| オプション |
内容 |
| s |
single-7-bit-byte characters (default) |
| S |
single-8-bit-byte characters |
| b |
16-bit bigendian |
| l |
16-bit littleendian |
| B |
32-bit bigendian |
| L |
32-bit littleendian |
ã‚ã¨ã€Useful for finding wide character strings. (l and b apply to, for example, Unicode UTF-16/UCS-2 encodings). ã¨ã‚るよã†ã«ã€ãƒžãƒ«ãƒãƒã‚¤ãƒˆæ–‡å—ã®å ´åˆã€l 㨠b ãŒé©ç”¨ã§ãã‚‹ã¨ã‚ã‚Šã¾ã™ã€‚
Webã‚»ã‚ュリティå•é¡Œï¼šã†ã•ã¿ã¿ãƒãƒªã‚±ãƒ¼ãƒ³
ã“ã“ã§ã¯ã€SECCON 令和CTF ã§å‡ºé¡Œã•ã‚ŒãŸã€ŒreiwaVoteã€ã¨ã„ã†å•é¡Œã‚’扱ã£ã¦ã„ã¾ã™ã€‚èªã¿é€²ã‚ã‚‹ã¨ã€ãªã‹ãªã‹ãƒ¦ãƒ¼ãƒ¢ã‚¢ã®ã‚ã‚‹å•é¡Œã§ã™ã€‚
ã“ã“ã§ã¯ã€ãƒ„ールã§ã¯ãªã„ã§ã™ãŒã€å®šç•ªã® SQLインジェクションã®æ‰‹æ®µãŒè§£èª¬ã•ã‚Œã¦ã„ã¾ã™ã€‚' or 1=1 -- ã§ã™ã€‚
SQLインジェクションã§ãƒ•ãƒ©ã‚°ã¯ç²å¾—ã§ãã¦ã—ã¾ã†ã®ã§ã™ãŒã€ãªãœã€ã“ã® SQLインジェクションã§ãƒ•ãƒ©ã‚°ãŒç²å¾—ã§ããŸã‹ã‚’ä¸å¯§ã«è§£èª¬ã•ã‚Œã¦ã„ã¾ã™ã€‚
å•é¡Œã¨ãªã£ã¦ã„ã‚‹ Webアプリケーションã«ã¤ã„ã¦ã€ä»¥ä¸‹ã®ãƒ„ールを使ã£ã¦è§£æžã—ã¦ã„ã¾ã™ã€‚
www.vector.co.jp
ã“ã®ãƒ„ールを使ã†ã¨ã€å®Ÿè¡Œä¸ã®ãƒ—ãƒã‚»ã‚¹ã®ãƒ¡ãƒ¢ãƒªã‚’å‚ç…§ã€ç·¨é›†ã™ã‚‹ã“ã¨ãŒå‡ºæ¥ã‚‹ã‚ˆã†ã§ã™ã€‚ã“ã‚Œã«ã‚ˆã‚Šã€å®Ÿè¡Œã•ã‚Œã¦ã„ã‚‹ SQL文やã€Webアプリケーションã®ã‚½ãƒ¼ã‚¹ã‚³ãƒ¼ãƒ‰ã‚’抽出ã§ãるよã†ã§ã™ã€‚
次回㮠Webアプリケーションã®å•é¡Œã‚’ã‚„ã‚‹ã¨ãã«ä½¿ã£ã¦ã¿ãŸã„ã¨æ€ã„ã¾ã™ã€‚
ã¾ãŸã€Webアプリケーションã®ã‚»ã‚ュリティをå¦ã¶æ›¸ç±ã¨ã—ã¦ã€ä»¥ä¸‹ãŒã‚ªã‚¹ã‚¹ãƒ¡ã•ã‚Œã¦ã„ã¾ã—ãŸã€‚確ã‹ã«ã€Webã‚»ã‚ュリティã®ãƒã‚¤ãƒ–ルã ã¨æ€ã„ã¾ã™ã€‚
ãƒãƒƒãƒˆãƒ¯ãƒ¼ã‚¯å•é¡Œï¼šScapyã€PingTunnel
pcapファイルを解æžã™ã‚‹å•é¡Œã‚’扱ã£ã¦ã„ã¾ã™ã€‚今回ã®å•é¡Œã§ã¯ã€141個ã®ãƒ‘ケットãŒæ ¼ç´ã•ã‚Œã¦ãŠã‚Šã€ãã®å…¨ã¦ãŒ ICMP ã®ãƒ‘ケットã¨ã„ã†ã‚‚ã®ã§ã—ãŸã€‚
ICMP ã® pcapファイルã«åŸ‹ã‚è¾¼ã¾ã‚ŒãŸç”»åƒãƒ•ã‚¡ã‚¤ãƒ«ï¼ˆPNGファイル)を抽出ã™ã‚‹ã®ã«ã€Python ã® Scapy を使ã£ã¦ã„ã¾ã™ã€‚
ICMP ã«ã€ä»»æ„ã®ãƒ‡ãƒ¼ã‚¿ã‚’埋ã‚込む手法(ICMP Tunnel)ã“ã¨ãŒå‡ºæ¥ã‚‹ã“ã¨ãŒè§£èª¬ã•ã‚Œã¦ã„ã¾ã™ã€‚ã¾ãŸã€ãã®ãŸã‚ã®ãƒ„ールã¨ã—ã¦ã€PingTunnel ãŒç´¹ä»‹ã•ã‚Œã¦ã„ã¾ã™ã€‚
PingTunnel ã®å…¬å¼ã‚µã‚¤ãƒˆã¯ä»¥ä¸‹ã§ã™ã€‚
www.cs.uit.no
今回ã¯ã€ç›´æŽ¥ã€è§£æ³•ã«ã“ã®ãƒ„ールを使ã†ã‚ã‘ã§ã¯ãªã„ãŸã‚ã€ã‚µã‚¤ãƒˆã®ç´¹ä»‹ã ã‘ã¨ã—ãŸã„ã¨æ€ã„ã¾ã™ã€‚世ã®ä¸ã«ã¯ã€ã„ã‚ã‚“ãªãƒ„ールã€æ‰‹æ³•ãŒã‚ã‚‹ã‚“ã ãªã¨æ„Ÿã˜ã¾ã—ãŸã€‚
Pwnableå•é¡Œ
ã“ã“ã§ã¯ã€baby_stack ã¨ã„ㆠSECCON 2017 ã®ã‚ªãƒ³ãƒ©ã‚¤ãƒ³äºˆé¸ã§å‡ºé¡Œã•ã‚ŒãŸå•é¡Œã‚’å–り扱ã£ã¦ã„ã¾ã™ã€‚
ã“ã“ã§ã‚‚ã€ãƒã‚¤ãƒŠãƒªã®é€†ã‚¢ã‚»ãƒ³ãƒ–ルã¯ã€IDA PRo ãŒä½¿ã‚ã‚Œã¦ã„ã¾ã™ã€‚
baby_stack ã«ã¯ã€ã‚¹ã‚¿ãƒƒã‚¯ãƒãƒƒãƒ•ã‚¡ã‚ªãƒ¼ãƒãƒ¼ãƒ•ãƒãƒ¼ã®è„†å¼±æ€§ãŒã‚るよã†ã§ã™ã€‚ãã“ã«ã‚·ã‚§ãƒ«ã‚’èµ·å‹•ã™ã‚‹ãƒ—ãƒã‚°ãƒ©ãƒ を埋ã‚込んã§ä¾µå…¥ã—ã€ãƒ•ãƒ©ã‚°ã‚’å–å¾—ã™ã‚‹æµã‚Œã«ãªã£ã¦ã„ã¾ã™ã€‚
「機械語でシェルを起動するプログラムを作る(ARM64) - 土日の勉強ノートã€ã®ç§ã®è¨˜äº‹ã§ã€ã‚·ã‚§ãƒ«ã‚’èµ·å‹•ã™ã‚‹ãƒ—ãƒã‚°ãƒ©ãƒ を手動ã§ä½œã‚Šã¾ã—ãŸãŒã€mprotect を使ã£ã¦ã€ç„¡ç†ã‚„ã‚Šã€å®Ÿè¡Œã•ã›ã¾ã—ãŸã€‚ã“ã“ã§ã¯ã€ROP(Return Oriented Programming)ã¨ã„ã†æ‰‹æ³•ã§ã€å®Ÿè¡Œã§ããªã„é ˜åŸŸã§ã‚‚ã€ã‚·ã‚§ãƒ«ã‚’èµ·å‹•ã™ã‚‹æ–¹æ³•ã‚’å–り扱ã£ã¦ã„ã¾ã™ã€‚
ROP ã¨ã¯ã€æ—¢ã«ãƒ—ãƒã‚°ãƒ©ãƒ 内ã«å˜åœ¨ã™ã‚‹å‘½ä»¤ã®æ–片をã¤ãªãŽåˆã‚ã›ã¦ã€ä»»æ„ã®å‹•ä½œã‚’è¡Œãˆã‚‹ã‚ˆã†ã«ã™ã‚‹æ‰‹æ³•ã§ã™ã€‚
socatコマンド
CTF ã®å¤§ä¼šçµ‚了後ã€ã‚µãƒ¼ãƒã¯éžå…¬é–‹ã«ãªã‚Šã¾ã™ãŒã€åŒã˜ç’°å¢ƒã‚’å†ç¾ã™ã‚‹ãŸã‚ã«ã€Œsocatコマンドã€ã‚’使ã†æ–¹æ³•ãŒç´¹ä»‹ã•ã‚Œã¦ã„ã¾ã™ã€‚
socatコマンドã¨ã¯ã€netcatコマンドã®é«˜æ©Ÿèƒ½ç‰ˆã®ã‚ˆã†ãªãƒ„ールらã—ãã€baby_stack ã®ç’°å¢ƒã‚’å†ç¾ã•ã›ã‚‹æ–¹æ³•ã‚’メモã—ã¦ãŠãã¾ã™ã€‚
å•é¡Œãƒ•ã‚¡ã‚¤ãƒ«ã¨ flag.txt ã‚’åŒã˜ãƒ‡ã‚£ãƒ¬ã‚¯ãƒˆãƒªã«é…置後ã€ä»¥ä¸‹ã‚’実行ã™ã‚‹ã“ã¨ã§ã€ç’°å¢ƒã‚’å†ç¾ã§ãã‚‹ãã†ã§ã™ã€‚
$ socat tcp-listen:15285,reuseaddr,form,EXEC:"./baby_stack"
脆弱性緩和技術ã®ãƒã‚§ãƒƒã‚¯ãƒ„ール:checksec
å‰å›žã®ã‚·ã‚§ãƒ«ã‚’èµ·å‹•ã™ã‚‹ãƒ—ãƒã‚°ãƒ©ãƒ ã®ã¨ãã«ã€è‹¦åŠ´ã—ãŸå†…容を簡å˜ã«èª¿ã¹ã‚‹ã“ã¨ãŒå‡ºæ¥ã‚‹ãƒ„ールã®ã‚ˆã†ã§ã™ã€‚å‰å›žã¯ã€ã‚·ã‚§ãƒ«ã‚’èµ·å‹•ã™ã‚‹ãƒ—ãƒã‚°ãƒ©ãƒ ãŒã€dataセクションã«é…ç½®ã•ã‚Œã¦ã„ã¦ã€å®Ÿè¡ŒãŒå‡ºæ¥ãªã„状æ³ã§ã—ãŸã€‚ãã†ã„ã†åˆ¶ç´„を調ã¹ã‚‹ã“ã¨ãŒå‡ºæ¥ã‚‹ãƒ„ールã®ã‚ˆã†ã§ã™ã€‚
github.com
シェルスクリプト版ã¨ã—ã¦ã¯ã€2.7.x(ç¾åœ¨ã¯ã€2.7.1)ãŒæœ€çµ‚リリースã§ã€ä»¥é™ã® 3.x ã‹ã‚‰ã¯ã€Go言語ã«ã‚ˆã‚‹å®Ÿè£…ã«ä»£ã‚ã‚‹ãã†ã§ã™ã€‚
ã§ã¯ã€Release ã‹ã‚‰ 2.7.1 をダウンãƒãƒ¼ãƒ‰ã—ã¦ã€æ—©é€Ÿå‰å›žã®ç’°å¢ƒã§ä½¿ã£ã¦ã¿ã¾ã™ã€‚
シェルを起動ã™ã‚‹æ©Ÿæ¢°èªžã‚’埋ã‚込んã プãƒã‚°ãƒ©ãƒ ã§è©¦ã—ã¾ã™ã€‚何も対ç–ã‚’ã—ã¦ã„ãªã„状態ã ã¨ä»¥ä¸‹ã®ã‚ˆã†ã«ãªã‚‹ã‚ˆã†ã§ã™ã€‚NX ã¯ã€No Execute ã®ã“ã¨ã§ã€ã‚¹ã‚¿ãƒƒã‚¯ãªã©ã®ãƒ‡ãƒ¼ã‚¿é ˜åŸŸã«ç½®ã‹ã‚Œã¦ã„るデータをã€å‘½ä»¤ã¨ã—ã¦è§£é‡ˆã—ã¦å®Ÿè¡Œã™ã‚‹ã“ã¨ã¯ç¦æ¢ã•ã‚Œã¦ã„る状態ã¨ã®ã“ã¨ã§ã™ã€‚
$ ../../checksec.sh-2.7.1/checksec --file=./execve_str.out
RELRO STACK CANARY NX PIE RPATH RUNPATH Symbols FORTIFY Fortified Fortifiable FILE
Partial RELRO No canary found NX enabled No PIE N/A N/A 3153 Symbols N/A 0 22 ./execve_str_fixed.out
Pwnable ã®å•é¡Œã®ã¨ãã¯ã€ã¾ãšã€ã“ã®ãƒã‚§ãƒƒã‚¯ãƒ„ール「checksecã€ã‚’実行ã™ã‚‹æ–¹ãŒã„ã„よã†ã§ã™ã€‚
ROPガジェットを探ã™ãƒ„ール:rp++
上ã§èª¬æ˜Žã—ãŸã‚ˆã†ã«ã€ã‚¹ã‚¿ãƒƒã‚¯ãƒãƒƒãƒ•ã‚¡ã‚ªãƒ¼ãƒãƒ¼ãƒ•ãƒãƒ¼ã§ã€ä»»æ„ã®ã‚³ãƒ¼ãƒ‰ã‚’é…ç½®ã§ãã¦ã‚‚ã€å®Ÿè¡Œã§ããªã„é ˜åŸŸã®å ´åˆã«ã€ROP ã¨ã„ã†æ‰‹æ³•ã§ã‚·ã‚§ãƒ«ã‚’èµ·å‹•ã—ã¦ã„ã方法ãŒèª¬æ˜Žã•ã‚Œã¦ã„ã¾ã™ã€‚
æ—¢ã«ãƒ—ãƒã‚°ãƒ©ãƒ 内ã«ã‚る命令ã®æ–片を探ã™ãƒ„ールãŒã€ã€Œrp++ã€ã§ã™ã€‚
以下ã¯ã€rp++ ã® GitHub ã§ã™ã€‚
github.com
ã“ã®ãƒ„ールã«ã¤ã„ã¦ã¯ã€å‰å›žã®è¨˜äº‹ã®ç¶šãã¨ã—ã¦ã€ã‚·ã‚§ãƒ«ã‚’èµ·å‹•ã™ã‚‹ãƒ—ãƒã‚°ãƒ©ãƒ を発展ã•ã›ã¦ã„ãã¨ãã«ä½¿ã£ã¦ã¿ãŸã„ã¨æ€ã„ã¾ã™ï¼ˆä»Šã®ç§ã®ãƒ¬ãƒ™ãƒ«ã§ã¯é›£ã—ã„ã¨ã„ã†ã®ãŒç†ç”±ã«ãªã‚Šã¾ã™ï¼‰ã€‚
ã“ã“ã§ã¯ã€ä¾µå…¥ã‹ã‚‰ã‚·ã‚§ãƒ«ã®èµ·å‹•ã¾ã§ã‚’ã€Exploitコードã¨ã—ã¦ã€Pythonスクリプトã§å®Ÿè£…ã•ã‚Œã¦ã„ã¾ã™ã€‚ãã®å®Ÿè£…ã«ä¾¿åˆ©ãª Python ライブラリãŒã€Œpwntoolsã€ã§ã™ã€‚
ã“ã¡ã‚‰ã‚‚ã€ä»Šå›žã¯ã€å…¬å¼ã‚µã‚¤ãƒˆã®ç´¹ä»‹ã ã‘ã¨ã—ã¾ã™ã€‚
github.com
Exploitコードã®å®Ÿè£…ã‚’å¦ã¶ã«ã¯ã€ä»¥ä¸‹ã®æ›¸ç±ãŒã‚ªã‚¹ã‚¹ãƒ¡ã•ã‚Œã¦ã„ã¾ã—ãŸã€‚564ページã¨ã€çµæ§‹ãªãƒœãƒªãƒ¥ãƒ¼ãƒ ãŒã‚ã‚Šã¾ã™ãŒã€ç§ã‚‚èªã‚“ã§ã¿ã‚ˆã†ã¨æ€ã„ã¾ã™ã€‚
Miscå•é¡Œï¼šSandstorm
今回ã¯ã€ä¸Žãˆã‚‰ã‚ŒãŸç”»åƒã‹ã‚‰ã€éš ã•ã‚ŒãŸãƒ‡ãƒ¼ã‚¿ã‚’見ã¤ã‘ã‚‹å•é¡Œã§ã—ãŸã€‚
å•é¡Œã®ç”»åƒã¯ã€ã‚¤ãƒ³ã‚¿ãƒ¼ãƒ¬ãƒ¼ã‚¹ç”»åƒï¼ˆé€šå¸¸ã®ã‚ˆã†ã«ã€ä¸Šã‹ã‚‰é †ã«ç”»åƒã‚’æç”»ã—ã¦ã„ãã®ã§ã¯ãªãã€å…¨ä½“ã‚’å¾ã€…ã«æç”»ã—ã¦ã„ãæ–¹å¼ï¼‰ã§ã€Adam7 ã¨ã„ã†æ–¹å¼ãŒä½¿ã‚ã‚Œã¦ã„ã¾ã—ãŸã€‚
ç”»åƒã®è§£æžã¯ã€Pythonスクリプトã§ã€OpenCV ã®ãƒ©ã‚¤ãƒ–ラリを使用ã•ã‚Œã¦ã„ã¾ã—ãŸã€‚ã¾ãŸã€Adam7 ã®ã‚¤ãƒ³ã‚¿ãƒ¼ãƒ¬ãƒ¼ã‚¹ã‚’実ç¾ã™ã‚‹ã®ã«ã€ImageMagic ã¨ã„ã†ãƒ„ールãŒä½¿ã‚ã‚Œã¦ã„ã¾ã—ãŸã€‚
ç”»åƒã‚„音声ファイルãªã©ã«ã€ä»»æ„ã®åˆ¥ã®ãƒ‡ãƒ¼ã‚¿ã‚’éš ã™æŠ€è¡“ã‚’ã€æƒ…å ±ãƒã‚¤ãƒ‡ã‚£ãƒ³ã‚°æŠ€è¡“ã¨å‘¼ã¶ãã†ã§ã™ã€‚CTF ã®ã‚¸ãƒ£ãƒ³ãƒ«ã¨ã—ã¦ã¯ã€ä»Šå›žã¯ã€Misc(分類ã§ã§ããªã„)å•é¡Œã¨ã•ã‚Œã¦ã¾ã—ãŸãŒã€Steganography ã®å•é¡Œã¨è¨€ã£ã¦ã‚‚ã„ã„よã†ã§ã™ã€‚
ã¾ãšã€æƒ…å ±ãƒã‚¤ãƒ‡ã‚£ãƒ³ã‚°æŠ€è¡“ã®è§£èª¬ã¨ã—ã¦ã€ä»¥ä¸‹ã®é›»åæƒ…å ±é€šä¿¡å¦ä¼šã®è¨˜äº‹ãŒç´¹ä»‹ã•ã‚Œã¦ã„ã¾ã—ãŸã€‚
https://www.ieice-hbkb.org/files/01/01gun_03hen_13.pdf
ã¾ãŸã€Steganography ã§éš ãºã„ã•ã‚ŒãŸãƒ‡ãƒ¼ã‚¿ãŒãªã„ã‹ã‚’解æžã™ã‚‹ãƒ„ールã¨ã—ã¦ã€ã€Œstegsolveã€ã€ã€Œstegdetectã€ãŒç´¹ä»‹ã•ã‚Œã¦ã„ã¾ã—ãŸã€‚
Miscå•é¡Œï¼šMail Address Validator
今回ã¯ã€è„†å¼±æ€§ã®ã‚ã‚‹æ£è¦è¡¨ç¾ã«å¯¾ã—ã¦ã€ã©ã†ã„ã†å…¥åŠ›ã‚’ã™ã‚Œã°ã€ãã®è„†å¼±æ€§ã‚’発ç¾ã•ã›ã‚‹ã‹ã€ã¨ã„ã†å•é¡Œã§ã—ãŸã€‚脆弱性ã®ã‚ã‚‹æ£è¦è¡¨ç¾ã¯ã€ReDoS(Regular expression Denial of Service)ã¨å‘¼ã°ã‚Œã‚‹ãã†ã§ã™ã€‚
æ£è¦è¡¨ç¾ã‚¨ãƒ³ã‚¸ãƒ³ã¯ã€æœ‰é™ã‚ªãƒ¼ãƒˆãƒžãƒˆãƒ³ã§å®Ÿç¾ã•ã‚Œã¦ãŠã‚Šã€æ›¸ç±ã§ã¯ã€æœ‰é™ã‚ªãƒ¼ãƒˆãƒžãƒˆãƒ³ã«ã¤ã„ã¦ã®ä¸å¯§ãªè§£èª¬ãŒã•ã‚Œã¦ã„ã¾ã—ãŸã€‚
有é™ã‚ªãƒ¼ãƒˆãƒžãƒˆãƒ³ã«ã¤ã„ã¦ã®ã‚ªã‚¹ã‚¹ãƒ¡ã®æ›¸ç±ã¨ã—ã¦ã€ä»¥ä¸‹ãŒç´¹ä»‹ã•ã‚Œã¦ã„ã¾ã—ãŸã€‚
ReDos ã®è©³ã—ã„説明や事例ã«ã¤ã„ã¦ã€ä»¥ä¸‹ãŒç´¹ä»‹ã•ã‚Œã¦ã„ã¾ã—ãŸï¼ˆè‹±èªžã§ã—ãŸï¼‰ã€‚
owasp.org
ãŠã‚ã‚Šã«
今回ã¯ã€ã€Œå…¥é–€ã‚»ã‚ュリティコンテストーーCTFを解ããªãŒã‚‰å¦ã¶å®Ÿæˆ¦æŠ€è¡“ã€ã«æ²¿ã£ã¦ã€æ›¸ç±ã§ç´¹ä»‹ã•ã‚Œã¦ã„るツールã«ã¤ã„ã¦èª¿ã¹ã¦ã¿ã¾ã—ãŸã€‚知らãªã„ã“ã¨ã°ã‹ã‚Šã§ã€å¤§å¤‰å‚考ã«ãªã‚‹æœ¬ã§ã—ãŸã€‚
ã“ã®æ›¸ç±ã®æœ€å¾Œã§ã€ã•ã‚‰ã«å‹‰å¼·ã—ãŸã„人å‘ã‘ã«ã€ä»¥ä¸‹ã® CTF ã®æ›¸ç±ãŒç´¹ä»‹ã•ã‚Œã¦ã„ã¾ã—ãŸã€‚
一冊目ã¯ã€ç§ã‚‚å°‘ã—èªã‚“ã ã“ã¨ãŒã‚ã‚Šã¾ã—ãŸã€‚難易度的ã«ã¯ã€ä»Šå›žã®æ›¸ç±ã€Œå…¥é–€ã‚»ã‚ュリティコンテストーーCTFを解ããªãŒã‚‰å¦ã¶å®Ÿæˆ¦æŠ€è¡“ã€ã¨è¿‘ã„å°è±¡ã§ã™ã€‚
二冊目ã¯ã€ã“ã‚Œã‹ã‚‰èªã‚‚ã†ã¨æ€ã£ã¦ã„ãŸæœ¬ã§ã™ã€‚難易度ã¯å°‘ã—上ãŒã‚‹ã¨æ€ã„ã¾ã™ã€‚
2冊ã¨ã‚‚ã€ã‚ˆãèžã本ã ã¨æ€ã„ã¾ã™ã€‚今回ã¯ä»¥ä¸Šã§ã™ã€‚
最後ã«ãªã‚Šã¾ã—ãŸãŒã€ã‚¨ãƒ³ã‚¸ãƒ‹ã‚¢ã‚°ãƒ«ãƒ¼ãƒ—ã®ãƒ©ãƒ³ã‚ングã«å‚åŠ ä¸ã§ã™ã€‚
気楽ã«ãƒãƒãƒƒã¨ã‚ˆã‚ã—ããŠé¡˜ã„ã„ãŸã—ã¾ã™ðŸ™‡
今回ã¯ä»¥ä¸Šã§ã™ï¼
最後ã¾ã§ãŠèªã¿ã„ãŸã ãã€ã‚ã‚ŠãŒã¨ã†ã”ã–ã„ã¾ã—ãŸã€‚
