Apacheのmod_mimeの挙動が危なっかしい
tkbctf#4のITF Point Systemの出題に使ったネタです。
知ったタイミングでブログ記事かなんかにしたかったのですが、問題に使うと決めてしまったので今の今まで書くことが出来ませんでした。
mod_mime - Apache HTTP Server Version 2.4
ファイルは複数の拡張子を持つことができ、拡張子の順番は通常は関係ありません。例えば、ファイル welcome.html.fr がコンテントタイプは text/html に、言語はフランス語にマップされる場合、welcome.fr.html もまったく同じ情報にマップされます。 同じメタ情報にマップされる拡張子が複数あるときには、言語と コンテントエンコーディングを除いて、 右側にあるものが使用されます。たとえば、.gif が MIME タイプ image/gif にマップされ、.html が MIME タイプ text/html にマップされる場合は、ファイル welcome.gif.html は MIME タイプ text/html に関連付けられます。
とApacheのドキュメントにありますが、要は存在する複数の拡張子の内、右から順番に見ていってApacheのMIMEに存在するものがあればそれを用いるという感じです。
これにより"abc.php.unknown"のような名前のファイルをApacheにphpとして認識させることが可能になります。tkbctf#4ではこの手法を用いて、ユーザー名をファイル名に含むSQLiteDBファイルにアクセスさせる問題を出題しました。
実際のところ、こんな話があるならいろいろな場所でPHP Remote Code Executionが発生して大事件になっている気がしますが、パッケージマネージャによってはその問題を回避するためか、下記のような設定が書かれています。
#... <FilesMatch "\.php$"> SetHandler application/x-httpd-php </FilesMatch> #...
この書き方であればファイル名の末尾にphp拡張子があるときだけPHPとして実行させるということができるので安全になります。
ちなみに自分のMac上で動いているApacheでは普通にAddHandlerしていたため、うっかり[username].datみたいな謎ファイルを吐き出すようなWebアプリがあると普通にこの挙動の影響を受けるところでした……
MacVimで日本語が文字化けする
set guifontwide=ヒラギノ角ゴ\ Pro\ W3:h15
KaoriYa MacVimだと何故かこの設定を読んでくれないのでbrew install macvimする。
CSAW 2014 Bin300(1) wololo
アセンブラをゴリゴリ読み続けてあれがこうなって…ってやって調べていくと解けます。
SECCON2014 横浜予選Web Writeup
競技開始 (14:20)
FLAG1 (14:24)
スクリーンショットを撮るWebアプリ
HTML内に背景色と同化したリンクがあることを見つける
しかしlocalhost onlyと表示されアクセスできない。
スクリーンショットで/privateを見るとFLAG1, AdminLogin, ls.txtが見つかる。
改めて/private/FLAG1のスクリーンショットを取るとフラグゲット
SECCON{screenshotFromLocalhost!}
FLAG2 (14:26)
スクリーンキャプチャで/private内を覗くとAdminLoginというフォルダがあるのでアクセスして見るとログイン画面が出てくる。
中身はstrcmpに配列を渡す問題。
山崎さん問題なのにMongoだったらどうしようと思って括弧を入れたらログインできた
?user=aaa&pass[$ne]=aaa
SECCON{strcmpBypass??}
FLAG3 (14:33)
簡単なSQLインジェクションで当然データベースはSQLite。
SQL文が select * from usertbl where (id LIKE '%[id]%');になっているので括弧に注意する。
SQL内の括弧の存在に気づけるかどうかという点で面白い問題でした。
SECCON{IamSqlInjM@ST3R}
FLAG4 (15:14)
スクリーンキャプチャで/private内を読むとls.txtというファイルが見つかるので、
これを更に読むと/***MySSHuserPass.txtがあることがわかる。
このファイルを手に入れるのに少し苦労しました。
Stage3→4へ繋がると思い込んでいたので、FLAG3のあとどこかにローカルファイルを読める脆弱性が存在すると思ってずっと探してました。
見逃しがあるかもしれないと最初のスクリーンショットのページへ行って、スクリーンショットの画像URLを確認してみたところ明らかに怪しい。
http://10.10.10.35/?image=../../../../***MySSHuserPass.txt%00
cedec / secconYkhm
% ssh cedec@10.10.10.35 cedec@10.10.10.35's password: Last login: Thu Sep 4 00:13:20 2014 from 10.10.10.15 [cedec@localhost ~]$ ls FLAG4 [cedec@localhost ~]$ cat FLAG4 SECCON{PathTraversalIsMyFriend}
FLAG5
********チームメンバーとのSSHのプロセスkill対決が1時間くらい行われる。
その後終了20分前くらいに@kazu1130_hがパスワードを変えて********以外全員死亡。
競技終了後に答え合わせをしたらこの問題を解いている人がいないらしいことが判明しました。
答えとしては、
/etc/crontabを読むとPATH=.:/bin/..みたいになっていて、
cronに登録されている/home/FLAG5/myBatch.sh内では
cd /tmp last -20 | grep pts | cut -b23-38 | sort | uniq -c | sort > tmp.tmp
となっているので/tmp以下でFLAG5権限のシェルスクリプトが動く(ということらしい)
cat /etc/crontabはしてPATH=.も見ていたのにコマンドをすりかえる発想がなかったのでだめでした。
SECCON2014 writeup
久々にCTFを本気でやった感じがします。
自分が直接フラグを打って得点した問題はDecode me!と詰将棋?で200ptでした。
あとはXSSのお手伝いとかあみだコードのリファクタリングなんかをしたりごはんをたべたりしました。
詰将棋
CTFで詰将棋っていつだかのお正月の時間を奪っていったアレを彷彿とさせますが、よく見ると普通の詰将棋ではなく、銅、特、平といった見覚えのない駒とその動き方が書いてあります。
普通の詰将棋でも13手詰めはまともに解いたことがないのにいきなりヤバそうな問題を「将棋なら大丈夫だよね」とakiymさんから渡され焦る。
凝視し続けて1時間近く経った頃には脳が最適化されてました。
詰将棋writeup: ▲34銅 △12王 ▲21特 △同王 ▲32平 △12王 ▲22平 △同王 ▲31銀 △33王 ▲43金 △24王 ▲25金
— れっくす (@xrekkusu) 2014, 7月 19
将棋の座標表現で書いてますが、この通りに駒を動かして駒が存在する場所の番号をカンマ区切りで打ち込んでおわり。