はじめに u 概要 u ReconVillage CTF(@DEFCON30)で解けなかった問題の⼀つである 「Challenge 14」を復習する u おしながき u 問題(Challenge 14)について u write-up①の確認 u write-up②の確認 u write-upの理解 u まとめ
問題(Challenge 14)の問題⽂ u Our junior developer Henry Lopez cannot find his assets. u Can you help him please. His credentials are given below: u Username: henry.lopez u Password: [email protected]&sBjPG5 u 我が社の若⼿開発者Henry Lopezのassetsが⾒つかり ません。 u assetsを探すのを⼿伝って いただけますか。クレデン シャルは下記です(後略)
問題(Challenge 14)の難しいポイント u Our junior developer Henry Lopez cannot find his assets. u Can you help him please. His credentials are given below: u Username: henry.lopez u Password: [email protected]&sBjPG5 u 我が社の若⼿開発者Henry Lopezのassetsが⾒つかり ません。 u assetsを探すのを⼿伝って いただけますか。クレデン シャルは下記です(後略) ・assetsが何を指すか不明 ・クレデンシャルが与えられている だけで、どこを調査すればいいかの 情報が皆無。 → 探索空間が絞れず泥沼にハマり やすい問題
write-up①の確認 u pinjaにより共有された(感謝!)Challenge 14のwrite-upを確認 u 実は番号の若い問題(Challenge 12)と関係のある問題だった ようだ u Challenge 12でGithubリポジトリを⾒つけ、そこに記載されている URLを⼿がかりにするらしい u 我々のチームはChallenge 12のリポジトリを⾒つけられず、そもそも ⼟俵に⽴てなかった Challenge 12で⾒つけるべきリポジトリ。サービスのURLが書かれている。
[補⾜]Challenge12の問題⽂ u We at CryptoRama are very concerned about sharing sensitive information to the outside world and even on the inside. u We use secret sharing services. u But looks like someone has been manipulating our secrets application and hindering our progress. u Can you please check. u CryptoRama社では、機微情 報を外部に共有してしまうこ とを懸念しています。 u 我々は秘密情報を共有する サービスを使います。 u しかし、誰かが我々のサービ スを操作して我々の進捗を妨 げているようです u 確認していただけますか。 ※この問題⽂から「Githubを⾒てみよう」という発想ができなかった
write-up①の確認 https://github.com/luminjp/osintctf_writeups/blob/main/Recon_Village_CTF_2022.md u pinjaのChallenge 14の解法に戻る u opensslコマンドでreadmeに書いてあるドメインのSSL証明書を確 認すると、 証明書チェーンにおいて“assets”という問題⽂通りの サブドメインが⾒つかるようだ u あとはassets.cryptorama.cloud が⽰す先のWebサービスに対して エクスプロイトを⾏いフラグを取得する
個⼈的な疑問点[1/2] https://github.com/luminjp/osintctf_writeups/blob/main/Recon_Village_CTF_2022.md u ネイキッドドメインに対して証明書チェーンを確認したら、 始点がサブドメインであることが疑問 u この状況を例えるならばconnpass.com に接続したつもりなのに、 sfb.connpass.comの証明書チェーンが出てくるようなもののよう な気がする
個⼈的な疑問点[2/2] u 仮説だが、同⼀IPで複数ドメインと紐付けているときにど の証明書をみればいいかわからなくなっている状態なので はないかと思う u 本来はservernameオプションで明⽰的に与える必要がある? u $ openssl s_client -servername mysite.co.uk -connect mysite.co.uk:443 u 参考: android - openssl s_client -connect defaulting to subdomain? u https://stackoverflow.com/questions/20823243/openssl-s- client-connect-defaulting-to-subdomain どなたかご存知の⽅がいらっしゃいましたら、ご教⽰いただけますと幸いです
write-up②の確認 u 別チームがChallenge 14について別解を共有(感謝!)してい たのでこちらも確認 u https://andrew.cloud/blog/dc30-writeup/ u ⽈く “… we looked at the certificate transparency logs, we saw that https://assets.cryptorama.cloud/ was a valid subdomain. ” u 証明書の透明性(CT)のログからサブドメインassetsを⾒つけたよ うだ
[備考]CTログの悪⽤可能性 u 今回の“assets” サブドメインのように、本来は秘密にして おきたいサブドメインがCTログを通して参照可能な状態と なっていることがある u 社内⽤SSLVPNサーバが⾒つかるかもしれない u 攻撃者はそこを起点に侵⼊を検討するかもしれない TryHackMe Passive Reconnaissance roomの問題より抜粋。 CTログにより、“remote”という少し匂うサブドメインがあることがわかる
10⽉のOSINT問のあるCTF u 10/22⼟(JST) TsukuCTF u 国産のOSINTカテゴリがメインの初⼼者向けCTF u https://fans.sechack365.com/ctf/TsukuCTF2022 u 参加費無料(のはず) u 10/29⼟(BST) Capture The Talent The Crowd Funded Capture The Flag u https://www.eventbrite.co.uk/e/capture-the-talent-the-crowd- funded-capture-the-flag-aka-ctttcfctf-tickets- 313023992187?aff=ebdsoporgprofile u 参加費20£ u ※OSINT限定ではないので注意。
参考⽂献 u Kawakatz著 (2021). 『ペネトレーションテストの教科 書』 データハウス出版 u やさしいopensslコマンドによるSSL証明書の確認⽅法 | Oji-Cloud u https://oji-cloud.net/2020/07/15/post-5114/ u Certificate Transparencyを知ろう 〜証明書の透明性とは 何か〜 u https://www.jnsa.org/seminar/pki-day/2016/data/1- 2_oosumi.pdf
meow_noisy
onlinesalon
mot_techtalk
mercari
soracom
taro_nanairo
vividtone
oracle4engineer
banjun
marikashiotsuki
hakubishin3
microcms
sakiengineer
ammeep
roundedbygravity
jnunemaker
rmw
kevinliebholz
zakiyama
keathley
michaelherold
sachag
yeseniaperezcruz
destraynor
bluesmoon