wildimagebinary

ワイルドな画像バイナリ 2016/06/24(Fri) “よや” [email protected]

自己紹介 •  よやのプロフィール – h9ps://osdn.jp/users/yoya/ •  C言語寄りの PHPer
。たまに JavaScript 。 •  退職届けPDFメーカーのひと（だったのに) – 最近は AWS で200万迷惑かけた人として有名…

ワイルドな画像バイナリ。とは •  JPEGやPNG等で画像バイナリ形式的に壊れたファイル – 「壊れた」とは？ •  端的にいうと、表示できない画像ファイル

表示できない理由予想 •  MIME Type と実際の画像形式が違う（？） HTTP request HTTP response <?php
header(“Content-‐type: image/gif”) echo ﬁle_get_contents(“logo.jpg”); GIFと偽って JPEG画像を転送

結果 •  普通に表示された。　　この件はスルーする –  (MacOS での Chrome,Safari,Firefox 調べ)
–  IE や Edge はチェックしてるらしい。(※追記)

ここから本題

画像バイナリについて •  画像バイナリって何？ – こういうの↓

画像バイナリのチャンク •  画像バイナリはその情報の種類に応じてブロックに分けて保存する – いわゆる「チャンク」メタ情報シグネチャ画像の実データ
例 JPEG) ffe1 (APP1) ffd8ff… ffda (画像データ) ??? 89504e… <len>IDAT(画像データ) 例 PNG) 画像情報 ffc0 (SOF0) <len>IHDR… 画像サイズ等 Encode された画像データ撮影日付等

チャンク分割の３パターン (a) TLC 方式 (PNG) (b) Marker, Terminater 方式
(JPEG は (a)と併用) (c) Type で長さが決まる方式 (GIF) Type Len Content Type Len Content 。。。 mark Content ¥e 。。。 mark Content ¥e type Content 。。。 type Content Len バイト長の Content を持つ

PNG のデータ構造 89 50 4E 47 0D 0A 1A 0A
Signature Type Len Content 。。。 <Len>byte 4byte 4byte CRC 4byte

PNG を壊す •  例えば(4byte前提の) gAMA を 3byteにする – CRC も計算し直し

プログラムがどう動くか •  予想1) 無理やり読む •  予想2)チェックでエラー •  予想3)落ちる
– (チェックしてない場合) Type Len Content CRC gAMA 3 ガンマ値 CRC gAMA 3 ガンマ値 CRC 4byte read 3byte 4byte read CRC から 1byte貰う

JPEG のデータ構造 Mark Len Content 。。。 <Len>byte 2byte 2byte

怪しい JPEG バイナリ Mark Len Content <Len>byte 2byte 2byte ゴミ
Mark Len Content

ImageMagick で変換してみる •  ImageMagick で変換 – 警告が出る (変換自体はできてる)

JPEG の marker の仕様 •  次の marker (ﬀxx)まで 6 byte
読み飛ばす – Jpeglib の挙動なので仕様のはず！

バイナリ壊れるパターン色々 •  全体構造 –  シグネチャが違う –  必須のチャンクがない
–  仕様的に駄目なチャンクの並び –  １つしかないはずのチャンクが複数ある –  複数必要なチャンクが一つしかない •  チャンク構造 –  チャンクの Length がデータの長さと違う –  存在しない type(tag) •  データの中身 –  表の大きさより大きなインデックス値 –  仕様以外のデータ形式が入る (PNG に zlib 以外とか) 先程紹介したケース

全体構造 •  シグネチャが違う •  チャンクの過不足や順番 89 50 4E 47
0D 0A 1A 0A PNG Signature 例えば mp の asciiモード 89 50 4E 47 0A 1A 0A 例 JPEG) ffe1 (APP1) ffd8ff… ffda (画像データ) ffc0 (SOF0) 壊れた JPEG ffe1 (APP1) ffd8ff… ffda (画像データ) ffc0 (SOF0) 画像サイズ等開始マーカ改行コードが Win から Unix へ画像サイズがないのにデコード？

チャンク構造 •  先ほどの PNG や JPEG の例で示したので省略。

データの中身 •  色のインデックスからはみでる例 •  想定されるプログラムの動きは、チャンクがはみ出た場合と同様色パレット RGB RGB
RGB RGB インデックス値 1 4 何か１４何かを色として使うかも？

バイナリを壊すメリット •  プログラムをリバースエンジニアするのに便利 – 投稿サイトに色んな画像バイナリを送りつけて検証 •  プログラムを外部から攻撃するのに便利
J – 境界チェックを真面目にしないプログラムの脆弱性もつけるかも？

(質問タイム) •  JPEGの後ろに任意のデータを置けるか – ﬀf9 (End of Image)マーカの後ろは任意のデータがおける。
– 一見画像だけど、ﬀf9 の後ろを切り出すと、欲しいデータが取れる。とか。 – 昔、そうやって違法なファイルを配布するツールがあったという噂を聞いた事がある

おしまい

wildimagebinary

wildimagebinary

yoya

More Decks by yoya

Other Decks in Programming

Featured

Transcript

ワイルドな画像バイナリ 2016/06/24(Fri) “よや” [email protected]

自己紹介 •  よやのプロフィール – h9ps://osdn.jp/users/yoya/ •  C言語寄りの PHPer

ワイルドな画像バイナリ。とは •  JPEGやPNG等で画像バイナリ形式的に壊れたファイル – 「壊れた」とは？ •  端的にいうと、表示できない画像ファイル

表示できない理由予想 •  MIME Type と実際の画像形式が違う（？） HTTP request HTTP response <?php

結果 •  普通に表示された。　　この件はスルーする –  (MacOS での Chrome,Safari,Firefox 調べ)

ここから本題

画像バイナリについて •  画像バイナリって何？ – こういうの↓

画像バイナリのチャンク •  画像バイナリはその情報の種類に応じてブロックに分けて保存する – いわゆる「チャンク」メタ情報シグネチャ画像の実データ

チャンク分割の３パターン (a) TLC 方式 (PNG) (b) Marker, Terminater 方式

PNG のデータ構造 89 50 4E 47 0D 0A 1A 0A

PNG を壊す •  例えば(4byte前提の) gAMA を 3byteにする – CRC も計算し直し

プログラムがどう動くか •  予想1) 無理やり読む •  予想2)チェックでエラー •  予想3)落ちる

JPEG のデータ構造 Mark Len Content 。。。 <Len>byte 2byte 2byte

怪しい JPEG バイナリ Mark Len Content <Len>byte 2byte 2byte ゴミ

ImageMagick で変換してみる •  ImageMagick で変換 – 警告が出る (変換自体はできてる)

JPEG の marker の仕様 •  次の marker (ﬀxx)まで 6 byte

バイナリ壊れるパターン色々 •  全体構造 –  シグネチャが違う –  必須のチャンクがない

全体構造 •  シグネチャが違う •  チャンクの過不足や順番 89 50 4E 47

チャンク構造 •  先ほどの PNG や JPEG の例で示したので省略。

データの中身 •  色のインデックスからはみでる例 •  想定されるプログラムの動きは、チャンクがはみ出た場合と同様色パレット RGB RGB

バイナリを壊すメリット •  プログラムをリバースエンジニアするのに便利 – 投稿サイトに色んな画像バイナリを送りつけて検証 •  プログラムを外部から攻撃するのに便利

(質問タイム) •  JPEGの後ろに任意のデータを置けるか – ﬀf9 (End of Image)マーカの後ろは任意のデータがおける。

おしまい