2019/10/16 初心者向けCTFのWeb分野の強化法 CTFのweb分野を勉強しているものの本番でなかなか解けないと悩んでいないでしょうか？そんな悩みを持った方を対象に、私の経験からweb分野の強化法を解説します。 How to strengthen the CTF Web field for beginners !! Although you are studying the CTF web field, are you worried that you can't solve it in production? For those who have such problems, I will explain how to strengthen the web field based on my experience. (study group) https://yahoo-osaka.connpass.com/event/149524/

1. 初心者向け
ＣＴＦのＷｅｂ分野の強化法
２０１９/１０/１６
パナソニック株式会社
製品セキュリティセンター 検証対策部
前田 朋久
『Mix Leap Study #52 - サイバーセキュリティ最前線』

2. 自己紹介
■氏名
前田 朋久（Maeda Tomohisa）
Twitter： @kazkiti_ctf
■経歴
機械工学研究科卒
パナソニック株式会社 入社
・設計/製造品質コンサルタント ９年
・システムエンジニア（ＳＩｅｒ） ２年
・セキュリティエンジニア ５．５年
（現職）脆弱性診断、脅威分析、設計支援などに従事

3. ＣＴＦなどの経歴と実績
■ＣＴＦなど経歴と実績
準優勝 準優勝 優勝
２０１６ ２０１７ ２０１８ ２０１９２０１５
ＳＥＣＣＯＮ
国内決勝進出
医療セキュリティハッキングコンテスト
国内ＣＴＦを開始
海外ＣＴＦを開始
バグ
バウンティ
開始
弊社ＣＴＦチーム（Ｐｗｎａｓｏｎｉｃ）発足

4. アンケート
１．ＣＴＦを知っている方？
２．ＣＴＦに参加したことがある方？

5. なぜＣＴＦをやろうと思ったのか？
セキュリティエンジニアになってから
０年目～ 実は、Ｃｏｏｋｉｅすら知らなかった初心者…
↓
脆弱性診断業務を通じて一通りの基礎技術力を習得
１年目～ 脆弱性診断業務を１人で推進していて…
『脆弱性を漏らしていないだろうか？』と常に不安だった
『Ｗｅｂアプリ脆弱性診断は奥が深い』と感じていた
↓
さらなる技術向上が必要！
Ｗｅｂアプリにリソース集中が必要！（選択と集中）
↓
『楽しく技術向上し、業務に活かすため』に
ＣＴＦのＷｅｂ分野を手段として選択した

6. ＣＴＦのＷｅｂ分野をやり始めたころ
■ＣＴＦのＷｅｂ分野の特徴
・出題範囲が広すぎる！
・脆弱性の種類も多すぎる！
↓
・故に、どこから着手していいのかわからない！
ＰＨＰ Ｐｙｔｈｏｎ
Node.js
MySQL
SQLite
postgresql
SSTI
XSS
Apache
nginx
LFI
RFI
SSRF
html css
javascript
XXE
LDAP
SQL
OAuth2.0
SAML
Ruby
java
CVE
OIDC
JSON
windows
Linux
IIS
Perl
serialization
XML
MSSQL
oracleSSO JWT
NoSQLXPATH
AWS S3
Cloudfront
Lambda

7. とりあえずやってみた勉強法（失敗談）
■私の失敗談
・とりあえず、出題頻度が高い
『ＳＱＬインジェクション問題を１００％解けるようになろう！』
と勉強を始めた。
↓
・しかし、ＳＱＬインジェクションは奥が深く、泥沼に陥った…

8. ＣＴＦを本気で始める
（２０１７年～）

9. ■目的
目的/手段/リソース確保
■リソースの確保
毎週土日をＣＴＦに捧げる覚悟
※ＣＴＦは土日開催がほとんど
数をこなすため海外ＣＴＦをやる
世界各地のＣＴＦの開催日程まとめサイト
http://ctftime.org
■戦略
技術力を向上させて業務に活かす

10. ■目標の数値化 ※どこまで解けるようになりたいか？
目標設定/数値化
その問題の難易度（正解率[％]）＝
その問題を解いたチーム数
全体で１問以上解いたチーム数
０～１％問題を解く技術力
１～５％問題を解く技術力
５～１０％問題を解く技術力
１０～２０％問題を解く技術力
２０～４０％問題を解く技術力
４０～１００％問題を解く技術力
世界ＴＯＰ１０
日本トップクラス
上級者
中級者
初心者
ＣＴＦ未経験者
■現在（当時）の実力把握 ※数回参加して測定
当時の私の実力は、難易度（正解率３０％）なら全て解けていた
⇒初心者レベル
■技術力と難易度のおよその関係 ※数回参加して測定して定義

11. write-up（解法）にも正解率を記入、自分の実力把握をする
このように
正解率を記載するようにし、
自分の実力把握を日々していった
【メリット】
・得意/不得意分野が客観的指標でわかるようになったため、
対策がしやすくなった

12. 難易度別の対策

13. 正解率４０～１００％の問題
ＣＴＦ未経験者

14. （正解率４０～１００％）を解けるようになるには？
■ＣＴＦ未経験者
・セキュリティ技術については、そこまで保持していない
・開発技術などのＩＴ関連技術は保持している
（開発技術の一例）
・Ｗｅｂサイトの基本の理解（ｈｔｍｌ、ｃｓｓ、ｊａｖａｓｃｒｉｐｔなど）
・プログラミング言語を読み解く力
・gitの使い方
・ＨＴＴＰサーバ（Ａｐａｃｈｅ/ｎｇｉｎｘなど）の設定

15. 問題例：TokyoWesterns CTF 4th 2018 （1/2）
URLにアクセスすると、下記のＰＨＰソースコードを得られる
【ゴール】Flagが表示される

16. 問題例：TokyoWesterns CTF 4th 2018 （2/2）
【突破ポイント】
コードを読み解く力
・actionパラメータに、authにしておく
・hashed_passwordパラメータを、c019f6e5cd8aa0bbbcc6e994a54c757eにしておく
・userもしくはpassパラメータを、empty(空)にしておく（ hashed_passwordを上書きさせない）
【ゴール】Flagが表示された
（詳細解説）https://ctftime.org/writeup/10891

17. 正解率２０～４０％の問題
初心者

18. （正解率２０～４０％）を解けるようになるには？
■セキュリティの知識力/調査力を問われる問題
・初心者向けＣＴＦ（picoCTFなど）
・過去問と同じ問題（write-upをチェックする）
※一度出題された問題は難易度が高くても既知の問題になる
・書籍（セキュリティコンテストチャレンジブックetc…）
・既知の有名な脆弱性
※ＣＶＥが付与された脆弱性の攻撃方法を調査し、時間内に解く力
※インシデントレスポンス業務担当の方は得意

19. 問題例：ENCRYPT CTF 2019 （1/2）
URLにアクセスすると、下記のhtmlレスポンスが得られる
【突破ポイント】
セキュリティの基本知識
・１６進数３２桁なので、ハッシュ値のMD5である
・MD5は逆算できないので辞書的に検索する必要がある。

20. 問題例：ENCRYPT CTF 2019 （2/2）
先ほどの値が100だったので、
0～101のMD5値を計算して送信してみよう！
【ゴール】Flagが得られた
（詳細解説）https://ctftime.org/writeup/14332

21. この辺りで止まっていませんか？
そろそろ次のレベルを目指してみましょう！

22. 正解率１０～２０％の問題
中級者

23. （正解率１０～２０％）を解けるようになるには？
■環境構築力
１．環境を持っていないと解けない問題
（例１）ＳＳＲＦ ⇒ ＤＮＳＲｅｂｉｎｄｉｎｇ問題 ※ＤＮＳサーバが必要
（例２）ＸＳＳ問題 ※ＨＴＴＰサーバが必要
２．環境構築し試行錯誤すれば難易度が下げられる問題
（例１）ソースコードが与えられる問題⇒サーバ立てて試行錯誤できる
※ＰＨＰ，Ｐｙｔｈｏｎ，Node.jsなど
（例２）ＳＱＬインジェクション⇒ＳＱＬサーバを立てて試行錯誤できる
■対策
・ＡＷＳアカウントを持って、ＥＣ２サーバを立てる ※１年間無料
・ＤＮＳにドメイン登録する ※年間100円程度
・コンテナ技術（Ｄｏｃｋｅｒなど）で様々な言語のサーバの立て方を知る
日ごろからいろんなサーバを立てて試行錯誤する！

24. 問題例：angstromCTF 2019 （1/1）
【突破ポイント】
・一度、Ｎｏｄｅ.ｊｓサーバを立てて、
ＮｏＳＱＬインジェクションの環境にて試行錯誤していた
（詳細解説）https://ctftime.org/writeup/14922

25. 正解率５～１０％の問題
上級者

26. （正解率５～１０％）を解けるようになるには？
■網羅力
１．ＢｌａｃｋＬｉｓｔ‐Ｂｙｐａｓｓ問題
・ＳＱＬインジェクションで使用関数制限がある
・ＯＳコマンドインジェクションで使用関数制限がある
・ＳＳＴＩ（Server Side Template Injection）で使用関数制限がある
・ＰＨＰ任意コード実行で使用関数制限がある
■対策
・網羅的に、事前に関数などを調べておく
・仕様書/RFCなどを事前に調べておく

27. 問題例：TokyoWesterns CTF 4th 2018（1/2）

28. 問題例：TokyoWesterns CTF 4th 2018（2/2）
【突破ポイント】
・ＳＳＴＩから任意コード実行できる関数を網羅的に調べていた
【ゴール】Flagが得られた
Blacklist
（詳細解説）https://ctftime.org/writeup/10895

29. 正解率１～５％の問題
日本トップクラス

30. （正解率１～５％）を解けるようになるには？
■攻撃シナリオを列挙する力
・稀な脆弱性（発見しづらい）
・相対パス上書き攻撃によるＸＳＳやＣＳＳインジェクション
・Ｃａｃｈｅ-ＰｏｉｓｏｎｉｎｇによるＸＳＳ
・ＬＤＡＰインジェクション
・バイナリ/暗号など他分野との複合問題
■対策
・全ての脆弱性は一通り知っていて発見できる状態にしておく
・日頃の最先端情報の収集

31. 問題例：Meepwn CTF Quals ２０１９ （1/2）

32. 問題例：Meepwn CTF Quals ２０１９ （2/2）
【ゴール】Flagが得られた
最終的な攻撃用ＵＲＬ
【突破ポイント】
・稀な脆弱性である相対パス上書き攻撃によるＸＳＳを理解
※後は条件に合わせて、攻撃用ＵＲＬを作成していく
（詳細解説）https://ctftime.org/writeup/10442

33. 正解率０～１％の問題
世界ＴＯＰ１０

34. （正解率０～１％）を解けるようになるには？
人生で重要な何かを捨てる！
日々、ひたすら突き詰めて
精進する
始めはどこかの脆弱性に絞って
１点突破する
XSS Payload
<script>alert(1)</scrip>
XSTとは…

35. 問題例：Tokyo Westerns CTF 3rd 2017 （1/2）
Ｐｒｏｘｙサーバ経由でＨＴＴＰサーバにアクセスしており、
下記のようにソースコードが与えられている
また、flagの場所は、Webサーバのネットワーク配下の
別のローカルサーバに置かれている
【突破ポイント】
・ひたすらＸＳＳに絞って日々勉強＆情報収集を２年間
・この問題を１問解くのに14時間かかった…
・人生で重要な何かを失ったような気がする…

36. 問題例：Tokyo Westerns CTF 3rd 2017 （2/2）
▼最終攻撃コード完成までの流れ
Ｐｙｔｈｏｎコードが与えられていたので読む
↓
ＲｅｆｅｒｅｒヘッダにＸＳＳの脆弱性を発見
※通常はRefererヘッダはURLエンコードされるので
ＸＳＳはありえないのだが、特殊なproxyを挟んでいるため、
ＸＳＳが発生
↓
Flagの場所は、ローカルＩＰアドレスなので、
ＸＳＳを利用してローカルＩＰアドレスをブルートフォースして
ネットワーク調査し、１９２.１６９.０.４が存在することがわかる
↓
再度ＸＳＳで、１９２.１６８.０.４のflag取得用の
最終攻撃コードを完成させる
（詳細解説）https://ctftime.org/writeup/7461

37. まとめ
ＣＴＦをうまく活用して
楽しみながら
技術力を向上させていきましょう！