f:id:kinako_mochimochi:20201121182710p:plain — 7位でした

11月21日に行われたSendaiCTF 2020に出場し、7位でした。

DFIR系のオープンワールド問や、ログを解析するForensics問、オーソドックスなWeb問や制御システムをハックするICS問など様々なジャンルが出題され、とても楽しめました！

今回の記事では、自分が解いた問題のうちsolveが少なかった - Web-1 秘密の本 - Web-2 Easy Injection - ICS07.PAC の3問に絞ってwriteupを買いていこうと思います〜

Web-1 秘密の本

・このサイトの脆弱性を悪用して、“秘密の本”の「書名」を探してください。 secretbook

f:id:kinako_mochimochi:20201121183425p:plain — 書籍検索アプリ

これより前の問題で、↑の画面の書籍検索システムにはSQLiの脆弱性があることがわかっています

しかし、オーソドックスな' or 1=1 -- -では秘密の本が見当たらないため、別のテーブルにあるとアタリをつけます別のテーブルの値を読み出すSQLiといえばUNION-based SQLiなので、試しに' UNION SELECT 1,2 -- -と打つと特にエラーは出ず、' UNION SELECT 1,2,3 -- -だとエラーが出るのでカラム数は2つと断定できます

f:id:kinako_mochimochi:20201121183948p:plain

あとはこのページあたりを参考にして別のテーブルのテーブル名をダンプしてやれば、secretbookテーブルが存在することが判明するのでその値を読み出すペイロードを書きます

' UNION SELECT table_name,2 FROM information_schema.tables -- - # DBのテーブル名を読み出す→secretbookテーブルがあることがわかります ' UNION SELECT column_name,2 FROM information_schema.columns -- - # DBのカラム名を読み出す→authorカラムとtitleカラムがあることがわかります

solution

' UNION SELECT author, title FROM secretbook -- -

これを実行すると、出力されるレコードの最後にめんどうくさいWebセキュリティという本が出力されるので提出して終わりです

ちなみにUNION-based SQLiはここで無料かつ演習つきで学べます

Web-2 Easy Injection

［背景］・株式会社仙台シーテーエフでは、新人セキュリティ担当の教育のため、先輩社員が脆弱性のあるウェブサイトを構築し、セキュリティ診断させることとしました。・さて、本日の教育メニューは・・・？

［問題］・練習用ウェブサイトでは、管理者のパスワードが脆弱な状態で保存されているようです。管理者ユーザーのパスワードを窃取できる脆弱性を探してください。

f:id:kinako_mochimochi:20201121185544p:plain — メモ的なものを投稿できるアプリ

Web-1と同じ、UNION-based SQLiです
- ただし、ログインページや新規登録ページがあるのでそっちに脆弱性があると思った人が多かったのかな、というイメージでした

投稿したメモを検索ボックスから検索できます。シングルクォートを含む文字列を入れて検索すると次のようなエラーが出力されます

Error 1064: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '%' OR body LIKE '%'%') ORDER BY created_at DESC' at line 1

LIKE '%<ユーザの入力>%') ORDER BY created_at DESCというSQL文がサーバサイドで動いていることが分かります。しかしシングルクォートを含む文字列を入れることでLIKE '%'%')みたいになってSQL文が崩壊してエラーになっている模様。

ここで、') or 1=1 -- -みたいにシングルクォートと)を入れてやれば、LIKE句は成立しつつ後続のSQL文で好きなものを書けることがわかります。

ただし、前述の') or 1=1 -- -では全てのユーザの投稿が表示されるものの、adminのパスワードなどはダンプできないようなので、ユーザ情報を管理するUserテーブルが存在するとアタリをつけてそれを読み出します。

あとはWeb-1の秘密の本と全く同じですので、最終的なペイロードと、それを実行した後に出てくるpassword hashをデコードしたものを載せておきます🙇‍♂️

solution

') UNION SELECT 1, name, is_admin, password_hash,4 FROM user -- - # is_adminはお好みでつけました

これを実行すると、is_adminが1のadminのpassword_hashがダンプできるので、あとは適当なハッシュ解読アプリをオンラインで試せば生のパスワードが割れるのでそれを提出して終わりです

f:id:kinako_mochimochi:20201121190707p:plain — is_adminをつけると分かりやすいです

d7cad39afa7c30c8c6f883d533e471c1→passw0rd!23

firstbloodかつ最後までsolveが自分だけだったので嬉しかったです〜

ICS07.PAC

［問題］・FTPサーバからダウンロードしたpcapを使ってPLCに命令を送り、PACを起動してサーバ室の室温を下げてください。・サーバ室内の温度がある程度下がるとWebサーバのhttpサービスが復旧します。

問題にpcapファイルが添付されており、中身はPACを制御した際のパケットだそうです
この問題は、仙台CTF側の用意したネットワークにVPNで接続し、そのネットワーク内のPLCに対して命令を送り、ダウンしている空調システムを起動させ空冷、熱でダウンしているWebサーバを復旧させてFlagを取るというシチュエーションでした

ICS06まで解くとネットワークにVPNで接続できるので、あとはpcapファイルを元にどのようなパケットを組んでPACを起動するかを考えます。

もちろん制御システムなんて触ったことないのでどうすればいいのかとりあえず"PLC packet ctf"とググってみると、SendaiCTF 2018のIoT問のwriteupが引っかかります。→https://www.sendai-ctf.org/Library/2018/day2/CTF2018_OT_IoT.pdf

f:id:kinako_mochimochi:20201121191709p:plain — 過去の公式のwriteupより

奇遇なことに、出題者も同じ方だったのでこれとpcapファイルにあるパケットを参考にsolverを書いてみました

solution

import socket

client  = socket.socket(socket.AF_INET, socket.SOCK_DGRAM) # UDPなのでSOCK_DGRAMにすること
client.connect(("192.168.2.5", 47808))
client.send(b"\x0a\x81\x17\x00\x04\x01\x05\x00\x0f\x0a\x01\x0c\x00\x00\x19\x00\x3e\x55\x01\x91\x49\x3f\x00\x01")

clinet.connect((<送信先IPアドレス>, <ポート>))を埋める必要がありますが、それはpcapファイルにそれぞれDestinationとDst Portとして書いてあったので、それを埋めてみました