AlpacaHack Round 2 (Web) - 作問者writeup
AlpacaHackは個人戦のCTFを継続して開催する新しいCTFプラットフォームです。keymoonとminaminaoが中心メンバーとなって動いており、最近リリースされました
今回はWeb回であるRound 2の作問を担当しました。ご参加いただいた方々、ありがとうございました。参加登録した人数を数えると300!?ありがたすぎる...[1]
AlpacaHackにはwriteupを投稿する機能があるので、ぜひwriteupを書いて投稿してみてください。upsolveもOKです[2]。また、今後の作問・運営のためにもGoogleフォームでのfeedbackをいただけると非常に助かります。単純にモチベーションにもつながります。SNS上での感想も大歓迎です。
Round 2 (Web) just ended 🦙
— AlpacaHack (@AlpacaHack) September 1, 2024
Thank you to all the players who participated!
Congratulations to the top 5 players:
1. icesfont
2. @st98_
3. dimas
4. harrier
5. @hiikun_Z pic.twitter.com/2OQvACEsWr
さて、今回は以下の問題をつくりました。本記事はそのwriteupになります。問題リポジトリはたぶんそのうち公開されるでしょう。
Challenge | Category | Keywords (spoiler) | Solved |
---|---|---|---|
Simple Login | web | SQL injection | 84 |
Pico Note 1 | web | CSP bypass, JavaScript | 10 |
CaaS | web | RCE, Perl | 13 |
Pico Note 2 | web | Import Maps | 3 |
Simple Login
- 108 pts (84 solves)
- https://alpacahack.com/ctfs/round-2/challenges/simple-login
問題文:
A simple login service :)
- Attachments: simple-login.tar.gz
問題概要
自明なSQLiの脆弱性が存在しますが、'
の文字がパラメータに含まれるとリクエストが拒否されます。どうにかこの制約の中でSQLiを成功させて、DB上の情報を抜き出せますか?という問題です。
web/app.py
:
1 | # ... 省略 ... |
フラグはDB内のflag
テーブルに存在します。
db/init.sql
(一部抜粋):
1 | CREATE TABLE IF NOT EXISTS flag ( |
想定解法
'{username}'
か'{password}'
のどちらかでうまく文字列から抜けて任意のSQL文を記述させることが目標です。
ここでusername
の値が\
だった場合を考えてみましょう。利用しているDBMSであるMySQL 8.0は、ドキュメントによれば、文字列中に\'
と記述することによって'
の文字を表すことが可能です。よって、本来文字列の終了を期待している'
が文字列のひとつの文字として認識され、後続のSQL文も文字列と解釈されるようになります。つまり、'\' AND password = '
が文字列リテラルとして解釈されます。
よって、password
の入力値においてはすでに文字列の外に脱出できているため、あとは一般的なSQL injectionの要領で他のテーブルの情報を盗みだせばOKです。
ソルバ
1 | import os |
感想/補遺
典型ではあるものの、少しひねりが必要なSQL injectionの問題を1問目として出題してみました。エスケープ自体はMySQLにかかわらず一般的なプログラミング言語にも存在するため、仕様を知らなくても、色々と試行錯誤したり調べたりしてるうちに思いつくことを意図しています。
補足として、文字列での\
によるエスケープはDBMSに共通する仕様ではないので注意が必要です。
Pico Note 1
- 277 pts (10 solves)
- https://alpacahack.com/ctfs/round-2/challenges/pico-note-1
問題文:
The template engine is very simple but powerful 🔥
- Attachments: pico-note-1.tar.gz
問題概要
シンプルなノートアプリが与えられます。ユーザはtitle
とcontent
のパラメータを指定して、それらを表示することが可能です。
web/index.js
:
1 | import Fastify from "fastify"; |
フラグはadmin botのクッキーにセットされるため、XSSによってそれを奪取するのがゴールです。
想定解法
1 | const html = await render("note", { |
によって、ユーザの入力値がJSON文字列として変換されたあとに、
1 | <script nonce="{{nonce}}"> |
の{{data}}
の箇所にそれが挿入されます。
<script>
要素内への挿入であるため、一見すると簡単にXSSに持ち込めそうです。しかし、JSON文字列に変換されており、JSONはJavaScriptのサブセットである[3]ため、JSONの外に脱出することはできません。
しかし、冷静になって考えると</script>
の文字列を含めることによって<script>
要素を脱出することは可能です。よって、後続の文字列部分で自由なHTMLを記述することが可能になりました。
さて、本問題では以下のCSPが設定されており、nonceを適切に指定しないとscriptの実行ができません:
1 | app.addHook("onRequest", (req, res, next) => { |
どうにかしてnonceの値を引っ張り出し、
1 | </script><script nonce="{{nonce値}}">/* 実行させたいscript */</script> |
のような文字列を挿入させたいです。
ここで、この問題特有の処理である自作テンプレートエンジンの実装を眺めてみましょう:
1 | // A simple template engine! |
結論から言うと、このテンプレートエンジンに脆弱性が存在し、それは
1 | prev.replace(`{{${key}}}`, value) |
の箇所です。replace
のMDNのページを眺めてみるとおもしろい仕様があることに気づきます:
つまり、挿入文字列の中に
1 | $` |
を含めることによって、挿入箇所の前に存在する文字列の参照が可能になり、また、そこには
1 | <script nonce="{{nonce}}"> |
の文字列が存在するため、いい感じにnonce値を拾ってくることが可能ということがわかります。
実際にtitle
の値を
1 | </script>$`console.log(123);</script> |
に設定すると、
1 | </script> |
のように展開されて、任意スクリプトの実行が可能になります。
ソルバ
以下のソルバを実行すると、HOOK_URL
にフラグが送信されます。
1 | import os |
感想/補遺
JavaScriptのreplace関数の謎仕様を利用してCSP bypassを行う問題でした[4]。この仕様を使った問題は過去のCTFで何度か遭遇したことがある[5]ので新規性というわけではないのですが、自然な実装に擬態させたつもりなので気づくのに難しいタイプの問題だったと思います。
ところで、今回出題した4問は想定難易度の順番に並べてましたが、Pico Note 1のsolvesは次の問題であるCaaSのsolvesよりも少なく、予想は失敗です。難易度予想はむずかしいなあ...やらかし1です。
CaaS
- 248 pts (13 solves)
- https://alpacahack.com/ctfs/round-2/challenges/caas
問題文:
🐮📢 < Hello!
- Attachments: caas.tar.gz
問題概要
入力テキストに対してcowsayを実行してくれるサービスが与えられます。
cowsayの実行にはzxが使われています。
1 | import express from "express"; |
フラグは乱数ファイル名でサーバ上に存在するため、ゴールはRCEのようです。
1 | RUN mv flag.txt /flag-$(md5sum flag.txt | cut -c-32).txt |
想定解法
わざわざコマンドを実行させていることから、OSコマンドインジェクション、もしくはそれに近い何かができることが予想されます。
コマンドの実行にはタグ関数が用いられており[6]、zxのドキュメントを見る限り自動的にパラメータがエスケープされるため、OSコマンドインジェクションは不可能に見えます:
ところでExpressはデフォルトのクエリパーサとしてqsを利用しており、パラメータmessage
は文字列以外にも配列やオブジェクトを指定することが可能です。今回の問題設定だと、配列にすることでコマンド呼び出し時の引数を任意に増やすことが可能になります。
-f
オプションによって、cowfileを指定して実行する例:
1 | $ http --body "http://localhost:3000/say?message[]=-f&message[]=/usr/share/cowsay/cows/fox.cow&message[]=hogehoge" |
これで任意のパスを指定して、そのファイルをcowfileとして実行させることが可能になりました。また、都合が良いことにcowsayの出力結果はファイルとして保存されるため、一度cowsayで出力された結果を再度cowsayにcowfileとして読み込ませることも可能です。これでいい感じにRCEまで持ち込ませることはできないでしょうか?
cowsayのマニュアルを読むとわかることですが、cowfileの実態はPerlです。つまり、cowsayの出力結果でありつつ、PerlとしてvalidなRCEプログラムを構成させることができれば勝ちです。
フラグへの道筋が見えてきたので、あとは/usr/share/cowsay/cows
にある既存のcowfileとにらめっこしながら、Perlパズルをするだけです。解くときの思考過程はpolyglotのそれに近いかもしれないです。
ソルバ
解法は色々とあると思いますが、作問者の解法は以下のとおりです:
1 | import os |
suse.cow
を用いて、また、s/foo/bar/
形式の置換を組み合わせることによっていい感じにPerlとしてvalidになるように構成しています。実は区切り文字は/
じゃなくても問題なく、@
を区切り文字として使っています。これは古い言語あるある仕様です。
感想/補遺
この問題は自由度が高いパズルなので、人それぞれ最終的なソルバが異なっており、十人十色な答えが見れると楽しみにしてました。私はs/foo/bar/
を用いましたが、その他、ヒアドキュメントや__END__
を用いた解法もあったみたいです。
ぜひwriteupを書いて、https://alpacahack.com/ctfs/round-2/writeups に共有してみてください。
Pico Note 2
- 428 pts (3 solves)
- https://alpacahack.com/ctfs/round-2/challenges/pico-note-2
問題文:
How many note applications have I created for CTFs so far? This is one of them.
- Attachments: pico-note-2.tar.gz
問題概要
ノートアプリが与えられます。ノートはtitleとcontentの組になっていて、複数投稿することが可能です。
フラグはadmin botのクッキーにセットされるため、XSSによってそれを奪取するのがゴールです。
想定解法
まずはCSPを確認しましょう。CSPの設定は以下のようになっていて、スクリプトの実行に制限があります:
1 | const getIntegrity = (content) => { |
次にユーザの入力値(つまり、ノートのtitle/content)の挿入のされ方を確認しましょう。
ユーザの各ノートはJSON文字列として<script type="application/json" integrity="...">
内に挿入されています。
web/index.js
の一部:
1 | const SCRIPTS_TMPL = ` |
そして、クライアント上の処理で、埋め込まれたノートがDOMに追加されていきます。
web/views/index.ejs
:
1 |
|
web/app.js
:
1 | import DOMPurify from "https://cdn.jsdelivr.net/npm/[email protected]/+esm"; |
問題の流れとして、HTML injection → CSP bypass → XSSの順にやっていくと良さそうです。
HTML injectionについてはPico Note 1でやったように</script>
で脱出することによって容易に可能です。ただし、Pico Note 1とは違ってnonceをうまく盗むことができなさそうで、一筋縄には行きません。
ところで、この問題の特異な点として、CSPの設定において通常のnonceに加え、各ノートのJSONについてhash形式のsourceが追加されるようになっています。これをうまく利用する手はないでしょうか?
まず、ノート作成時のAPIについてですが、req.body
に対して一切制限がなく、Expressのデフォルトのクエリパーサqsが利用されていることから、好きなオブジェクトをノートとして作成することが可能です:
1 | app.post("/create", (req, res) => { |
これによって、任意のJSON文字列のintegrityをscript-srcに登録することが可能になりました。これは、任意のJSON文字列をJavaScriptとして実行させることが可能になっただけで何も役に立たなさそうですが、実はそれ以外にも可能になったことがあります。
結論から言うと答えはImport Mapsで、JSONでmoduleの解決を定義する機能です:
- https://developer.mozilla.org/ja/docs/Web/HTML/Element/script#importmap によるモジュールのインポート
- https://developer.mozilla.org/ja/docs/Web/HTML/Element/script/type/importmap
Import Mapsによってmoduleの解決方法を改竄し、XSSに持っていけるとうれしいです。
具体的には
1 | import DOMPurify from "https://cdn.jsdelivr.net/npm/[email protected]/+esm"; |
の部分のimportを以下のImport Mapsによって上書きすればそれが可能です:
1 | { |
あとは、これをうまく発火させるように、以下の2つのノートをCSRFで作成させればOKです:
- 1つ目のノート:
</script>
による脱出後に、上記Import Maps用のtype=importmap
の<script>
要素をHTML injectionで作成する。 - 2つ目のノート: 上記Import MapsのJSONのintegrityをscript-srcに追加する。
ソルバ
以下のHTMLを適当にサーブしてそのURLをbotにreportすると、HOOK_URL
にフラグが送信されます。
1 | <body> |
感想/補遺
Import Mapsという武器によってプログラムの挙動を改変してCSP bypassする問題でした。BABA IS YOUです。
なお、参加者writeupによれば<base>
によるbaseURL改変によってCSP bypassができたようです。完全に見落としてました...やらかし2です。
おわりに
今回Web問を4つ出題しました。開催時間は6時間と短く、難易度調整や問題ボリュームの調整が結構むずかしかったです。また、普段の作問では新規性やひらめきを重視してるのですが、今回はCTFでの楽しいポイントであるひらめき要素は大切にしつつ、教育的な内容になるように意識しました(なってたらいいな)。
AlpacaHackは今後も継続してCTFを開催していく予定で、そのうちまた作問をすることになるかもしれません。そのときもよろしくおねがいします。
次回のRound 3はXornet作問によるCrypto回です。ぜひ参加しましょう!
加えて、あまり広くリーチできていなかったというのと、タイムゾーンの問題があったにもかかわらず、海外の強い方にも多く参加してもらえてびっくり&感謝です。CTFTimeに登録したのも一定以上の効果があったりする? ↩︎
AlpacaHackは常設CTFでもあるので、終わったCTFも実際にリモート環境でテストすることが可能です! ↩︎
厳密にはサブセットではありません。興味がある人は調べてみてください。 ↩︎
最初は
replace
ではなくreplaceAll
を使ってましたが、レビュワーから「replaceAll
のMDNのページには該当の仕様の記述がなく、知らない人が想定解にたどり着くのは困難」という指摘を受け、たしかにと思いreplace
に変更しました。実際、replaceAll
のままだった場合として、難易度がどの程度変わるのかは気になるところです。 ↩︎記憶しているところではDragon CTF 2021のweb/webpwnで初めて遭遇しました(参考: https://balsn.tw/ctf_writeup/20211127-dragonctf2021/#webpwn )。これは、replaceAllの仕様を悪用してSQLiを行う問題です。 ↩︎
タグ関数によっていい感じにエスケープされるようなインターフェイスは最近よく見ます。コマンド呼び出しだとzx以外にBunも同様のインターフェイスのAPIを提供していますし、SQLだとSlonikあたりがそうです。JavaScriptの言語機能をうまくSecure by Defaultなインターフェイスとして活用できていて、良い流れだなと思っています。 ↩︎