Web CTF 攻撃方法まとめ

言語別

javascript/Typescript(共通)

• parseIntの仕様を利用したWAF回避
  • Google CTF 2024 - Grand Prix Heaven
• prototype pollution (keyに対するチェックのバイパス)
  • Downunder CTF 2024 - Prisoner Processor
  • 1337UP LIVE CTF - WorkBreak
• yaml-Typescript polyglot
  • Downunder CTF 2024 - Prisoner Processor
• URLの挙動
  • Imaginary CTF 2024 - Readme 2
  • IERAE CTF 2024 - Futari APIs
• Py2Js Jail
  • DeadSec 2024 - bing_revenge
• String.prototype.replaceが一度しか置換しない
  • Alpaca Hack round 7 - Alpaca Poll
  • WannaGame Championship 2024 - re gekco

Nodejs/Typescript(サーバー)

• Dynamic Importを利用したWAF回避
  • SECCON Beginner Contest 2024 - flagAlias
• デバッガーの利用
  • Satoki CTF - EXECJs
• CVE-2024-21891
  • Satoki CTF - EXECJs
• process.binding
  • Satoki CTF - EXECJs

python

• Class injection
  • Downunder CTF 2024 - co2
• nan > 0 == false、nan <= 0 == false
  • Satoki CTF - Minibank
• pickle
  • WannaGame Championship 2024 - Pickleball

PHP

• ディレクトリトラバーサル + Sessionファイルの利用
  • Downunder CTF 2024 - sniffy
• assertを利用したLFI
  • Imaginary CTF 2024 - journal
  • 解説記事
• PHP-FPMがadmin.php/.phpをadmin.phpと解釈する
  • Idek CTF 2024 - Hello
• @fopen("ftp://")のproxyオプションのCRLFインジェクション
  • 1337UP LIVE CTF - Greetings

Rust

• BatBadBut
  • Crew CTF 2024 - Malkonkordo

Prolog

• application/x-prolog
  • Imaginary CTF 2024 - Pwning en Logique

Go

• templateのSSTI
  • Blue Water CTF 2024 - Sandevistan

テンプレートエンジン

Reactjs

• Hooksの実行順序に関するバグ
  • picoCTF 2022 - Live Art
• isパラメータを利用して、custom elementと誤認させる
  • picoCTF 2022 - Live Art

Flask/Jinja

• Jinja InjectionからRCE
  • Downunder CTF 2024 - parrot the emu
• {{config}}から情報取得
  • Snake CTF 2024 - Meme Gallery

Smarty

• SSTI
  • Idek CTF 2024 - untitled-smarty-challenge

Drogon

• CSPファイルのWAF回避
  • Crew CTF 2024 - Niceview

Pug

• SSTI
  • 1337UP LIVE CTF - Cat Club

データベース

SQL全般

• ハッシュされた値によるインジェクション
  • 専用ツール
  • UIUCTF 2024 - Fare Evasion

MongoDB

• 文字列の$gteを利用したWAF回避
  • SECCON Beginner Contest 2024 - double-leaks
• ObjectIDの推定
  • DeadSec 2024 - colorful board

MySQL

• Type juggling
  • IERAE CTF 2024 - passwordless
• TEXTが65535文字で切り落とされる
  • SECCON 13 - Trillion Bank

フレームワーク

Nextjs

• CVE-2024-34351によるSSRF
  • 解説
  • UIUCTF 2024 - Fare Evasion
• _buildManifest.jsを利用したルートの列挙
  • Snake CTF 2024 - Affekot

Bunjs

• BunシェルによるRCE
  • HITCON 2024 - Echo as a service
• Bun.fileがヌル文字でファイル名を途切れさせる
  • Downunder CTF 2024 - Prisoner Processor
• Bunのクラッシュ
  • Downunder CTF 2024 - Prisoner Processor
• Bun.serveのHostの挙動
  • Imaginary CTF 2024 - Readme 2
• Jail
  • DeadSec 2024 - Buntime

Sinatra

• Sinatraの500番台レスポンス
  • Imaginary CTF 2024 - crystal

Closure

• goog.uri.utils.Uri.parseの仕様
  • Google CTF 2024 - Sappy

Hono

• Hostの挙動
  • IERAE CTF 2024 - babewaf

Genie

• テストファイルのインクルード
  • Idek CTF 2024 - includeme

Express

• staticファイルのリダイレクト
  • Alpaca Hack round 7 - Treasure Hunt

HTMLサニタイザ/パーサー

DOMPurify

• 3.1.7のbypass
  • ISITDTU CTF 2024 - X Éc Éc

htmlparser2

• <xmp>の中身がテキストとして認識されない
  • SECCON 13 - double parser

その他ライブラリ/フレームワーク/アプリケーション

Electron

• contextIsolation: falseを利用したRCE
  • Wani CTF 2024 - elec

nginx

• Request splitting
  • Crew CTF 2024 - curelf
• ^(.*)$が%0a%0dにマッチしない
  • WannaGame Championship 2024 - re gekco

Osquery

• curlのCRLFインジェクション
  • Satoki CTF - Osqlinj

ujson

• Unicodeのパースの仕様
  • 解説
  • ISITDTU CTF 2024 - Another one

ブラウザ仕様

Google Chrome

Chromeアプリ

• Chromeアプリで利用されるファイルを取り出す問題
  • Wani CTF 2024 - Bad_Worker

Chrome Extension

• tab.pendingUrlを利用したOriginの偽装
  • UIUCTF 2024 - pwnypass
• ファイル探索/LFI
  • UIUCTF 2024 - pwnypass2

Shadow DOM

• リダイレクト+window.frameElement.srcを用いたURLの取得
  • UIUCTF 2024 - pwnypass2

Object fallback

• SECCON Beginner Contest 2024 - htmls
• UIUCTF 2021 essveegee

CSS Injection

• Input要素の中身を取得する
  • UIUCTF 2024 - pwnypass
  • DeadSec 2024 - colorful board
  • IERAE CTF - Great Management Opener
• View Transitoin API
  • Smooth Note
• @font-faceとunicode-rangeによるタグ内に利用された文字の特定
  • Backdoor CTF 2024 - Cascade Chaos Revenge

CSP

• metaリダイレクト
  • Wani CTF 2024 - NoScript
• CDN + AngularJS
  • DownUnder CTF 2024 - co2v2
• Nonceハッシュの取得・変更
  • DownUnder CTF 2024 - co2v2

Content Type

• ,による複数列挙
  • Snake CTF 2024 - Meme Gallery

DOM Clobbering

• Backdoor CTF 2024 - Cascade Chaos

その他XXS

• ISO-2022-JPを利用したエスケープ回避
  • 解説記事
  • Imaginary CTF 2024 - Forms
  • Satoki CTF - Chahan
• エンコーディングの決定が最初のパケットのみで行われる
  • TSG CTF 2024 - Cipher Preset Button
• 空白禁止bypass
  • チートシート
  • Idek CTF 2024 - Hello
• Markdownパーサ
  • SECCON 13 - Tanuki Udon
• mXSS
  • World Wide CTF 2024 - SAAS

その他XS-Leak

• 親ウィンドウをリダイレクトさせることによる、ユーザーの偽装
  • picoCTF 2022 - noted
• 長過ぎるURLでエラーを発生させる
  • Imaginary CTF 2024 - heapnotes
• IDアトリビュート
  • Snake CTF 2024 - Film Library

その他

File URI Scheme

• file://localhost/の記法
  • SECCON Beginner Contest 2024 - ssrforlfi
  • DownUnder CTF 2024 - hah got em

認証

• 時間サーバーの偽装
  • Wani CTF 2024 - One Day One Letter
• Hash Length Extension Attack
  • UIUCTF 2024 - pwnypass2
• CBC Bit-flipping Attack
  • Imaginary CTF 2024 - notactf

JWT

• Algorithm confusion attack
  • CSAW CTF 2024 - Lost Pyramid
  • 1337UP LIVE CTF - Cat Club
• HS256で同じSSLと同じ公開鍵を使ったパターン
  • DownUnder CTF 2024 - i am confusion

正規表現

• [A-z]に[\]^_が含まれる
  • Google CTF 2024 - Grand Prix Heaven
  • WannaGame Championship 2024 - re gekco

SSRF

• Open Redirect + hostnameの偽装
  • DownUnder CTF 2024 - waifu

CSRF

• SPAのAPIを利用する
  • DeadSec 2024 - colorful board
• rcloneのCSRF
  • HITCON 2024 - RClonE

XEE

• 1337UP LIVE CTF - BioCorp

LLM

• LLMを利用したWAF + Prompt Injection
  • DownUnder CTF 2024 - waifu

Race condition

• Imaginary CTF 2024 - The Amazing Race
• ファイル生成から削除までにアクセスする
  • DeadSec 2024 - ezstart
  • Idek CTF 2024 - Crator

Blind search

• Command Injection + Blind search
  • DeadSec 2024 - bing_revenge

圧縮ファイル

• Zip slip
  • Crew CTF 2024 - Niceview

クラウド

• aws s3の設定ミス
  • CSAW CTF 2024 - BucketWars