複雑性を解き明かす: #NahamCon2024ミッションにおけるサイバーセキュリティアナリストの視点

はじめに

サイバーセキュリティアナリストとして、私は常に最新のサイバー脅威と防御の動向に注目しています。この記事では、セキュリティテストの境界線を押し上げた「リアルな」ウェブCTF(Capture the Flag)である#NahamCon2024ミッションが提示した魅力的な課題に深く掘り下げていきます。

YouTubeでこのビデオを視聴する

会員登録プロセスを回避する

最初の課題は、’nomc.con.cf’ドメインでしか登録を許可しない会員登録プロセスを回避することでした。これは、バグバウンティのシナリオでよくあることで、アプリケーションへのアクセスを得る方法を見つけることが重要です。解決策は、開発版のサイトを発見し、そこで任意のメールアドレスで登録できることを見つけ出すことでした。

セッショントークンを活用する

語り手は、開発環境から得たセッショントークンを活用して、本番環境にアクセスする方法を示しました。ログアウト機能と対応するトークン削除を観察することで、正しいセッションクッキーを特定できました。この手法により、同じユーザーアカウントで両環境にログインすることができました。

ユーザーアカウントを列挙する

ユーザーアカウントを列挙するプロセスには、会員登録を自動化し、割り当てられたユーザーIDをモニタリングすることが含まれていました。新規アカウントを繰り返し登録することで、ターゲットとなる管理者ユーザーのIDが37であることが特定できました。このCTFの部分は、参加者の反復作業能力と、アプリケーションの動作パターンを特定する能力をテストするためのものでした。

隠れた.envファイルを発見する

センシティブな情報を含む隠れた.envファイルを見つける課題は、語り手の調査力を示すものでした。’files’エンドポイントを使用し、フィルタリングロジックを理解することで、隠れた.envファイルの存在を特定できました。語り手は、Burp SuiteやKaliなのツールを使って、ファイル発見を自動化するプロセスを示しました。

SSRF脆弱性を悪用する

語り手は、’web-hook’エンドポイントに存在したSSRF(サーバサイドリクエストフォージェリ)脆弱性について説明しました。このエンドポイントはURLパラメーターを期待していましたが、’integrity.com’サブドメインのバリデーションを利用することで、SSRF制限を回避し、内部リソースにアクセスできました。最終的には、’get-check’エンドポイントを完了させ、GitHubアクセストークンを入手し、アプリケーションのソースコードにアクセスすることができました。

まとめ

#NahamCon2024ミッションは、JWTの操作、APIハッキング、SSRF、SQLインジェクションなど、多様なセキュリティ課題を提示しました。サイバーセキュリティアナリストとして、私はこのCTFが、現代のウェブアプリケーションセキュリティの複雑で多面的な性質を示す優れた例だと考えています。このビデオで示された様々な手法と解決策を分析することで、サイバー脅威の進化する景観と、包括的なセキュリティテストの重要性について貴重な洞察が得られます。

キーポイント:

  • 制限された会員登録プロセスを回避してアプリケーションにアクセスする方法
  • セッショントークンを活用して開発環境と本番環境間を移動する方法
  • 反復作業を自動化して、パターンと脆弱性を特定する方法
  • 隠れたファイルを発見し、センシティブな情報を明らかにする方法
  • SSRF脆弱性を悪用して内部リソースとセンシティブデータにアクセスする方法
上部へスクロール