Pythonを使った簡易診断スクリプトの作り方

Pythonを使った簡易診断
スクリプトの作り方
OWASP Kyushu Chapter Leader
服部祐一

自己紹介
• OWASP Kyushu Chapter Leader
• SECCON 実行委員
• 北九州情報セキュリティ勉強会「セキュ鉄」代表

アジェンダ
• はじめに
• デモ環境について
• 情報の取得
• 自動ログインの実装
• ログイン後ページでの情報の取得
• 掲示板への自動書き込み
• 自動書き込みによる脆弱性診断（XSSチェック）
• まとめ

はじめに
• Pythonを使って
• 情報の取得
• 自動ログイン
• 自動書き込み
• 最終的に簡易診断スクリプトを作成

デモ環境
• 仮想マシンをノートPC内に立ち上げて
• 仮想マシン上のWebアプリに対して
ホスト側からスクリプトを実行
ノートPC
仮想マシン
Webサーバ
対象アプリ
自動ログインスクリプト
自動書き込みスクリプト
自動診断スクリプト
対象アプリ

対象アプリ
• 攻防戦用に作成した脆弱性を多数含むPHPのWebアプリ
• https://github.com/Eidwinds/a_and_d_web_hokkaido

対象アプリ
• OWASP Broken Web Applications Project
• 脆弱なアプリケーションを集めた仮想マシンを提供しているプ
ロジェクト
• 2年近く更新されていないが、いろいろ入っていて便利なので
ここにあるWebアプリも対象に使う。

実行環境(Python)
• Python3系を用います。

使用するライブラリ
• Requests
• 人が使いやすいように設計されたHTTPのライブラリ。
• これを使ってHTMLの取得やPOSTの送信を行う。
• beautifulsoup4
• HTMLやXMLファイルからデータを取得するライブラリ。

Requests
http://requests-docs-ja.readthedocs.io/en/latest/

beautifulsoup4
http://kondou.com/BS4/

タイトルの取得
• まず、最初にタイトルタグに書かれている文字を
取得してみます。
流れとしては、
1. Requestsを使いGETリクエストでトップページのHTMLを取得。
2. HTMLをbeautifulsoup4を使ってパースする。
3. パースした結果からタイトルタグを取り出し、表示する。

HTMLの取得
• まず、Requestsを使ってトップページのHTMLを取得します。
import requests
from bs4 import BeautifulSoup
r = requests.get("http://192.168.237.130/page.php?p=index&t=TOP")
print(r.text)
指定したページに対し
てGETリクエストを
行います。
r.textでGETリクエスト
の結果のBodyをテキス
トで取得します。

Response Headerの取得
• おまけとしてResponse Headerを取る場合は、
import requests
print(r.headers)
r.Headersでkeyとvalue
のペアとして取得する
ことができます。

HTMLをbeautifulsoup4を使ってパースする。
• Requestsで取得したHTMLをbeautifulsoup4を使ってパースし
てみましょう。
import requests
bs = BeautifulSoup(r.text, "html.parser")
print(type(bs))
パースするHTMLを指定
しています。
パーサーを
指定しています。
オブジェクトのタイプ
を出力してます。

HTMLをbeautifulsoup4を使ってパースする。

タイトルタグを取り出し、表示する
• パースした結果からタイトルタグを取り出し、表示します。
import requests
print(bs.title)
bs.titleでタイトルタグ
を取得しています。

タイトルタグを取り出し、表示する

タグの中身だけを取り出す
• <title>も一緒についてきましたが今度はタグの中身だけを取り
出します。
import requests
print(bs.title.string)
.stringを付けることによ
り中身だけを取得でき
ます。

タグの中身だけを取り出す

他のタグの取得
• 今の書き方だと複数同じタグがある場合にはどうなるのか？
• ためしにAタグで試してみます。
import requests
print(bs.a)

他のタグの取得
一番最初のものだけ表示されました。

複数あるタグの取得
• 他のやり方でAタグの一覧を取得してみます。
import requests
a_list = bs.find_all(“a")
for a in a_list:
print(a) .find_allで指定したタグ
のリストを取得します。

タグの属性の取得
• おまけとしてAタグのhref属性だけを表示してみます。
import requests
for a in a_list:
print(a.get(“href”))
.getで指定した属性を取
得します。

URLをコマンドライン引数にする
• URLが固定だと毎回ソースコードをいじる必要があるので、
ここで、URLの設定をコマンドライン引数にしておきましょう。
import sys
import requests
r = requests.get(sys.argv[1])
for a in a_list:
print(a.get(“href”))
sys.argv[1]で赤字の部分を取得します。
python test.py [argv1]

URLをコマンドライン引数にする

自動ログインの実装（CSRFTokenなし）
• inputタグの情報などはすべてわかってる前提での自動ログイン
を行う。
HTMLを解析し
必要な情報を取得
取得した情報を元
にログインページ
にログイン情報を
送信
ログイン成功

WackoPicko
• 脆弱性のあるWebサイト
• 画像の共有
• 画像の売買
• ゲストブック
• etc

HTMLの解析（手動）
• http://***.***.***.***/WackoPicko/users/login.php
<div class="column prepend-1 span-23 first last">
<h2>Login</h2>
<table style="width:320px" cellspacing="0">
<form action="/WackoPicko/users/login.php" method="POST">
<tr><td>Username :</td><td> <input type="text" name="username"
/></td></tr>
<tr><td>Password :</td><td> <input type="password"
name="password" /></td></tr>
<tr><td><input type="submit" value="login" /></td><td> <a
href="/WackoPicko/users/register.php">Register</a></td></tr>
</form>
</table>
</div>
送信先
ユーザ名
パスワード

import sys
import requests
payload = {
"username": "scanner1",
"password": "scanner1"
}
r = requests.post(sys.argv[1], data=payload)
print(r.text)
pyloadにログイン情報を入れます。
dataにpyloadを指定します。

ログインできているかの確認
• ログイン時にはLogoutボタンが表示されている。
• ログアウトボタンのリンクをログイン時の確認にしてみます。

import sys
import requests
payload = {
"username": "scanner1",
"password": "scanner1"
}
a_list = bs.find_all("a")
for a in a_list:
if a.get("href") == "/WackoPicko/users/logout.php":
print("SUCCESS")
sys.exit()
print("FAILED")
ログアウトのURL
見つけたら終了

自動ログインの実装（CSRFTokenあり）
• CSRF対策されているログインフォームに対してログインする。
HTMLを解析し
必要な情報を取得
取得した情報を元
にログインページ
にログイン情報を
送信
ログイン成功
このフェーズで
CSRFTokenを取得する

対象アプリ
• BWAによさそうな対象がなかったのでCSRF対策されている公
開されているCTF用のスコアサーバーで試してみます。
• https://github.com/CyberSEAGame/score-server
• ユーザーは、test@example.com:test で作成しています。

先ほどのスクリプトでログインできるか
• 先ほどのCSRF対策の回避がないスクリプトでログインできな
いことを確認します。
import sys
import requests
payload = {
“email": test@example.com,
"password": “test"
}
print(r.text)

先ほどのスクリプトでログインできるか
再度ログインフォー
ムがあるので失敗し
ているようです。

HTMLを読んでみる。
<form method="post" action="" class="normal-form">
<input name="fuel_csrf_token"
value="6eef0df3c731588c20cf6063d05c829135f82dd9becf29049a23c60c4a993
963a4cf406218a6de107b4bdc5ee3178b79ead7e61701de3ed6588d515ed998bc3
5" type="hidden" id="form_fuel_csrf_token" />
<fieldset>
<label for="email">Email:</label>
<input type="email" required="" name="email" id="email">
</fieldset>
<fieldset>
<label for="password">Password:</label>
<input type="password" required="" name="password" id="password">
</fieldset>
<button type="submit" class="normal-button center">Signin</button>
</form>
csrf tokenらしきもの
がある！

CSRF Tokenの取得
• まず、CSRF Tokenを取得します。
• 対象はnameがfuel_csrf_tokenのinputタグです。
import sys
import requests
r = requests.post(sys.argv[1])
input_list = bs.find_all(“input”)
for input in input_list:
if input.get(“name”) == “fuel_csrf_token”:
print(input.get(“value”))

CSRF Tokenを一緒に送ってみる。
• 今度は、CSRF TokenもPyloadにいれて送信してみます。
import sys
import requests
token = ""
input_list = bs.find_all("input")
if input.get("name") == "fuel_csrf_token":
token = input.get("value")
payload = {
"email": "test@example.com",
"password": "test",
"fuel_csrf_token": token
}
print(r.text)

ログインできてない？

別のところにもTokenがあるようです。
• Cookieの値も見てみましょう。
import sys
import requests
print(r.cookies)

CookieにもTokenが保存されているようだ。
fuel_csrf_tokenがある！

CookieにもTokenを設定して送る。
import sys
import requests
token = ""
cookie_token = ""
cookie_token = r.cookies["fuel_csrf_token"]
payload = {
"password": "test",
}
cookies = dict(fuel_csrf_token=cookie_token)
r = requests.post(sys.argv[1], data=payload, cookies=cookies)
print(r.text)
Cookieをセット
辞書型のCookie一覧を作成

ログイン成功！
Logoutボタンがあるので
ログインに成功している

ログイン後ページでの情報の取得
• ログイン後に特定ページの情報が取得できるか試してみます。
• 今回は、ログイン後にしか見ることができないQuestionsペー
ジを取得できるかを試します。
• なお、ログインしていないと404に飛ばされます。

まず、先ほどのスクリプトの後にアクセスしてみます。
import sys
import requests
token = ""
cookie_token = ""
payload = {
"password": "test",
}
print(r.text)

失敗して404が返ってきました。

ログインに関する情報はCookieに
• 今度は、ログイン後のCookieをそのまま引き継いでアクセスし
てみます。
• 長いのでソースは次のページに。

ログインに関する情報はCookieに
import sys
import requests
token = ""
cookie_token = ""
payload = {
"password": "test",
}
r = requests.post(sys.argv[2], data=payload, cookies=r.cookies)
print(r.text)

Questionsのページが取得できました。

掲示板への自動書き込み
• ここでは、
• 掲示板への書き込み
• ちゃんと書き込めたのかのチェック
• を行います。

まず書き込んでみる。
• 先ほどのログインの要領で今度は掲示板に書き込みます。
import sys
import requests
payload = {
"title": "タイトル",
"name": "名前",
"body": "本文"
}
print(r.text)

ちゃんと書き込めたのかのチェック
• 書き込んだ内容がちゃんと反映されているか確認してみます。
かぶると面倒なのでタイトルに時間を書き込みます。
import sys
import requests
from datetime import datetime
title = datetime.now().isoformat()
payload = {
"title": title,
"name": "名前",
"body": "本文"
}
h2_list = bs.find_all("h2")
for h2 in h2_list:
if h2.string == title:
print("SUCCESS")
sys.exit()
print("FAILED")
現在時刻の文字列をiso
フォーマットで取得
タイトルを確認

ちゃんと書き込めたのかのチェック

自動書き込みによる脆弱性診断（XSSチェック）
• 先ほどの書き込む文字列をJavaScriptの入った文字列に変えて
みましょう。
import sys
import requests
xss = '<script>console.log(1);</script>'
payload = {
"title": xss,
"name": "名前",
"body": "本文"
}
for h2 in h2_list:
if h2.string == xss:
print("SUCCESS")
sys.exit()
print("FAILED")

確認できなかった
• HTMLとして意味を持ったためにさっきの書き方だと破壊され
るようだ。

別のメソッドを使ってみよう
• これだけ多くのメソッドがあるなら使えるものがあるはず！

別のメソッドを使ってみよう
import sys
import requests
xss = '<script>console.log(1);</script>'
payload = {
"title": xss,
"name": "名前",
"body": "本文"
}
for h2 in h2_list:
for child in h2.children:
if str(child) == xss:
print("SUCCESS")
sys.exit()
print("FAILED")
HTML構造になるならそれに
ならって子要素を探索

まとめ
• Pythonのライブラリである
Requestsとbeautifulsoup4を使って
• Webページから情報を入手する方法
• CSRFトークンのあるページでの自動ログイン
• 自動書き込みによる脆弱性の検査

Pythonを使った簡易診断スクリプトの作り方

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Pythonを使った簡易診断スクリプトの作り方

Similar to Pythonを使った簡易診断スクリプトの作り方 (20)

Pythonを使った簡易診断スクリプトの作り方