sWebMachineGun.exe実践編
置換方法をカスタマイズする
はじめに
sWebMachineGun.exeは、各パラメータに様々な置換処理を行って通信するツールなので、その置換方法の作り方について記述する
設定画面
「Setting」⇒「UseReplaceList」とか
「Setting」⇒「UseName」あたり
「GeneralSetting」⇒「Null Token」あたり
UseReplaceListグループ
- マーキング文字
- 「置換文字列」の中で「%s%」マクロの中身。診断会社名とか(少し長いけど)「SecurityTest」など(脆弱性診断とは異なる結合テストとか単体テストなど)他のテストと区別できて、かつログなどで検索しやすい名前が定番
- ホスト名
- 「置換文字列」や「URL」の中で「%H%」マクロの中身。SSRFの受信先サーバのホスト名が定番
- URL
- 「置換文字列」の中で「%U%」マクロの中身。SSRFの受信先サーバの秘密のURLが定番
- 置換文字列
- パラメータの値をこの文字列に置換/追加する
- UrlEncoded
- 「置換文字列」が既にURLEncodeされているかどうか
- newArgs
- 「変数追加」という試験で、この置換文字列を使うかどうか。参照
- NoCheckTarget
- レスポンス中にXSSなどあるかどうかチェックするかどうか
- none/InduceError/ShoudCheck
- 後述
- 前方追加など
- 置換方法を選択する。(後述)
- Add
- 追加する
- Clear
- リストをクリアする
- UrlEncode
- クエリ文字列やフォームへの置換時にURLエンコードするかどうか
Offの場合は、最低限のURLエンコード(=とか&とかCrとかLfとか+とかスペースなど)のみを実施する。以前、URLエンコードしないとXSSする対象があったので、基本的にはOffでよいと思うが、最近は逆にURLエンコードしていないとエラーとなるので、そういう対象にはOnにする必要がある - ImportFile
- ファイルからインポート(なんだったけ?あとでソースから確認する)
- お勧め
- リストをクリアして、お勧めリストにする
- NoneSet
- 「何もしない」という置換方法を全消ししたり、数個置きに追加したり、コメントを編集したりするサブウィンドウを開く
後述の参照画面
UseReplaceListグループ(クロスリクエストチェック)
「何もしない」を正常リクエストのレスポンス、「InduceError」をエラーが発生した時のレスポンス、として認識して、「ShoudCheck」リクエストが、どちらに近いかで、blindSQLInjectionなどを検出しようと試みている判定オブジェクト向けの設定となる
さらに後述
UseReplaceListグループ(置換方法)
まぁ、そのままだと思う
- 前方追加
- 既存の値の前方に追加する。文字列を前方から何文字で切る。とかいう処理があるので、試験文字列は前方に与えるのが基本だと思う
- 後方付加
- 既存の値の後方に追加する。Null(%00)インジェクションの確認とか、Perlのopen関数のcmdインジェクション(;ifconfig|)などに使える
- 完全置換
- 既存の値を完全に置換する。例えば、既存の値が「TEST」で、置換文字列が「`echo%20%S%`」だと、値は「`echo TEST`」に置き換わる
- 文字追加
- 置換文字列を「文字数,文字」として、文字を追加する。例えば、置換文字列が「5000,a」だとすると、5000個の「a」が追加されるので、BoF(バッファオーバーフロー)の検査に使えると思う
- 名前の後方付加
- パラメータの名前の後方に追加する。例えば、パラメータが「name=value」で、置換文字列が「[TEST]」だと、パラメータは「name[TEST]=value」に置き換わる
- 何もしない
- そのまま何もしない。HTTPセッションが保持されているかどうか確認するとか、認証時のロックアウト回避を目的とした"とりあえず認証"などに使えると思う
- BeforeAtMark/AfterAtMarkなど
- 「@」など特定の記号の前か後ろに置換文字列を追加する。これは、メールアドレスの右側(ドメイン部分)だけXSSした。というレアなケースがあったため。特定の記号がない場合は置換リストとしてパスされる
UseNameグループ
基本的には、WWW-Form形式、MIME形式、JSON/BSON形式、XML形式、WWW-Form/MIMEの中のJSON/BSON形式、WWW-Form/MIMEの中のXML形式、text/Plain形式には対応していると思う
- 対象
- 対象のパラメータの場所、、、クエリ文字列とか、パスとか、ポストとか、クッキーとか、ヘッダとか・・・
- 対象リクエストページ
- 何番目のリクエストが置換対象なのか
- 何もしない
- 設定が正しいかどうか、一番最初に「何もしない」を実施するかどうか
これは、クロスリクエストチェックの「何もしない」となるので、Offにしない方がよいと思う - 最後に何もしない
- 検査(置換したリクエスト)が終わって、最後に「何もしない」を実施するかどうか。これで、HTTPセッションがまだ生き残っているか、検査途中で死んでしまったかを判断できると思う
- 数値計算を行う
- 既存の値が数値の場合、計算式の置換を実施するかどうか。例えば、既存の値が「12」だと、値は「13-1」に置き換わるので、「13」のレスポンスなのか「13-1=12」のレスポンスなのか調べることができる
- 数値に文字
- 既存の値が数値の場合、文字列(マーキング文字)に置換を実施するかどうか。例えば、既存の値が「12」だと、値は「【マーキング文字】」に置き換わるので、数値が要求されているのか、既存の値がたまたま数値だったのかを調べることができる
- 数値に文字を付与
- 既存の値が数値の場合、文字列(マーキング文字)を後方に追加する置換を実施するかどうか。例えば、既存の値が「12」だと、値は「12【マーキング文字】」に置き換わるので、数値化できる範囲で数値化しているかどうかを調べることができる
- UrlEncode
- 未稿
- CSRFToken名は除外する
- CSRFTokenとして設定したパラメータは置換対象から除外するかどうか。大抵はCSRFTokenをいじっても効率がよくないことが多い。
- マーキングは除く
- 既存の値にマーキング文字が含まれているパラメータは置換対象から除外するかどうか。Webブラウザ側(HTTPリクエストを取得した元)から検査文字列を入力したパラメータは検査対象外にできる。
- 配列無視
- 配列のパラメータについて、一つだけ実施するか、全部実施するか
- 変数追加
- 「newArgs」がOnの置換方法、それを使って新パラメータを追加する。例えば、既存のポスト・フォームが「name=value&name1=value1」だとして、「newArgs」付き置換方法の置換文字列が「"'><s>TEST</s>」だとすると、ポスト・フォームは「name=value&name1=value1&"'><s>TEST</s>="'><s>TEST</s>」となる。時々、任意のパラメータでXSSする場合があるので、それを検知できると思う
- 除外変数名
- 置換対象から除外するパラメータ名。ASP.NETの暗号化パラメータとかは検査しても効率悪いからね...
- CSV変数名
- CSV形式のパラメータの名前を指定。なるべく自動化したいのだが、CSV形式の自動認識についてはなかなかに難しいので、操作者自ら「このパラメータはCSVです」と指定する必要がある。指定されたパラメータは、デリミタで分解されて、個々に置換される。画面では「csv_file」というパラメータがCSV形式であり、デリミタは「,(カンマ)」となっている。
- Duplicationボタン
- 確認のメールアドレスとか、もう一度パスワードとか、複数のパラメータで同一値が必要とされるパラメータの設定、詳細は以下を参照してほしい
パスについて
URLのファイルパス部分は、あまりパラメータとして使われることはないのだけど、
- example.com/app.php/name/value
- example.com/app/name=value
- example.com/app/user/12345/delete
のようなパターンもあるので、そういう場合はパスも有効にするとよいだろう。
- 数値のみ
- 数値のみのフォルダ名を対象にする
- 最後のみ
- パスの最後のフォルダ名を対象にする
- UUID/Hashのみ
- UUID/Hashっぽいフォルダ名を対象にする
- 「★」を含むパスのみ
- これは、隣のテキストボックスに入っている記号が含まれているフォルダ名を対象にする(画面例では「=(イコール)」となっている)
- 「★」以降をクエリとする
- 画面例では、「.php」または「.cgi」以降もパスの場合は、それらをパラメータとして捉えて置換の対象とする。その際に「/名前/値/名前/値...」なのか「/値/値/値...」なのかをドロップダウンリストボックスで指定する
Null CSRFToken
画面は再掲だけど、このチェックをOnにすると、CSRFトークンのクロスリクエストチェックが動作する
仕組みとしては、トークンをなくす、空文字にするという2パターンを実施し、「何もしない」と比較する