葉っぱ日記

■[SECURITY] Apacheに埋め込まれたイメージファイトと戦う文字コードな方法

このあたりとか見ながら、ImageFightをApacheのない環境でも動くようにしようとか思っている間に*1、さっさと対策されましたがそのまま埋没させておくのももったいないので、ImageFightを破る方法の一案をいちおう書いておきます。なんか説明が適当で日本語がおかしいのはあんまり時間がないからです。ごめんなさい。

攻略に利用できる足がかりとしてはIHDR内の各データですが、唯一CRCのみが4バイト連続で利用可能ですので、ここに 0x1B 0x24 0x42 のような3バイトのバイト列を挿入してやることを考えます。

0x1B 0x24 0x42 などのバイト列を<plaintext> より前に挿入してやることで、HTMLとして解釈されたときの文字エンコーディングをISO-2022-JPと認識させ、なおかつ文字セットをJIS X 0208など(いわゆる全角文字)に切り替えることができます。これにより、<plaintext>などの文字列をIEに解釈させないようにすることができます。

具体的には、Width:0x4B、Height=0x1EA、Bit depth=8、Color type=2、Compression method=0、Filter method=0、Interlace method=0としてやることで、IHDRのCRCがC31B2442となり、以降のサニタイピング部分をJIS X 0208-1983と解釈させることが可能でした…が、現在のmod_imagefight.cでは、antixss[] の部分にちゃんと \x1B(B というバイト列が挿入されており、これにより強制的に ASCII 文字集合に戻されていますので、この手法は通用しないのでした。

ツイートする