FortiGate-VMの構築

AzureのMarket Placeにある「Fortinet FortiGate Next-Generation Firewall」を利用しました。

AzureでのFortiGate-VMの作成方法は以下記事を参照ください。
ライセンスは「Pay as You Go」を選択しています。

tarenagashi.hatenablog.jp

SSL-VPNの設定

FortiGateでSSL-VPNポータルを表示するには、SSL-VPN関連の設定を行う必要があります。
「SSL-VPN Settings」と「Firewall PolicyでSSL-VPNユーザを許可するポリシー」の2つをとりあえず設定すれば、SSL-VPNポータルを表示することができます。

設定手順はメーカーサイトを参照ください。
docs.fortinet.com

トップページの見た目の比較

「Web管理画面」と「SSL-VPNポータル」のトップページの見た目を比較しました。
明らかな違いがあります。「SSL-VPNポータル」の方は、「SSL-VPN Portal」と書いてあります。

今回はファームウェア 「Ver 7.4.1」を使用しましたが、「Ver 6.X」だと「SSL-VPNポータル」も緑色が使用されたシンプルな画面なので、「Web管理画面」との違いが分かり難いです。
しかし、「Ver 7.4.1」「Ver 6.X」のいずれの「SSL-VPNポータル」にも、「FortiClientを起動」というボタンが存在するので、そのボタンの有無により容易に「Web管理画面」と「SSV-VPNポータル」の違いを判断することができます。

Web管理画面

SSV-VPNポータル

証明書情報の比較

「Web管理画面」と「SSL-VPNポータル」の証明書情報を比較しました。
証明書のサブジェクトに違いがあります。特にコモンネームが分かり安いです。

「Web管理多面」のデフォルトの証明書のコモンネームは「CN = FortiGate」となっています。
「SSV-VPNポータル」のデフォルトの証明書のコモンネームは「CN = FGTAZRHTXXLQFNE0」というようにシリアル番号になっています。

Web管理画面

Defaultの証明書の識別名は「Fortinet_GUI_Server」、サブジェクトは以下です。

CN = FortiGate
O = Fortinet Ltd.

 

SSV-VPNポータル

Defaultの証明書の識別名は「Fortinet_Factory」、サブジェクトは以下です。

E = support@fortinet.com
CN = FGTAZRHTXXLQFNE0
OU = FortiGate
O = Fortinet
L = Sunnyvale
S = California
C = US

 

Torブラウザ付属のTorについて

Torブラウザを利用してTorへの通信を確立すると、Windows版の場合は「tor.exe」というプログラムがTCPの9150と9151で待ち受けて起動します。

9150がTorネットワークに接続するためのSOCKSプロキシ、9151が制御ポートです。
（制御ポートを使うと、Torの設定や状態確認ができるらしい）

> $tor_process = (Get-Process | where ProcessName -eq "tor").id
> Get-NetTCPConnection | where State -eq "Listen" | where OwningProcess -eq $tor_process | Select-Object LocalAddress,LocalPort,State

LocalAddress LocalPort  State
------------ ---------  -----
127.0.0.1         9151 Listen
127.0.0.1         9150 Listen

Webクライアントが「Chrome」の場合

Webクライアントが「Chrome」の場合です。
Selenium+ChromeDriver経由でChromeを操作してスクレイピングを実施します。

from selenium import webdriver
from selenium.webdriver.chrome.options import Options

options = Options()
options.add_argument("--proxy-server=socks5://127.0.0.1:9150")

driver = webdriver.Chrome(options=options)
driver.get("https://facebookwkhpilnemxj7asaniu7vnjjbiltxjqhye3mhbshg7kx5tfyd.onion")
print(driver.page_source)

Webクライアントが「requests」の場合

Webクライアントが「requests」の場合です。
→https://requests.readthedocs.io/en/latest/

import requests

proxies = {
    'http' : "socks5h://localhost:9150",
    'https' : "socks5h://localhost:9150"
}

url = "https://facebookwkhpilnemxj7asaniu7vnjjbiltxjqhye3mhbshg7kx5tfyd.onion"
res = requests.get(url, proxies=proxies)
print(res.text)

Webクライアントが「requests_tor」の場合

Webクライアントが「requests_tor」の場合です。
→https://github.com/deedy5/requests_tor

「requests_tor」は、Tor接続に特化したPythonのWebクライアントです。
TorブラウザのHTTPヘッダを模倣したり（User-Agentなど）、複数サイトへの同時接続などができます。

from requests_tor import RequestsTor

rt = RequestsTor(tor_ports=(9150,), tor_cport=9151)

# 単一サイトへの接続
url = 'https://facebookwkhpilnemxj7asaniu7vnjjbiltxjqhye3mhbshg7kx5tfyd.onion'
r = rt.get(url)
print(r.text)

# 複数サイトへの接続
urls = ['https://facebookwkhpilnemxj7asaniu7vnjjbiltxjqhye3mhbshg7kx5tfyd.onion', 
        'http://duckduckgogg42xjoc72x3sjasowoarfbgcmvfimaftt6twagswzczad.onion']

for r in rt.get_urls(urls):
    print(r.url)
    print(r.text)

サーバとポート番号

GmailのSMTPサーバは「smtp.gmail.com」です。

Gmailがサポートするポート番号はTCP465（TLS）、TCP587（STARTTLS）の2つです。
Pythonの標準SMTPクライアント「smtplib」はTLSをサポートするので、ポート番号「TCP465（TLS）」を使用します。

アプリパスワードについて

Gmailを使用するGoogleアカウントで「2段階認証プロセス」が有効になっている場合、Pythonプログラムからはアプリパスワードを使用してGmailに認証する必要があります。
アプリパスワードはGoogleアカウントの設定画面から取得可能です。

support.google.com

アプリパスワードの取得

私のGoogleアカウントは「2段階認証プロセス」が有効なので、「アプリパスワード」を取得します。
[Googleアカウント]の設定画面（https://myaccount.google.com）から [セキュリティ] > [2段階認証プロセス] > [アプリパスワード]に移動します。

アプリは「メール」、デバイスは「その他（名前を入力）」>「Gmail Python」としました。
※適当に設定しても問題ないと思われる

Pythonプログラム

SMTPを操作するため、Pythonの標準モジュール「smtplib」を使います。
件名や本文をMIMEテキストにエンコードするため、Pythonの標準クラス「email.mime.text.MIMEText」を使います。

import smtplib
from email.mime.text import MIMEText

# パスワード
password = "xxxxxxxxxxxx"

# 送信アカウント、宛先
sender = "test@gmail.com"
recipients = ["test@test.local", "test2@test2.local"]

# 件名、本文
subject = "テストメール"
body = """このメールはテストメールです。
以上、よろしくお願いいたします。"""

def send_email(subject, body, sender, recipients, password):
    msg = MIMEText(body)
    msg['Subject'] = subject
    msg['From'] = sender
    msg['To'] = ', '.join(recipients)
    with smtplib.SMTP_SSL('smtp.gmail.com', 465) as smtp_server:
       smtp_server.login(sender, password)
       smtp_server.sendmail(sender, recipients, msg.as_string())
    print("Message sent!")

send_email(subject, body, sender, recipients, password)

動作確認

無事メールの送受信を確認しました。

嵌ったポイント

ctypesを使うにあたり、変数の型の扱いで嵌りました。

ctypesで外部関数を実行する場合、argtypesで引数の型、restypeで戻り値の型を指定できます。
これを適切に行わないと外部関数が正しく動かない場合がありました。

以下は、型の指定を行わないで、Windows API「VirtualAllocEx/WriteProcessMemory」を実行した例です。
VirtualAllocExで割り当てたメモリ領域に、WriteProcessMemoryで書きこむ動作になります。
Pythonのエラーは発生しませんでしたが、WriteProcessMemoryの実行が998（ERROR_NOACCESS）で失敗しました。

＜プログラム＞
mem_address = kernel32.VirtualAllocEx(handle, 0, size, MEM_COMMIT, PAGE_READWRITE)

ret = kernel32.WriteProcessMemory(handle, mem_address, dll_pass.encode(), c_size_t(len(dll_pass)), byref(c_size_t(0)))
print("WriteProcessMemory（0以外なら成功）: {}".format(ret))
print("GetLastError：{}\n".format(kernel32.GetLastError()))

＜結果＞
WriteProcessMemory（0以外なら成功）: 0
GetLastError：998

ctypesで外部関数を実行した場合、デフォルトの動作では、戻り値はC言語のint型（32bit）として扱うそうです。
VirtualAllocExの戻り値は割り当てられたメモリのアドレスとなり、64bit環境だと64bitになるので、C言語のint型（32bit）に収まらず、引数として渡されたWriteProcessMemoryの実行がエラーになったと思われます。

次に、VirtualAllocExの戻り値をLPVOID型（任意の型へのポインタ）に指定してWriteProcessMemoryを実行すると、引数に関するPythonのエラーが発生します。
メモリアドレスを示す第2引数の型の不一致により、OverflowErrorが発生したという内容と思われます。

＜プログラム＞
kernel32.VirtualAllocEx.restype = LPVOID #追加
mem_address = kernel32.VirtualAllocEx(handle, 0, size, MEM_COMMIT, PAGE_READWRITE)

ret = kernel32.WriteProcessMemory(handle, mem_address, dll_pass.encode(), c_size_t(len(dll_pass)), byref(c_size_t(0)))
print("WriteProcessMemory（0以外なら成功）: {}".format(ret))
print("GetLastError：{}\n".format(kernel32.GetLastError()))

＜結果＞
ctypes.ArgumentError: argument 2: <class 'OverflowError'>: int too long to convert

最後に、WriteProcessMemoryの引数の型も指定すると、WriteProcessMemoryの実行が無事成功しました。

＜プログラム＞
kernel32.VirtualAllocEx.restype = LPVOID
mem_address = kernel32.VirtualAllocEx(handle, 0, size, MEM_COMMIT, PAGE_READWRITE)

kernel32.WriteProcessMemory.argtypes = [HANDLE, LPVOID, LPCVOID, c_size_t, POINTER(c_size_t)] #追加
ret = kernel32.WriteProcessMemory(handle, mem_address, dll_pass.encode(), c_size_t(len(dll_pass)), byref(c_size_t(0)))
print("WriteProcessMemory（0以外なら成功）: {}".format(ret))
print("GetLastError：{}\n".format(kernel32.GetLastError()))

＜結果＞
WriteProcessMemory（0以外なら成功）: 1
GetLastError：0

ということで、ctypesで外部関数を実行する場合、argtypesで引数の型、restypeで戻り値の型を指定した方が良いようです。
厳密にどんな時に指定が必要かはよく分かっていないのですが、下記場合は最低でも型指定した方が良いと認識しました（全ての外部関数で指定した方が無難なのかも）。

• restypeの指定：外部関数の戻り値がC言語のint型として扱われると困る場合
• argtypesの指定：型指定で受け取った他外部関数の戻り値を引数に使用して外部関数を呼び出す場合

環境

Windows 11 Enterprise 22H2（64bit）
Python 3.10.0

DLLの作成

リモートプロセスに読み込ませるDLLを準備します。以前作成したものを使用しました。
tarenagashi.hatenablog.jp

コードの作成

notepad.exeを起動して、自作のDLL（c:\testdll.dll）を注入するコードになります。
一部の外部関数でしか引数と戻り値の型を指定していませんが、動作したので今回はこれで良いことにします。

from ctypes import * 
from ctypes.wintypes import *
import subprocess

# リモートプロセスの起動
proc = subprocess.Popen("notepad.exe")
pid = proc.pid

# プロセスハンドルの取得
VM_READ, VM_WRITE, VM_OPERATION = 0x0010, 0x0020, 0x0008 
DesiredAccess = VM_READ|VM_WRITE|VM_OPERATION
kernel32 = WinDLL("kernel32")

handle = kernel32.OpenProcess(DesiredAccess, False, pid)

print("プロセスハンドル: {}".format(hex(handle)))
print("GetLastError：{}\n".format(kernel32.GetLastError()))

# プロセスへのメモリ割り当て（VirutualAllocEx）
size = 0x27
MEM_COMMIT = 0x1000|0x2000
PAGE_READWRITE = 0x04

kernel32.VirtualAllocEx.restype = LPVOID
mem_address = kernel32.VirtualAllocEx(handle, 0, size, MEM_COMMIT, PAGE_READWRITE)

print("VirtualAllocExの戻り値（確保したページ領域のベースアドレス）: {}".format(hex(mem_address)))
print("GetLastError：{}\n".format(kernel32.GetLastError()))

# 割り当てたメモリにDLLのパスをコピー（WriteProcessMemory）
dll_pass = "c:\\testdll.dll"

kernel32.WriteProcessMemory.argtypes = [HANDLE, LPVOID, LPCVOID, c_size_t, POINTER(c_size_t)]
kernel32.WriteProcessMemory.restypes = BOOL
ret = kernel32.WriteProcessMemory(handle, mem_address, dll_pass.encode(), c_size_t(len(dll_pass)), byref(c_size_t(0)))

print("WriteProcessMemory（0以外なら成功）: {}".format(ret))
print("GetLastError：{}\n".format(kernel32.GetLastError()))

# LoadLibrary関数のアドレスの取得（GetModuleHandleA）
kernel32.GetModuleHandleA.restype = HMODULE
h_module = kernel32.GetModuleHandleA(b"kernel32.dll")

print("kernel32.dll のモジュールハンドル: {}".format(hex(h_module)))
print("GetLastError：{}\n".format(kernel32.GetLastError()))

kernel32.GetProcAddress.argtypes = (HMODULE, LPCSTR)
kernel32.GetProcAddress.restype = LPVOID
func_addr = kernel32.GetProcAddress(h_module, b"LoadLibraryA")

print("LoadLibraryA のアドレス: {}".format(hex(func_addr)))
print("GetLastError：{}\n".format(kernel32.GetLastError()))

# 対象プロセスでリモートスレッドの実行（CreateRemoteThread）
kernel32.CreateRemoteThread.argtypes = [HANDLE, c_size_t, c_size_t, LPVOID, LPVOID, DWORD, POINTER(c_size_t)]
ret = kernel32.CreateRemoteThread(handle, c_size_t(0), c_size_t(0), func_addr, mem_address, 0, byref(c_size_t(0)))

print("CreateRemoteThreadの戻り値: {}".format(hex(ret)))
print("GetLastError：{}\n".format(kernel32.GetLastError()))

動作確認

上記スクリプトを実行すると、notepad.exeの起動後にDLLが読み込まれ、DLLMain内のMessageBoxが表示されることを確認しました。

Windows11+Python 3.10.0の環境だと特に問題ないのですが、Windows10+Python3.10.10の環境だと動作はするのですが、Windows APIの呼び出し結果が122（ERROR_INSUFFICIENT_BUFFER）となります。
以下はWindows10環境での実行時の画像です。

tasklistコマンドでも、notepad.exeに対象のDLLが読み込まれていることを確認できます。

>tasklist /m testdll.dll

イメージ名                     PID モジュール
========================= ======== ============================================
Notepad.exe                  21960 testdll.dll