読者です 読者をやめる 読者になる 読者になる

kira924ageの雑記帳

日々の記録。

場阿忍愚(バーニング)CTF write-up

CTF

はじめに

場阿忍愚(バーニング)CTFに出てた。

1628点とって105位だった。

解いた問題は以下の通り。簡単なのしか解けていない。

芸術と兵法術、諜報術は割愛。

id カテゴリ タイトル ポイント
101 練習 image level 1 10
111 芸術 ワットイズディス? 33
112 芸術 cole nanee? 55
121 二進術 壱萬回 100
131 解読術 image level 5 50
132 解読術 Ninjya Crypto 100
133 解読術 Decrypt RSA 200
152 解析術 情報漏洩 100
161 電網術 ftp is not secure. 50
162 電網術 ベーシック 75
173 諜報術 Akiko-chan 155
181 記述術 search_duplicate_character_string 100
183 記述術 Count Number Of Flag's SubString! 100
201 兵法術 将棋詰め壱 50
202 兵法術 将棋詰め弐 100
203 兵法術 将棋詰め参 150
204 兵法術 将棋詰め四 200

image level 1

問題文

フラグを探して奉り候

101-level001a.png
101-level001b.png
101-level001c.png
101-level001d.png

CTF始めての方は一回四つの画像ファイルをダウンロードして、何かフラグっぽい文字列が分かれば提出してみて下さい。
それでも駄目でしたら、この解き方(チュートリアル)をご覧下さい。

解法

次のような4つのpngファイルが与えられる。

f:id:kira000:20151124023919p:plain f:id:kira000:20151124023951p:plain f:id:kira000:20151124024003p:plain f:id:kira000:20151124024011p:plain

縦に並べれば、"START-YAMATO-SEC!!!"という文字列が読み取れる。

FLAG:START-YAMATO-SEC!!!

壱萬回

問題文

121-calculation

解法

問題のファイルをリンクを踏むなりwgetなりでダウンロードしfileコマンドをかけると、64ビットのELFファイルだとわかる。

仮想マシン上の64bit版のUbuntuでファイルに実行権限を付与して実行してみる。

kira@kira-VirtualBox:~/Downloads$ chmod +x 121-calculation
kira@kira-VirtualBox:~/Downloads$ ./121-calculation
9 % 8 = 1
1 / 10 = 0
3 / 3 = 1
2 + 8 = 10
9 % 9 = 0
7 % 2 = 2

gdbでmainを逆アセンブルすると、main+398のところで、FLAGを表示するであろうshowFlagという関数を呼んでいるのが分かる。

そこに処理を飛ばしてみるとFLAGが表示される。

kira@kira-VirtualBox:~/Downloads$ gdb 121-calculation
GNU gdb (GDB) 7.6.1-ubuntu

(中略)

(gdb) start
Temporary breakpoint 1 at 0x400660
Starting program: /home/kira/Downloads/121-calculation

Temporary breakpoint 1, 0x0000000000400660 in main ()
(gdb) disas
Dump of assembler code for function main:
=> 0x0000000000400660 <+0>:    push   %r15
   0x0000000000400662 <+2>:   push   %r14

(中略)

   0x00000000004007e9 <+393>: jmpq   0x4006c8 <main+104>
   0x00000000004007ee <+398>: callq  0x400920 <showFlag>
   0x00000000004007f3 <+403>: nopl   0x0(%rax,%rax,1)

(中略)

   0x0000000000400818 <+440>: retq   
   0x0000000000400819 <+441>: callq  0x4005e0 <__stack_chk_fail@plt>
End of assembler dump.
(gdb) jump *main+398
Continuing at 0x4007ee.
FLAG_5c33a1b8860e47da864714e042e13f1e
*** stack smashing detected ***: /home/kira/Downloads/121-calculation terminated
(以下略)

FLAG:FLAG_5c33a1b8860e47da864714e042e13f1e

image level 5

問題文

フラッグを探してください

131-mondai.zip

解法

与えらえたzipファイルを解凍すると、次のような9つのpngファイルがみつかる。

f:id:kira000:20160207144727p:plain

ファイル名がmd5ハッシュ値のようなので、Google検索とかしてみると元の値が分かる。

8f14e45fceea167a5a36dedd4bea2543 => 7
45c48cce2e2d7fbdea1afc51c7c6ad26 => 9
1679091c5a880faf6fb5e6087eb1b2dc => 6
a87ff679a2f3e71d9181a67b7542122c => 4
c4ca4238a0b923820dcc509a6f75849b => 1
c9f0f895fb98ab9159f51fd0297e236d => 8
c81e728d9d4c2f636f067f89cc14862c => 2
e4da3b7fbbce2345d7772b0674a318d5 => 5
eccbc87e4b5ce2fe28308fd9f2a7baf3 => 3

元の値の順番でファイルを並べると"KOUBE-GYU"という文字列が読み取れる。

FLAG:KOUBE-GYU

Ninjya Crypto

問題文

敵か仲間か? 証明して!

f:id:kira000:20160207160742j:plain

解法

忍者文字というものらしい。

http://iga-ueno.or.jp/ninjamoji/%E5%BF%8D%E8%80%85%E6%96%87%E5%AD%97%E3%83%95%E3%82%A9%E3%83%B3%E3%83%88/

ここのサイトを見ながら、デコードするとヤマトイエバとなる。

したがってFLAGは川

FLAG:

Decrypt RSA

問題文

133-Decrypt_RSA.zip

解法

与えられたzipファイルを解凍するとflag.txt, public-key.pem, READMEの3つのファイルが得られる。

opensslでn(=p*q)とeの値を取り出す。

$ openssl rsa  -text -pubin < public-key.pem
Public-Key: (640 bit)
Modulus:
    00:ae:5b:b4:f2:66:00:32:59:cf:9a:6f:52:1c:3c:
    03:41:01:76:cf:16:df:53:95:34:76:ea:e3:b2:1e:
    de:6c:3c:7b:03:bd:ca:20:b3:1c:00:67:ff:a7:97:
    e4:e9:10:59:78:73:ee:f1:13:a6:0f:ec:cd:95:de:
    b5:b2:bf:10:06:6b:e2:22:4a:ce:29:d5:32:dc:0b:
    5a:74:d2:d0:06:f1
Exponent: 65537 (0x10001)
writing RSA key
-----BEGIN PUBLIC KEY-----
MGwwDQYJKoZIhvcNAQEBBQADWwAwWAJRAK5btPJmADJZz5pvUhw8A0EBds8W31OV
NHbq47Ie3mw8ewO9yiCzHABn/6eX5OkQWXhz7vETpg/szZXetbK/EAZr4iJKzinV
MtwLWnTS0AbxAgMBAAE=
-----END PUBLIC KEY-----

16進数を10進数に直して

#!/usr/bin/env python2
# -*- coding: utf-8 -*-

s = """
    00:ae:5b:b4:f2:66:00:32:59:cf:9a:6f:52:1c:3c:
    03:41:01:76:cf:16:df:53:95:34:76:ea:e3:b2:1e:
    de:6c:3c:7b:03:bd:ca:20:b3:1c:00:67:ff:a7:97:
    e4:e9:10:59:78:73:ee:f1:13:a6:0f:ec:cd:95:de:
    b5:b2:bf:10:06:6b:e2:22:4a:ce:29:d5:32:dc:0b:
    5a:74:d2:d0:06:f1"""

print int(s.replace(" ", "").replace(":", "").replace("\n", ""), 16)
n = 3107418240490043721350750035888567930037346022842727545720161948823206440518081504556346829671723286782437916272838033415471073108501919548529007337724822783525742386454014691736602477652346609

http://factordb.com/index.php

に投げると素数p, qの値が分かる。

p = 1634733645809253848443133883865090859841783670033092312181110852389333100104508151212118167511579

q = 1900871281664822113126851573935413975471896789968515493666638539088027103802104498957191261465571

あとはここ( http://d.hatena.ne.jp/kusano_k/20140323/1395571265)スクリプトを勝手に使わせてもらって、PRIVATE KEYを生成。

$ cat flag.txt | openssl rsautl -decrypt -inkey  private-key.pem
FLAG_IS_WeAK_rSA

FLAG:FLAG_IS_WeAK_rSA

情報漏洩

問題文

152-Leaked-Information.pcap

解法

与えられたpcapファイルをWiresharkで開くとUSBのパケットをキャプチャしたファイルだと分かる。

データのひときわ大きなパケットと前後二つのパケットを右クリックしてコピーしBinary Editor BZに貼り付ける。

ファイルのマジックナンバーを目印にして先頭の余分なバイト列を削除するとpngファイルが得られる。

f:id:kira000:20160207185318p:plain

FLAG:flag={gambare benesse}

ftp is not secure.

問題文

161-problem.pcap

解法

stringsコマンドで出てきた怪しげな文字列をbase64デコードすればFLAGが得られる。

$ echo RkxBR3tYVEluWDY5bnF2RmFvRXd3TmJ9Cg== | base64 -d
FLAG{XTInX69nqvFaoEwwNb}

FLAG:FLAG{XTInX69nqvFaoEwwNb}

ベーシック

問題文

162-basic.pcap

解法

pcapファイルをWiresharkで開くと何度かgetリクエストを送ってるのが分かる。

認証が成功した(200OKが返された)ときのgetリクエストを送ったパケットを見ると、

ユーザー名:http, パスワード://burning.nsc.gr.jpだと分かる。

ぱっと見た感じURIは見つからなかったけどおそらくhttp://burning.nsc.gr.jpにつなげばいいと推測がつくので、

そこにさっきのユーザー名とパスワードを使いアクセスすればFLAGが分かる。

FLAG:flag={BasicIsNotSecure}

Count Number Of Flag's SubString!

問題文

http://210.146.64.36:30840/count_number_of_flag_substring/

解法

GETリクエストの送り方や基本的な文字列操作ができれば、あとはやるだけ。

#!/usr/bin/env python2
#-*- coding: utf-8 -*-

import urllib, urllib2

FLAG = "flag={"
l = list("abcdefghijklmnopqrstuvwxyz_}")

while True:
  for i in l:
    FLAG += i
    url = "http://210.146.64.36:30840/count_number_of_flag_substring/?str=" + FLAG + "&count=count"
    req = urllib2.urlopen(url)
    s = "member of &quot;" + FLAG + "&quot; are 1"

    if i == '}':
      print "\n" + FLAG
      exit()

    elif s in req.read():
      print i,
      break

    else:
      FLAG = FLAG[:-1] #文字列のラストを削除
  • 実行結果
a f s f d s f d s f s o _ i d a r d k x a _ h g i a h r e i _ n x n k a s j d x _ h f u i d g i r e _ a n r e i a f n _ d s k a f i u d s u r e r f r a n d s k j n x x r
flag={afsfdsfdsfso_idardkxa_hgiahrei_nxnkasjdx_hfuidgire_anreiafn_dskafiudsurerfrandskjnxxr}

FLAG:afsfdsfdsfso_idardkxa_hgiahrei_nxnkasjdx_hfuidgire_anreiafn_dskafiudsurerfrandskjnxxr

search_duplicate_character_string

問題文

次のファイルに書かれている文字列の異なる2つの部分文字列s1, s2を考えた時、s1=s2となるもののうち、最も長いものを答えてください。

ただし、「sがSの部分文字列である」とは、0 <= k <= |S| - |s|であるようなある整数kを用いて、0 <= i < |s|なる全ての整数iについて、S[k+i] = s[i]が成り立つことを言います。

181-search_duplicate_character_string

解法

適当に実装した。

#!/usr/bin/env python2
# -*- coding: utf-8 -*-

with open("in.txt", "r") as file:
  strings = file.read()

strings_list = strings.split("\n") #行ごとに分けたリストを生成

tmp = FLAG = ""

maxnumber = 0

for i in range(len(strings_list)):

  for j in range(len(strings_list[i])):

    tmp += strings_list[i][j]

    if strings.count(tmp) == 1:
      tmp = tmp[1:] #先頭文字を削除

    if len(tmp) > maxnumber:
      maxnumber = len(tmp)
      FLAG = tmp

  tmp = ""

print FLAG

FLAG:f_sz!bp_$gufl=b?za>is#c|!?cxpr!i><

おわりに

受験まであと3週間切ったこの時期にやることじゃなかった。