2015年12月

32C3 CTF writeup forth

Connect to 136.243.194.49:1024 and get a shell.
ncコマンドで指定されたサーバに接続します。
>nc.exe 136.243.194.49 1024
yForth? v0.2  Copyright (C) 2012  Luca Padovani
This program comes with ABSOLUTELY NO WARRANTY.
This is free software, and you are welcome to redistribute it
under certain conditions; see LICENSE for details.
yForthというのは、Forth言語の実装の一つのようです。作者のサイトがこちら。
http://www.di.unito.it/~padovani/software.html
Forth言語というものが存在することを初めて知りました。

Forth言語についてはこちらのサイトが詳しいです。
http://www.h7.dion.ne.jp/~samwyn/forth/gforth/index.html

さて、問題ではシェルを取得せよとなっていますので、Forth言語からOSコマンドを実行する方法を調べます。
どうやら、スタックに文字列(OSコマンド)を保存した状態で、systemコマンドでOSコマンドを実行できるようです。

文字列について
http://www.h7.dion.ne.jp/~samwyn/forth/gforth/Displaying-characters-and-strings.html#Displaying-characters-and-strings

OSコマンド発行について
http://www.h7.dion.ne.jp/~samwyn/forth/gforth/Passing-Commands-to-the-OS.html#Passing-Commands-to-the-OS

S"でlsという文字列をスタックにPUSHします。S"の後ろにはスペースが必要です。
S" ls"
ok
次に、systemでlsコマンドを発行します。すると、ファイル一覧が表示されました。
system
flag.txt  README.gpl  run.sh  yforth
ok
catコマンドを発行して、flag.txtの中身を表示します。
S" cat flag.txt"
ok
system
32C3_a8cfc6174adcb39b8d6dc361e888f17b
ok
フラグは、
32C3_a8cfc6174adcb39b8d6dc361e888f17b
です。

井上 外志雄
共立出版
1985-07


RCTF 2015 Quals writeup tank

go! go! play the game! the flag in the tenth level.(The flag should include RCTF{})
TankGame_49724e9f821d5e61d9029a37d778c1f0
ダウンロードしたファイルを解凍すると、以下のファイルとフォルダが作成されます。
  • graphics
  • map
  • sound
  • TankGame.exe
TankGame.exeを実行してみます。すると、懐かしの「バトルシティー」キター!
1
1PLAYERで始めてみます。
数えてみると敵戦車を20機やっつけると、1面クリアのようです。
2
面倒なので、敵戦車20機を1機にするパッチを当てみましょう。
20は16進数では「0x14」なので、まず「IDA Pro Free」でTankGame.exeを開きます。そして、「Search」→「immediate value...」を選択し、「0x14」を検索します。
4
数値データとしての「0x14」はそれほど多くないようなので、stirlingで開いて、先頭から順番に「0x14」→「0x01」に修正して実行してみます。動かなくなったり、敵戦車が20機のままだったら、修正した箇所を元に戻して次の箇所を「0x14」→「0x01」に修正して実行してみます。

 ADDRESS   00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F   0123456789ABCDEF
------------------------------------------------------------------------------
 00003990  89 78 DC 89 38 05 BC 00 00 00 49 75 F3 BA 14 00   悦ワ.8.シ...Iu..
 000039A0  00 00 8D 86 34 0C 00 00 8B CA 89 38 83 C0 24 49   ..号4...玉.8β$I
すると、アドレス399Eの0x14を0x01に修正して実行したときに、見事、敵戦車が1機になりました。
3

これで敵戦車が1機だけになりましたので、クリアするのが簡単になりました。
後は、10面クリアすればフラグをゲットすることができます。10面クリアするとTankGame.exeと同じフォルダに「flag.txt」ファイルが作成されます。
U_9et_Th3_f1@g_0F_TankGame
したがって、フラグは、
RCTF{U_9et_Th3_f1@g_0F_TankGame}
になります。



RCTF 2015 Quals writeup sign in

"you should know that flag format is RCTF{}"
http://roisfzu.org:8998/funny
問題で与えられたURLにアクセスしてみます。
1

よく分かりませんが、とりあえず「Japan」を選択して「Update」ボタンをクリックします。
2

フラグが表示されました。
flag: this1sn0tt3ueflag
フラグの書式「RCTF{this1sn0tt3ueflag}」に直して試してみますが、通りません。よく見るとThis is not true flagのLeet表記でした。

次に、このページのソースを見てみました。
3

先ほどの偽フラグの所にHTMLコメントが書いてあります。
flag: Th1sAls0notT3uefl0g
フラグの書式「RCTF{Th1sAls0notT3uefl0g}」に直して試してみますが、これも違うようです。

ページを下のほうまでスクロールすると隠しメッセージ(反転すると表示される)があります。
4
keyboard: 23es1qazdc 5rdcvgy6 7gv 098ujnb zxcv resxc 4567tgb 78jk6yhn
QWERTYキーボードで上記メッセージのキーをなぞってみると、「ROiS_cTF」という文字になります。
ということで、フラグは、
RCTF{ROiS_cTF}
です。



9447 Security Society CTF 2015 writeup sanutf8y_check

Visit http://sanutf8y-check-n2wisexx.9447.plumbing for the flag.
Hint! The flag is in the format 9447{[a-zA-Z0-9_]*}
ブラウザで、http://sanutf8y-check-n2wisexx.9447.plumbingにアクセスします。
1
フラグが表示されました。
9447{ΤҺiႽ_ⅰЅ_ԝ㏊t_Α_fl‮...{℮kⅠⅬ_skОOⅬ_ɡᴀ
全角文字が含まれているので、半角に修正したものが答えです。
9447{ThiS_iS_what_A_flAg_LOOks_LIke}



9447 Security Society CTF 2015 writeup flag finder

I've forgotten my flag. I remember it has the format "9447{<some string>}", but what could it be?

This task is sadly broken (it is too easy).

I_Are_Sad_Kitten.jpg

flagfinder

bbc6305273a39e9ccd751c24df86ac61
ダウンロードした、flagfinder-bbc6305273a39e9ccd751c24df86ac61を、fileコマンドで確認します。
Linux(64bit)の実行ファイルだということが分かります。
% file flagfinder-bbc6305273a39e9ccd751c24df86ac61
flagfinder-bbc6305273a39e9ccd751c24df86ac61: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked (uses shared libs), for GNU/Linux 2.6.24, BuildID[sha1]=0xbed84cffa73d1c3a906e0c3a1c6a7cfd4ee22ece, stripped
引数なしでそのま実行すると、コマンドの使い方が表示されました。引数にパスワードが必要なようです。
% ./flagfinder-bbc6305273a39e9ccd751c24df86ac61
Usage: ./flagfinder-bbc6305273a39e9ccd751c24df86ac61 <password>
パスワードが分かりませんので、とりあえずダミーのパスワードを引数につけて実行してみます。
% ./flagfinder-bbc6305273a39e9ccd751c24df86ac61 a
Try again
9447{C0ngr47ulaT1ons_p4l_buddy_y0Uv3_solved_the_H4LT1N6_prObL3M_n1c3_} 1000024
なぜかフラグが表示されました。
9447{C0ngr47ulaT1ons_p4l_buddy_y0Uv3_solved_the_H4LT1N6_prObL3M_n1c3_}
新しいLinuxの教科書
大角 祐介
SBクリエイティブ
2015-06-06


SECCON 2015 Online CTF writeup Steganography 1

Find image files in the file
MrFusion.gpjb
Please input flag like this format-->SECCON{*** ** **** ****}
MrFusion.gpjbをバイナリエディタ(Stirling)で確認してみます。
先頭がGIF89aで始まっていますので、GIF画像のようです。
 ADDRESS   00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F   0123456789ABCDEF
------------------------------------------------------------------------------
 00000000  47 49 46 38 39 61 00 05 D0 02 70 00 00 21 F9 04   GIF89a..ミ.p..!..
 00000010  01 00 00 21 00 2C 00 00 00 00 00 05 D0 02 85 FF   ...!.,......ミ...
さらに先のほうを確認してみると、アドレス1B1EにGIFのトレーラーである3Bがあり、その次から、89 50 4E 47で始まっており、PNG画像であることが分かります。
 ADDRESS   00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F   0123456789ABCDEF
------------------------------------------------------------------------------
 00001B10  F7 DC 75 DF 9D F7 DE 7D FF 9D DD 20 00 00 3B 89   u゚暝゙}.昊 ..;臼
 00001B20  50 4E 47 0D 0A 1A 0A 00 00 00 0D 49 48 44 52 00    NG........IHDR.
さらに、アドレス25F7にはPNGフォーマットのIENDチャンクがあり、JPEGの開始であるFF D8の部分が確認できます。
 ADDRESS   00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F   0123456789ABCDEF
------------------------------------------------------------------------------
 000025F0  29 9B AF 00 00 00 00 49 45 4E 44 AE 42 60 82 FF   )岷....IENDョB`..
 00002600  D8 FF E0 00 10 4A 46 49 46 00 01 01 01 00 60 00   リ....JFIF.....`.
アドレス6806にはJPEGの終了であるFF D9があり、続いてBMPの開始であるBMが確認できます。
 ADDRESS   00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F   0123456789ABCDEF
------------------------------------------------------------------------------
 00006800  50 01 45 14 50 07 FF D9 42 4D 36 30 2A 00 00 00   P.E.P..ルBM60*...
 00006810  00 00 36 00 00 00 28 00 00 00 00 05 00 00 D0 02   ..6...(.......ミ.
これ以降も同様に、各画像のフォーマットが続いていますので、それぞれをフォーマットの区切りでファイルに保存すると、以下の15個の画像ファイルを得ることができます。
従って、フラグは問題文のなかで次のとおりSECCON{*** ** **** ****}と指定されていますので、
SECCON{OCT 21 2015 0728}
となります。
参考として、各画像フォーマットの解説が掲載されているサイトを紹介しておきます。

ディジタル画像処理[改訂新版]
画像情報教育振興協会
CGーARTS協会
2015-03-09



no title
1
2
bmp
4
5
6
bmp
8
9
10
bmp
12
13
14








SECCON 2015 Online CTF writeup Start SECCON CTF

ex1
Cipher:PXFR}QIVTMSZCNDKUWAGJB{LHYEO
Plain: ABCDEFGHIJKLMNOPQRSTUVWXYZ{}

ex2
Cipher:EV}ZZD{DWZRA}FFDNFGQO
Plain: {HELLOWORLDSECCONCTF}

quiz
Cipher:A}FFDNEVPFSGV}KZPN}GO
Plain: ?????????????????????
換字式暗号です。ex1の変換ルールに従って、quizの暗号文を復号すると、下記のフラグを得ることができます。
SECCON{HACKTHEPLANET}



SECCON 2015 Online CTF writeup SECCON WARS 2015

https://youtu.be/8SFsln4VyEk
スターウォーズのパロディー動画です。再生すると下図のような動画が再生されます。画面下部中央の文章が流れている部分にQRコードらしきものがかぶさっています。
1

これを目コピーすると、下図のQRコードが完成します。
2

あとは、QRコードリーダーで読ませれば、下記のフラグを得ることができます。
SECCON{TH3F0RC3AVVAK3N53P7}


SECCON 2015 Online CTF writeup Last Challenge (Thank you for playing)

ex1
Cipher:PXFR}QIVTMSZCNDKUWAGJB{LHYEO
Plain: ABCDEFGHIJKLMNOPQRSTUVWXYZ{}

ex2
Cipher:EV}ZZD{DWZRA}FFDNFGQO
Plain: {HELLOWORLDSECCONCTF}

quiz
Cipher:A}FFDNEA}}HDJN}LGH}PWO
Plain: ??????????????????????
換字式暗号ですね。ex1の変換ルールを参考に、quizを復号すると、以下のフラグが得られます。
SECCON{SEEYOUNEXTYEAR}
暗号技術入門 第3版 秘密の国のアリス
結城 浩
SBクリエイティブ
2015-08-26



SECCON 2015 Online CTF writeup Connect the server

login.pwn.seccon.jp:10000
ncコマンドで接続してみます。
CONNECT 300

Welcome to SECCON server.

The server is connected via slow dial-up connection.
Please be patient, and do not brute-force.

login:
loginプロンプトが表示されますが、よく分かりません。
試しにブラウザで接続してみます。
アドレス欄に、http://login.pwn.seccon.jp:10000/ と入力します。
CONNECT 300

Welcome to SECCON server.

The server is connected via slow dial-up connection.
Please be patient, and do not brute-force.
S E C C O N { S o m e t i m e s _ w h a t _ y o u _ s e e _ i s _ N O T _ w h a t _ y o u _ g e t } 
login:

Login timer timed out.
Thank you for your cooperation.

HINT: It is already in your hands.

Good bye.
フラグが表示されました。
フラグは、
SECCON{Sometimes_what_you_see_is_NOT_what_you_get}
です。

ネットワークエンジニアの教科書
シスコシステムズ合同会社 テクニカルアシスタンスセンター
シーアンドアール研究所
2015-09-11


記事検索
ギャラリー
  • TetCTF 2023 NewYearBot
  • UUT CTF writeup Find The Password
  • UUT CTF writeup The Puzzle
  • Hack Zone Tunisia 2019 writeup Microscope
  • Hack Zone Tunisia 2019 writeup Welcome
  • SwampCTF 2019 writeup Brokerboard
  • SwampCTF 2019 writeup Leap of Faith
  • SwampCTF 2019 writeup Last Transmission
  • CBM CTF 2019 writeup Long road
カテゴリー