chibiegg日誌

昨年の9月にオンライン予選が開催された，SECCON CTF 2014の決勝戦に参加してきました．

昨年はチーム”竹田氏”という名前で決勝戦に出場していたチームの一人と入れ替わり，チーム”Mr. Takeda”として参加しました．
英語表記になったのは，今年からマルチバイトはだめと言われたためで大意はありません．懇親会等でも”たけだし”と呼ばれたので漢字表記のほうが定着しているようです．

国内だけの大会だったはずが，世界大会になり，さらには世界的なハッキングコンテストが開催されるDEFCONの出場権がついてくることになったため，有名な海外のチームもやってきて超難関な決勝戦になってしまいました．Twitterでは，「国内野球大会かと思って参加したら、突然優勝賞品にワールドシリーズ出場権が追加されて、参加チームにヤンキースをはじめ世界の超一流プロチームが集まっていて、ふと隣を見るとイチローがアップを始めていた」と例えられていました(笑)

今回の目標は半分冗談で1桁の順位と決めていたのですが，24チーム中 9位の成績を収めることができ，メンバー一同騒然となる，総合的にはとてもうれしい結果を残すことができました．

6台のサーバが用意されており，攻撃に成功するとフラグと呼ばれる文字列が手に入ります．これをスコアサーバに送信することで，ひとつあたり100点が加算されます．

また，各サーバに定期的に更新される自分のチームのDefence Keywordを書き込むと，5分ごとに得点が入るルールがあります．

残念ながら，本題のフラグは一つも取ることができなかったのですが，他のメンバーが解いている間にDefence Keywordをなんとかしてそのタイミングにサーバに書き込むことを続けていました．
これにより，3+α個のフラグに相当する得点ができたので，なんとかチームに貢献できてよかったです．

予選ではないDefence Keywordを賭けた他のチームとの攻防戦はとても楽しかったです．

SECCONの詳細は後で加筆することにして，問題のWriteUpを先に書いておきます．

サーバ壱

Redmineのデザインそっくりな”Secmine”というユーザー登録が必要な架空のサイトについての問題でした．

メニューから，管理者に対して任意のURLを開かせることができる脆弱性がありましたので，クロスドメインの問題を避けながらなんとかセッションか，その他の情報を管理者から奪取すればよさそうというところで頓挫．

このサーバでは，チームで登録したアカウント数のランキング上位に5分ごとに得点できる状態になっていたのですが，単位時間あたりに登録が可能な回数が制限されているため，一番最初に気づいたチームが独占状態で，参戦するのはやめました．

サーバ弐

以下のような種類があるCAPTCHAがついた掲示板でした．

CAPTCHAには，

• 単純に文字列
• 四則演算
• 図形の位置をマウスで合わせる
• 一部が欠けた図形の位置をマウスで合わせる
• 文字列の位置をマウスで合わせる

というパターンがありました．

ここで，ランキングというページを見ると，5分間に投稿された回数がアクセス元IPアドレス別にランキングされており，1位を取ると管理ページにアクセスする権利が得られ，無事一つのフラグをゲット．

ちなみに，このページで表示されるCAPTCHAのタイプやその他のパラメータを調整することができ，他のチームの邪魔をすることもできます．

もう一つどこかに攻撃できる点があるはずなんですが，ここで頓挫．

このサーバでは，最新数件が含まれる”History”に自分のチームのDefence Keywordが本文として書き込まれていると5分ごと得点が入るのでなんとかしてCAPTCHAを自動化してたくさん投稿する作戦を立てました．

“文字列”，”四則演算”，”図形”の3パターンだけを自動化すると絞り込んで，Pythonでノイズを除去し2値化，オープンソースのtesseract-ocrでデコード，四則演算の場合には計算した結果を送信．円の場合には左上の座標を算出し送信し，無事自動化しました．ところが，画像処理が挟まるためすごくおそい…．5分間で数百回が限度でした．

その後他のチームが5分間に数千という回数の投稿をしてきたので，脆弱性をついてCAPTCHAをスキップする作戦に変更．
調査をしてみると，”cap_token”というCookieがあり，それと答えが1対1に対応する上に，何度でも通ってしまう脆弱性が見つかりました．これを突いて，CSRFトークンと，固定の答えだけを1度目のだけ画像解析を使い，2度目以降は同じ答えを使い回すことで大幅に速度を向上させました．

ここまでくると，Pythonを使わずにbashとcurlコマンド(+α)だけで実装すればさらなる高速化が期待できると考えたので，シェルスクリプトを作成．チーム全員に配布し各人100プロセス以上並列に起動させて，もはやDDoS状態でした．

私たちのチームは192.168.4.0/24なのですが，ここに載ってるタイミングで1万リクエスト以上成功しています．

この時点で，チームの現在のDefense Keywordをスコアサーバから取得する必要があるのですが，このページ，WebSocketでできてるんです．
なので取得が面倒くさい．そこで，PythonでWebSocketクライアントを書いて，取得した最新のDefence KeywordをHTTPで配信するサーバを立てました．
これにより，他のメンバーはDefense Keywordをcurl等でGETするだけで利用できます．この設計が後々サーバ伍ですごく役に立つことに．

サーバ参

オーバーフローの脆弱性があるプロセスが用意されており，ROP(Return-Oriented Programming)の手法を用いて攻撃する問題．

@aki33524が解いたのでWriteUpにリンク張ります．

サーバ四

mips, h8300, m32r, mn10300, rxのアーキテクチャで動作する脆弱性のあるプロセスに対し攻撃をかける問題．逆アセンブルしてコードを読むと，オーバーフローが起きる問題を見つけたのですが，攻撃コードを考える時間がなくて断念．

サーバ伍

よくわからないHTTPサーバが動いてる．どうやら4台あるよう．@misodengakuがひとつフラグをゲットしたので，WriteUpにリンク張ります．

二つ目以降のフラグが手に入らなかったのですが，どうやらこの問題はWebの問題ではなくて，TCP/IPの問題だったそうで，不正なIPヘッダのダミーのパケットが返って来るために通信できないポートがあったそうな．
そのダミーパケットをうまく選別して，iptablesでDROPさせればつながるポートがあるらしい．だれかWriteUp書いたらリンクはります．

ネットワークの問題って気付けば解けたのに！これが個人的にはすごく悔しいです．
Webの問題に見せかけるのずるい…

このサーバでは，トップページに自分のDefence Keywordを書いておけば，5分ごとに得点できました．
パスワードがかかっていないSubversion-WebDAVが動いているのを発見したので，ファイルをすべて消して，自分のDefence Keywordのファイル名のファイルだけを作成しサーバにコミットするスクリプトを無限ループで実行．
ここにDefence Keywordが書き込めていたのは，準優勝のHITCONとうちだけだったようです．

ここで，サーバ弐のときに準備しておいたキーワード配信サーバが役に立ちました．

サーバ六

様々な方法で暗号化された文字列を元に戻す問題．@__mathが説いたのでWriteUpにリンク張ります．

このサーバでは本題とは別に，Pythonで書いた暗号・復号プログラムを投稿し，最も短いコードかつ，誰にも解かれていないスクリプトを投稿できているチームに5分ごとに得点が入る構造になっていました．

最初のうちは @__math がまともに投稿して，何度か得点していたのですが，これ以上は難しいという短さまで到達．得点が加算されるタイミングを分析して，INPUT=OUTPUTという全く暗号化していないけれども最も短いコードをその瞬間に投げることで，何度か得点することができました．

 

追記

NHKにしっかり映ってた

連投で自分が関わった問題のWrite Upを書きましたが、他のメンバーやチームが解いた情報をいくつかリンクしておこうと思います。

このブログの記事

• QR 300
• QR 100, QR400
• Web 100
• Web 300
• Forensics 100
• Network 300
• Programming 400

他のメンバーの記事

• @misodengaku SECCON 2014 オンライン予選2に出た

他のチームの記事

• @kusano_k さん “SECCON 2014 オンライン予選（英語）Write-up”
  • Welcome to SECCON (Start, 100)
  • Easy Cipher (Crypto, 100)
  • Shuffle (Binary, 100)
  • Reverse it (Binary, 100)
  • jspuzzle (Web, 100)
  • REA-JUU WATCH (Web, 200)
  • Bleeding “Heartbleed” Test Web (Web, 300)
  • XSS Bonsai (aka. Hakoniwa XSS Reloaded) (Web, 500)
  • QR (Easy) (QR, 200)
  • Get the key.txt (Forensics, 100)
  • Choose the number (Programming, 100)
  • The Golden Gate (Programming, 400)
  • Get the key (Network, 10100)
  • Get from curious “FTP” server (Network, 300)
• MMAさん Writeups for SECCON 2014 オンライン予選（英語）

あと、これは途中まで準備して、@misodengaku に解いてもらいました。

Web 300の、”Bleeding “Heartbleed” Test Web”。

どうみても、OpenSSLのHeartbleed脆弱性があるかどうかするテストページです。脆弱性があるサーバが必要なのかな？と思い、さくらのクラウドに脆弱性のあるUbuntu 12.04を構築しました。

レスポンスのHTMLを見てみると、DBにインサートされてることがわかる。

さらに、同一時刻にリクエストを投げると、あきらかなSQLエラーが。

ということは脆弱性があるふりをして、SQLインジェクションを起こせそう…？というところで @misodengaku にまかせたら解いてくれました。

具体できにどんなレスポンスを投げたのか気になるところ…

追記

みそでんがWrite Upを書いてくれました。“SECCON 2014 オンライン予選2に出た”

“; SELECT flag AS time FROM ssFLGss; —

でOKだそうです。

他にもQRコードには手をつけていたのですが、最後まで解けず…

その一つがQR 200の、”QR (Easy)”

なんと、パンケーキにQRコードが書いてある…しかも食べられてる！

しかし、大丈夫！QRコードは右半分に生データ、左半分にリードソロモンエラー訂正符号が入っているため、右半分あれば読める！

@misodenngaku が見える部分を画像にしてくれた。

これをQRコード、バージョン3の訂正レベルHの規則に従って、復元してみた。が、SECCONまでは読めたけどそこからがよくわからない…

Excelのbin2hexは8bitまでしか対応してないけど、Numbersならもっといけたので助かった。

もう一つが、QR 400の”BBQR”。バーベキューアールっていうネタ。

QRコードでBBQされている…焼く前に写真撮って欲しいものである。さっきとちがって、左半分が残っている。幸い制御情報がすべてあるので、バージョン3、訂正レベルH、マスクの種類もすべてわかったので、とりあえず綺麗な画像にしてみた。

リードソロモンで訂正するには何バイトかまだ足りない…というところであきらめた。

#4までが僕が解いた問題です。少な….。他にも手をつけた問題があったので、何ができたかをかきます。できれば追記で解き終わりたい…

一番長く時間をかけたのが、Programming 400の”The Golden Gate”。

Google Driveへのリンクがあるので開いてみると、ユニバーサル基板でできた回路の写真が！

 

74HC00を10個使ってでできた、8bit入力、8bit出力の暗号？化回路みたいです。配線がきたna….

なので、とりあえず回路図をEagleで復元することにしました。これが大変で、重なった配線のわかりにくいこと…

 

写真を印刷して、書き込みをしながら復元しました。苦行…

ここからはPythonで処理を行いました。都合のいいことにEagleの回路図データはXMLなので、普通に扱うことができます。なので、配線情報を取り込んで、セグメントの配列オブジェクトを作れるところまで実装しました。

 

この情報は閉路のない有効グラフとして扱えるので、トポロジカルソートでランク順に並び替え、順番に出力を確定していけば最終的な出力を求めることができます。ここからは超競プロ勢の@__math先生にお願いしました。

ところが、デコードしても文字列のような結果が出てこない….というところで時間切れ。

他からの情報だと、どうやら、gzipで圧縮された結果がでてくるようで、解凍が必要だったみたいです。

 

#3に引き続き、解いたのがWeb 100の”jspuzzle”です。

解凍してみると、HTMLとJavascriptが入っているので開いてみます。

どうやら、空欄を下の選択肢から埋めて、alert(1)を実行するコードを作ればいいようです。まさにパズルですね。同じ選択肢は1度しか使えません。

Scriptを読んだところ、10箇所の空欄を結合したSHA1ハッシュ値がFlagになってたので、正攻法以外では解けなさそう。なので、ちゃんとパズルとして考えていきます。

説明上、次の図のように番号を振ります。

最初5行で辞書をつくって、関数オブジェクトをつっこみ、それを最後の行で参照して、実行していることがわかります。7,8の行が実際にalert(1)を実行する箇所ということになります。

まず、“[1]”と、“{9}”[“{10}”]() が同値でないとだめであることから考えます。JavaScriptでは、オブジェクトと辞書は一緒なので、Hoge.fuga()と書いてもHoge[“fuga”]()と書いてもおなじなので、きっと{10}は文字列オブジェクトのメソッドであることがわかります。

ということは、選択肢からtoLowerCaseが{10}で、Functionが{9}、対応してfunctionが{1}であることがわかりました。

同じ原理で、“{2}”と、r[“{7}”](pattern)が同値でなければいけません。rはRegExpオブジェクトなので、{7}は選択肢から考えると”constructor”か”exec”が入ります。constructorの戻り値はまたRegExpオブジェクトなので、違うだろうと推測し、{7}にexecを入れるとr.exec(pattern)となります。では次に{6}を考えてみると、正規表現の文法上/*^_^*/は入りません、それ以外の普通の文字列はいれてしまうと、execの返り値がリストになってしまいます。なので、{6}には^[w]$をいれます。そうするとexecの返り値はnullになります。

ここで疑問がでてきます、{2}は文字列なのに、nullはどうがんばっても入れられないじゃないか！と。ところがJavaScriptは辞書のキーは全部文字列で扱いますので、参照時に自動でキャストされるため”null”で問題ありません。(最初、これはちがうなぁと思っていたので少し時間がかかりました…)。なので、{2}はnullで決まりです。

最後、{3}{4}{5}と{8}ですが、”{3}{4}{5}”と結合すると、命令になるはずなので、で”return hogehoge”となるはずです。しかし、空白は選択肢にありませんが、なんとコメントをいれるとそこは空白扱いになるのです。したがって、{3}はreturn、{4}は/*^_^*/ですね。

ここまで考えると、この新しく生成されている関数で返るオブジェクトをHogeとすると、{8}の 部分ではこういうことになります。

Hoge.{8}(1);

これがalert(1)にならなければいけません。そこで、alertを持っている親オブジェクトを考えると、window….つまりはthisです！ということはreturn thisして、alertを呼びだせばOK

結果、{5}はthis、{8}はalertですね。

 

殴り書きなので、読みづらいのはスルーしてください…

 

 

#2に続いて解いたのが、Forensics 100の”Get the key.txt”です。

ファイルが提供されるだけで、なんの説明もありませんが、解凍してfileコマンドで見てみます。そうすると、EXT2ファイルシステムであることがわかります。(バイナリエディタでみなくてもここまでわかると便利ですね)

そこで、Ubuntuでマウントして、中身を見てみると数字のファイル名がいっぱい。fileコマンドでみてみると、どうやらgzipで圧縮されているようなので、”1″に”key.txt”って書いてあるので展開してみると、あっさりフラグゲットできちゃって….おしまいです。

 

(じつは、gzipであることになかなか気づかずに @misodengaku に教えてもらった。けど、なぜみそでんは解凍しなかったんだ…。CTFって終わってみると、あのときなぜしなかった！っていうことが結構ある。)

 

前回 #1 に引き続き、SECCON CTF 2014 Online 予選 (2回目) のWrite Upを。

次に解いたのが、Network 300 の”Get from curious “FTP” server”です。

FTPサーバを教えられるので、ftpコマンドで繋いでみると、LISTができません。

そこで、telnetで直接繋いでみて、STATコマンドを実行してみると、”key_is_in_this_file_afjoirefjort94dv7u.txt”っていうファイルが見つかるのでダウンロードしたらOKです。

 

ちなみに、MacのCyberduckで接続すると、なんの問題もなく一覧の表示とダウンロードができてしました…

 

昨日の9時から今日の17時ににかけてSECCON CTF 2014のオンライン予選(2回目)が開催されてました。

すでに、前回の予選で出場権を得ているため、今回は練習ということで出場していました。

今回のメンバーは

• @__math
• @aki33524
• @misodengaku
• @chibiegg

の4人でした。チーム名はMt. Takedashiです。今回は、みんな、映画に行ったり、バイトに行ったり、出かけたり、10時間ぐらい寝たりと、稼働率30%もないんじゃないかという状況で点数は残念な結果でしたが、出場権を気にせずに問題が楽しめて良かった感じです。

で、僕が解いた問題、そうでない問題を含めてちょっとまとめてみようかなということを(モチベーションが続けば)やってみようと思います。

途中のスクリーンショットなので全部載ってるかちょっと怪しいですが、問題一覧はこんな感じです。

まず、僕が解いた順でいきたいと思います。朝起きたじてんで結構他の人が解いてたので、まだ手がつけられていなかった”SECCON Wars: The Flag Awakens”をときました。

Youtubeの動画がわたされるので再生してみましたが、どこがQRコードに関係するのかさっぱり…

なんどか見返してると、SECCONのロゴの下にQRコードが流れているではないですか！

さっそくPhotoshopでフレームをレイヤーにして取り込み、境界線でわかりやすいようにして、少しずつ復元していきました。

で、復元したQRコードをZXingにかけて、デコードすればおしましです。