2013年10月21日月曜日

seccon香川大会 Writeup

seccon 2013 香川

問題画面をキャプチャーするのを忘れていたので、問題のタイトルなど覚えていません。。

PCに入っていた問題。
https://www.dropbox.com/sh/jhj75dnrbv4fqyh/fvlPKjRuvM


ネットワーク
問題ファイル:q7.pcap
タイトルがpcapで遊ぼうシリーズ第n+2弾 みたいな感じだったかな。

去年のseccon横浜大会で同じようなものを見たなーっと思ったがとりあえずWiresharkに入れる。

SYNしてすぐにRSTしている通信があったので

フィルターに ip.src == 192.168.96.128 && tcp.flags.syn==1 と入れて絞り込んでから目grep

矢印のところに1文字ずつflagが書かれていた。
Omedeto! Arigato! Matane! が答えだった


ジャンルは忘れた
問題ファイル:PikaCaps.zip

解凍するとexeファイルがあったので実行してみる

実行してもコマンドプロンプトに行くよ?っとでて何も起きない。
たまたまキーボードを見たときにCapsLockのところがピカピカ光っていた

よく見るとモールス信号ぽかったのでとりあえず読んでみたら答えだった

flagは覚えていません。


暗号?
問題ファイル:forcusing.zip

解凍すると right.png と left.png という見た目が同じような画像が1枚ずつ出てきた
とりあえずgimpに入れて差分を取ったら16進数の文字列が出てきた

これをアスキーコードに直したらflagが出てきた。

ここからは解けていない問題

フォレンジック問題
問題ファイルFilesystem002.bin
Enterprise.jpgの更新時間を答えろみたいな感じだったかな?
フォーマットはhh:mm:ss

バイナリ問題
問題ファイル:FindTheSecretKey.exe
keyを探せーだったかな


終わった後にやってみた問題。
バイナリ問題
問題ファイル:file.zip

解凍すると6個のファイルが出てくる。
fuga gafu geho hoge hogefuga hogehoge
バイナリエディタでファイルを見るとなんか同じような文字が多いなーっという印象だった

各ファイルのこの文字やたら出てくるなーっと思ったkeyでxorしてみました。
xorのkey
fuga 0x07
gafu 0x90
geho 0xaa
hoge 0x49
hogefuga 0xd3
hogehoge 0xf8

hogeのxorしたものにexeのヘッダがあったり、見慣れた文字列があったので雰囲気で結合してみた。
順番
hoge
fuga
geho
hogehoge
gafu
hogefuga

これを実行すると

Can you see me?

っというメッセージボックスが出る。
実行できたのでこれが答えなのかなーっと思います。
違うのかもしれません。

実行できたので満足でした。

解けなかった問題のWriteupはきっと誰かがしてくれると信じています!

2013年10月3日木曜日

Sharif University CTF Quals 2013 Writeup/Carving

Steganographyの500点問題

問題文
Carving :) :)

file :-carving.jpg


このファイルをとりあえずバイナリエディタに入れてみる

ビットイメージを見ながらさーっとバイナリを眺めているとjpgなのにフッターがFF D9 じゃない!!


/後ろについているのは何だろうと思って FF D9 のあとを見ると

1F 8B があって gzip がついてるなーって感じで取り合えずここから終端までを切り取って解凍してみたら。

flagというファイルが出てきて中身が

foremost can not detect tar.gz file?!?!

と書いてあり、入力してみたら正解だった。


500点なのにさくっと解けてしまってびっくりでした。