SHA2017 CTF Teaser round Writeup
SHA2017 CTF Teaser roundにチーム Harekaze として参加しました。チームの総得点は650点でした。
[Web 50] Are you safe
Problem
SSL all the things! Start with your own webserver.
SSL対応のサーバーをローカルで作って任意のファイル「sha2017.ctf」をroot直下に配置。 中身は動的に生成された文字列にする。
SSL対応は「ngrok」を用いた。
mac環境は
brew install ngrok
または
brew cask install ngrok
Ubuntu等は
sudo apt-get install ngrok-client
でインストールすることができる。
ngrok - secure introspectable tunnels to localhost
httpsのサイトをランク付けするサイトで診断してからローカルのURLを入力して送信する。
SSL Server Test (Powered by Qualys SSL Labs)
すると、FLAGが表示される。
flag{bb99d0e6fb089350af60504f49c7f2fa}
Security Fest CTF 2017 Writeup
Security Fest 2017 にチーム Harekaze として参加しました。チームの総得点は1660点でした。
[Misc 10] #makeircgreatagain
Problem
Sanity check! Flags is in the topic of #securityfest-ctf @ irc.freenode.net Service: https://kiwiirc.com/client/irc.freenode.net:+6667/#securityfest-ctf
IRCにログインするとFLAGが貼ってある。それだけ。
SCTF{Welcome_to_SECURITYFEST_CTF_2017!}
競技開始時刻が21:00(JST)~だったのですが、3分程前には一部問題が閲覧可能状態だったので、少し戸惑いました。
あと、メモ程度に何故その時気が付かなかったのかという問題について書いておこうかと。
[Misc 200+15] Qr code madness
Problem
Random pictures, this do not make sense
zip内の114個のQRコードをexiftool, binwalk, stegnoし、FLAGの手がかりがないと思ってしまい、
Slackにとりあえず全QRコードのファイル名順の内容を貼って寝てしまった。
QRコードの内容は
n9JWXFbBVRev=k5jXD9a2UXFPbMSxyA=Ai9ukDp9WxzrsZ1WNTo1aKXE3YGMth1gIdSULIMNmDGBqz104+HdCazUcfnQ7cdMRUCtu6gfFzNWfMH0mN
そして、次の朝、チームのプロが解いていた。
解法はとても単純で、日付順にファイルを並べ、順番にQRコードを並べて終わり。
更新日時順にQRコードを並べると
aC+40zqGmlLSdIJ1hY3EKoTwsrxWpkiAybPXU9Dj5veRVBHfFg6utM7QncU0NURntUaDNzM19kNG1uX1FSX2MwZDNfazMzcF9wMHAxbmdfdXB9Cg==
その後、少し工夫が必要で、base64でencodeされているっぽいので長さを調整してみる。
文字列の後ろから64文字程度切り出してdecodeするとFLAGが確認できた。
ls -ltr
してファイルの更新日を降順で知り、zbarでQRコードの認識、その後、decode.
mb% base64 -D base64_qr.txt > flag.txt
以下に作業したrepositoryを貼っておく。 prog/CTF/securityfestctf2017/qrcodemadness at master · hiww/prog · GitHub
今後は、もっと念入りに調べていけるようにしたいなぁ…
SECCON Beginners 2017 Nagano Writeup
SECCON Beginners 2017 長野 (旧: CTF4b) に参加した。
得点は1500点、順位は(4位/64人中?)でした。
講義はWeb (@xrekkusu), Forensics (@mrtc0), Binary (@shift_crops),でした。
解いた問題
* 練習問題 - コピペして提出するだけ。
てけいさん for ビギナーズ - お好みの言語、方法で100回やるだけ。(今回はJSに浮気した)
(忘れた) Key? - pcap開いて見るだけだったと思う。
bin100 - 開いて探すだけ。
bin200_1.txt - 講義の復習をするだけ。
Fix ? - 講義の復習をするだけ。
Denなんとか? - 講義の復習をするだけ。
login - 調べて工夫して ‘) をつけていつも通り。
感想
- あと10分位やる気と集中力があればForensicsがもっと解けたと思う。
- ノートパソコンの充電器や集中力大事。
- バイナリ読めないのでつらい。
- 2~4位が同率であと少し早く解けば2位になれた… 悲しい。
- 知り合いに負けたのでつらい。
- カフェテリアが良い感じだった。
- 初の試み「懇親会」は中々良かった。
- CTF-Kitをスコアサーバーに採用してたのが驚いた。
- Binaryを基礎からちゃんと勉強し直せたので良かった。
最後に
- 運営側の方々、運営お疲れ様でした。
- 他の参加者様もこれを機にCTFに興味を持って頂けると幸いです。
セキュリティコンテストチャレンジブック CTFで学ぼう!情報を守るための戦い方
- 作者: 碓井利宣,竹迫良範,廣田一貴,保要隆明,前田優人,美濃圭佑,三村聡志,八木橋優
- 出版社/メーカー: マイナビ出版
- 発売日: 2015/09/30
- メディア: Kindle版
- この商品を含むブログを見る