せきゅはら。

正直若いとはいえないネットワークセキュリティ担当者がゆるゆると書いていく駄文です:)

SECCON 2014 オンライン予選(日本語) その2

さて、SECCON 2014 オンライン予選のネタの続き。
「自分で解いてない問題」「自分でチャレンジしたけど解けなかった問題」について。

o自分で解いてない問題

 ・100(練習問題)
   なるべく早い時刻にやっつけることに意味がありまして。

 ・ネットワーク 100(このパケットを解析せよ)
   若手のみでサクッと解いてしまっていました。
   ftp通信の TCP Stream を抜き出し、パッシブポートを特定(54673)して、
   再抽出したデータ列をdecodeしたらFLAG出現(だそうで
   base64の部分はちょこっと口にしたけど、大勢に影響はなかったかと。

 ・Unknown 100(詰将棋?)
   若手二人で打ってて、そのうち解いてしまいました。スゲェ
   13手って時点でかなり無理筋だと捉えてるんだけど……

o自分でチャレンジしたけど解けなかった問題

 ・暗号 300(Decrypt it!)
   "flag.zip"と"crypt.zip"からpkcrackを使ったdecryptをかけようと試みる。
   まずは残ってたメンバ全員のメインマシンがWindows(x64)でがっくり。
   (pkcrackは16bitアプリなのでWow64でも動かない)
   次にWindows8.1Updateが乗ってるIdeaPadS10eで……今後は古すぎてメモリ不足。
   それならと、pkcrackのソース一式をメインマシン上のCentOS6.4(x64)に展開し、
   強制的にmake→不足するlibを片っ端からyumで追加したけど処理が異常終了。
   ↓
   終了後、kusano_k氏ののwriteupを見て振り返り。
    誤)pkcrack -C .\flag.zip -c crack -p crack -d readme.txt
    正)pkcrack -c crypt -p crypt -C flag.zip -P crypt.zip
   ……無理やりmakeしたpkcrackでも処理成功しちゃったよw
   ※x64でも動くもんだなと
   そこから先の解き方は、まだ漏れレベルではついていけてません。
   ※漏れはガチ勢レベルには達していないですよ

 ・Unknown 300(Print it!)
   先頭80byteが怪しかったものの、ファイル中に繰り返し出現する「EdE」を
   ググって、PS(PostScript)だろうと断定した結果、そちらに邁進。反省。
   まぁ、ヘッダ長を元にググれてもそこから進めなかった可能性は高いけど。

 ・バイナリ 100(x86アセンブラを読もう)
 ・バイナリ 300(ダンプを追え!)
   バイナリはやはり解ける気がしない(汗
   スカウトするしかないか:-P

 ・フォレンジック 300(捏造された契約書を暴け)    ddファイルをマウントするまでもなく7-Zipで閲覧・取り出しができた
   まではよかったけど。
   各ファイルのcreate/updateをブルートフォースしたが無駄。
   docxを分解しても手がかりなし。
   さらにはddファイル内のmftから更新履歴情報を抜き出してもらって、
   そこからもブルートフォース。でもダメ。
   ↓
   「Exifに情報がある」をもとに再度おさらい。
   [DELETED]内のdocxを分解し、印影ファイルを010Editorで見ると確かにExif
   情報が。1/1時点で存在しない画像ファイルが使われてるのは矛盾しますね。
   TiffだからExifは持ってないよね、から画像ファイル内に疑いを持たなかった
   のは誤算。うーん……

 ・Web 300(箱庭XSSリターンズ)
   Lv.1が緩くて、Lv.2で空白文字まで潰された時点でがんじがらめ。
   ループ系の解答は凄杉ですな。

o番外

 ・プログラミング 300(あみだくじ)
   手を付けてさえいない問題。(実はこれだけ)
   よそのwriteupを見て……やはりムリだ。

 ・ネットワーク 300(ソーシャルハック?)
   「天安門事件」にとらわれすぎでした。アレはネタだったのかwww
   そういえば前にも自前Webサーバを仕掛けて罠をはる問題ありましたね。

まー、当日に慌てないようにしないといけないですね。
バイナリがムリならフォレンジックやネットワークで稼げるようにするしか。

CSAWで会いましょうw