LoginSignup
0
0

More than 3 years have passed since last update.

@ninja400

仙台CTFWrite-up

Posted at

概要

先月に仙台CTFに参加してきました!
面白い問題ばかりでとても勉強になりました。来年も機会があれば参加したいと思います。
問題のジャンルはopenworld(独自)、ネットワーク、フォレンジック、マルウェア、制御システム系でした。
制御システム系以外のジャンルを随時アップしていきたいと思います。

openworld

1. 状況確認 100

[問題の背景] インシデント発生日時: 2019年11月04日(月)

  • 本日23:42頃、あなたが離席中に、営業所の社員スズキさんから、不審メールが届いたとの電話連絡あったようです。必要な調査・対応を実施してください。

[問題]

  • スズキさんに電話連絡し状況を確認してください。 オープンワールドのスズキさんをクリックすると、証言を確認できます。

[フラグ]

スズキさんの証言の『 』で囲まれた文字列(半角、小文字)

例: abc@localdomain.invalid

回答

スズキさんの証言を聞くには「オープンワールドURL」をクリックするとネットワーク構成図のような画面ができてきます。オープンワールドの問題は構成図を元に問題を解いてきます。

フラグ:「attacker@localdomain.invalid

2. 不審メール受信者 100

[問題]

  • スズキさんが受信した不審メールは、他の社員にも送信されていたようです。スズキさん以外で不審メールを受信したユーザー名を特定してください。

[フラグ]

スズキさん以外で不審メールを受信したユーザー名(半角、小文字)

例: user01

回答

構成図から公開サーバをクリックして、メールサーバのログを確認します。
そうするとスズキさん(user5)以外にuser13にもメールが届いているのが確認できます。

フラグ:user13

3. 不審添付ファイル 100

[問題]

  • スズキさんが受信した不審メールの添付ファイル(ZIP形式)に格納されているファイル名を確認してください。

[フラグ]

不審添付ファイル(ZIP形式)に格納されているファイル名

例: 9月分の見積書.js

回答

添付ファイルを確認するには、送信された人達のPCを確認します。
今回のメーラーはthunderbirdなので、もし開いた場合は以下のpathに保存されます。
C:\Users\ユーザ名\AppData\Local\Temp
user5,user13を確認するとuser13で添付ファイルの請求書.zipがあります。
中をみると請求書.jsがあります。

フラグ:請求書.js

4. 不審URL 100

[問題]

  • 不審メールの添付ファイルはダウンローダであり、開封すると不審URLからマルウェアをダウンロードし実行するようです。 ダウンローダがアクセスする不審URLを特定してください。

[フラグ]

ダウンローダがアクセスする不審URL(半角、小文字)

例: http://abc.example.com/a.exe

回答

jsを見ていきます。
難読化とまではいきませんが、スペースなどがあり見づらくなっているので、編集すると以下のURLになります。
http://slime.example.com/malware.exe

フラグ:http://slime.example.com/malware.exe

5. 感染PC 100

 [問題]

  • 不審メールの添付ファイルを開封したPC(マルウェアに感染したPC)のIPアドレスを特定してください。

[フラグ]

不審メールの添付ファイルを開封したPCのIPアドレス(半角)

例:172.16.0.10

回答

user13が開いたので、システム全体構成図からuser13のアドレスを確認すると、172.16.0.13と確認できる

フラグ:user13

6. C2サーバ 100

[問題]

  • 感染したPCは、C2サーバに接続し、攻撃者に遠隔操作されるようです。C2サーバのホスト名を特定してください。

[フラグ]

C2サーバのホスト名(半角)

例: abc.example.com

回答

cuckooで解析
通信先を確認

フラグ:golem.freedns.com

7. ラテラルムーブメント 100

[問題]

  • 不審メールにより感染したPCから、ネットワーク経由で他のPCに感染が拡大し、そちらも遠隔操作されたようです。ネットワーク経由で感染したPCのIPアドレスを特定してください。

[フラグ]

ネットワーク経由で感染したPCのIPアドレス(半角)
例: 172.16.0.11

回答

残りの端末はuser19のみで、構成図から確認するとIPは172.16.0.19とわかる。

フラグ:172.16.0.19

8. 攻撃ツール 100

[問題]

  • 攻撃者は、不審メールにより感染したPCから、他のPCに感染拡大させるため、ネットワーク経由で他のPC上のプログラムを起動できるツールを利用したようです。
  • このツールが起動された日時を特定してください。(誤差1分以内を正解とします。)

[フラグ]

ツールが起動された日時(yyyy/mm/dd-hh:mm、半角)

例: 2019/11/16-11:12

回答

回答作成中

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0