osint中心のCTF、TsukuCTF2023のwirteupです。
easyがほとんど、いくつかmediumも解けてたかな...?程度です
osint
eruption
つくしくんは旅行に行ったときに噴火を見ました。噴火の瞬間を実際に見たのは初めてでしたが、見た日付を覚えていません。つくしくんが噴火を見た日付を写真の撮影日から特定して教えてください。撮影場所が日本なのでタイムゾーンはJSTです。フラグの形式は TsukuCTF23{YYYY/MM/DD} です。
https://exif.tools/ よりFile Metadataを取得する。
Create Date 2022:01:28 14:19:00 と分かるので
TsukuCTF23{2022/01/28} がflag
location_for_what
とある場所を友達と探索していると、「ここ、何かの映画の聖地だった気がするけど、名前忘れちゃった......」とのこと。シュッと特定して教えてあげよう!Flagの形式は TsukuCTF23{映画のタイトル} です。
※この写真の出題はpngでされたのですがQiitaに元のままだとアップロードできなかったのでjpg化しました
googleより画像検索を行う
いくつかの記事がヒットし、聖地巡礼 映画『言の葉の庭』 新海誠監督の靴職人志す高校生の話だと分かる(アマプラでたまに無料で見れるよ!)
よって、TsukuCTF23{言の葉の庭} がflag
castle
この前、お城に行ってこの写真を取ってきたんだ!どこにあるかわかるかい?フラグのフォーマットは、TsukuCTF23{緯度_軽度} です。 小数点は第三桁まで有効とします。
googleで写真検索を行うと 兵庫県姫路市の太陽公園 と分かる。
この太陽公園内で実際に問題の写真にあるが画角で取れるところをストリートビューから探す。(気分はGeoGuessr)するとおそらく34.8863862026222, 134.63019352564316であると分かる。
小数点は第三桁まで有効なことに注意して TsukuCTF23{34.886_134.630} がflag
airport
つくしくんは、旅の思い出を振り返っていましたが、この写真はどこの空港かわからなくなりました。ここはどこの空港か教えてくれませんか?Flagフォーマットは TsukuCTF23{空港の3レターコード(IATA)} です。
google写真検索を行うと、プロペラ機の写真がたくさん出てくる。
・写真の内容から特徴的な点を挙げてみる
・プロペラ機である(出発か到着か、またはそのどちらかが田舎空港(偏見))
・山がある
・空港の周りが都市っぽい、でっかい建物が多数(少なくても写真の撮影値は都市部?)
以上の条件に当てはまりそうな写真を写真検索結果から探す 大阪の伊丹空港 が良さげ
3レターコード(IATA) は ITM なので、 TsukuCTF23{ITM} がflag
green_bridge
この写真が撮影されたのはどこですか...?Flagフォーマットは TsukuCTF23{緯度_経度} です。端数は少数第4位を四捨五入して小数点以下第3位の精度で回答してください。
※この写真の出題はpngでされたのですがQiitaに元のままだとアップロードできなかったのでjpg化しました
google写真検索を行うと、ちょうど同じような写真のある記事が出てくる。
記事よりここは「途中、もみじ谷大橋なるスポットがあり寄ってみました。」 とあるので、もみじ谷大橋からストリートビューでWeb観光しつつ探す。
写真内の特徴的な建物、緑色のなんかオシャレな形した建物が見つかるのでそこを中心に画角を探す。
https://www.google.com/maps/@36.9562706,139.880158,3a,75y,180.79h,69.57t/data=!3m6!1e1!3m4!1sSW_p7N20P8mHLTgyNLweCg!2e0!7i16384!8i8192?entry=ttu がベストではないが良さげ。
よって、36.9562706,139.880158 より少数第4位を四捨五入して、TsukuCTF23{36.956_139.880} がflag
perfume
とある施設でいろいろな香水を見かけたが、施設の場所が思い出せない。この施設の場所を調べ、教えてほしい。フラグはTsukuCTF23{緯度_経度}であり、小数点第三桁まで有効である。
google写真検索を行うと、ちょうど同じような写真のある記事が出てくる。
大分香りの博物館の展示であると分かる。
館内での正確な展示の場所は大分香りの博物館のバーチャルミュージアムでWeb観光をすると、展示内容は変更されているがテーブルやテーブルクロスから多分ここと分かった。
このバーチャルミュージアムから正確な座標を取得する方法が分からなかったので、googleマップから目押しで33.312013084977664, 131.4887795362545と取得する。よって TsukuCTF23{33.312_131.488} がflag
mab
mab.main.jpが使用しているレンタルサーバサービスを特定し、そのWebサイトのドメイン名を答えてくださいFlagフォーマットは TsukuCTF23{ドメイン名}です。
domaintoolsで調べると以下のようにわかる。
Name Servers
・DNS2.LOLIPOP.JP (has 357,301 domains)
・SV.MADAME.JP (has 9 domains)
や
Whois Record
・[Name Server] sv.madame.jp
・[Name Server] dns2.lolipop.jp
LOLIPOP がたくさんドメインを持っているのでレンタルサーバーサービスっぽい
調べると正しいことが分かるので、 TsukuCTF23{lolipop.jp} がflag
tsukushi_estate
つくし君が写真に写っているビルにオフィスを構えたいらしいのだけど、築年数が少し心配......つくし君の代わりに調査してください!Flagの形式は TsukuCTF23{築年_月} です。例えば、2022年3月に出来たビルであれば、 TsukuCTF23{2022_03} になります。
まずは、写真に写っている電話番号をgoogle検索します。
すると写真に写っているのと同じ管理会社の名前のホームページが見つかるので、そこから貸しオフィスやビルを探し、googleストリートビューで建物を確認するとタイルや窓枠の素材感からここだ!となる建物が見つかるので、管理会社ホームページ記載の築年数を確認します。
1983年3月(築40年10ヶ月)より、 TsukuCTF23{1983_03} がflag
travel_with_tsukushi
旅が好きなつくしくんは、空港の写真からそれがどこの空港かすぐにわかります。つくしくんからの挑戦状!これがどこの空港かわかるかな?Flagフォーマットは TsukuCTF23{空港の3レターコード(IATA)} です。
google写真検索で検索をかけるとエア・アラビア社の飛行機であることが分かります。
そのまま写真検索結果の中から、建物の屋根や街灯の配置感の感覚からっぽいなとなる写真を見つけるとクアラルンプール国際空港と分かります。よって TsukuCTF23{KUL} がflag
kiZOU
ここは日本で一番のリゾート地!少し歩くと目の前に素敵な像が見えたから写真を撮ったつもりだったんだけど、見返したら端っこしか写ってない!困ったなぁ、この像についてもっと知りたかったんだけどなぁ。僕の代わりにこの像について調べてくれないか?フラグ形式は TsukuCTF23{像を寄贈した人物の名前} です。
写真からAU Style NAHA という店名より那覇市の那覇店であることが分かります。
次にgoogle mapのストリートビューで見に行きます。すると、デパートリウボウの入り口あたりにあるシーサー像が確認できます。
この像の寄贈元についてgoogleで調べてもあまり出てこなかったので、像と言えば歴史を語るプレートと対になることが多いよなと連想し、Twitterでリウボウ シーサー と検索するとシーザー像を正面からとった写真が見つかります。
プレート中で上原清善氏からの寄贈との文字列が見つかるので、 TsukuCTF23{上原清善} がflag
web
basic
保護されていない通信ではパスワードはまる見えダゾ!
e.g. パスワードが Passw0rd! の場合、フラグは TsukuCTF23{Passw0rd!} となります。
basic.pcapngが配られたのでwiresharkで見ると以下の通りの通信記録がある。
GET / HTTP/1.1
Host: 192.168.11.60
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,/;q=0.8
Accept-Language: ja,en-US;q=0.7,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
Sec-GPC: 1
Connection: keep-alive
Upgrade-Insecure-Requests: 1
Authorization: Basic YWRtaW46MjkyOWIwdTQ=
HTTP/1.1 200 OK
Content-Type: text/plain
Content-Length: 22
Connection: close
Welcome to TsukuCTF23!
より
YWRtaW46MjkyOWIwdTQ=をCyberCheで変換すると
admin:2929b0u4になる、よってパスワードの方を用いて TsukuCTF23{2929b0u4} がflag
misc
what_os
とある研究所から、昔にシェル操作を行った紙が送られてきた来たんだが、 なんのOSでシェルを操作しているか気になってな。 バージョンの情報などは必要ないから、OSの名前だけを教えてくれないか?
にしても、データとかではなく紙で送られて来たんだ。一体何年前のOSなんだ。。。
送られてきた紙をダウンロードして確認してほしい。
tty.txtというCLIの操作と出力をペタ張りしたようなファイルが配られる。
コマンドがlinuxっぽく、またwho is dmr and ken? や82 sxrwrw 1 root 1422 Jan 1 00:00:00 ux.sからUNIXと想像した。
よって TsukuCTF23{UNIX} がflag
感想
最後の1時間はずっと鯉のあらいについて調べてました。順当に福島か焼き物から福岡か、みたいな考察を中心にお品書き調べてたら口が魚になったので今晩はなんか生魚系食べます。
コンテストお疲れ様でした!楽しかったです!