CyBRICS CTF 2019 write-up とわからなかったところ

感想

2019年7月20~21日にCyBRICS CTFを(院試勉強そっちのけで)やりました。正直全然できなかったです順位は775チーム中232位でした。3問しか解いてないんですけどね。

Write-up

Mic Check

言う事なし。

Tone

YOUTUBEで番号を入力している音が聞こえて何を入力しているかという問題。問題見た瞬間コナンの映画を思い出しました。
DTMFという２つの周波数で番号を認識しているやつです。その２つの周波数が分かれば良いのでUbuntuソフトウェアにあったAudacityというツールで録音しスペクトルをこんな感じで一つずつ調べていきます

このとき697Hz,1336Hz周辺が強く見られるので2です。2回押したらB,3回ならCって感じです。全部解析して終わり。

Caesaref

最初、ログイン画面のようなものが表示される。SQLインジェクションかな？とおもってユーザー名に'--を入力したらなんか入れた。
そして、入力して送信したものがそのサイトで表示されるのでXSS攻撃かなと思ったら案の定でした。
そして管理者はその内容を見てるようなのでCSRF攻撃(違ったらすいません)かな？と思い、PostBinというサイトで一時的なサーバーを取得し、

を送信。管理人がアクセスしてくれるのでクッキーを取得し、自分のブラウザのクッキーをそれに変えてアクセスすると

このような画面に、フラグを表示して終わり。

わからなかったもの

解けたものより解けなかったもののほうが多かったですが、今回は惜しいところまで行った気がするけどできなかったものをピックアップしました。

Sender

スパイの通信を覗いてみたぜ〜という内容

見てみるとリクエストやレスポンスが表示されてる。
下の方にあるquoted-pritableでエンコードされているやつをデコードすると
btw.
password for the archive with flag:crack0Weston88vertebracheers!
cheers!

と書かれていました。これで終わりか？と思い送信するもダメ。
次にユーザー認証している部分がbase64で暗号化されているので復号してみると
Username:fawkes
Password:Combin4t1onXXY

と書いてありましたcombinationXXYということはXXYを結合しろってことなんでしょうが、先程のflagの色んな所にXXYをくっつけてみましたがダメでした。ここで行き詰まりました。

[追記]
得られたUsernameとpasswordをもとに実際にtelnetでアクセスするとzipファイルが手に入るそうなのでpassword for archiveで解除するとflagゲット

Oldman Reverse

開くとアセンブラ言語がでてきました。実行しようとしたのでしが何故かできなかったので(型が違かったのかも)Pythonで同じ挙動をするであろうコードを書きました

string ="cp33AI9~p78f8h1UcspOtKMQbxSKdq~^0yANxbnN)d}k&6eUNr66UK7Hsk_uFSb5#9b&PjV5_8phe7C#CLc#<QSr0sb6{%NC8G|ra!YJyaG_~RfV3sw_&SW~}((_1>rh0dMzi><i6)wPgxiCzJJVd8CsGkT^p>_KXGxv1cIs1q(QwpnONOU9PtP35JJ5<hlsThB{uCs4knEJxGgzpI&u)1d{4<098KpXrLko{Tn{gY<|EjH_ez{z)j)_3t(|13Y}"
r2 = 13
for i in range(0,len(string),2):
    r1 = string[i:i+2] #mov #MSG r1
    r1_1_bin = bin(ord(r1[0])).replace("0b","")
    r1_2_bin = bin(ord(r1[1])).replace("0b","")
    if (len(r1_1_bin) < 8):
        while(len(r1_1_bin) != 8 ):
            r1_1_bin = "0"+r1_1_bin
    if (len(r1_2_bin) < 8):
        while(len(r1_2_bin) != 8):
            r1_2_bin = "0"+r1_2_bin
    r1 = r1_1_bin + r1_2_bin 
    r0 = bin(int(r1,2) + r2).replace("b","") # add r2 r1
    if (len(r0) < 16):
        while(len(r0) != 16):
            r0 = "0"+r0
    print(chr(int(r0[0:8],2))+chr(int(r0[8:16],2))) #.TTYOUT
    r2 += 829 # add #33d r2
    r2_bin = bin(r2) # clrb
    r2_bin_lat = r2_bin[-8:]
    r2 = int(r2_bin_lat,2)

本来はr3レジスタにloopの回数をカウントする数が入っているのですが、割り切れない数で減算していて(´・ω・`)って感じだったので無視しました。これを実行してもよくわからない文字列が得られたのでたぶん間違っているんだと思います。もしくはその文字列からまた何かするのだと思います。

[追記]
writeupより、このコードはpyhtonで

s="cp33AI9~p78f8h1UcspOtKMQbxSKdq~^0yANxbnN)d}k&6eUNr66UK7Hsk_uFSb5#9b&PjV5_8phe7C#CLc#<QSr0sb6{%NC8G|ra!YJyaG_~RfV3sw_&SW~}((_1>rh0dMzi><i6)wPgxiCzJJVd8CsGkT^p>_KXGxv1cIs1q(QwpnONOU9PtP35JJ5<hlsThB{uCs4knEJxGgzpI&u)1d{4<098KpXrLko{Tn{gY<|EjH_ez{z)j)_3t(|13Y}"
i=0
j=32
o=""
while j>0:
   o+=(s[i%len(s)])
   i+=33
   j-=1
print(o)

と書けるそうですが、なぜこうなるかはわかりません。。。自分でまた調べてみます。。。

Warmup

これはかすりもしなかったのですが面白い問題だったので書き留めます

開くと所々文字化けしたサイトが開かれます。最初文字化けした部分をつなぎ合わせれば何かになるのかなと思ったのですがよくわからなかったです...

[追記]文字化けはただのホントの文字化けで引っ掛け(?)でした。
正解はこのページはリダイレクトされた後にでるページでリダイレクトされる前のページを見ればわかる問題でした。よく見ればアクセスする前のURLと後のURLが異なっていたのでそれを見ればわかったかもしれないです。。。
リダイレクト前のページをみるには

curl http://45.32.148.106

です。