※誰かが読むことあまり考えてない。ゆえに画像なし。

ESXiのお話

VMware ESXi：専用のベアメタル ハイパーバイザー

物理サーバ上に直接インストールする堅牢なベアメタル ハイパーバイザーを紹介します。VMware ESXi は基盤となるリソースに直接アクセスして管理できるため、ハードウェアを効果的にパーティショニングして、アプリケーションの統合とコストの削減を実現できます。業界をリードするその効率的なアーキテクチャは、信頼性、パフォーマンス、およびサポートにおいて標準となっています。

※引用: ESXi | ベアメタル ハイパーバイザー | VMware | JP (https://www.vmware.com/jp/products/esxi-and-esx.html)

とりあえず。VMWare製のHypervisorであるESXiを自宅で使ってみる回。 ユーザ登録すると無償利用できると社の先輩から聞き及んでいたので使ってみる。

無償版の制限とか (一部)

8コア以上のCPUが使えないのと、vCSAみたいな別のESXiとの連携が使えないらしい。 そもそも業務用とかで使う機能を一部とは言え無償で使えるのであまり気にしない。 Xeonとか高性能なPCを複数持っている人じゃなきゃ使わないでしょというお話がある。

※ブレードサーバとかで使う人もいるんですかね...?

環境構築

今回の環境

• Motherboard: ASRock Z97 Extream 6
• CPU: Intel core i7 4790K
• Memory: DDR3 16GB (何Hzとか普通に忘れてしまった...OCメモリだった気がする)
• HDD: WDの500GBなもの

見てわかる通り，2014年代後期のパーツ構成． メインPCの基幹部を「My new gear...」したのでそこから出てきたもの．

※※CPUソケットのピンを曲げて，そのあと何とか使えるようにしたのはまた別のお話...。

ESXiについて

今回は最新版の「vSphere Hypervisor 7.0.0」の無償版を利用。 ESXiなのかvSphere Hypervisorなのかわからないが、どうもお求めのものはこれらしい。 間違って試用版を手に入れるとライセンスもらえない ので要注意です。(1敗)

インストーラがISOファイルで降ってくるので、適当にUSBにGPT(UEFI Boot)で書き込んでみる。 容量は1GBあれば余裕でした。

※EFIパーティションを作らないとまともにBootしてくれません。 (0敗)

※なぜか今回はEFIパーティションしか作られなかった。ESXi本体ってもしかしなくても軽い?

ESXiのインストールに際し…。

• Intel VT-dとかの仮想化支援機能はオンにしておくこと
• SecureBootはピンクスクリーン (ESXi版ブルースクリーン) のもとっぽいです

ここら辺までは、まぁ非WindowsかつHypervisorなのでまだわかるが、次からが問題。

• SATAが認識されないことがあるっぽい?
• Software RAIDは使えないです。
• OnboardなNICは認識しないことが多い。

デバイス関連でここがかなりクリティカル。 RAID5を組もうとASRockのMBさんに頑張ってもらったら、サポートされてませんでした。 ただ、SATAは普通に認識したので単一HDDにインストール。

NICについてですが、 管理上必ずNICが必要になる なので使えないと致命傷です。 どうもインストールするための人権すら獲得できなくなる模様。 いろんなところでOnboardなNICを認識しない報告があるのだが、今回は なぜか 認識しました。

※今回使用したMBはLANを2系統 (Intel/Realtek)を装備していて、Intel側を何とか認識してくれました。

ESXi、起動

インストール後に再起動したら普通に起動するので、Web経由でログイン。 rootパスワードはインストールで指定したものを使用。

なお、設定はすべてWebやSSHを通じて実施する。

※昔はHost Clientなるアプリがあったらしいが、現在はすべてWebベース。

パッチ (2020/07/26現在)

どうやらパッチが1個あったようなので、My VMWareからDL。 SSHでメンテナンスモード化、パッチ適用を実施する。

仮想マシンを入れる

ここからはほとんどWorkstation Playerと同じ感じ、vmtoolsdが入っていればより便利になるのも一緒。

Network周りとか

現状の設定ベース

• vmk0 : 管理ポートに当たる部分で、WebGUIやSSHはここに接続しに行く。 IPアドレスはこれに振られる。
• vmnic0 : いわゆる物理NIC。今回でいえばOnboardなIntel NICのこと。
• Management Networkなど(オレンジのやつ) : ポートグループと呼び、論理NWのグループ。 VLAN設定とかができる。
• vSwitch0 / 1 : 仮想のL2SW。ここにvmnicやらポートグループがくっつく。L2な設定はここで基本実施する。

図でいえば、vmnic0がつながったvSwitch0の上にManagement NetworkとVM Networkがつながっていて、Management Networkはvmk0がつながっている感じ。

※わけわかんねぇな?

現段階でちょっと引っかかったところ

VMで外部接続NICとBridge組むじゃん? そしたら外部と疎通できなくなるんじゃ。（は？

原因はL2のセキュリティ設定で「無差別モード」(プロミスキャスモード) 「偽装転送」を拒否していたから。 どうも設定したMACアドレスと違うアドレスで出ていくとESXi側で通信を落とすらしい。

VMでコンテナ立てるとSSHアクセスとか諸々できずに乙るので設定変更。

※ここで5時間溶けた。

ToDo

• 自宅鯖化する
• 使えないRealtek NICを使えるようにする
• RAIDボードとかNICボードとかSSDを5枚位とかほしい

以上。

論文とか書いてるからこういうことになるんですよ(なお卒業

こんなん見たくないわって人はこちら:

furutsuki.hatenablog.com 主催の運営記録 ptr-yudai.hatenablog.com 作問者の運営記録 furutsuki.hatenablog.com 運営のWrite Up bitbucket.org 問題跡

InterKosenCTFとは

insecureチームで運営した2019/1/18 21:00:00 ～ 2019/1/20 21:00:00で開いていたOnline CTF． 当初私を除いた3人でやってたところ，ptr-yudaiの「Windows7のインストーラ貸して」から参加した． すべては研究室が私だけ違うのが悪い．

参加しきれなかったって？

要は問題を全く作らず，テストプレイもほとんどせず． 一応開催中は21:00 ～ 03:30の時間帯に運営として参加してたが居るだけな状況．

結果

総合

• 1位: Stereo Sky Town (4050[pt])
• 2位: Hirota Sora (2550[pt])
• 3位: KimchiPower (2550[pt])

高専

• 1位: proelbtn (1650[pt]) (総合7位)
• 2位: Jyoken (1450[pt]) (総合9位)
• 3位: 074m4K053n (1350[pt]) (総合10位)

すごいと思う． おめでとうございます! お疲れさまでした!

運営の役得

なんでこれって，みんながsubmitするフラグ見れるんですよ． 貴重な体験でなかなか面白かったです．

例えばこんなのがありました．

• KOSENCTF{[A-Za-z0-9_\+\-&!?]+} lights out : フラグ文字列の定義持ち出さないで
• KOSENCTF{kosen} attack log : 誰かがやってくれると信じていた
• flag.startswith("KOSENCTF") strengthened : その気持ちはわかる
• windowsマシン欲しい！w lights out : CTFやるときは必ずWindowsとLinuxが要るイメージ
• MOMOKO is very cute Rolling Triangle: やっぱり運営ってFLAGのsubmit覗いてるんかね？
• FRAG{you_are_seeing_an_illusion_of_the_text} attack log : 違うCTFのFLAGが飛んできてそう

全体的に「もっとルールにフラグ文字列の定義あるから読んで」って思っていたりいなかったり．

これ見てるだけでも相当面白かったですが，まぁ深夜起きてるのはつらい．

問題の公式見解(Write up)

一問はテストプレイした，ゆるして

[InterKosenCTF|Cheat 200]spaceship

AndroidのAPKファイルが渡される． チートすると良さそう．

インストール

今回は実機に入れる(後々のことを考えて)． インストールはAPKを実機のファイラーから選んでも， adb install でもOK. 実機のファイラーからの場合は必ず 提供元不明のアプリ を設定からOnにする．

入れたら立ち上げ

起動・動作確認

初回の立ち上げで名前を聞かれるので入力． その後，画面をタップしてゲーム開始．

ゲームを進めて，gameoverになるとこの画面になる．

タップするともう一回できる．

解析開始 (ネットワーク)

とりあえず通信していないか確認． エミュレータを使ってる人ならそのままWiresharkを使ってもらう． 今回はAndroid Studio縛りで．

設定

実機の場合は，開発者向けオプション(端末情報のビルド番号を8回くらい押したら有効化される)からWi-Fi詳細ログの有効化をOnにする．

あと，スマホをWi-Fi接続にする． データ通信回線ではパケットキャプチャできない．

パケットキャプチャ開始

で，Playストアから tPacketCapture をDL. 起動してCAPTUREを選択．これでパケットキャプチャが開始される．

停止するときはVPN設定から． 歯車アイコンを押して削除を選択すると自動的に.pcapファイルが生成される．

キャプチャ中，Spaceship.apkでやること

• 新規ユーザーでアプリを開始(既に起動した場合はアプリデータを設定から削除しておく)
• 新規スコアをたたき出す
• gameoverになったらキャプチャ終了

キャプチャ後，Wiresharkにぶち込む

私の場合は/storage/emulated/0/Android/data/jp.co.taosoftware.android/packetcapture/filesの中に生成されている．

PCからは内部ストレージ/Android/data/jp.co.taosoftware.android/packetcapture/filesに相当する．

PCから直接アクセスできるのでこれをコピーして解析する．

解析結果

なんかあった．

この回のユーザー名はhogehogehoge，gameover画面は以下．

どうやら，gameover画面で情報を送っているようなので詳細を確認．

この時はSPST\x15\x00\x00\x00\x0chogehogehogeが送信されていた．

\x0cはユーザー名の長さ，\x15\x00\x00\x00はスコアっぽい．

というわけで，このIPアドレスに向けてスコアをねつ造する．

import socket
host = '13.230.13.190' # ここは動的っぽい
port = 11200
client = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
client.connect((host, port))
client.sendall(b'SPSTAAAA\x0chogehogehoge')
print(client.recv(1024))

出力: b'{"response":"KOSENCTF{0nlin3_ch34t_by_f4k3_p4ck3t}"}'

FLAG: KOSENCTF{0nlin3_ch34t_by_f4k3_p4ck3t}

追記ここから

ここまでのWrite Upはinsecure内部用に書いたもの．

今回の問題は結局Wireshark問題で，.apkの解析ではなかった． で，問題のパケットも普通にやると埋もれます．

ところで，Wiresharkの「統計」メニューって使ったことありますか？

「対話」だとか「解決したアドレス」だとか，あれすごく便利ですよ．

今回は使わなかった「解決したアドレス」でもし*.kosenctf.comを見つければまず間違いなく問題サーバーですし．

見つからなくても「対話」からどんどんIPアドレス辿っていけばすぐに見つかりますし．

一度Wireshark極めてみると楽しいと思います．

参加者各位，本当にありがとうございました

福岡博多市で開催されたKOSEN セキュリティ・コンテストに insecure として，現地参加してきた．

今回イベントのHP -> KOSENセキュリティコンテスト2018

前日に猫カフェに行ったりしつつ福岡入り．ホテルでは何問か常設CTFの問題をやるなどした．

暇を持て余す集団の中にいる pic.twitter.com/8ARA4Xa5NY

— スラスト (@thrust2799) 2018年8月31日

弊チームの参加者はtheoldmoon0602 (ふるつき)，ptr-yudai (師匠)，yoshiking (よしキング)，thrust2799 (スラスト，私)．
今回は:pro:なふるつき氏と師匠氏，今回初参加で特訓を積み重ねたよしキングという同一研究室メンバーに加えてもらう形で参加させていただいた．

蓋を開けてみれば，ほとんど3氏が問題を解いて，私はNetworkしかsubmitできなかった...．やはりよしキングは:pro:だった．
insecureは一位で優勝，ありがたいことにSECCON2018に出れます．やった．

そんなこんながあった大会の，Write Up． 一応，解けた順に，触ったものも含めて．

[Network 11] ログインしてフラグを入手せよ。 (Score: 150)

問題内容:
ヒント：
我々は秋葉原ラジオ会館上空に飛来したタイムマシンを用いて、未来の超高性能コンピュータを入手した。
そのコンピュータによると、MD5の値 b21424f30227ac8bc08c69216c30815 のハッシュ化前の値は以下であるらしい。
c932836c1feff27841c03453e81d5b13:oX3Ar2V0BQA=34c6176e8e33d6da83cc500028b8f9c8de95b91d:00000001:OWEyZWEyNmZhNzAyYTUwMzM0MzRjYzMxZDljZGY2OTU=:auth:71998c64aea37ae77020c49c00f73fa8

なんというSteins;Gate...．これは布教ですわぁ（いいぞ）．
問題としてはHTTPのDigest認証を突破するタイプ．
ちなみに研究室で勉強したり前日に復習したりしてsolverが手元にあった問題だった．なんという幸運！

wiresharkで問題のパケットを開いて，フィルタ (tcp.stream eq 0)でFollow TCP Stream．

やはり401エラーが返され認証が必要とされている．
また，WWW-Authenticateフィールドで必要そうなものが返されている．

'WWW-Authenticate'内容:

Digestrealm="Digest Auth"
nonce="bt2zImd0BQA=c6284989d568c3b3483e649ed0d4b440918fb05e"
algorithm=MD5
qop="auth"

次に，フィルタ (tcp.stream eq 1)でFollow TCP Stream．(見切れた部分は401エラーで先ほどと同じ)

今度は200で通り，フラグが存在するっぽいリンクが書かれたページがある．
どうやらDigest認証でhttp://digest.kosensc2018.tech/flag.txtにアクセスしたいらしい．
ちなみに，HTTP送信ヘッダのHostフィールドはアクセス先のホスト名が格納されている．

他に有用な情報は得られなかったので，この情報で突破したい．
つまり，パスワード回避してDigest突破したい！

ここで，もう一度フィルタ(tcp.stream eq 1)でのTCP Streamを見てみる．

どうやら，認証に成功した状態にはヘッダの要素として次のものが挙げられそうである．

GET / HTTP/1.1
Host: digest.kosensc2018.tech
Authorization: 
  Digest username="tanaka", 
  realm="Digest Auth", 
  nonce="zwFHJGd0BQA=50c6205549fdb0f63aa3f780a7504cc82864010d", 
  uri="/", 
  cnonce="ZmMyNDM3NzcyNWI3ZGI5NjQyNjhiNTAwZDkxZjM4YzQ=", 
  nc=00000001, 
  qop=auth, 
  response="dce3409758e948c5ba76fb121f089812", 
  algorithm="MD5"

この情報のうち，WikipediaのDigest認証やQiita先生に聞いてみたところ，次の意味があるそう．

  Digest username: ユーザー名 
  realm: 認証領域名
  nonce: サーバー生成のランダム文字列 
  uri: 'http://digest.kosensc2018.tech'で表示されるページからの相対パス
  cnonce: クライアント生成のランダム文字列
  nc: カウント
  qop: Digestの生成方法，bodyを含めるか，大体"auth"な気がする
  response: 'あるデータ'のalgorithmフィールドによる方法でのハッシュ
  algorithm: responceハッシュの生成方法，大体MD5な気しかしない

ちなみに，nonceは一度認証せずにアクセスしたときに返されるものをそのまま使う必要がある．
これはスクリプトを組んだら問題がなさそうなので，あとはresponce．

ここで，responseの構成をWikipediaさんから引っ張ってくる．

A1 = ユーザ名 ":" realm ":" パスワード
A2 = HTTPのメソッド ":" コンテンツのURI
response = MD5( MD5(A1) ":" nonce ":" nc ":" cnonce ":" qop ":" MD5(A2) )

ここのMD5()はMD5でハッシュを取った結果を意味している．
ここで，新たに出てきたのはA1の'ユーザ名 ":" realm ":" パスワード'だった．
パスワードが分かんねぇつってんだろ！？！？！？

詰みかと思ったときのヒント，実はA1が書いてあるのである．

ヒントにあるそれぞれの値は，

response                     : 2b21424f30227ac8bc08c69216c30815
MD5(user:realm:password)    : c932836c1feff27841c03453e81d5b13
nonce                       : 34c6176e8e33d6da83cc500028b8f9c8de95b91d
nc                          : 00000001
cnonce                      : OWEyZWEyNmZhNzAyYTUwMzM0MzRjYzMxZDljZGY2OTU
qop                         : auth
MD5(REQUEST:URI)            : 71998c64aea37ae77020c49c00f73fa8

はい．

どうやらMD5(A1)は c932836c1feff27841c03453e81d5b13 を使いまわせそう．

ということで，必要な情報はそろったのでコーディングタイムです．
(ちなみにtypoで4回くらい401が返されたのは笑い話)

import requests
import hashlib

headers = requests.get('http://digest.kosensc2018.tech/flag.txt').headers
HA1 = 'c932836c1feff27841c03453e81d5b13'
HA2 = hashlib.md5('GET:/flag.txt'.encode('utf-8')).digest().hex()
nonce = headers['WWW-Authenticate'][35:87]
res = hashlib.md5((HA1 + ':' + nonce + ':00000001:OWEyZWEyNmZhNzAyYTUwMzM0MzRjYzMxZDljZGY2OTU=:auth:' + HA2).encode('utf-8')).digest()

flags = requests.get('http://digest.kosensc2018.tech/flag.txt', headers = {'Host':'digest.kosensc2018.tech','Authorization':'Digest username="tanaka", realm="Digest Auth", nonce="' + nonce + '", uri="/flag.txt", algorithm=MD5, response="' + res.hex() + '", qop="auth", nc=00000001, cnonce="OWEyZWEyNmZhNzAyYTUwMzM0MzRjYzMxZDljZGY2OTU="'})
print(flags)
flags.text

A . SCKOSEN{digest_auth_is_secure!}

ちなみに運営がフラグ設定間違っていたらしく，しばらく解答できなかった．おそらく1番乗り．

この問題のポイントは，responseがデコードされるか，'ユーザ名 ":" realm ":" パスワード'のハッシュ(サーバーの.htdigest)が漏れるとだめってお話でした．

[Network 10] Basic認証 (Score: 100)

問題内容:
パケットファイルを解析せよ

さて，Network2問目(1問目)．こちらはパケットファイルを解析するだけなのか～？

というわけで，フィルタ(tcp.stream eq 0)でFollow TCP Stream．

いつもの．(401エラー)

やはり問題文通りBasic認証をしているっぽい．

次．フィルタ(tcp.stream eq 1)でFollow TCP Stream．

200が返されてなんかあるみたい．
flag.zipがあって，Johnさんのパスワードが解錠パスワード，と．
IPアドレスがHostフィールドにあって，アクセスはここからはできないみたいなので，パケットファイルにzipファイルが残っていそう．
Wiresharkさんにお願いしたいので，File -> Export Objects -> HTTP でパケット内のファイルオブジェクトを一覧表示．
予想通りflag.zipがあったのでエクスポートしていく．

さて，Johnさんのパスワード...|ω・`)

john:s8oX*zlcro8?#wlblpr4 (ユーザー名:パスワード)

Basic認証さん！？

そう，Basic認証ではBase64エンコードされたユーザー名とパスワードが格納されており，さらにWiresharkさんは勝手にデコードまでしてくれるのである．

あとはこれで解凍して解答(激寒ギャグ)．

A . SCKOSEN{B@$ic_@uth_is_un$@fe}

Basic認証はパケット取られるだけでアウトなのであまり使わないでねっていう問題でした．

ここまでが自力でSubmitできた問題．
全然強くない人なのでここからは最初の発想とかだけ．
役割分担したと思いたい...．

[Crypto 08] シンプルなQRコード (Score: 200)

問題内容:
半分のQRコードを入手した。なんとか復元できないだろうか。

最初の発想といっても，これはこれで自分で全部やったと言えない問題．
実は別のCTF大会で出てたWrite Upをそのまま流用してきた感じ．

先人様ありがとうございました．
SECCON CTF 2013 online予選 forensics 400

さて，問題のQRコードはこれ．

とりあえず，マーカーとかの何も考えなくても修復できるところを修復．
これだけでもうQRっぽいけど，読み取れない．

そこで，先ほどのWrite Upを頼りにマスクパターン，誤り訂正bitの15[bit]を復元．
さらに修復を進めたQRコードがこちら．

これでも読み取れず，ちょっと悩んでいたところで師匠氏からお声がけ．
そのまま解いてもらってSubmit．

ところで，あとでホテルで聞いたところによると，もう読み取るだけだったそう．
pythonのstrong-qr-decoderってものを使ったらしく，新幹線の中で使ってみた．

まず，こちらのGitHubからclone．
次に，これに掛けられるように画像から'X' (黒いドット)と'_' (白いドット)のテキスト形式に変換．

変換スクリプトはこちら．

from PIL import Image

img = Image.open('broken_qr_.png')
x, y = img.size
qr = open('qr_data.txt', 'w')

for v in range(y):
  if v % 10 != 0:
    continue
  for u in range(x):
    if u % 10 == 0:
      if img.getpixel((u, v)) == (0, 0, 0, 255):
        qr.write('X')
      else:
        qr.write('_')
  qr.write('\n')

で，出てきたQRがこちら．

XXXXXXX_______X_X_____XXXXXXX
X_____X_______X_X_X___X_____X
X_XXX_X_______XXXX_X__X_XXX_X
X_XXX_X__________X__X_X_XXX_X
X_XXX_X_X_____X___X___X_XXX_X
X_____X_______X_XXX___X_____X
XXXXXXX_X_X_X_X_X_X_X_XXXXXXX
________X______XX__X_________
__XX__XXX_________XX_XX_X____
_______________X_XX_X___XX_X_
______X___________XXX___XXX_X
______________XXX_X_X_XX__XX_
______X_______X_X__XX_X_XXX_X
_______________X__X___X__XXX_
______X_________X__X_XXXX_XXX
___________________XX_XXX__XX
______X_______X_X___X___XX_X_
_______________X__XX___XX___X
______X_______X_XX_____XXXX_X
________________XXX_XXX___XXX
______X________XX_XXXXXXXXX_X
_________X__________X___X_XXX
XXXXXXX__X______X__XX_X_XXXX_
X_____X_______XX___XX___XX_X_
X_XXX_X_______X___X_XXXXXXX__
X_XXX_X__X____X_X_XX__X__XX__
X_XXX_X__X_______XX__X__X_X_X
X_____X_______X_XX_X_______XX
XXXXXXX_________XX_X_XX_XX___

こちらをstrong-qr-decoderに掛けて，

A . SCKOSEN{remove_rs_qr}

100の実績，もらっていいよね？

[Crypto 08] RSA? (Score: 300)

問題内容:
電話レンジ（仮）でのDメールに失敗し、冪演算のない世界線へ来てしまった。
この世界線は今までいた世界線のRSA暗号に似た暗号で守られている。解読してみよう。

[+] Public key (n,e): (746149315120445105644911779735002615257864427638948809430146775899763900845401478319781237412694334410613686368021055483040278357991481684487813129494944899522460397699493087246505218096960286204364461639918177320793843718724747574381859928496072509749639870292090503328557688115529251888351927498428567126853657063832878452773780418783149866919316163560203180423276894765325460041738451797385343149303272504850808939009366426995340204717301911359661640524141292447180118808883848024348018576236114084330353144353115672904820149103681022683146560799116848906807498625698939954475819479000937838859292276566046219449122782347075051511004009561691484747596362940386608213329221089677679229620860810111092211338341215804260360529582967128623164620534814690277276443932913145186024258511492440354889009304938979173562941458331119511296138076261503871542382962671556195928643434506282416038086486816450594938254170549974935406839221438655021923764949572023494832426904174630809785240917462806646302389526945618245684059655484996935724994381587851879888451272335891503968849596157334527192713715105054266039301159419016747298458532769985135446278269957364121043506362499497443274900182869320930776855669486054000707293632271709427175565301,825821)
[+] Ciphertext = 34196057544535966582914714160221953732017949669815971420694645835609518260754242418191180642793
[+] Dec(c) == m?: True

ということで，累乗のないRSA暗号．
掛け算かな？試してみよう．

d * e mod n ≡ 1
m * e mod n ≡ c
c * d mod n ≡ m

11 * 5 mod 3 ≡ 1
2 * 5 mod 3 ≡ 1
1 * 11 mod 3 ≡ 2

いけそうである．

ここで，この情報をよしキングに投げて自分は別の問題へ行ってしまった．

解けた後で教えてくれたのだが，Ciphertextをeで割ってエンコードを「ていっ」ってするだけだったらしい．
これは自宅に帰ってから書いたスクリプト．

import codecs

e = 825821
c = 34196057544535966582914714160221953732017949669815971420694645835609518260754242418191180642793

codecs.decode(hex(c // e)[2:].encode('utf-8'), 'hex_codec')

A . SCKOSEN{Extended_Euclide@n_@lg0rithm}

これも100の実績がほしい．

[Web 16] 進撃せよ (Score: 300)

問題内容:
求めるものは壁の向こう側にある。
巨人になったつもりで、進撃せよ。

これは進撃の巨人ですね，私わからんけど．

問題のサーバーにアクセスするとこんな感じ．

で，それぞれクリックするとこんな感じ．

どうやらWAF (Web Application Firewall)がflagを検知してforbidenしているらしい．
で，肝心のリクエストは http://waf.kosensc2018.tech/ist/ZmxhZy50eHQ= って感じで，最後に何かBase64っぽい文字列．
試しにディレクトリトラバーサルな文字列をBase64して試した結果がこちら．

/etc/passwd が見つかってしまった...．
とりあえずこれをチームで共有，ここから /etc/passwd の WWW-data のユーザーディレクトリ等を参考にエスパー．
何とか /var/www/html/waf/files に一覧されてるファイルがあることが分かって，さてどうするかってなった次第．

と，ここでふるつき氏から大勝利情報 (WAFのphpコード)が降ってきて，あれよあれよという間にsubmit．

どうやらWAF部は1回しかBase64デコードしていないのにファイル名抽出部は無限にBase64デコードする仕様になっていたらしい．
2回 flag.txt をBase64エンコードしたものを投げて，Flag獲得．

A . SCKOSEN{beyond_the_wall...}

運営はエスパーしてBase64を2回するのを想定していたそう．
ちなみにふるつき氏はこちらみたいにエスパーせずにプロセス情報を見たり設定ファイルにあたり付けて獲得した模様．
やり方がとてもスマート！

さて，今回触れた問題はこんなところでした．
さすがにNetworkは得意分野なのでできるんですが，ほかの分野が全然なので結局周りのチームの解いている人よりも全然取れていないのが実情．
優勝したけど個人としては精進を続けるしかないと思った大会だった．（毎回思ってるだろとか言わないで...）

最後に，公開されているチームメイトのWrite Upは以下．

高専セキュリティコンテスト 2018 #kosensc Writeup - ふるつき

高専セキュリティコンテスト2018のWrite Up - CTFするぞ

KOSEN SECCON 2018 - Writeup | ocamlab Kibela