반응형
반응형
반응형
스마트 가로등을 관리하는 PC가 공격을 당한 후, 특정 권역에 존재하는 여러 스마트 가로등의 신고 사진을 수집하는 IoT 장치의 DB가 변조 되었다는 신고를 받았다. 변조된 DB 파일에서 아래의 정보를 찾아라.

1. 공격자가 은닉한 범죄를 신고한 시간(YYYY-MM-DD HH:MM:SS UTC+0)
2. 공격자가 삭제한 데이터에서 복구한 파일의 MD5 Hash값(소문자)
3. 공격자가 삭제한 데이터에서 찾아볼 수 있는 문자열

FLAG Format : md5(YYYY-MM-DD HH:MM:SS_복구한이미지의MD5해시값_획득한 문자열)

 

sqlite3 db 파일이 주어진다.

cctv 사진이 담겨있다.

HxD로 열어서 Username을 검색하다 보면

Sharon이라는 DB Browser에서 확인할 수 없었던 이름이 보인다.

이어서 Sharon을 검색해보면 추가적인 데이터들을 더 확인할 수 있다.

삭제된 데이터는 Username=Sharon인 데이터임으로 보여지며, offset을 이용해서 Timestamp와 DOB, Location 값을 뽑아낼 수 있지만, 더 편한 방법도 있다.

 

sqlite는 page 단위로 데이터가 저장되는데, 이 page들을 bring2lite 도구를 사용하여 파싱할 수 있다.

https://github.com/bring2lite/bring2lite

 

GitHub - bring2lite/bring2lite

Contribute to bring2lite/bring2lite development by creating an account on GitHub.

github.com

파싱된 페이지들 중에서 291번을 보면, 삭제된 데이터인 Sharon에 대한 데이터를 확인할 수 있다.

여기서 공격자가 은닉한 범죄를 신고한 시간을 확인할 수 있다.

1489711150 (unix time) = GMT: 2017년 March 17일 Friday AM 12:39:10

 

하지만 이미지 데이터는 확인할 수 없다. 이미지 데이터가 크기 때문에 한 페이지 안에 다 안들어간다.

그래서 leaf 구조로 연결되어 있는데, 이 삭제되어서 free된 page들을 찾아 연결해주어야 전체 데이터를 복구할 수 있다.

 

sqlite page를 볼 수 있는 방법은 sqlite page explorer라는 툴을 사용하는 것이다.

https://github.com/siara-cc/sqlite3_page_explorer

 

GitHub - siara-cc/sqlite3_page_explorer: Cross Platform app to explore internal organisation of tables and indices

Cross Platform app to explore internal organisation of tables and indices - GitHub - siara-cc/sqlite3_page_explorer: Cross Platform app to explore internal organisation of tables and indices

github.com

 

앞서 Sharon에 대한 데이터가 291번 페이지부터 시작하는 것을 알고 있으므로, Open Page에 291을 입력해준다.

오른쪽으로 스크롤 쭉 가면 Overflow칸에 Page 266 버튼이 있다.

266페이지는 first freelist trunk page다.

291 -> 266 ~ 291 페이지까지 순서대로 데이터를 연결하면 된다.

그런데 주의할 점은 각 페이지의 첫 4바이트가 다음 페이지 번호를 나타내기 때문에 해당 4바이트는 빼야 한다.

JPG 파일이므로 ff d9 시그니쳐가 나타날 때까지 데이터를 붙여주면 된다.

266번 페이지도 free 되기 전에는 데이터가 가득 차있었을 페이지인데, first freelist trunk page가 되면서 free된 페이지들의 번호로 덮여쓰여졌다.

똑같이 앞 4바이트를 제외하는 것은 똑같은데 그 외에 덮어쓰여진 데이터는 복구가 불가능하다.

복구된 이미지

c839abe2c76449d472fb8a74e777b38b

 

2017-03-17 00:39:10_c839abe2c76449d472fb8a74e777b38b_d313t3_cr1m3_3v1d3Nc3

반응형

'CTF Write Up' 카테고리의 다른 글

Codegate2023 quals [n³]  (0) 2023.06.26
2023 핵테온 세종 본선 문제 리뷰  (0) 2023.05.12
PwnMe CTF 2023 Write up  (0) 2023.05.06
제8회 BoB 정보보안 CTF(BISC)  (5) 2022.09.09
San Diego CTF 2022 Forensics write up  (0) 2022.05.09
반응형

이번 코드게이트 대학부 예선에는 아주대학교 Whois 팀으로 참가했다.

우리 학교의 기말고사 기간이 다른 학교들 보다 조금 늦은 편이라 대회 일정이 시험기간 중간에 끼어버렸다.

시험기간 중에 대회에 참여하다 보니 참여 인원이 적었고, 대부분 온라인으로/극소수의 인원만 오프라인으로 모여 참여하였다.

동아리 지원금으로 큰 공간을 대여해서 팀원들과 밥도 같이 먹으면서 대회하고 싶었는데 아쉬웠다.

 

 


대회 중에 내가 계속 붙잡고 있었던 misc 카테고리의 n3 문제의 공개된 write-up들을 보면서 풀어본 풀이를 작성해 보았다. 

onnx 파일이 주어지는데, onnx 파일은 하나의 딥러닝 모델이다.

https://netron.app/ 에서 시각적으로 구조를 볼 수 있다.

 

input이 1*3*48*768로 설정되어 있는데, 이것은 768 * 48 크기의 하나의 RGB 이미지를 의미한다.

 

다음 If_0_then_branch

각 Conv 레이어는 최대 가중치 1*3*48*256 = 36864를 가진다.

첫번째 Conv 레이어의 Weight는 모두 1로 채워져 있다. 그러나 두번쨰 Conv 레이어의 Weight는 0과 1의 조합으로 채워져 있다.

less than 300  AND less than 32500 AND greater than 32300 조건에 따라서 합은 32400정도가 되어야 하며, 해당 값에 근접할만한 레이어는 두번째 Conv 레이어다. 해당 텐서  값을 다운받아서 시각화할 수 있다.

 

from PIL import Image
import numpy as np

t1 = np.load("t1.npy")
t1_img = (t1 * 255).astype(np.int8).squeeze(0).transpose(1, 2, 0)
Image.fromarray(t1_img, "RGB").save("t1.png")

 

플래그 한 조각을 얻었으므로 다음 If_0_then_branch__If_0_then_branch으로 넘어간다.

(((Input * 255) + Add tensor weight) * 137) %257 (A-A//257*257 나머지 계산임) -> concat(axis = 1) -> conv

 

conv의 텐서를 보면

[

[[[1]],[[0]],[[0]],[[-1]],[[0]],[[0]]],

[[[0]],[[1]],[[0]],[[0]],[[-1]],[[0]]],

[[[0]],[[0]],[[1]],[[0]],[[0]],[[-1]]]

]

첫번째 conv은 채널 0과 3 사이의 차이를 계산

두번째 conv는 채널 1과 4 사이의 차이를 계산

세번째 conv는 채널 2와 5 사이의 차이를 계산

각 차이의 합의 제곱이 작아야 하는데, concat(axis=1)처리된 것에 따라서 채널 0부터2는 concat 레이어의 input값이었고

채널 3부터 5는 concat의 weight 텐서값이었으므로, input값과 concat의 weight 텐서값이 같을 것이라고 보고 최초 input을 찾기 위해 역연산을 진행한다.

A * 137 = C (mod 257) 역원 구하기 -> pow(137,-1,257) => 242

 

from PIL import Image
import numpy as np

tc2 = np.load("tc2.npy")
ta2 = np.load("ta2.npy")

t2 = ((tc2 * 242 - ta2) % 257) / 255
t2_img = (t2 * 255).astype(np.int8).squeeze(0).transpose(1, 2, 0)
Image.fromarray(t2_img, "RGB").save("t2.png")

 

다음 If_0_then_branch__If_0_then_branch__If_0_then_branch

는 다음에 이어서...

https://party4bread.github.io/writeupfyi.html

 

마지막 조각 If_0_then_branch__If_0_then_branch__If_0_then_branch__If_0_then_branch

Input * 2 -1 -분할-> [,,,0:256] * [,,,256:512] * [,,,512:768] * Mul() <= 0

 

반응형
반응형

말 많았던 핵테온 세종

https://www.dailysecu.com/news/articleView.html?idxno=145171 

 

[단독] 핵테온 세종, CCE 문제 그대로 출제해 해킹대회 공정성 훼손...문제 출제 예산 ‘0

세종특별자치시(시장 최민호)가 지난 3월 25일 개최한 ‘2023 핵테온 세종(HackTheon Sejong) 국제 대학생 사이버보안 경진대회’ 예선전 문제가 참가자들 사이에서 CCE 문제를 그대로 베껴 출제했다는

www.dailysecu.com

대회 운영, 문제 퀄리티, 게싱 문제 논란 등 예선이랑 달라진 것이 없다.

참가자 숙소가 카라반인거, 식사 제공, 늦은 대회 안내 등의 문제도 있고

디스코드 채널은 만들고 대회 끝나면 싹 닫아버리고

외국 참가자들도 있는데 본선 일정 중 공지와 qna는 카카오톡 오픈 챗방?

오픈 챗방도 행사 종료됐다며 바로 닫아버렸다.

https://www.boannews.com/media/view.asp?idx=116956 

 

핵테온 세종 2023, 명색이 국제해킹대회인데... 예선 이어 본선도 공정성 ‘논란’

세종시가 주최한 국제 대학생 사이버보안 경진대회 ‘2023 HackTheon Sejong’(핵테온 세종 2023, 이하 핵테온)을 두고 참가자들 사이에서 논란이 확산되고 있다. 예선에서는 지난해 개최된 2022 사이버

www.boannews.com

 

https://www.dailysecu.com/news/articleView.html?idxno=146065 

 

[이슈진단] 상처만 남은 세종시 주최 ‘핵테온 세종 2023’...해커를 대하는 생각부터 바뀌

세종시(시장 최민호)에서 주최한 국제 대학생 사이버보안 경진대회 ‘핵테온 세종 2023(HackTheon Sejong)’ 본선이 지난 5월 11일~12일 정부세종컨벤션센터에서 개최됐다. 데일리시큐는 핵테온 세종 20

www.dailysecu.com


일단 포렌식이랑 Misc 두 문제를 보자.

일단 Misc

문제 설명은 Find a key가 다다.

Travel 파일이 주어지는데, 압축파일이다.

.zip을 붙여서 열어보면 ms office word 파일임을 알 수 있다.

Final 폴더 내의 파일들을 압축을 풀어내고 다시 압축을 해서 .doc로 파일명을 바꾸면 열 수 있다.

 

문서의 내용은 이게 전부다. 글자는 기본 하얀색으로 되어 있어서 빨간색으로 바꾸어주었다.

뒤에 연결된 이미지를 표시할 수 없다는 내용은 해당 이미지가 rId4 -> media/image1.png 를 참조하는데, media/image1.jpg는 있지만 image1.png는 없기 때문이다.

media 폴더에 이미지 파일이 많이 있다.

Sejong Tour Plan!!.png 이미지를 보면 4곳의 스탬프를 모아서 플래그를 찾으라는 것으로 보인다.

binwalk 명령어를 사용해서 Sejong Tour Plan!!.png 이미지에 표시된 이미지에 해당되는 파일 image2.png, image5.jpg, image7.jpg, image9.jpg에서 end시그니쳐 뒤에 붙어있는 다른 이미지 파일을 분리해낼 수 있다.

이를 방법을 통해 Stamp 이미지 4개를 찾을 수 있으며, 각 스탬프 이미지에 문자열이 있는데, 4개를 이어서 base64 디코딩을 하면

you_are_a_white_hacker

가 된다.

 

그리고 깃발 그림이 있는 image12.jpg에서 zip파일을 분리해낼 수 있으며 안에 flag.txt가 있으나 암호가 걸려 있다.

 

그리고 image8.jpg는 실제론 docx 파일이며, 열었을 때 XOR KEY라는 값을 얻을 수 있다.

해당 hex 값을 ascii로 바꾸면

this_is_xor_key_value_

가 된다.

 

value하고 _로 끝나는 걸 봐서는 두개를 합쳐 this_is_xor_key_value_you_are_a_white_hacker 를 만들고 이거랑 xor 할 값을 넣어야 할 거 같은 느낌이 드는데,

XOR_Key 로 준 hex값과 스탬프를 모아서 만든 you_are_a_white_hacker의 hex 값 0x796F755F6172655F615F77686974655F6861636B6572을 서로 xor 해서 나온 결과 값 0xd071c2c3e1b16001930053702111c001e000f1e002d을 10진수로 변환한 값이 zip파일의 패스워드다.

그렇게 zip파일 암호를 풀어서 flag.txt을 얻을 수 있다.

 

일단 플래그를 3~4 등분을 내서 xor을 하고 파일 이곳 저곳에 숨겨 놓는건 예선에서 나왔던 문제랑 다를 게 없다.

그리고 찾아낸 값들은 다 ascii 범위의 값을 주고서는 정작 zip 파일의 패스워드를 구하는 건 ascii 범위를 벗어나는 값.. 최소한 zip 패스워드처럼 생기도록 만들었어야 하는거 아닌가

0xd071c2c3e1b16001930053702111c001e000f1e002d -> ÐqÂÃá±`“Sp!Ààñàd

아니 10진수로 입력해야하는 것에도 아무런 근거가 없다. 정작 XOR_Key 값은 정확하게 Hex 형태로 줬다. 스탬프에는 base64로 주고서는, ascii도 hex도 base64도 아니고 10진수?


다음은 포렌식 문제

문제 설명이 아마 두 명이 서로 비밀 메세지를 교환했다는 거였던걸로 기억하는데

문제 설명만 보고 이번 본선에서도 예선처럼 더러운 패킷 문제를 냈구나라고 생각했었다.

근데 이번엔 rar 파일과 pdf 파일이 주어졌다. (근데 또 문제설명은 문제와 아무런 연관이 없다.)

처음에는 확장자가 없다. 직접 식별해서 붙여줘야 한다.

rar 파일에는 암호가 걸려있다. 그 암호를 se.pdf에서 찾아야 하는 것으로 보여진다.

/JS 에 하나

JS object에서 링크 하나를 얻을 수 있고

Annotation object도 있는데

맨 앞 값 순서대로 문자열을 배치하면 w24<P%96o~?R}_S`T 가 되고, 이를 ROT47을 돌리면 Hack!The@On#N0$1%가 된다.

왜 Annotation에 저런 값이 있는가? -> 그냥 숨겨놓은 위치

왜 ROT47인가? -> 앞에 ROT라고 키워드를 줬으니까..? "그냥"

그리고 압축을 푼 파일에 또 확장자 없는 파일이 하나 있는데 오디오 파일이다.

해당 파일의 오디오 스펙트럼에서 hex 값을 확인할 수 있다.

Sonic Visualiser

해당 hex값과 처음 JS object에서 얻은 링크에 있는 이미지 속의 25와 xor을 하면 플래그가 나온다.

아, 10진수 25가 아니라 16진수 0x25다. 왜? -> "그냥"

뜬금없이 JS에 이런 링크가 있는 것도 의문이었는데, 저 이미지 속에 25를 찾아서 xor을 해야 하고 xor 할때 0x25로 해야한다니

이게 포렌식인가..

 

반응형

'CTF Write Up' 카테고리의 다른 글

사이버보안챌린지 2023 문제풀이 manipulation  (0) 2023.09.20
Codegate2023 quals [n³]  (0) 2023.06.26
PwnMe CTF 2023 Write up  (0) 2023.05.06
제8회 BoB 정보보안 CTF(BISC)  (5) 2022.09.09
San Diego CTF 2022 Forensics write up  (0) 2022.05.09
반응형

롸업 보고 다시 푼 문제 풀이 포함

 

Intro : Knock Knock

Author: Braguette#0169

We have to monitor our network every day to make sure our admins don't help players get out of the game.
We are sending you a suspicious capture. Do your job !

check Host IP : 192.168.157.185

convert pcapng to pcap using editcap

Use NetworkMiner

Private IP network

target IP : 192.168.157.195

something suspicious

7z file manager


Easy : Free flag

Author: Braguette#0169

A few hours after installing the malicious package. We could notice that the traffic became weird again. Thanks to you, we know that our admin would have been compromised, we fear exfiltration! Do your job !

pcap파일이 주어진다.

conversations를 보면, 192.168.157.195:5355 에서 10.100.210.88:7435로 대량의 패킷이 전송되었음을 확인할 수 있다.

해당 패킷들을 보면 TCP Flags 값들이 계속 변화하는 것을 알 수 있다.

문제 이름이 Free Flag 인 것도 TCP flag를 보라는 힌트인 것 같다.

 

해당 FLAG들을 추출하기 위해서 tshark를 사용한다.

tshark -r ez.pcap -Y 'ip.src==192.168.157.195 && tcp.srcport==5355 && ip.dst==10.100.210.88 && tcp.dstport==7435' -T fields -e tcp.flags | cut -c 5-| xxd -r -p > a.7z

앞에 두 바이트만 지워주면 7z파일이 된다.

 


Medium : Silver

Author: Mr.NOODLE#9112

Hey,

I received a flash drive in my mailbox. It appears that the person who sent me the package was aware that I was using Linux. However, the flash drive self-destructed before I was able to make an image of it. To get the flag, you have to go to the showcase site of the c2 in question.

This is real malware, so be careful when running it, use a vm for malware analysis

Checksum Sha256 of usb_drive.img : 8947e34165792040d86915aea29df01f5e65f49ccfd624032522720ffb87c379

.firefox.elf가 악성파일로 의심된다. (추출해내면 Windows Defender가 탐지해낸다.)

해당 악성 파일을 IDA로 까보면 복잡하게 생겼다. 해당 파일을 리버싱하라고 준 건 아닐거고 C2 서버만 알아내면 되기 때문에, 가상 머신에서 해당 악성프로그램을 실행해서 패킷만 따내면 된다.

하지만 더 편한 바이러스토탈을 사용했다.

 

해당 ip로 접속하면 플래그가 나온다.


Medium : Compromised

-> hardcore

Author: rayanlecat#2609

Description :
An attacker has successfully compromised your company and more specifically your Active Directory! Your role is to find all the persistence techniques that the attacker has used in order to apply countermeasures.

Format :
The flag should be submitted in the following form: PWNME{persistence1user1-persistence2user2-persistence3user3-persistence4user4}
Where persistence is the name of the technique in lower case and user is the samAccountName of the user impacted in lower case.
The persistence techniques need to be put in chronological order of usage in the Active Directory.

Exemple :
PWNME{scheduletaskjessie_vaughan-createaccountmagdalena_gonzales-goldenticketjordan_gates-adminsdholderjaclyn_huber}

Important :
If you think that you found the right methods of persistence and you have an issue, please open a ticket on Discord so an administrator can validate your entry.

File :
https://drive.google.com/file/d/1tVBP05eKJbR6kswl6k-DeVRQ3x_e4CFk/view?usp=sharing

 

 


Hard : TimmyIsDump

-> medium

Author: Braguette#0169

Our administrator Timmy is a bit of an idiot, but that's why we love him. However, he downloaded a script that did something weird to our Detention user database. Since we know he's not the brightest, we make sure to do regular memory dump. I know you are the best. Get the file

File : https://drive.proton.me/urls/V7EC0VYPKC#XMtRuMT5uYy9

lime 확장자의 메모리 덤프가 주어진다.

lime이 사용된 것으로보아, 리눅스 환경으로 추측된다.

fedora 22.x64 버전이며, 커널 버전은 4.2.6-200이다.

 

환경 구축을 위해서 fedora 22 x64버전의 iso를 다운받아 가상머신에 설치한다.

https://dl.fedoraproject.org/pub/archive/fedora/linux/releases/22/Workstation/x86_64/iso/

 

 sudo dnf install kernel-4.2.6-200.fc22.x86_64.rpm \
    kernel-core-4.2.6-200.fc22.x86_64.rpm \
    kernel-devel-4.2.6-200.fc22.x86_64.rpm \
    kernel-headers-4.2.6-200.fc22.x86_64.rpm \
    kernel-modules-4.2.6-200.fc22.x86_64.rpm \
    kernel-modules-extra-4.2.6-200.fc22.x86_64.rpm \
    kernel-tools-4.2.6-200.fc22.x86_64.rpm \
    kernel-tools-libs-4.2.6-200.fc22.x86_64.rpm \
    kernel-tools-libs-devel-4.2.6-200.fc22.x86_64.rpm

 

이후는 볼라티리티 프로필을 생성해서 볼라티리티로 분석

 

반응형

'CTF Write Up' 카테고리의 다른 글

Codegate2023 quals [n³]  (0) 2023.06.26
2023 핵테온 세종 본선 문제 리뷰  (0) 2023.05.12
제8회 BoB 정보보안 CTF(BISC)  (5) 2022.09.09
San Diego CTF 2022 Forensics write up  (0) 2022.05.09
NahamCon CTF 2022 Forensic Write up  (0) 2022.04.30
반응형

(H) video_in_video

jpg 푸터 뒤에 mov 파일이 있다.

mdat 영역 크기가 파일 중간 부분까지만 차지하는데

해당 영역 데이터를 지워줌으로써 뒷 데이터 부분이 실제 mdat영역으로 올라오는데,

이러면 재생은 안되지만

윈도우가 자동으로 썸네일 만들어주면서 해당 영역의 영상을 썸네일로 만들어버린다.

해당 썸네일에서 플래그를 확인할 수 있다.

 

(B) Summer Fan

주어진 apk 파일을 jadx로 연다.

 

쓱 풀면 된다.

반응형

'CTF Write Up' 카테고리의 다른 글

2023 핵테온 세종 본선 문제 리뷰  (0) 2023.05.12
PwnMe CTF 2023 Write up  (0) 2023.05.06
San Diego CTF 2022 Forensics write up  (0) 2022.05.09
NahamCon CTF 2022 Forensic Write up  (0) 2022.04.30
RITSEC CTF 2022 Write up  (0) 2022.04.02
반응형

ctfd같은걸 사용하지 않고 디스코드와 디스코드 봇을 사용하여 운영된 신기한 대회였다.

open pcap file with wireshark

search filter "http"

run script

 


주어진 바이너리에서 jpg 이미지들을 뽑아내면 된다

시그니쳐 ffd8로 검색하면 3개가 나오는데, ffd8기준으로 jpg 파일 3개 뽑아내주면 된다.

플래그 일부가 그려진 이미지들을 얻을 수 있으며

플래그들을 합쳐주면 된다.

 

반응형

elf core 파일과 플래그가 암호화된 enc 파일이 주어진다.

core파일을 ida에 올려보면

flag.txt가 압축된 bz2 파일을 password.txt를 패스워드로 사용해서 암호화한것을 유추할 수 있다.

 

그리고 strings에서 password로 보이는 문자열을 찾을 수 있다.

 

이 문제의 카테고리가 포렌식인데, 리버싱에 진심으로 문제를 제작하지 않았을 거 같아서

이런 리버싱처럼 보이는 포렌식 문제에는 xor이 많이 사용된다는 경험을 이용해서

xor을 때려봤다.

bz2의 헤더 시그니쳐와 enc 파일을 xor해봤다.

맞는거 같다.

https://cryptii.com/
https://gchq.github.io/CyberChef/

bz2 압출풀면 flag가 있다.

반응형

'CTF Write Up' 카테고리의 다른 글

PwnMe CTF 2023 Write up  (0) 2023.05.06
제8회 BoB 정보보안 CTF(BISC)  (5) 2022.09.09
NahamCon CTF 2022 Forensic Write up  (0) 2022.04.30
RITSEC CTF 2022 Write up  (0) 2022.04.02
LINE CTF 2022 write up  (0) 2022.03.27

반응형

Forensics

 

Bad C2

c2서버랑 통신하는 패킷 주어지는데, /get/secret에 post로 json 보내는 거 있음 간단한 조건 맞춰서 서버에 보내면 플래그 줌


oreo

./Default/Cookies

open with DB browser

base64 decode

 


cyber survey

tcp 패킷들 있는데, 포트스캐닝 마냥 여러 포트들 찌르는데, 열린포트에 6761.. 데이터를 push함. push한 포트 번호 끝 3자리 순서대로 가져오면 됨 (패킷 길이 73만 보면 됨)

length of packet == 73, get port number (last 3 digits)

dec to ascii


Death, Taxes, TCP

tcp패킷들만 있는데, 패킷길이 87짜리들이 데이터 1바이트씩 보냄. 순서대로 가져오면 됨.

 

length of packet == 87, get 1byte data

hex to ascii

반응형

'CTF Write Up' 카테고리의 다른 글

San Diego CTF 2022 Forensics write up  (0) 2022.05.09
NahamCon CTF 2022 Forensic Write up  (0) 2022.04.30
LINE CTF 2022 write up  (0) 2022.03.27
UTCTF 2022 Write up  (0) 2022.03.13
Codegate 2021 Quals Write Up  (0) 2022.02.28
반응형

Whois_Ajou 팀으로 참여했다.

Crypto

ss-puzzle

단순 xor 역연산이다. 알고 있는 값들을 토대로 하나씩 xor 역연산 해가면서 찾아나아가면 된다.
참고로 S[0] = "LINECTF{" 임을 알고 있으면 된다.

X Factor


rsa blind signature attack 같은 느낌인데 sign을 해주는 기능을 제공해주지는 않는다.
대신 plain -> signature pair들을 제공해주기 때문에 이 값들을 sign함수 대신 사용하는 느낌으로 가야된다.
0x686178656c696f6e 값의 signature를 구하는 문제이다.

문제 제목이 힌트라고 볼 수 있는데, 각 plain 값들을 소인수분해한다. 이는 factordb 사이트를 이용하면 된다.
a ~ g의 값들을 사용하여 Z를 만들어내려면 ( f * b * g * d * g * d ) / ( c * e * a ) 가 된다.

http://the2702.com/2015/09/07/RSA-Blinding-Attack.html

The 2702 - Computer Security and CTF Writeups

We are given two ports on a server, Sign and Verify. Sign will sign an integer using the RSA signature scheme and Verify asks us to sign an integer providing the the public modulus and exponent. Sign it correctly and the server will give us the flag. The t

the2702.com

http://the2702.com/2015/09/07/RSA-Blinding-Attack.html


plain a ~ g, Z의 signature 값을 Sa ~ Sg, SZ 라고 하면,
위 사진의 식에서
M=Z = ( f * b * g * d * g * d ) / ( c * e * a ) ,
r= Sc * Se * Sa
r^e mod N = c * e * a
이므로 M' = ( f * b * g * d * g * d ) / ( c * e * a ) * (c * e * a) mod N = ( f * b * g * d * g * d )

S' = M'^d mod N = ( f * b * g * d * g * d )^d mod N = ( Sf * Sb * Sg * Sd * Sg * Sd ) mod N

우리가 원하는 S = S'/r mod N = ( ( Sf * Sb * Sg * Sd * Sg * Sd ) / ( Sc * Se * Sa ) ) mod N 이다.

https://ohgym.tistory.com/13, 모듈로 나눗셈 성질

( Sc * Se * Sa ) 의 역원을 구해야 한다.

https://ohgym.tistory.com/13

( Sc * Se * Sa ) 와 N 은 서로소이므로 확장된 유클리드 호제법을 사용하여 역원 x를 구한다.

역원을 얻었다.

S를 연산하고, 검증했다.
클리어.

반응형

'CTF Write Up' 카테고리의 다른 글

NahamCon CTF 2022 Forensic Write up  (0) 2022.04.30
RITSEC CTF 2022 Write up  (0) 2022.04.02
UTCTF 2022 Write up  (0) 2022.03.13
Codegate 2021 Quals Write Up  (0) 2022.02.28
ASCTF 2021 문제 풀이 및 출제 후기 - Forensic(5), Misc(1)  (0) 2021.11.24
반응형

 

Forensics

Sounds Familiar

 

dtmf

이건 너무 부정확해서 다른 도구를 사용했다.

 

http://www.polar-electric.com/DTMF/Index.html

 

DTMF Decoder / Encoder

DTMF Decoder is a very easy to use program to decode DTMF dial tones found on telephone lines with touch tone phones. DTMF Decoder is also used for receiving data transmissions over the air in amateur radio frequency bands.   The following are the frequen

www.polar-electric.com

result

0과 1이 많아서 키패드 알파벳 변환은 아니다.

띄어서 입력되는 부분을 고려하면

100 88 82 106 100 71 90 55 78 87 86 106 99 109 86 48 88 50 89 120 81 68 108 102 90 71 57 102 98 109 57 48 88 122 86 111 81 72 74 108 102 81 61 61

이 되고, 이를 ascii로 변환한 뒤에 base64로 디코딩해주면 플래그가 나온다.

 

dtmf decode -> ascii -> base 64

 

 


Forensics

IRC

 

memdump.lime.z 파일이 주어진다.

zlib compreesed data이므로 압축을 풀어주자.

 

 

압축을 풀고 strings와 grep을 사용해서 프로필 정보를 알아냈다.

debian 10.2.1-6 에 linux version 5.10.0-11-amd64이다.

 

volatility2 사용을 위한 profile을 create해야한다. 

환경 구성의 편의를 위해서 커널버전 5.10.0-11에 가장 근접하는 데비안 버전을 사용했다.

 

debian 11.0.0 amd64 iso 파일을 다운받아서 가상환경을 구축해준다.

https://ftp.cae.tntech.edu/debian-cd/dvd/

 

Index of /debian-cd/dvd/

 

ftp.cae.tntech.edu

 

apt install linux-headers-5.10.0-11-amd64

apt install linux-headers-5.10.0-11-common

apt install linux-image-5.10.0-11-amd64

apt install linux-image-5.10.0-11-amd64-dbg

디스크 용량은 15GB 이상 확보하자.

 

기존에 설치되어 있는 커널 버전은 remove 해준다.

 

 

 

https://github.com/volatilityfoundation/volatility/wiki/Linux 을 참고하여 프로필을 생성하면 된다.

 

GitHub - volatilityfoundation/volatility: An advanced memory forensics framework

An advanced memory forensics framework. Contribute to volatilityfoundation/volatility development by creating an account on GitHub.

github.com

 

/boot/System.map-<uname -r> 파일을 보면 

The real System.map is in the linux-image-<version>-dbg package

이렇게 되어 있다. apt install linux-image-5.10.0-11-amd64-dbg 를 한 이유가 real System.map 파일을 얻기 위해서다.

real System.map 파일은 usr/lib/debug/boot/ 경로에 있다.

 

생성된 프로필 zip 파일을 볼라티리티 overlays linux 폴더에 옮겨 넣는다.

hexchat이라는 irc 프로그램을 설치한 기록을 확인할 수 있다.

 

 

pslist에서 hexchat이 확인된다.

 

이제 irc password를 찾기 위해서 log 파일을 확인하면 password를 찾을 수 있을 것이라고 생각했다.

그런데 log파일들이 있는 경로는 알지만 정확한 로그 파일을 봐야하고 그 파일의 이름이 뭔지를 알 수 없었으므로

(linux는 filescan이 안된다. 정확한 파일의 절대 경로를 알고 있어야 한다.)

여기서부터는 게싱을 했다.

 

 

HxD로 메모리 덤프 파일을 열어서 hexchat과 utctf를 검색했고, P=blabla 문자열을 확인할 수 있었다.

utctf.live는 irc 주소, P 값은 irc password로 추측되었다.

 

해당 P값을 flag로 제출했다.

 


WEB

Websockets

어드민 로그인 페이지가 있는데 username은 admin이고 pw는 숫자 3자리라고 한다.

웹소켓으로 id와 pw를 전달한다.

 

파이썬으로 쓰윽


 

WEB

pdf로 변환을 해준다.

 

<h1 id='test2'>a</h1><script>x = new XMLHttpRequest();
x.open('GET','file:///etc/passwd',false);
x.send();
document.getElementById('test2').innerHTML= x.responseText+location.href;
</script>

 

이렇게 파일을 읽어올 수 있고

+location.href로 현재 경로를 알아냈다.

 

<h1 id='test2'>a</h1><script>x = new XMLHttpRequest();
x.open('GET','file:///usr/src/app/app.py',false);
x.send();
document.getElementById('test2').innerHTML= x.responseText;
</script>

 

약간의 게싱으로 app.py의 소스를 가져온다.

 

flag가 환경변수에 있는데, /proc/environ을 못읽도록 하고 있다. 그런데 필터링 우회해서 해당 파일에 접근해도 결과가 안나왔다. (언인텐이라서 이쪽으로는 못풀게 아에 막은 듯 싶다.)

 

/admin 페이지 로그인으로 플래그를 얻어야 하는데 unix계정 로그인을 하면 된다.

 

아까 passwd파일을 확인했을 때 WeakPasswordAdmin 이라는 계정이 있었다. 해당 계정의 패스워드를 구해서 로그인하면 될 것으로 보인다.

 

/etc/shadow 파일도 가져온다.

 

클리어.


Misc

https://ropsten.etherscan.io/tx/0xca78d2d51101fda93f3f8c62f4349dd23a7e5692cef667ab834c3611601f068f

 

Ropsten Transaction Hash (Txhash) Details | Etherscan

Ropsten (ETH) detailed transaction info for txhash 0xca78d2d51101fda93f3f8c62f4349dd23a7e5692cef667ab834c3611601f068f. The transaction status, block confirmation, gas fee, Ether (ETH), and token transfer are shown.

ropsten.etherscan.io

 

그냥 이더스캔으로 컨트랙트 생성 트랜젝션의 인풋값 보면 된다.

반응형

'CTF Write Up' 카테고리의 다른 글

RITSEC CTF 2022 Write up  (0) 2022.04.02
LINE CTF 2022 write up  (0) 2022.03.27
Codegate 2021 Quals Write Up  (0) 2022.02.28
ASCTF 2021 문제 풀이 및 출제 후기 - Forensic(5), Misc(1)  (0) 2021.11.24
Killer Queen CTF 2021 write up  (0) 2021.10.31

+ Recent posts