ウサギは後退せず、大きな耳で情報集めをする事に験を担ぎ、古来より日本では鎧などにウサギの図柄を取り入れてきたらしい。

うさブロ

ぼっちなうさぎのセキュリティラボ

Re:ゼロから始めるMNCTF2015 writeup

俺のエミリアたんはどこだ?

f:id:appleseedj073:20160707222114j:plain

俺のレムりんはどこだ?

f:id:appleseedj073:20160707222142j:plain

俺の人生、もうだいぶ詰んでるよ。

後輩が、どんどん俺の役職を抜いていくよ。

もう落ちるとこまで落ちてるよ。

いつになったら死に戻りできるの?

 

 

 

f:id:appleseedj073:20160707222257g:plain

これが現実なんだね・・・。

 

さて、そんなことは置いておいて「リゼロ」のヒロインはやっぱりレムだよねw

 

本題です。

明日、2016/07/08はマクニカさんのイベントがあって、そこでCTFがある日です。

www.macnica.net

今年も参加させていただきます。せっかく参加させていただくので昨年の内容をさらっとおさらいします。

 

f:id:appleseedj073:20160707222947p:plain

こんな感じのサイト

それぞれにシナリオがあって問題があります。内容的に仕事でインシデントレスポンスをしていると7割くらいは簡単に行けるかな?って感じです。

  • 点呼

 練習問題です。フラグを入力しておしまい。

  • 早期警戒

 ハッシュ値からマルウェアを特定して通信先を入力します。Virustotalやmalwrといったサイトを使って調べる。Virustotal使って調べたけど「SHINOBOT」って表示された時は震えたw

  • 情報漏洩

 WireSharkを使ってpcapファイルを解析。とりあえず「Follow TCP Stream」したらzipファイルを送ってるのがわかったのでファイルを取り出して中身確認したらフラグ発見。

  • 端末感染

 Proxyログから不正な通信をしているIPアドレスを割り出す。何が不正なのかわからなくてExcel使って数の多いアドレスを削っていったら当該アドレスを発見。

 後日、Excelを使わない方法で再度抽出したらめっちゃ簡単だったw

linuxでコマンド

「cat proxylog.csv | sed 's/,/ /g' | awk '{print $3,$5,$6,$7,$8,$9,$10}' | sort | uniq -c | sort」を叩くと

f:id:appleseedj073:20160707224706p:plain

 

  • 隠蔽検体

 渡されるファイルは、画像ファイル。マルウェアが隠されているようなのでバイナリエディタで覗くと、データの最後に「PK」とか「malware.exe」という文字を発見。画像ファイルの中にzipファイルが隠されていそうなのでファイルを先頭から目grepしたらPKから始まるところを発見。前の部分を削除して綺麗なzipにして展開するとmalware.exeが出てくる。

  • 書込文書

 マルウェアをもらうので解析。とりあえず表層解析してみるとCドライブ直下に何かやらかしてくれている様子なので動かしてみた。そしたら思いっきり「flag」とか書いてあるファイルが配置されてたw

  • 不正使用

 実行ファイルをもらうので動かすけど反応無し。てか一瞬何か動いたw コマンドプロンプトに食わせたら表示が出て終了。ライセンスキーを引数で入れろっていう。表層解析で文字列抽出をかけてみたら思いっきりライセンスキーらしきもの発見w

  • 昇進試験

 クロスワードパズル

  • 脆弱会社

 SQLインジェクションが利用できて、unionでテーブルをくっつけるらしいのだがコマンドがややこしくて無理w writeupに書いてあったsqlmapを使う方法がわかりやすかった。sqlmap使ったら見事に秒殺www

f:id:appleseedj073:20160707231117p:plain

  • 強固暗号

 既知平文攻撃。pkcrackを使って攻撃すると簡単にパスワードをクラックできたし・・・。

f:id:appleseedj073:20160707230850p:plain

  • 内部犯行

 これはwriteup読んでもイマイチわからなかったw

 

昨年のCTFでは、ちょー微妙な順位だったから今年はもう少し説明しやすい順位になれるように頑張るっす!