News

katagaitaiCTF勉強会とシェル芸勉強会に参加させて頂きました!

Added by kanata over 1 year ago

katagaitai CTF勉強会 #11 - 関東|med

katagaitai CTF勉強会 #11 - 関東|med : ATND

h2. 概要 * チームkatagaitaiの実施する,CTFに関する勉強会です.過去問...

yskさん

無線の話!無線の話!めっちゃ面白い。資料が神だった。
無線の基礎から教えてくれたので、めっちゃ解りやすい。
これ系の問題は苦手な数学がほぼ入ってこないので、頑張ればなんとかできそうな印象(できるとは言っていない)

GNU Radio必須

資料が公開されてますね!

bataさん

ChromeのJavascriptエンジンV8の中の話
めちゃめちゃ濃い内容。この内容理解できたらV8のメンテナになれるでコレ…

bataさんが解説する問題は、相変わらず遥か彼方にゴールが見える感じで遠い。。

jus & USP友の会共催 シェル勉強会 @関西(第34回いつも難しい問題ばっかり出す上田が真面目に考えた初心者用シェル芸勉強会)

jus & USP友の会共催 シェル勉強会 @関西(第34回いつも難しい問題ばっかり出す上田が真面目に考えた初心者用シェル芸勉強会)で大阪にお邪魔しました | 上田ブログ

問題
https://b.ueda.tech/?post=20180317_shellgei_34

youtube
https://t.co/tuZhLj6zEu

togetter
https://togetter.com/li/1209705

LT

特に面白いと思ったのは以下

ターミナルでテトリスが動いてる・・・!

記号オンリー難読化シェル芸・・・!


知見を得た

以下はよく忘れて毎回ググるのでメモしておく

  • sedで引っ掛けたものを置換対象に含めるには&を使う
$ echo abc123 |sed 's/abc/&def/g'
abcdef123
  • awkのNR(行番号)

  • awkで空行の削除

$ awk 'NF'

Google Home mini を天井に設置する

Added by kanata over 1 year ago

動機

天井と話たいんじゃ。天井から流れてくる音楽聞きたいんじゃ。

前提

天井がダクトレールなのが前提。

そうじゃないと後述のライトが取り付けられない。

必要な物の購入

1灯スポットライト・2環ウッドシェード (ダクトレール用)

これ

partsC1.jpg

1灯スポットライト・2環ウッドシェード (ダクトレール用) 【シェードカラー:ナチュラル】

クロームメッキのボディに木製2連シェードを組み合わせた、ダクトレール接続のスポットライト。光を当てたい部分をスポット照射しながら、天井や壁に映る陰影も楽しむことができます。 ...

パナソニック(Panasonic) セパラボディ/P WH4101PK

これ

partsB1.jpg

電球の口(E26)をコンセントに変換するやつ。amazonで買った。

100円ショップのSeriaで買ったスマートフォンスタンド

これ

partsA1.jpg

セリアで買った。一番安いけど、いちばん重要。8本の足を好きなように曲げられる。

partsA2.jpg

いろいろ応用ができる。

参考

【100均検証】使い方はあなた次第! あまりにも自由度の高い「マルチスタンド」の使い方をイロイロ考えてみた結果...

元気ですかーっ! プロレスの世界には「 ホウキ相手でもプロレスができる 」という名言がありますが、100均研究の世界にも「どんな100円グッズでも面白おかしく転がして紹介することができる」という格言があるとかないとか。しかし今回...... 面白おかしく転がすことができませんでした!

組み立て

簡単

  1. ライトの口(E26)にコンセントにするやつを装着
  2. Google Home mini をスマホスタンドでガバっとカバーする
  3. ライトと Google Home mini を合体。柔軟に曲がるスマホスタンドをいい感じに調整するとライトを垂直にしても落ちてこない程度に固定できる。

完成

はい完成!最&高!

combination2.jpgcombination3.jpg
combination1.jpgcombination4.jpg

Javaの混沌とした名称の整理

Added by kanata over 1 year ago

Javaの混沌とした名称の整理

まず、ざっくりこんな感じ

Java_Platforms.png

ざっくりとした呼び方 ちゃんとした呼び方 その中のJDK 対応するライブラリ群 備考
- - JDK 1.0 -
- - JDK 1.1 -
Java2 J2SE 1.2 JDK 1.2 -
Java3 J2SE 1.3 JDK 1.3 J2EE 1.2
Java4 J2SE 1.4 JDK 1.4 J2EE 1.3
Java5 J2SE 5.0 JDK 1.5 J2EE 1.4
Java6 Java SE 6 JDK 1.6 JavaEE5
Java7 Java SE 7 JDK 1.7 JavaEE6 OpenJDKはJava7相当
Java8 Java SE 8 JDK 1.8 JavaEE7
Java9 Java SE 9 JDK 1.9 JavaEE8
Java10 Java SE 10 JDK 1.10? JakartaEE9?

2018/3時点の名称に対する混沌とした状況

名称に関連した解りづらいこと

普通システム開発する時は、JavaEE(JakartaEE)のインストールは必要ない

なぜならWebコンテナ(TomcatやGrassfish、Websphere、JBOSSなど)が実装しているから。
つまり、TomcatをインストールすればJavaEEのAPIが使えるということ。

JavaEEを直接インストールする機会があるのは、基本的にWebコンテナそのものを開発する人なんかに限られるはず。

ちなみにOracleのサイトに行くとわかるけど、JavaEE SDKという名前になっていて、SDKという言葉でまた混乱してしまう。
忘れようSDKは。これはJavaEEなんだ。

JavaとJavaEEの対応バージョンが一致していない

伝統。JavaEEの方がバージョン番号が一つ少ない(Java9に対応しているのはJavaEE8まで)

触れてないこと

JavaME

組み込みの人以外は気にしなくてよい

JavaFX

忘れよう

OpenJDK

Java7相当らしい


Java全般の情報→Java

katagaitai CTF勉強会 #10 - 関東|med に参加させて頂きました!

Added by kanata over 1 year ago

katagaitai CTF勉強会 #10 - 関東|med : ATND

チームkatagaitaiの実施する, に関する勉強会です.過去問を解きつつ技術解説をします. 学生~社会人若手の方を対象にわいわいやりたいと思ってます.

trmrさんの暗号の話

電力解析による暗号処理へのサイドチャネル攻撃が大変面白かった

基本的には

  • 同じ処理したら同じ電力消費のグラフになる
  • bit反転(変化)する際に(そうでない場合と比べて)電力が多く消費される

ぐらいの特性から、目的のビット列を求めるのは、
聞くと「なるほど~」と思うんだけどそこに至るまでの手法を考えた人がスゴイわ。。
物理と数学の融合感ある。

ChipWhispererというツールで全部できちゃうけど、やってくれるのはAESの鍵取得だけなので、動作原理を理解していないと応用がきかない

CTFerのランク

ちょっと面白かった。以下のレベル分けて呼称されている。
わかりみが深い

  1. CTF初心者
  2. 中級者
  3. プロ
  4. 自称CTF初心者

eshihoさんの暗号の話

しほプロの暗号のお話

RSA暗号の買得手法の一つ、Coppersmith's Method のお話
数学に明るくないので、めっちゃ難しく、死 and Die だった。
(ガチ勢には、大変わかりやすい説明だったと思われる)

暗号ガチ勢怖い

頂きました

ノートを頂きました。コレ知ってる、えぇやつやん。ありがとうございます。

第33回めでたいシェル芸勉強会/オープンソースカンファレンス2018 Tokyo/Spring に参加させて頂きました!

Added by kanata over 1 year ago

jus共催 第33回めでたいシェル芸勉強会

以下に綺麗にまとめてくださっています。毎回難しいけれど、今回も難しくて死んだ。

jus共催 第33回めでたいシェル芸勉強会の報告 | 上田ブログ

null

ちなみに私がLTしたやつはコレです。

濱せっくで発表したのと同じもの

オープンソースカンファレンス2018 Tokyo/Spring

東京で春・秋にやるカンファレンス、無料でいろいろ聞けて良い。場所はめっちゃ遠い。
https://www.ospn.jp/osc2018-spring/

オープンソースカンファレンス2018 Tokyo/Spring - オープンソースの文化祭!

オープンソースの最新動向に関する展示・セミナーイベント。参加無料。

沢山頂きました!ありがとうございます…!

20180224_OSSC2018Spring.jpg

特に気になったもの

Gentoo入門

Gentoo愛を感じた

OSSと脆弱性管理

かんべさん面白い人だ…

CPU脆弱性「Meltdown/Spectre」の件はアレですよね。みんなさん一家言あるかと思います。。
個人的にはパッチいつ当てる?当てるの?よりも、性能に影響でる方が気になっており。
ギリギリで日次バッチが完了してるシステムとか、そういうやつ世に沢山ありますよね…?
それにパッチ当てちゃうと、そらもぅアレですよ。大パニックですよ。
じゃあCPU交換だ!なんてするわけもなく、、、

世間の盛り上がりとは関係なく、冷静にCVSSのポイントをベースにパッチの適用有無・時期を判断できるような土壌ができればいいなと願っています。

プラレールで全加算器

最高!

元祖 濱せっく #1 - HamaCTF想定解

Added by kanata over 1 year ago

CTF Writeup HamaCTF

2017.12.2 元祖 濱せっく #1で開催されたCTFの想定解です。

問題

エクササイズ

復号してね。シェル芸でできるよ。
2n,13,rev,64

01011000001100000011001101011010001100010101001001101101010011000110110001000001010100010111001001101101011001100110000101000101010010000100000101001000010011000110011101010011010101000100011000001010

全てがFになる

これから何かわかりますか?

f.zip

難読化シェル芸1

解読してみましょう

NandokukaShellGeiSleeps.zip

大サービス!フラグの一部を教えちゃう!

38}

zlib

この中にzlibされたフラグが埋もれています。

zlib.zip

sign

以下のメッセージと sign.zip から何かわかりますか?

9:14 PM 05 AUG 16 Edward Snowden
b7bb840ece86d44c0fb83da6da0af8a3eeb45946aa141fa44cbc94436e1d5ccd

難読化シェル芸2

解読してみましょう

NandokukaShellGeiInqAns.zip

大サービス!フラグの一部を教えちゃう!

fi}

想定解

暇だったら想定解見る前にチャレンジしてみてクレメンス

記号と1,2,A,zでだけで作る難読化シェル芸

Added by kanata over 1 year ago

結果

A=$(. 2>&1);A=${A##*.};${A:$((++z*++z*++z*z-z+++z)):$((z=z^z||++z))}${A:$((++z*++z---z)):$((z=z^z||++z))}${A:$((++z*++z*z)):$((z=z^z||++z))} -- {z..A};${@:$((++z*++z*++z---z+++z---z+++z---z)):$((z=z^z||++z))}${@:$((++z*++z*++z---z+++z---z+++z)):$((z=z^z||++z))}${@:$((++z+++z+--z)):$((z=z^z||++z))}${@:$((++z*++z*++z---z+++z---z)):$((z=z^z||++z))}

ちゃんとdateが実行される

$ A=$(. 2>&1);A=${A##*.};${A:$((++z*++z*++z*z-z+++z)):$((z=z^z||++z))}${A:$((++z*++z---z)):$((z=z^z||++z))}${A:$((++z*++z*z)):$((z=z^z||++z))} -- {z..A};${@:$((++z*++z*++z---z+++z---z+++z---z)):$((z=z^z||++z))}${@:$((++z*++z*++z---z+++z---z+++z)):$((z=z^z||++z))}${@:$((++z+++z+--z)):$((z=z^z||++z))}${@:$((++z*++z*++z---z+++z---z)):$((z=z^z||++z))}
20171218日 月曜日 19:00:55 JST

使ってる文字種は…

$ echo 'A=$(. 2>&1);A=${A##*.};${A:$((++z*++z*++z*z-z+++z)):$((z=z^z||++z))}${A:$((++z*++z---z)):$((z=z^z||++z))}${A:$((++z*++z*z)):$((z=z^z||++z))} -- {z..A};${@:$((++z*++z*++z---z+++z---z+++z---z)):$((z=z^z||++z))}${@:$((++z*++z*++z---z+++z---z+++z)):$((z=z^z||++z))}${@:$((++z+++z+--z)):$((z=z^z||++z))}${@:$((++z*++z*++z---z+++z---z)):$((z=z^z||++z))}'|grep -o .|sort -u|tr -d '\n'
 #$&()*+-.12:;=>@A^z{|}

#$&()*+-.12:;=>@A^z{|} だけ。理論上はこれで何でも書ける。

解説

基本原理

こんな感じで変数展開を駆使する

$ a="abcdefghijklmnopqrstuvwxyz"
$ ${a:3:1}${a:0:1}${a:19:1}${a:4:1}
2017年 12月 17日 日曜日 17:24:21 JST

それでは、実際に順を追ってやってみましょう。

記号と1,2だけでアルファベットを得る

記号だけでアルファベット得るには、以下のエラーメッセージを使います。

$ .
-bash: .: ファイル名が引数として必要です
.: 使用法: . filename [arguments]

エラーメッセージは、標準エラー出力の方にでるので標準出力に向けるよう1と2を使ってリダイレクトします。
(この後1と2は使いません)
編集結果は変数に入れます。Aとzしか使えない縛りなので、ここではAを使います。

$ A=$(. 2>&1);
$ echo $A
-bash: .: ファイル名が引数として必要です .: 使用法: . filename [arguments]

使っているディストリや言語環境でメッセージが異なったりします。
そのため、変数展開で変化のない箇所だけ取り出します。

$ A=${A##*.};
$ echo $A
filename [arguments]

アルファベットaefgilmnrstuを得ることができました。
これからコマンドを実行するには、bashの 変数展開を使います。

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20
f i l e n a m e [ a r g u m e n t s ]

変数展開を利用すると、この文字列を切り出すsubstringのような機能を実現できます。この配列からlsの実行は、以下でできます。

${A:3:1}${A:19:1}

さて、このままだと使えるアルファベットが限定されています。dateもできませんし、echo,grep...よく使うコマンドも大半が利用できません。なんとか使えるアルファベットを増やす必要があります。

ブレース展開でアルファベット小文字を得る

使えるアルファベットを増やすには、ブレース展開を使うのがよさそうです。Aとzだけでアルファベットを全て得られます。

$ echo {A..z}
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z [  ] ^ _ ` a b c d e f g h i j k l m n o p q r s t u v w x y z

これを変数に入れればいいですね。ただ直接入れられません。echoとかで出力した結果を変数に入れる必要があります。
あ。。。echoが使えませんね。使えるアルファベット(aefgilmnrstu)からechoの代替を探しましょう。

正解は・・・!これ

$ set -- {z..A}

さっきの変数展開を駆使して、setを実行します。実行結果は、なんと位置パラメータに入る仕様です。

$ ${A:19:1}${A:4:1}${A:18:1} -- {z..A}
$ echo $@
z y x w v u t s r q p o n m l k j i h g f e d c b a ` _ ^ ] [ Z Y X W V U T S R Q P O N M L K J I H G F E D C B A

やったね!これでdateも実行できるはずです。試してみます。

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58
z y x w v u t s r q p o n m l k j i h g f e d c b a ` _ ^ ] [ Z Y X W V U T S R Q P O N M L K J I H G F E D C B A
$ ${@:23:1}${@:26:1}${@:7:1}${@:22:1}
20171218日 月曜日 19:22:14 JST

できましたね!まだ終わりじゃないです。

数字使っている所をなんとかする

まだ数字が入っている所がありますね。
これを何とかしましょう。もう一つの文字zをここで変数として使います。

算術式展開 を使います。数字を一切使わずに目的の数値を計算して出力します。

しんどいのは、一度計算に利用した変数zは、0に戻ることもなく、そのまま次の処理に引き継がれることです。

こんな感じで計算しておりますが、前提として変数zの初期値が1であったり、0であったりする必要があります。

$((z=z^z))                           #  0 自分自身でXORすると0になる。何回実行しても0。
$((z=z^z||++z))                      #  1 なんかよくわかんないけど1になる。何回実行しても1。
$((++z*++z---z))                     #  4 変数zの初期値が1前提
$((++z+++z+--z))                     #  7 変数zの初期値が1前提
$((++z*++z*z))                       # 18 変数zの初期値が1前提
$((++z*++z*++z*z-z+++z))             # 19 変数zの初期値が0前提
$((++z*++z*++z---z+++z---z))         # 22 変数zの初期値が1前提
$((++z*++z*++z---z+++z---z+++z---z)) # 23 変数zの初期値が1前提
$((++z*++z*++z))                     # 24 変数zの初期値が1前提
$((++z*++z*++z---z+++z---z+++z))     # 26 変数zの初期値が1前提

全部載せるのが大変なので、dateで使う数値だけに絞っています。

調整して完成!

そんなわけで、まとめるとこんな感じ

A=$(. 2>&1);                                              # .のエラーメッセージを変数に格納
A=${A##*.};                                               # エラーメッセージの環境依存の無い箇所だけ抽出
${A:$((++z*++z*++z*z-z+++z)):$((z=z^z||++z))}             # s
${A:$((++z*++z---z)):$((z=z^z||++z))}                     # e
${A:$((++z*++z*z)):$((z=z^z||++z))} -- {z..A};            # t -- {z..A}
${@:$((++z*++z*++z---z+++z---z+++z---z)):$((z=z^z||++z))} # d
${@:$((++z*++z*++z---z+++z---z+++z)):$((z=z^z||++z))}     # a
${@:$((++z+++z+--z)):$((z=z^z||++z))}                     # t
${@:$((++z*++z*++z---z+++z---z)):$((z=z^z||++z))}         # e

経緯

SECCON2017オンライン予選問題 Powerful_Shell の難読化最後の部分と

${;}=+$();${=}=${;};${+}=++${;};${@}=++${;};${.}=++${;};${[}=++${;};${]}=++${;};${(}=++${;};${)}=++${;};${&}=++${;};${|}=++${;};${"}="["+"$(@{})"[${)}]+"$(@{})"["${+}${|}"]+"$(@{})"["${@}${=}"]+"$?"[${+}]+"]";${;}="".("$(@{})"["${+}${[}"]+"$(@{})"["${+}${(}"]+"$(@{})"[${=}]+"$(@{})"[${[}]+"$?"[${+}]+"$(@{})"[${.}]);${;}="$(@{})"["${+}${[}"]+"$(@{})"[${[}]+"${;}"["${@}${)}"];"${"}${.}${(}+${"}${(}${|}+${"}${(}${)}+${"}${(}${)}+${"}${)}${|}+${"}${)}${&}+${"}${(}${+}+${"}${&}${@}+${"}${+}${=}${+}+${"}${|}${)}+${"}${+}${=}${=}+${"}${[}${]}+${"}${)}${@}+${"}${+}${+}${+}+${"}${+}${+}${]}+${"}${+}${+}${(}+${"}${.}${@}+${"}${[}${]}+${"}${&}${=}+${"}${+}${+}${[}+${"}${+}${+}${+}+${"}${+}${=}${|}+${"}${+}${+}${@}+${"}${+}${+}${(}+${"}${.}${@}+${"}${.}${|}+${"}${(}${|}+${"}${+}${+}${=}+${"}${+}${+}${(}+${"}${+}${=}${+}+${"}${+}${+}${[}+${"}${.}${@}+${"}${+}${+}${(}+${"}${+}${=}${[}+${"}${+}${=}${+}+${"}${.}${@}+${"}${+}${+}${@}+${"}${|}${)}+${"}${+}${+}${]}+${"}${+}${+}${]}+${"}${+}${+}${|}+${"}${+}${+}${+}+${"}${+}${+}${[}+${"}${+}${=}${=}+${"}${.}${|}+${"}${+}${.}+${"}${+}${=}+${"}${)}${.}+${"}${+}${=}${@}+${"}${[}${=}+${"}${.}${(}+${"}${(}${|}+${"}${(}${)}+${"}${(}${)}+${"}${)}${|}+${"}${)}${&}+${"}${.}${@}+${"}${[}${]}+${"}${+}${=}${+}+${"}${+}${+}${.}+${"}${.}${@}+${"}${.}${|}+${"}${&}${=}+${"}${[}${&}+${"}${+}${+}${|}+${"}${(}${|}+${"}${+}${+}${[}+${"}${.}${(}+${"}${)}${@}+${"}${]}${+}+${"}${[}${|}+${"}${[}${|}+${"}${.}${|}+${"}${[}${+}+${"}${+}${@}${.}+${"}${+}${.}+${"}${+}${=}+${"}${|}+${"}${&}${)}+${"}${+}${+}${[}+${"}${+}${=}${]}+${"}${+}${+}${(}+${"}${+}${=}${+}+${"}${[}${]}+${"}${)}${@}+${"}${+}${+}${+}+${"}${+}${+}${]}+${"}${+}${+}${(}+${"}${.}${@}+${"}${.}${|}+${"}${)}${+}+${"}${+}${+}${+}+${"}${+}${+}${+}+${"}${+}${=}${=}+${"}${.}${@}+${"}${)}${[}+${"}${+}${+}${+}+${"}${|}${&}+${"}${.}${.}+${"}${.}${|}+${"}${]}${|}+${"}${+}${.}+${"}${+}${=}+${"}${|}+${"}${&}${)}+${"}${+}${+}${[}+${"}${+}${=}${]}+${"}${+}${+}${(}+${"}${+}${=}${+}+${"}${[}${]}+${"}${)}${@}+${"}${+}${+}${+}+${"}${+}${+}${]}+${"}${+}${+}${(}+${"}${.}${@}+${"}${.}${[}+${"}${&}${.}+${"}${(}${|}+${"}${(}${)}+${"}${(}${)}+${"}${)}${|}+${"}${)}${&}+${"}${+}${@}${.}+${"}${.}${(}+${"}${(}${|}+${"}${(}${)}+${"}${(}${)}+${"}${)}${|}+${"}${)}${&}+${"}${+}${@}${]}+${"}${.}${[}+${"}${+}${.}+${"}${+}${=}+${"}${+}${@}${]}|${;}"|&${;}

難読化されたPowershellの問題

と、Masato Kinugawaさんの以下を見て感銘を受けまして、何とか記号だけでシェル芸したい!と思ったわけなんです(結局記号だけは無理だったw)

SECCON 2017 Writeup

Added by kanata over 1 year ago

CTF Writeup SECCON 2017

結果&感想

某チームでSECCON2017に参加しました。
4問解きました。全部100点だけどな!

チームの成績なんですが、もしかしたら国内決勝行けるかもという順位!
決勝行けたらめでたいね!!!

基本的に今回は

こまけぇこたぁいいんだよ

20171209_seccon2017_komaka.gif

解けりゃぁいいんだよ!ちゃんと実装しよ?めんどくせぇ買ってこいよゴロリ
というスタンスで解いていたため、はたして公開していいのかというクソコードっぷりを披露する事になります。

Log search (Web 100)

問題文はアクセス先のURLだけだったかな。。

これはなんで解けたのか、どういう趣旨だったか理解する前に解けてしまいました。

検索窓があるので、おもむろに flag と入力して検索

20171209_seccon2017_log_search.jpg

出てきたそれっぽいヤツにアクセスする。

フラグ取れた。

SECCON{N0SQL_1njection_for_Elasticsearch!}

Simon and Speck Block Ciphers (Crypto 100)

平文と暗号文、キーの一部が提供されています。

Simon_96_64, ECB, key="SECCON{xxxx}", plain=0x6d564d37426e6e71, cipher=0xbb5d12ba422834b5 

Simon and Speck Block Ciphers という暗号方式を実装して、暗号キーを求めてねという問題。

さっそく問題文中で公開されている404.pdfを見てみると暗号方式を解説している論文のようでございました。
いかんせん英語でございましたので、3分ぐらいで見るのを止めた訳です。英語は無理だと。

きっと、実装してくださっている方がいるだろうとGithubなんかを検索したら出てきました。

bozhu/NSA-ciphers

NSA-ciphers - SIMON and SPECK the two lightweight block ciphers designed by the researchers from NSA

simon.py はテストコードがついてるので、それをコメントアウトして目的のソースコードを書き加えます。

simon.py

#!/usr/bin/env python

# ~中略~

    #for bsize, ksize, key, plain, cipher in test_vectors:
    #    my_simon = SIMON(bsize, ksize, key)
    #    encrypted = my_simon.encrypt(plain)
    #    assert encrypted == cipher
    #    for i in range(1000):
    #        encrypted = my_simon.encrypt(encrypted)
    #    for i in range(1000):
    #        encrypted = my_simon.decrypt(encrypted)
    #    decrypted = my_simon.decrypt(encrypted)
    #    assert decrypted == plain

    chars = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789_'
    itr = permutations(chars,4)
    plain      = 0x6d564d37426e6e71
    encrypted  = 0xbb5d12ba422834b5
    key        = 0x00
    key_source = ""

    for i in itr:
      key_source="SECCON{"+"".join(map(str,i))+"}"
      answer=key_source
      key_source = "0x" + hex(ord(key_source[0]))[2:4]+hex(ord(key_source[1]))[2:4]+hex(ord(key_source[2]))[2:4]+hex(ord(key_source[3]))[2:4]+hex(ord(key_source[4]))[2:4]+hex(ord(key_source[5]))[2:4]+hex(ord(key_source[6]))[2:4]+hex(ord(key_source[7]))[2:4]+hex(ord(key_source[8]))[2:4]+hex(ord(key_source[9]))[2:4]+hex(ord(key_source[10]))[2:4]+hex(ord(key_source[11]))[2:4]
      key = long(key_source,16)
      c = SIMON(64, 96, key)
      if encrypted == c.encrypt(plain):
        print answer

    print 'All tests passed'

int(key.encode('hex'), 16) # 文字列→intは、こんな感じでもっとスマートに書けたか

後はぶん回すだけなのですが、えらい時間がかかって、これはきっと競技時間中に終らないんじゃないかとも思いましたが、運良くフラグが出てくれました。

SECCON{6Pz0}

SHA-1 is dead (Crypto 100)

この条件のファイルを作る問題

  1. file1 != file2
  2. SHA1(file1) == SHA1(file2)
  3. SHA256(file1) <> SHA256(file2)
  4. 2017KiB < sizeof(file1) < 2018KiB
  5. 2017KiB < sizeof(file2) < 2018KiB

※1KiB = 1024 bytes

SHA1のハッシュ衝突が起こせるようになったのは有名な話題なので知ってはおりました。
知ってはおりましたが実装まではしたことがございません。
きっと誰かがPoCを公開してくださっているだろうと、調べるとすぐ出てきました。

73spica/sha1-collision

sha1-collision - Googleが発表したSHA-1衝突の原理で衝突PDFを生成するスクリプト

このツールは、こんな仕様

  • jpegを指定して、sha1ハッシュ値が同じpdfを作ってくれるツール
  • jpegのファイルフォーマットを壊さずにハッシュ衝突してくれる
  • それ故チェック処理が入っててフォーマットが壊れる場合は処理を中断する

いい感じのサイズのjpegを作るのが面倒だったため、ファイルの後ろに0x00を何byteかくっつけてサイズ調整しようと思った訳です。
するとチェックに引っかかるんですよね。困った。

なので、こうしました。

  • sha1ハッシュ衝突ツール(collision.py)のチェック処理をコメントアウト
  • jpegファイルのお尻に0x00を何Byteか加えてサイズを調節する
  • pdfのサイズが 2065408~2066432 Byte になるよう以下のシェルスクリプトを作って何度か試す
#!/bin/bash

dd if=/dev/zero of=zero_a bs=1024 count=$1
sleep 2
cat sample1.jpg zero_a >a.jpg
cat sample2.jpg zero_a >b.jpg

python collision.py a.jpg b.jpg

ls -lrt collision*

ファイルアップロードしてフラグ取得

SECCON{SHA-1_1995-2017?}

ちなみに、公開されているsha1ハッシュが同じpdfの後ろに0x00をくっつけてサイズ調整すればいいと気付いたのは競技終了後にwriteupを見た時

JPEG file (Binary 100)

あぁ、これ進研ゼミでやってたやつだ!…じゃなくて、昔のSECCONで出た問題に似てる!
と、すぐ思い出した訳です。そしてそのwriteupを パク参考にしようと思ったわけで、調べたら出てきました。

SECCON CTF 福岡大会の問題 - yasulib memo

SECCON CTFの筑波大会に出場させて頂けることになりました。 他チームは各所で活躍されている方々が参加されるということもあり、勝ちを狙うのは難しそうなので、チーム全員で楽しんで出場できたら良いなと思います :) 今回のCTFをきっかけにセキュリティ&プログラミングキャンプ2010に参加した友人たちと連絡を取り合うきっかけになりました。(キャンプのCTFで同じチームだった人もいます) @ITの記事 を見ていて、福岡大会でどんな問題が出ていたのか書いてあったので、解いてみました。 問:以下のファイルダンプは宇宙からの中性子線で1bitのデータが反転したものである。 0000000 1f 8b 08 08 27 2c 39 4f 02 03 7a 2e 74 78 74 00 0000020 ed da 4d 0e 83 20 10 86 e1 7d 93 de 61 d6 de ff 0000040 80 ee 9a 54 65 f8 66

origGz = open("tktk.jpeg", "rb").read()

byteSize = len(origGz)
bits = []
for i in range(0, 8):
  bits.append(2**i)

for byte in range(0, byteSize):
  for bit in bits:
    change = chr( ord(origGz[byte]) ^ bit )
    newGz = origGz[0:byte] + change + origGz[byte+1:]

    filename = "out/" + str(byte) + "_" + str(bit) + ".jpeg"
    f = open(filename, "wb")
    f.write(newGz)
    f.close()

1bitずつ反転させたファイルを作って、それを全て目で確認するという手段を取りました。

gzipなら、全ファイル展開を試してみるとか出来るんですが、jpegだとそうはいかない

よくよく考えなくても、全画像の枚数は 93024枚になる訳で、それを目視で確認しようとしてたあの時の私は少しおかしかったのかもしれません。

20171209_seccon2017_jpeg.jpg

Windowsのフォルダの表示を「特大」にして、こんなのを延々と確認しました。
途中で力尽きて他の方法を考える流れでしたが、割と早い段階で出てきました。

20171209_seccon2017_jpeg_623_16.jpeg

いま思うと、ファイルヘッダが壊れている可能性が高い訳で、必然的にファイルの前半が被疑箇所になりますね

Powerful_Shell (Binary 300)

難読化問題!?まかせろバリバリってやってたけど
私が解くよりも早くチームメイトのcatさんが光の速さで解いてくれました。
ほんまcatさんは神やでぇ

ちなみに私の第六感が囁くのだけれど、作問者は@Sh1n0g1さんだと思う。

以下、途中までやった結果

難読化の解除

最下行でデコード結果を実行しているように見えるため、その直前に以下の行を挿入してファイルへ出力

Write-Output $ECCON | Out-File -FilePath C:\Users\kanata\Desktop\20171209_SECCON\Binary_300_Powerful_Shell\dec.ps1

adminチェック処理がある

管理者権限じゃないとチェックアウトされる。Exitをコメントアウトっと

<# Host Check #>
Write-Host -b 00 -f 15 Checking Host... Please wait... -n
Try{
    If ((Get-EventLog -LogName Security | Where EventID -Eq 4624).Length -Lt 1000) {
        Write-Host "This host is too fresh!"
        Exit
    }
}Catch{
    Write-Host "Failed: No admin rights!"
    #Exit
}
Write-Host "Check passed"

音が出る

20171209_seccon2017_powerful_shell.jpg

スゴイ…音が出るよ。ソースを見ると以下がある。

$secret=@(440,440,493,440,440,493,440,493,523,493,440,493,440,349)

440ってあれですわ。周波数ですわ。440Hzで音叉の音(A:ラ)ですわ。
他の周波数も当てはめると以下になります。

$secret=@(440,440,493,440,440,493,440,493,523,493,440,493,440,349)
#音階     ラ  ラ  シ  ラ  ラ  シ  ラ  シ  ド  シ  ラ  シ  ラ  ファ
#押すキー h   h   j   h   h   j   h   j   k   j   h   j   h   f

「さくらさくら」ですね

この通り押すと処理が進み、また最下行でデコード結果を実行しているように見えるため、その直前に以下の行を挿入してファイルへ出力

Write-Output $ECCON | Out-File -FilePath C:\Users\kanata\Desktop\20171209_SECCON\Binary_300_Powerful_Shell\dec.ps1

数字の羅列を得る

デコード結果は数字の羅列だった。
ASCIIコードやろ?おっちゃんわかるで、これ

10
36
123
59
125
61
43
36

以下、延々と続く

以下のシェルスクリプトでデコードする

#!/bin/bash

for WORD in `cat dec.ps1`
do
  WORD=`echo $WORD|col -bx`
  echo "obase=16; ibase=10; $WORD" | bc|xxd -ps -r
done

結果

${;}=+$();${=}=${;};${+}=++${;};${@}=++${;};${.}=++${;};${[}=++${;};${]}=++${;};${(}=++${;};${)}=++${;};${&}=++${;};${|}=++${;};${"}="["+"$(@{})"[${)}]+"$(@{})"["${+}${|}"]+"$(@{})"["${@}${=}"]+"$?"[${+}]+"]";${;}="".("$(@{})"["${+}${[}"]+"$(@{})"["${+}${(}"]+"$(@{})"[${=}]+"$(@{})"[${[}]+"$?"[${+}]+"$(@{})"[${.}]);${;}="$(@{})"["${+}${[}"]+"$(@{})"[${[}]+"${;}"["${@}${)}"];"${"}${.}${(}+${"}${(}${|}+${"}${(}${)}+${"}${(}${)}+${"}${)}${|}+${"}${)}${&}+${"}${(}${+}+${"}${&}${@}+${"}${+}${=}${+}+${"}${|}${)}+${"}${+}${=}${=}+${"}${[}${]}+${"}${)}${@}+${"}${+}${+}${+}+${"}${+}${+}${]}+${"}${+}${+}${(}+${"}${.}${@}+${"}${[}${]}+${"}${&}${=}+${"}${+}${+}${[}+${"}${+}${+}${+}+${"}${+}${=}${|}+${"}${+}${+}${@}+${"}${+}${+}${(}+${"}${.}${@}+${"}${.}${|}+${"}${(}${|}+${"}${+}${+}${=}+${"}${+}${+}${(}+${"}${+}${=}${+}+${"}${+}${+}${[}+${"}${.}${@}+${"}${+}${+}${(}+${"}${+}${=}${[}+${"}${+}${=}${+}+${"}${.}${@}+${"}${+}${+}${@}+${"}${|}${)}+${"}${+}${+}${]}+${"}${+}${+}${]}+${"}${+}${+}${|}+${"}${+}${+}${+}+${"}${+}${+}${[}+${"}${+}${=}${=}+${"}${.}${|}+${"}${+}${.}+${"}${+}${=}+${"}${)}${.}+${"}${+}${=}${@}+${"}${[}${=}+${"}${.}${(}+${"}${(}${|}+${"}${(}${)}+${"}${(}${)}+${"}${)}${|}+${"}${)}${&}+${"}${.}${@}+${"}${[}${]}+${"}${+}${=}${+}+${"}${+}${+}${.}+${"}${.}${@}+${"}${.}${|}+${"}${&}${=}+${"}${[}${&}+${"}${+}${+}${|}+${"}${(}${|}+${"}${+}${+}${[}+${"}${.}${(}+${"}${)}${@}+${"}${]}${+}+${"}${[}${|}+${"}${[}${|}+${"}${.}${|}+${"}${[}${+}+${"}${+}${@}${.}+${"}${+}${.}+${"}${+}${=}+${"}${|}+${"}${&}${)}+${"}${+}${+}${[}+${"}${+}${=}${]}+${"}${+}${+}${(}+${"}${+}${=}${+}+${"}${[}${]}+${"}${)}${@}+${"}${+}${+}${+}+${"}${+}${+}${]}+${"}${+}${+}${(}+${"}${.}${@}+${"}${.}${|}+${"}${)}${+}+${"}${+}${+}${+}+${"}${+}${+}${+}+${"}${+}${=}${=}+${"}${.}${@}+${"}${)}${[}+${"}${+}${+}${+}+${"}${|}${&}+${"}${.}${.}+${"}${.}${|}+${"}${]}${|}+${"}${+}${.}+${"}${+}${=}+${"}${|}+${"}${&}${)}+${"}${+}${+}${[}+${"}${+}${=}${]}+${"}${+}${+}${(}+${"}${+}${=}${+}+${"}${[}${]}+${"}${)}${@}+${"}${+}${+}${+}+${"}${+}${+}${]}+${"}${+}${+}${(}+${"}${.}${@}+${"}${.}${[}+${"}${&}${.}+${"}${(}${|}+${"}${(}${)}+${"}${(}${)}+${"}${)}${|}+${"}${)}${&}+${"}${+}${@}${.}+${"}${.}${(}+${"}${(}${|}+${"}${(}${)}+${"}${(}${)}+${"}${)}${|}+${"}${)}${&}+${"}${+}${@}${]}+${"}${.}${[}+${"}${+}${.}+${"}${+}${=}+${"}${+}${@}${]}|${;}"|&${;}

おぉ・・・もぅこれ完全にJavaScriptの難読化と同じだわ。。。スゴイわ。。。
catさん「解けました」
ワイ「アッハイ」

最近参加した勉強会 IoTSecJP と 元祖濱せっく#1 (1 comment)

Added by kanata over 1 year ago

最近参加した勉強会

SECCONも控えており、書き留める時間が足りない。時間が欲しい。

IoTSecJP

IoTSecJP東京 (2017/11/23 18:00〜)

概要 東京でIoTSecJPのキックオフを行いたいと思います。 IoTセキュリティについて良いアウトプットをしていく場として、IoTSecJPというコミュニティを立ち上げました。 発表者への非難などは厳禁とし、前向きな方のご参加をお待ちしております。 一部公開NGな話に関しては、発表者の指示に従っていただきますようお願い申し上げます。 IoTSecJPのfacebookページ ...

IoTセキュリティについて良いアウトプットをしていく場
めっちゃ楽しかった。特に大人の健康器具の話。Bluetoothの認証ザルで01を送ると動く。00で止まる。

元祖 濱せっく #1

元祖 濱せっく #1 (2017/12/02 13:30〜)

濱せっくとは 横濱界隈のセキュリティエンジニアが運営している情報やスキルを共有し合うことを目標とするセキュリティ勉強会です。 今回は初の横濱開催です。 読み方:はませっく #### 対象者 セキュリティに興味のある方であれば、学生でも社会人でも無職の方でもどなたでも大歓迎です。 なお、横濱にお住まいでなくても参加できます。 ## 開催日時 * 2017年12月2日(土) * 13:00開場 / 13:30開始 * 17:30~18:00 終了見込み * 18:00~ 飲食店に移動して懇親会 ## 会場 * 学校法人岩崎学園 情報科学専門学校 ...

登壇してお話させて頂く立場として参加
当日は朝から正装をキメる(ガイアが俺にもっと輝けと言っている)

以下2点を布教、もとい、お話させて頂きました。噛んだ。

  • 危険PowerShell芸はできるのか?
  • 難読化シェル芸の紹介と耐タンパー性の確保について

ご理解頂けたかどうか。

あと HamaCTFに問題出題させてもらった。解いてくれた問題、解いてくれなかった問題、
双方あったけど難易度的にはそこそこ適切だったのだろうと思う。よかった。

最後に懇親会に参加させて頂いた。
喋りすぎて喉が枯れつつも、オタクを発揮していっぱい喋ってしまった。
難読化のデコードについてとか、CTFの行く末とか、有識者と話せてとても楽しかった。
普段セキュリティの話は、あんまりできないので控えめに申し上げて最高だった。

また参加したいと思います。

AVTOKYO2017に行ってきました (1 comment)

Added by kanata over 1 year ago

AVTOKYO JP

去年に引続き参加。変わらずのカオスw面白かった!

20171111_avtokyo.jpg

聞いていた中で面白かったものをいくつか紹介。
同時進行で半田付けでバッチ作成とかクイズ大会とかあるので、全てを網羅はできない。

プリンタの怖い話 〜意外と簡単に盗める〜

レーザープリンタと共に生活してきた方から、直接プリンタを触れる状況ならMITMで容易に印刷情報を盗めるんだという話を聞きました。
プリンタも管理者以外、設定変更やファクトリーリセットできないようになる日が近いかもしれない。

君達の暗号化されたコンピュータは、全て我々がいただいた。

PCのメモリって、電源切った直後なら消えずに残ってるんだよ、という話。
後は書いていいか解らないから、自粛する。

薄いハイパーバイザを利用した高効率なリモートデバッグ

るくす先生の難しい話。Kernel開発がより楽になるかも。マルウェア調査でも「QEMUに穴開けて横から覗いてる」なんて話を聞いたことがあるので、応用が聞くかもしれない。

CSIRT設立は難しい?いや、それは孔明の罠だ…

CISRTという言葉に踊らされている現状へのアンチテーゼを…なんというかもぅ…すごいエモく語って下さいました。
私の理解を簡単に書くと

  • 何かが起こった時、それを受け付ける窓口が会社には必ずあるハズ。
  • それはもう、CSIRTと言って良い(だからコンサルに高いお金を払うのは意味がない)
  • その人達を育成すればよいんだ。
  • 今頑張ってる人たちは、経営層にアピール必要か(今まで対処できているから、何も起きていない。会社に対応組織(能力)が無いわけではない)

アメイジングツールマン – ツールを修得して21世紀のハッキング可能なスイスアーミーナイフのフレームワークを提案する

よく使われるツールを紹介頂いた。最近は雨後の筍のごとくツールが増殖しているので、もぅ多すぎて追いかけらんない。。
そして、それらの機能を統合したlulumiというツールを開発中だとか。期待してます。

Tool names explain
Recon-ng Pythonで書かれたOSINT用のツール Qiita - Recon-ngの使い方
FOFA shodanのような検索エンジン
Tqlmap Code and Server-Side Template Injection Detection and Exploitation Tool
XSS'OR(XSSOR2) Hack with JavaScript.online
CyberChef Base64エンコード/デコードや16進数変換など、開発作業を行っている際必要となるさまざまな処理を一つに纏めたWebアプリケーション
BeEF BeEF is short for The Browser Exploitation Framework.
Firefox plugin explain
HackBar Testing sql injections, XSS holes and site security.
Live HTTP Headers HTTPリクエストのヘッダ部分を見る。
Modify Headers HTTPヘッダの書き換え
cookies manager+ cookieの書き換え。古いかも。

サイバー攻撃観測記録 〜彼の名はヨセフ〜

NICTが開発したSTARDUSTというスーパーすごいハニーポットの運用記録をご紹介頂きました。

ちゃんと動くトロイって意外に無いもんなんですね。


SEQCONというクイズ大会にも出たがやぎゅはしゅさんという筋肉に負けた。筋肉には勝てない。人権が無かった。

相変わらずのカオスでしたが、Twitterでは知ってるけど会ったこと無い方に出会えたりして良かった。
できればまた来年も参加したい。

1 2 3 4 5 ... 13 (21-30/126)

Also available in: Atom

Add picture from clipboard (Maximum size: 100 MB)