A painter and a black cat

# CTF Writeup TMCTF2017

{{toc}}

# 結果＆感想

Trend Micro CTF 2017 に、某チームで参加しました。

今年は善戦しましたよ!(国内10位以内)。二問解けました。

解けたけど、途中までチームの方が解いてくれたやつのオイシイ所だけ持っていった感じだったりします。

という訳で、解ってる部分のwriteupです。

Trend Micro CTF 2017 オンライン予選 ランキングページ

https://ctf.trendmicro.com/ranking.html

# Forensic 100

pcapのファイルが渡されます。

早速Wiresharkで読んでみるとこんな感じ。

![20170625_tmctf_forensic100.jpg](20170625_tmctf_forensic100.jpg)

DNS通信の羅列です。なんかメチャクチャなホスト名のAレコードを引っ張ってこようとしているように見えます。

## Malwareの通信を模している

どうやら、以下のマルウェアを模した通信のようです(チームの方が調査して教えてくれました)

遠隔操作ウイルスの制御にDNSプロトコルを使用する事案への注意喚起

https://www.lac.co.jp/lacwatch/alert/20160201_000310.html

{{rawhtml(<blockquote class="embedly-card"><h4><a href="https://www.lac.co.jp/lacwatch/alert/20160201_000310.html">遠隔操作ウイルスの制御にDNSプロトコルを使用する事案への注意喚起 | LAC WATCH | 株式会社ラック</a></h4><p>「遠隔操作ウイルスの制御にDNSプロトコルを使用する事案への注意喚起」のページです。ラックは、セキュリティ対策とシステム開発より培った技術と経験より、ITを活用する企業に対して技術情報の共有や、情報セキュリティやIT活用に対する提言などの有用な情報発信をします。</p></blockquote><script async src="//cdn.embedly.com/widgets/platform.js" charset="UTF-8"></script>)}}

> 余談ですが、一般的な企業の外部との通信環境として、DNSのログまで取らなかったり、DNS通信のためにファイアウォールのポートを開けてたりするので、通信の偽装方法としてはかなり賢いやり方かと思います。

そして、そのチームの方が、そのメチャクチャなホスト名を抜き出してくれます。

```

ASfsbGivEQsT2aQPHzaB

5GBJZEAWX7WJASGCg5Br

9TvJjPCj9kRW9fk5XU2b

rvAptS4tZnjLwCNsXn5N

9jUqipSo5xgNR6EM3Zpw

8kdhrsqDd3Gb5wSSPqKN

8wkw5kPRgi5ihJnGYxid

p7vfcECXgiGtisBnZiD9

C2kv3MzxMXGZiSgQpfmt

y3vYWgxkk9ygyqJcRDnD

PB2gk8K9SJFcKrPimJja

9REhmzgECtjmEMYVz5QY

tsHgSBzRBT8FbQx3mvpX

jEkoi86dM8n9eQuZ38wj

8Jvg2HSvjr8qyEtur3E5

vPfFiANqqbY4J4jbCyNr

UrJLW8fGVvr9mdAyAqpJ

sk8h9X8t1LtyXV2cMoxa

j2ELd8EoY3aGDatsba5m

VkNwpptkVumdo8sxXoYS

ta6fKKAC3MXfLVvkHYSs

Gs9fnyXPMgitffJ49xt4

oCxCHtyoWgytH6sudYPk

SypJUuCWfsS1R771e95R

eRvie3RgQjEwpVL4HsnC

EJeEEzPWVtJQpTcheGGB

sMzqMuR3y8eui2wU93H5

ZeDVauv4qQYPWdpub8Ys

J9X3mQCZ7B4XsdyTUSyT

goeboTbqpATAnuCDRzYn

pd6sQ5PggQBdoUYjABcP

HgUp34UmzHSGaRScoHzF

T8W51c8iY3X6uNCxRwnZ

LCx2C4PBwZN24wKWFAoL

vSTGaeVcxBQ3UHo9xpY5

HoHJaL1pPaxAhFhei73H

5k5doyAoKhvTdvNehEhJ

ocCoxRZKbBQP8f7cZgTm

CuD1ekRNQ6o7ZysnuDwf

vvmotn9Wap7DeGZGnS94

g7wUSB4B7VUcSEcT9G18

yYuKh8fjBAw9fJrrgZmZ

97FnKJWgXf9Ju9648DDB

gh534XrjqMLiBXFq2dnf

qmG845ndTuXSR1bMRpqp

jFeJN52D9KKKaYqTgoCq

o9Y1nt9pwahd3v1srMpj

VTPt46SH2RKU21ZfiqEN

of8hkgxxLTLtkWPRPJeB

9WSVGzALTZ3L8QVsq1uX

HwUKYkmjbX71Phrzfnhz

V5ffFCtjiuF1D4gtMY1c

f9ieUzKWF7voscgM2zcV

oiDdYCfpKJGrkzpDZB1c

QTPDZYyLbzZ9hE2B1RAw

V7e4NGuG8TPQmaXvet3r

Ze3Q7zZhmcdXhwbd8Et7

JZHcvidkLCb1JDrNe1dX

6fjddFonVfoMWNcAHLH5

BypDgNtAwK2JkABnkMAs

BQi16XaNToXzTC4Ug8UN

gyUfRjXrwzTYckVfE7Vo

e5kdwYLX4FQ12eQm3BbW

76tkfsZUUAm3gHHk3roT

CiQ8kNejjitLaRVhfeuG

yfMkotR8TVmYPGqEmcS1

qRMWJmigBwg7ZbG4hSDC

dSq83eKsFyig8A4EDsPF

XnGKAgUe1UYHvzahFBhn

eyhgmfdbheRAEAkMqVn5

PBmEhv7bC4aNUZ465Hus

2JpJF5L4tkfbJsAVmCrt

REhCuLhUqXqVmFBqknho

x2BfRQqAZMB6f4udU3Xo

U4qED1V5kEqA1qVGytjW

B2pQGbjuacAjf2C8n7QS

UTJhFsrmQp12sUE7WJ6w

tTg4bnjNDzyHbJSiVWhr

2EuES8qZbVFP5478HpVh

8dpCvz6DJJybAEfcsg76

pGLBatEMvjiHTC5LhdAf

PbQiePVedCjEQL21Pn6i

GLTPZfWqHVz3ZtkR4iDF

Zyn3L5ZGWjCJ3JgzCTRm

YeuXfW2XcNMipgv4c97i

8TAbL3m5rhV5ShtjBAqw

dfszh1erSpVDMuijNpo2

sC6czF2fq6mGMKe8hwWo

BwVt7sRaAYtp94AEw5AJ

HUdvfRzsQ7XBMQBMDHbp

mCkWortnVk1krAVUK8Mf

GQezUgvSmX6pBgXDrGkx

yNmWpQg8DeF5saQApGKM

zshqTmGrrJm7s4TYajBs

RKatfjKBLgto6YHd548A

LADReAEmymFbDg31U6dJ

Pp1XbHujeMe3z2QQqmft

Az2LRpfjz6Rh64cVRK6D

adBBsL9quZoiZB339vLD

Mx4xRRaU7N5NxSnPz4Zj

uYm4V2uUoTmA4jaS7atS

zbEBujiVf2wTz18ymbPF

apXrc53WNL9iYa7nqHUA

gvn1Bx9L5hadd5A97ss2

NhSPmwZGBu7rj2f43uwf

dGamzZpGxEascuGT48p9

wgm49Ck6QovrCj7g3KAZ

XEopDkmeReSRNkEipH2U

4V7Vim425LAJsghg1nqX

DRHx4QNAe9TKBiRYPw2w

PdPi9gWHPpnwHJyX896E

rCvXadRfQrEuushKthcn

vUyUXt8MZWcHLujDkKFq

hama3vxFTDH7N8QD5Kch

Nevv7KPDo95DagyyZHGy

LT7DKEusvJ8SZuodBEeW

wwJ1qfCMasEBBiPXov6h

UexhazHeJRTEVscjZ2bN

iScQs2YuqPnej26QShcr

wwyunJZu2S9yqo7i6Psf

pWXAmZcQ7Nba7QpAfaH4

NuGnhzUb9KcVZmJkfRzg

D3egFR9C79gQYybVMpd6

Kxz5xRzS4WAhLLdqwUFx

NBw3hUV7nMywSR6Cg2aj

nv61ZWVNgAofwXuthzfG

kAyae51WNWjtbtpCSEQL

PY1uTwWZ13bthQaoCeZ5

3nomwgWB4EBaimmu78qn

AquqjeCw73XK4UXGR61T

HLxgSiuGjRRcj6489cuW

fQ7gyU6ckPo6QL8cGPvH

j6CXJ4w8CakQMmwq7JGp

PToD826chKGtH5A2RKCk

Hc7NQA79MvHvXdtByDC4

iPaivSRmLXZa5W8vr4F7

JqbK8ghZcQJuSGWTaQwQ

jjABhkmWvDvs6HHyW3j8

XK6cPijnTVvCgDN63Nrm

suNkMCnbkiWRZfgu8pqc

kVze5LxGnVWPmtmnVv4u

nssrKhd1SBPU17vps76M

iHontgDCbfxtp9BZFt8E

YtZMUghzzxQxTKFGGg9b

L6eRrrFfjYx15E4GtAmZ

5wZA5oxE8atxtdaWc1qf

Q7wMMvzR8QHx5Xw7imGX

h4M58Kiknsw7urRDkitH

2EAxKPLsbp4eAERFFNT3

Vy6XdymAGGkok1KcM5EW

WSpdEjWJpdi36dYsXCTr

bLYqXuMFHViL5GP9HFJh

Mez6hsvcsscaLUUz3KhW

D9owzzczVAk8GzDkkrT1

Sqxs6oG3Q6isAHUAVYUb

iRaqm3AjSazJf5BsA6Xx

xc9LV25nKvTKjK6Q4UEX

WvMnEM5iKTmwWsoHvGB4

EnNNN34f9mfavgdTfG9W

ovwysP4AxHK4iHipuv5m

to1ugHG2vFgVafweSaFh

63qhYqEc9HHmJaFRJ8bS

JBLBEi9LKmsDCufc6u6F

QCshYApRFKKGYWEgMaWA

BHSLEfwA8KrZyF2Whbyu

NiskF6RWVJMpBX2g7oqU

j3W73H4E5ybHUqQx5HeK

pPgDFSxRMtVCee8U5KmU

XDPDFHEY9ayoDGE3P6UM

Mu6u4GPwMxoT8r2hKrZi

gMvngG5ujwKm5FCX1DQN

PAdzTtQPMuVfNSq5YL8n

jRpT1UFDWFV6PQ616hX3

92iTiMQbNN41VgKE1Zp5

4qG3nYK6DJCG1yssE71H

xYudvTV2vRdx4kLQvMLc

7UPfCfjswRxptxyffRcM

NV4fpnSXHKVKVNo7rnmb

ZjyAgQmNiA4tG2yaVLqK

Q6mdzH914mH7inV9keb4

evbazKxFhumbhtKr4YAm

7VqUxTiwGrqcsdg9XwHu

wZG69BmoRkhJhVFRkxe2

qSQGrk6qGMP4MPKYZXzC

JEU14sq3rGEU23avuKUj

CPcEVcMboGvjH6N7TG8z

gQmnhrXaDQVqQ6dBiGwg

3eESUiXFQxZLZFecXiu1

gHG7p75QCedSV5EEwdpy

EL1rJWTji8WvAKDGpkqX

KDxJPQW78DmTtdVDNWgE

VqkBRKp4HiYcSV3WZ71v

pm6LzkEW7UyoQnF3AfcV

uFp4ogxeA9vPzZ3LoVFS

ts9CYgPxJW8i2KpUW1bP

itDsYqqr6tK3wvLW3CWd

zWrDWowzgSoFHZQ6EqiL

pfVbfuvj5FyURHsmDecG

FnnAdBFckx6hJeuagNNb

K4iyT9KfPDUPoGXprsGc

peVY9SRU3nMVjuFB22zi

qZxPwASjebDepePoe3Lb

TDwK8XFTx8JaKr5xXyGk

w7cqBCzvhVWQvkRjyWhF

YmfRc3S2814fatrghk9C

phAcHkLfNhvU9yUmsDmw

WpUXQH9ZnxUPRDVN3oEJ

hvG5ptZF9YJtSQdKATni

f7Ut2tis18xaKdiARRi2

cQiD1GTtd7NFtq9TxNmL

7C2vQNGneNpGJPWb9mZM

G3g4CCHaunsKyXExXL9y

EjBwHq6H9unt9wAiCGVH

32mvVRZbLMF4CpWRiqW8

nVqCx4PpCdopakRUqZfX

2iEJ4UKtU4CEYUMH23sB

2XSeveHgoNtTZvaziunD

XHMHSTJe3VKYRy4JQSs3

W3xe3apFCkwS33mea2gf

giqwhGTifa2QAjgGsdae

1RejMC5dqWjAMfXMmC6m

A3b5DEDZAP5XgJqi6vZM

Sho8CNWQAZ1xD2RKGyCr

8gCx1zsfpuL5ffFmzC7K

rzZ9ZxoWRHrnWmS9E5rs

gtGRn5kMtVe8jnYXZeoV

xYt7uvFeLjXRfmaDXt7S

mD5pz9nNwXTqZ1WhUN74

3CFUCeMD2ZFpT68gme2T

iT17Fhwuh1EQekVwxDrQ

sTD2tRh3PHRatw49h9vi

4FUyNnh3BJwuq9UykbJ7

kq9faJQxuJiwxWRUBD9T

K9G9dBn1AhcDwogPyqU3

rFneZ37FL56NvaPXgVLX

7d2wY7JbrzuY3SHhjECW

yFWGBSpGurNmCUFf4a9b

LvH8xnKXyPpLjNyBcsPT

aXET3299mhHaXKTpBApD

bukmRnpMkwqUJyQAvhxq

iDRkrZTfKYws43sfzfab

xEEWL6uaSZLTjze8avxq

tDemvaPgjfMcfvqvjz66

UAnraPLbymzo9PL5imY2

6LPinAGSJi6q3oSPAvYg

boMWbDWrNbsS56v64KBa

iLS28qQWdL5t3ADvL5eC

R1EDEDzx74zYL3WVNcJe

nBQFprxj7U4hzDm22edM

xLpR5daeYKmKtTcjEanU

Lv6obrrXW5JWbEoKn4qG

patrf76fKwKMZnvwxUhz

3iSLkfZQLgQoJHWvzVCR

E7e7GmJwgLPri45ctU4W

NuN72W8UyWzGTK

```

ぱっと見、Base64っぽいので、デコードしてみますが、なんかよく解らないバイナリの値になりました。

よく見るとBase64で使われるはずの +/ が見当たりません。なんの文字が使われているかちょっと確認してみましょう。

シェル芸が光ります。

```bash

$ cat file5_dns.txt|grep -o .|sort|uniq|xargs|tr -d ' '

123456789ABCDEFGHJKLMNPQRSTUVWXYZabcdefghijkmnopqrstuvwxyz

```

## Base ? encoding

数字・英大文字・英小文字・記号は無し

という事が解ります。

Base64ではなくて、他のエンコーディング形式かもしれません。

予め、以下にまとめてあるので確認してみます。

raintrees.net - CTF Crypto - Base N encoding

https://raintrees.net/projects/a-painter-and-a-black-cat/wiki/CTF_Crypto#Base-N-encoding

以下、抜粋

| 方式   | 使用される文字                                       | 参考 |

|--------|------------------------------------------------------|------|

| Base58 | 123456789ABCDEFGHJKLMNPQRSTUVWXYZabcdefghijkmnopqrstuvwxyz | Bitcoinに利用

| Base62 | ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789 | JavaScriptの難読化等

この特徴に合致しそうなのが、Base58とBase62であることが解ります。なんというマニアックなエンコード方式w

使われている文字をもう一度確認してみましょう。

```

123456789ABCDEFGHJKLMNPQRSTUVWXYZabcdefghijkmnopqrstuvwxyz

```

数字 0 英大文字 I O 英小文字 l が見当たりませんね。実はこれ、Base58の特徴と合致します。

>Base58は、Bitcoinに利用されているエンコーディング方式で、数字として間違えやすい0OやIlを意図的に除外しているそうです(知らんけど)

## Base58によるdecode

そんな訳でBase58でデコードしてみます。

ググると以下が使えそうなことが解りました。

https://asecuritysite.com/encryption/base58

後は、やるだけ。以下、ソルバ。

```python

import sys

val='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'

from hashlib import sha256

# 58 character alphabet used

alphabet = '123456789ABCDEFGHJKLMNPQRSTUVWXYZabcdefghijkmnopqrstuvwxyz'

if bytes == str:  # python2

    iseq = lambda s: map(ord, s)

    bseq = lambda s: ''.join(map(chr, s))

    buffer = lambda s: s

def b58encode(v):

    origlen = len(v)

    v = v.lstrip(b'\0')

    newlen = len(v)

    p, acc = 1, 0

    for c in iseq(v[::-1]):

        acc += p * c

        p = p << 8

    result = ''

    while acc > 0:

        acc, mod = divmod(acc, 58)

        result += alphabet[mod]

    return (result + alphabet[0] * (origlen - newlen))[::-1]

def b58decode(v):

    if not isinstance(v, str):

        v = v.decode('ascii')

    origlen = len(v)

    v = v.lstrip(alphabet[0])

    newlen = len(v)

    p, acc = 1, 0

    for c in v[::-1]:

        acc += p * alphabet.index(c)

        p *= 58

    result = []

    while acc > 0:

        acc, mod = divmod(acc, 256)

        result.append(mod)

    return (bseq(result) + b'\0' * (origlen - newlen))[::-1]

print 'Input:\t',val

print 'Base58:\t',b58decode(val)

```

で、以下がフラグ

```

出力結果、中略

     ・

     ・

     ・

TMCTF{DNSTunnelExfil}

```

# Analysis-Defensive 200

なんかzipファイルを渡され、中身はdataというバイナリファイルと、q.jpgというテキストファイルが入っています。

q.jpg(中身はrubyのソースコードかな？)

```ruby

function rc4 {

    please implement it yourself.

}

function md5($txt){

    please implement it yourself.

}

function invoke-Encryption{

    $FileName = "ZGF0YQ=="

    $FileBase64Data = ????????

    [Byte[]] $FileBinByte = [Byte[]][Convert]::FromBase64String($FileBase64Data)

    [Byte[]] $FileNameByte = [Byte[]][Convert]::FromBase64String($FileName)

    $enc = [System.Text.Encoding]::ASCII

    $key = "Y2hjaGVz"

    $key1 = [System.Convert]::FromBase64String($key)

    $key1 = [System.Text.Encoding]::UTF8.GetString($key1)

    $key1 = md5($key1)

    $key1 = $key1.Substring(8,16)

    [Byte[]]$key1 = $enc.GetBytes($key1)

    [Byte[]]$key2 = [Byte[]][Convert]::FromBase64String($key)

    $FileBinByte = $key2 + $FileBinByte

    $FileBinByte = rc4 $FileBinByte $key1

    $tempFile=[System.Text.Encoding]::Default.GetString($FileNameByte);

    if($tempFile.Length -ne 0){

        if($FileBinByte.Length -ne 0){

            if(Test-Path "$tempFile"){rm "$tempFile"}

            $fs=New-Object System.IO.FileStream($tempFile,[System.IO.FileMode]::CreateNew)

            $fs.Write($FileBinByte,0,$FileBinByte.Length)

            $fs.Close()

        }

    }

}

invoke-Encryption

```

実装してねという事かと思いますが、チームメイトのcatさんがやってくれました。

ほんと天才やでぇ。

で、中身はpcapファイルでした。

![20170625_tmctf_analysis-defensive200.jpg](20170625_tmctf_analysis-defensive200.jpg)

怪しげなcookieの値があるのが解ります。

```

asdf=d01J5ln6eJxopAgX2SgmLRYGt5X70XRw4HL6sFoDbvWD5yQ%3D;

qwer=fJDeRjsja7z8wcPVLrZzm6jYl3UsvQC9AoduZgL24n1NYs8%3D;

zxcv=%2Fvox%2Bi3on9Iy1U%2B2itypfjagJ06762d9yfkxI%2FLgSq3a2PJXwdnQ8BhDI9ofW9HXXSQMaEXBkYdrun%2BF%2BxIi3a%2B3TvHY

```

## cookieの値で通信内容を偽装するMalware

なんでしょうねコレ・・・。ふと、マルウェアの通信で使ってるんじゃないかと気づき(だって、DNSで偽装通信してるくらいだしね)

ちょっと調べてみました。

ありました。

Cookieヘッダーを用いてC&CサーバとやりとりするマルウエアChChes(2017-01-26)

https://www.jpcert.or.jp/magazine/acreport-ChChes.html

{{rawhtml(<blockquote class="embedly-card"><h4><a href="https://www.jpcert.or.jp/magazine/acreport-ChChes.html">Cookieヘッダーを用いてC&CサーバとやりとりするマルウエアChChes(2017-01-26)</a></h4><p>Cookieヘッダーを用いてC&CサーバとやりとりするマルウエアChChes(2017-01-26)</p></blockquote><script async src="//cdn.embedly.com/widgets/platform.js" charset="UTF-8"></script>)}}

>ちなみに、問題文には、 xiangqi とだけ書いてありました。xiangqi は「中国の将棋」の意味らしいです。ChChesと合致しますね。

なんか、このページには、この怪しげなクッキーから通信内容を復号化するソースコードまで書かれています。

## ソルバ

後は・・・やるだけ!ではないです。URLエンコーディングされている箇所があるので、そこだけ置換します。

```

%3D → =

%2F → /

%2B → +

```

```python

from Crypto.Cipher import ARC4

import hashlib

cookie_data="asdf=d01J5ln6eJxopAgX2SgmLRYGt5X70XRw4HL6sFoDbvWD5yQ=;qwer=fJDeRjsja7z8wcPVLrZzm6jYl3UsvQC9AoduZgL24n1NYs8=;zxcv=/vox+i3on9Iy1U+2itypfjagJ06762d9yfkxI/LgSq3a2PJXwdnQ8BhDI9ofW9HXXSQMaEXBkYdrun+F+xIi3a+3TvHY"

data_list = cookie_data.split(';')

dec = []

for i in range(len(data_list)):

    tmp = data_list[i]

    pos = tmp.find("=")

    key = tmp[0:pos]

    val = tmp[pos:]

    md5 = hashlib.md5()

    md5.update(key)

    rc4key = md5.hexdigest()[8:24]

    rc4 = ARC4.new(rc4key)

    dec.append(rc4.decrypt(val.decode("base64"))[len(key):])

print("[*] decoded: " + "".join(dec))

```

実行結果

```

[*] decoded: AWIN7-PC*1234*TMCTF{e3526984696bc9f89ac88d4f72abe24}?361846839?C:\Users\win7\AppData\Local\Temp?1.7.3 (1024x768)*6.1.7601.17514

```