[Write-up]SECCON CTF 2019予選

この記事は約66分で読めます。
スポンサーリンク

SECCON CTF 2019予選に参加しましたので、備忘と共有でWrite-upを記載しました。

[misc]Beeeeeeeeeer

与えられるもの

  • Beeeeeeeeeer
    テキストファイル。中身は難読化されたシェルスクリプトでした。
    セミコロン区切りだけど一応1行だから・・難読シェル芸になるのか?
echo -e "\033#8";sleep 1;C=$(tput cols);L=$(tput lines);for ID in $(seq $(($L*$C*6)));do x=$(($RANDOM%$C));y=$(($RANDOM%$L));printf "\033[${y};${x}f ";done;for ID in $(seq $(($L*$C*6)));do x=$(($RANDOM%$C));y=$(($RANDOM%$L));printf "\033[${y};${x}fF";done;clear;echo TGV0J3MgZGVjb3JkaW5nISjiiafiiIDiiaYqKQo=|base64 -d;read;$'\164\162\141\160' '' $'\61' $'\62' $'\63' $'\x31\x35' $'\x31\x38' $'\u0031\u0039' $(echo MjAK |base64 -d);echo $-|grep x && exit;$(echo =btB |rev|tr A-Za-z N-ZA-Mn-za-m|base64 -d)|$(echo =bNpyW3M |rev|tr A-Za-z N-ZA-Mn-za-m|base64 -d) $(echo XRKY |rev|tr A-Za-z N-ZA-Mn-za-m|base64 -d) $(echo =ogO |rev|base64 -d)&&exit;if [ -z "$1" ];then ID=$'\x6e\x61\x6e\x64\x6f\x6b\x75';else ID="$1";fi;if whoami | grep -e root -e user -e adm -e nobody -e test -e "$ID">/dev/null;then :;else exit; fi;for i in $($'\x73\x65\x71' $((RANDOM % 10)));do  $($'\x65\x63\x68\x6f' c2xlZXAK | $'\x62\x61\x73\x65\x36\x34' -d) $((RANDOM % 300));done;$'\145\143\150\157' $-|$(echo =oAclJ3Z |rev|base64 -d) $(echo =oAe |rev|base64 -d) && $($'\x65\x63\x68\x6f' ZXhpdAo= | $'\x62\x61\x73\x65\x36\x34' $'\x2d\x64' );$(echo =btB |rev|tr A-Za-z N-ZA-Mn-za-m|base64 -d)|$(echo M3WypNb= |tr A-Za-z N-ZA-Mn-za-m|base64 -d) $(echo YKRX |tr A-Za-z N-ZA-Mn-za-m|base64 -d) $(echo Btb= |tr A-Za-z N-ZA-Mn-za-m|base64 -d)&&exit;$'\145\170\160\157\162\164' $'\u0053\u0031'=$(echo aG9nZWZ1Z2EK |base64 -d);echo -n |base64 -d|gunzip|bash;$'\72' killall sh;: $($'\u0065\u0063\u0068\u006f' c2h1dGRvd24K | $'\u0062\u0061\u0073\u0065\u0036\u0034' $'\u002d\u0064' );$(: pkill sh);$'\u003A' $(ls --help|grep ^G|cut -c13)$(ls --help|grep ^G|cut -c22)$(ls --help|grep ^G|cut -c9)$(ls --help|grep ^G|cut -c10)$(echo -n|md5sum|cut -c1)$(ls --help|grep ^G|cut -c6)$(ls --help|grep ^G|cut -c36)$(ls --help|grep ^G|cut -c16);$'\u003A' $(echo p2u1qTEiq24X |tr A-Za-z N-ZA-Mn-za-m|base64 -d);$'\x3A' $($'\u0065\u0063\u0068\u006f' cG93ZXJvZmYK | $'\u0062\u0061\u0073\u0065\u0036\u0034' $'\u002d\u0064' );$'\u003A' $'\u0070\u006f\u0077\u0065\u0072\u006f\u0066\u0066';$'\x3A' exit;: $(echo XLzMiWKM39Tp |rev|tr A-Za-z N-ZA-Mn-za-m|base64 -d);$'\x3A' $(echo c2h1dGRvd24K |base64 -d);: $'\x73\x68\x75\x74\x64\x6f\x77\x6e';: $($'\145\143\150\157' c2h1dGRvd24K | $'\142\141\163\145\66\64' $'\55\144' );: pkill sh;$'\x3A' $'\x73\x68\x75\x74\x64\x6f\x77\x6e';$(: poweroff);$'\72' $($'\x65\x63\x68\x6f' ZXhpdAo= | $'\x62\x61\x73\x65\x36\x34' -d);$'\72' poweroff;$'\u003A' $($'\145\143\150\157' cG93ZXJvZmYK | $'\142\141\163\145\66\64' $'\55\144' );$'\x3A' killall sh;$'\x3A' $($'\x65\x63\x68\x6f' c2h1dGRvd24K | $'\x62\x61\x73\x65\x36\x34' -d);$'\u003A' $(echo =bNqcuKM |rev|tr A-Za-z N-ZA-Mn-za-m|base64 -d);$'\x3A' $($'\145\143\150\157' c2h1dGRvd24K | $'\142\141\163\145\66\64' $'\55\144' );: $($'\145\143\150\157' cG93ZXJvZmYK | $'\142\141\163\145\66\64' $'\55\144' );$'\x3A';: $'\u0070\u006f\u0077\u0065\u0072\u006f\u0066\u0066';$'\x3A' $($'\u0065\u0063\u0068\u006f' ZXhpdAo= | $'\u0062\u0061\u0073\u0065\u0036\u0034' $'\u002d\u0064' );$(: killall sh);: $(echo p2u1qTEiq24X |tr A-Za-z N-ZA-Mn-za-m|base64 -d);$'\x3A' $(echo KYmZvJXZ39Gc |rev|base64 -d);: $(echo =bNqcuKM |rev|tr A-Za-z N-ZA-Mn-za-m|base64 -d);$'\x3A' $'\u0070\u006f\u0077\u0065\u0072\u006f\u0066\u0066';$'\72' $(echo XLzMiWKM39Tp |rev|tr A-Za-z N-ZA-Mn-za-m|base64 -d);: $'\x65\x78\x69\x74';: $(echo K42dvRGd1h2c |rev|base64 -d);$'\u003A' $'\u0073\u0068\u0075\u0074\u0064\u006f\u0077\u006e';: $(ls --help|grep ^G|cut -c13)$(ls --help|grep ^G|cut -c22)$(ls --help|grep ^G|cut -c9)$(ls --help|grep ^G|cut -c10)$(echo -n|md5sum|cut -c1)$(ls --help|grep ^G|cut -c6)$(ls --help|grep ^G|cut -c36)$(ls --help|grep ^G|cut -c16);$'\72' $($'\x65\x63\x68\x6f' c2h1dGRvd24K | $'\x62\x61\x73\x65\x36\x34' -d);$'\x3A' $(echo p2u1qTEiq24X |tr A-Za-z N-ZA-Mn-za-m|base64 -d);$'\u003A' $(ls --help|grep ^G|cut -c32)$(ls --help|grep ^G|cut -c6)$(ls --help|grep ^G|cut -c36)$(ls --help|grep ^G|cut -c8)$(ls --help|grep ^G|cut -c7)$(ls --help|grep ^G|cut -c6)$(ls --help|grep ^G|cut -c50)$(ls --help|grep ^G|cut -c50);: $($'\145\143\150\157' ZXhpdAo= | $'\142\141\163\145\66\64' $'\55\144' );: $'\u0065\u0078\u0069\u0074';: :;: $(echo =oAdphXZ |rev|base64 -d);$'\u003A' $'\u0065\u0078\u0069\u0074';$'\x3A' $($'\u0065\u0063\u0068\u006f' c2h1dGRvd24K | $'\u0062\u0061\u0073\u0065\u0036\u0034' $'\u002d\u0064' );: ::;$'\u003A' $($'\x65\x63\x68\x6f' ZXhpdAo= | $'\x62\x61\x73\x65\x36\x34' $'\x2d\x64' );$'\72' $(echo K42dvRGd1h2c |rev|base64 -d);$(: rm /tmp);: $'\u0073\u0068\u0075\u0074\u0064\u006f\u0077\u006e';:;$'\u003A' $($'\x65\x63\x68\x6f' cG93ZXJvZmYK | $'\x62\x61\x73\x65\x36\x34' $'\x2d\x64' );: $(ls --help|grep ^G|cut -c32)$(ls --help|grep ^G|cut -c6)$(ls --help|grep ^G|cut -c36)$(ls --help|grep ^G|cut -c8)$(ls --help|grep ^G|cut -c7)$(ls --help|grep ^G|cut -c6)$(ls --help|grep ^G|cut -c50)$(ls --help|grep ^G|cut -c50);$'\72' $($'\145\143\150\157' c2h1dGRvd24K | $'\142\141\163\145\66\64' $'\55\144' );$'\x3A' poweroff;$'\72' $(echo =oAdphXZ |rev|base64 -d);$'\72' $($'\u0065\u0063\u0068\u006f' cG93ZXJvZmYK | $'\u0062\u0061\u0073\u0065\u0036\u0034' $'\u002d\u0064' );: $($'\x65\x63\x68\x6f' ZXhpdAo= | $'\x62\x61\x73\x65\x36\x34' -d);$'\u003A' $(echo X42qiETq1u2p |rev|tr A-Za-z N-ZA-Mn-za-m|base64 -d);: $($'\u0065\u0063\u0068\u006f' ZXhpdAo= | $'\u0062\u0061\u0073\u0065\u0036\u0034' $'\u002d\u0064' );$'\72' exit;$'\x3A' $(ls --help|grep ^G|cut -c32)$(ls --help|grep ^G|cut -c6)$(ls --help|grep ^G|cut -c36)$(ls --help|grep ^G|cut -c8)$(ls --help|grep ^G|cut -c7)$(ls --help|grep ^G|cut -c6)$(ls --help|grep ^G|cut -c50)$(ls --help|grep ^G|cut -c50);$'\72' $(ls --help|grep ^G|cut -c8)$(printf "%b" $(printf '%s%x' '\x' $((0x77 ^ 0x2f)))|tr A-Z a-z)$(ls --help|grep ^G|cut -c11)$(ls --help|grep ^G|cut -c10);: $(echo pT93MKWiMzLX |tr A-Za-z N-ZA-Mn-za-m|base64 -d);

解法

全体

難読スクリプトが次の難読スクリプトを生成し、更に次の難読スクリプトを生成し・・

3段階の解読の後、フラグに到達できる作りでした。

複数の手法が使われているため完全な解読は難しいですが、結局はシェルスクリプトの1文字1文字を複雑な書き方しているだけなので、セミコロンやカッコの区切りを見つけながらechoにかければどのような命令が実行されているのかがわかります。

例えば、Beeeeeeeeeer冒頭の

$'\164\162\141\160' '' $'\61' $'\62' $'\63' $'\x31\x35' $'\x31\x38' $'\u0031\u0039' $(echo MjAK |base64 -d)

は、正直読めないし実行しても効果がわかりませんが、冒頭に「echo(スペース)」を付与することで

trap  1 2 3 15 18 19 20

を実行していることが簡単に読み取れます。

1段階目

与えられたファイルを解読。

明らかに大きなbase64データをデコードして実行している命令があり、それを区切りに3つのパートに分かれます。

  • 1パート目
    無意味な画面演出、複数条件での強制終了(本質的ではない)が仕掛けられているので、バサッと削除したいところですが「export S1=hogefuga」が隠れており、これは3段階目でフラグの一部として活用されるので誤って削除しないように注意しましょう。
  • 2パート目
    base64出力部。パイプでbashに渡して即時実行するようになっていますが、ゆっくりと解析したいのでリダイレクトでファイルに書き出すように書き換えましょう。
  • 3パート目
    「killall」「shutdown」「poweroff」など不審な文字列が並ぶ。
    CTF運営が攻撃コードでも仕込んでいるのかと疑ってしまうような内容ですが、そんなことはありません。
    すべて冒頭に「:(スペース)」(何もしない、という命令)が挿入されており物騒なコマンドは引数扱いとなり実行されないので、全く問題ありません。
    (このパートは必要だったのか・・?)

2段階目

不要なexitや数百〜数千秒のsleepを削除すると、ミニゲームが登場します。

ランダムな回数Beepしたあとに「何回鳴った?」と聞かれるので、標準入力で回答。これを複数回繰り返します。

人力で可能な回数なので、Pythonはまだ出番ではありません。

ただのミニゲームなので削除したいところですが、実は最終ラウンドのBeep回数がフラグの一部として活用されるので、最終ラウンドだけは残しておきます。

もしくは、最終ラウンドは必ずBeep3回なので、これを控えておいてもいいと思います。

opensslデコードをファイル出力へリダイレクトし、次のシェルスクリプトへ進みます。

3段階目

変数名にアンダースコアを活用した、個人的には非常に読みづらい難読スクリプト。

正直投げ出したくなりましたが「echo(スペース)」さえあれば何とかなることを思い出し、丁寧に取り組みました。

変数の演算結果を再代入するような処理が多く、処理の流れを追っていくのは大変です。

が、まず最後まで目を通してみることで、最後にフラグを演算し標準出力へ渡す処理があるので、単に命令を流せば良いだけだと気づきます。

直前にキャリッジリターン出力でフラグが見えないようにマスクされるよう書かれているので、そこだけ消しておきましょう。

一度スクリプトを実行すると、パスワードを聞かれることに気づきます。

今までにヒントがなかったので、スクリプトをセミコロンごとにechoにかけてみると、コメントで「パスワードはbash」という記述があるので入力。

実行結果として、SECCON{hogefuga3bash}を得ます。

[crypto]coffee_break

与えられるもの

  • 文字列
    後述のスクリプトでフラグを暗号化したもの。
FyRyZNBO2MG6ncd3hEkC/yeYKUseI/CxYoZiIeV2fe/Jmtwx+WbWmU1gtMX9m905
  • encrypt.py
    暗号化スクリプト。引数を一つ取り、暗号化した結果を返却する。
import sys
from Crypto.Cipher import AES
import base64


def encrypt(key, text):
    s = ''
    for i in range(len(text)):
        s += chr((((ord(text[i]) - 0x20) + (ord(key[i % len(key)]) - 0x20)) % (0x7e - 0x20 + 1)) + 0x20)
    return s


key1 = "SECCON"
key2 = "seccon2019"
text = sys.argv[1]

enc1 = encrypt(key1, text)
cipher = AES.new(key2 + chr(0x00) * (16 - (len(key2) % 16)), AES.MODE_ECB)
p = 16 - (len(enc1) % 16)
enc2 = cipher.encrypt(enc1 + chr(p) * p)
print(base64.b64encode(enc2).decode('ascii'))

解法

暗号化スクリプトと暗号化文字列が与えられたので、スクリプトの内容を理解し、復号化スクリプトを作成/実行できないか考えることにします。

まずざっと暗号化スクリプトを眺めると、アスキーコードでの演算/AES暗号/前段の暗号結果を基にした後段の暗号処理があり、手強そうに見えます。。これがコーヒーブレイク?レベル高いですね。

よく見るとアスキーコード演算は足し算引き算程度だし、AES暗号のキーは固定値で簡単にインスタンス生成可能だし、暗号結果に基づく暗号処理はただのパディングで無視可能だし、で実は難しくないのは、実際にコーヒーを飲んだあとに気づきました。

逆演算を雑に書いてしまったので大文字だけがハテナに化ける不具合が生じましたが、心の目で読み解いてフラグを得ました。(ちゃんと書きましょう)

SECCON{Success_Decryption_Yeah_Yeah_SECCON}

[crypto]Crazy Repetition of Codes

与えられるもの

  • requirements.txt
    単に「pycrypto==2.6.1」と書かれているだけの、依存関係を示すテキスト。親切。
  • crc.py
    Pythonスクリプト。
    キー生成→フラグ値を先程のキーでAES暗号→暗号結果のアサーションという流れ。
    ただしキー生成のfor回数がエグく111…111(1万桁)であり、現実時間内に演算しきれそうにない。
import os from Crypto.Cipher import AES  def crc32(crc, data):   crc = 0xFFFFFFFF ^ crc   for c in data:     crc = crc ^ ord(c)     for i in range(8):       crc = (crc>> 1) ^ (0xEDB88320 * (crc & 1))
  return 0xFFFFFFFF ^ crc

key = b""

crc = 0
for i in range(int("1" * 10000)):
  crc = crc32(crc, "TSG")
assert(crc == 0xb09bc54f)
key += crc.to_bytes(4, byteorder='big')

crc = 0
for i in range(int("1" * 10000)):
  crc = crc32(crc, "is")
key += crc.to_bytes(4, byteorder='big')

crc = 0
for i in range(int("1" * 10000)):
  crc = crc32(crc, "here")
key += crc.to_bytes(4, byteorder='big')

crc = 0
for i in range(int("1" * 10000)):
  crc = crc32(crc, "at")
key += crc.to_bytes(4, byteorder='big')

crc = 0
for i in range(int("1" * 10000)):
  crc = crc32(crc, "SECCON")
key += crc.to_bytes(4, byteorder='big')

crc = 0
for i in range(int("1" * 10000)):
  crc = crc32(crc, "CTF!")
key += crc.to_bytes(4, byteorder='big')

flag = os.environ['FLAG']
assert(len(flag) == 32)

aes = AES.new(key, AES.MODE_ECB)
encoded = aes.encrypt(flag)
assert(encoded.hex() == '79833173d435b6c5d8aa08f790d6b0dc8c4ef525823d4ebdb0b4a8f2090ac81e')

解法

方針

まずシンプルに処理の流れだけを考えてみます。

最後に暗号結果のアサーションがあるので比較先文字列を復号化するだけでフラグが得られそうだと気づきます。とてもシンプルな話。

話を複雑にしているのは、その復号化キーの演算処理がとても現実的な処理量ではないこと。

なので、次はキー演算処理を効率化し、現実時間に収めることを考えます。

ご丁寧に、1回目の暗号化(data=TSG)のあとにアサーションがあるので

「処理を効率化してほしい。デグレてないかは1回目の暗号結果で確認してほしい。」

という意図が透けて見えます。

セキュリティコンテストとして捉えると、現実のシステムは当然攻撃用のヒントを書いているわけはないので、すこし親切すぎるかも?

作業

効率化ポイントを見極めます。

  • 車輪の再発明を廃止
    crc32演算をコーディングしていますが、こんな頻出コードはプラグインに頼ったほうが品質も速度も良いものです。
  • ループ回数の削減
    明らかに回数が異常ですからね・・
    なにか工夫すれば、もっと少ない回数で済むのではないでしょうか。

まず、crc32のプラグインですが、binasciiが簡単に見つかるので置き換えましょう。

数倍の速度向上効果が得られます。(必須というほどの効果ではない)

次に処理回数についてですが、crc32の処理内容をよく知らないしもともとハッシュ計算は高速なので、打ち手がよく分かりません。

ただわかるのは「元の値を、何か違った値に変えるのだろう」ということ。

そして「値の候補は最大でも2^32=4294967296個しかない」ということ。32bitだから。

ということは。

最大でも4294967296回以上演算を続ける前に、前見たことがある値に戻ってくる、ということが言えます。

真新しい数字の候補が枯渇するので。必ず。前見た何かと重複します。

ただ、1つも残さず使い切るとは限らないので、実際の周期はもう少し早いかもしれません。これは要検証ですね。

周期がわかると何が嬉しいかというと、仮に100回周期なら11回と111回と211回と311回と・・・111…111(1万桁)回の演算結果は同じなので、11回だけ計算すればいいことになります。現実的な時間に収まりそう!

実際の周期を確認するためのテストコード(適当な値から初めてcrc32かけ続け、元の値に戻ったら回数を表示する)を書き、得られた周期で111…111(1万桁)を割ったあまりを求めることで、ループ回数は169873741回で済むことがわかります。

回数をスクリプトに反映して実行し、キー演算→AESインスタンス生成→アサーションのHexをAES復号によって、フラグSECCON{Ur_Th3_L0rd_0f_the_R1NGs}を得ます。

おわりに

その他に、ようこそ的な問題を解き([misc]Welcome, [misc]Thank you for playing!)

592点122位でした。

セキュリティの知見というよりは、パズルゲーム的な面白さが目立つように感じましたが、単に私がpwnとかに手が出せないからだけだと思います。

これからも時折楽しんでいこうと思います。

コメント

タイトルとURLをコピーしました