Trend Micro CTF 2017 Online Qualifier Write-up

HarekazeというチームでTrend Micro CTF 2017 Online Qualifierに参加しました。チームとしての結果は53位/900点で、内2問を解いて200点ほど取りました。

OSINT 100

フィッシングに使われたドメインから、犯人の名前を特定するという問題でした。

whoisすると、osint isfunという名前とosintisfun@gmx.comというメールアドレスが見つかります。

(省略)
Registrant Name: osint isfun
Registrant Organization: 
Registrant Street: 230 Earls Court Road
Registrant Street: Kensington
Registrant City: London
Registrant State/Province: London
Registrant Postal Code: SW5 9AA
Registrant Country: UK
Registrant Phone: +44.7441911980
Registrant Phone Ext: 
Registrant Fax: 
Registrant Fax Ext: 
Registrant Email: osintisfun@gmx.com
Registry Admin ID: Not Available From Registry
(省略)

そこでosintisfun@gmx.comで検索すると、patebinにt3m4.comの情報が見つかります。 それを元に、t3m4.comにアクセスするとT3-M4Haxorと名乗る人物のWebサイトがあります。 T3-M4HaxorでGoogle検索するとtopicsbirdのキャッシュにDavik Surikという名前が残っているので、Davik SuriktをGoogle検索して出てくるLinkedInにアクセスします。 CTF OSINT Target とあるので後は、GZPGS{SGE0FVAG101}をROT13すればflagが出ます。

TMCTF{FTR0SINT101}

For100

与えられたpcapをWiresharkで見ると、DNSトンネリングのトラフィックだと推測できます。DNSに偽装されていると思われるのは、サブドメインIPアドレスの2つです。

Hint:
1. Not Base64 but Another Base is used

というヒントがあったので、

strings output.pcap | egrep ".{14,}"

で出した全てのサブドメインをbase58でデコードするとflagが出ます。

TMCTF{DNSTunnelExfil}

OSINT 300 (解けなかった)

ネットワーク機器のconfigを書き換えて作られたバックドアを調べるという問題でした。 パケットを眺めて、/etc/passwdを上書きしてsshユーザーを不正に作るという所までは分かりました。

Hint:
1. Not Jack but John. (username is TMCTF)
2. We will rockyou

というヒントがあったので/etc/passwdに対して一晩中John the Ripperを回していたのですが、間に合いませんでした。

ここで重要になるのがrockyouというヒントで、「john rockyou」で調べれば分かることなのですが、rockyouというのはjohn用のwordlistらしいです。

実際後で

john --wordlist=rockyou.txt exploit/etc/passwd

すると数秒で解析が終了しました。 ググるだけだったのに完全に頭がついてませんでした。 300点問題なのでかなりもったいなかったです。

感想

もうちょっとで解けそう、みたいな問題も何個かあって楽しかったけど割と悔しかったです。 また、elfやpwnが少なかったりpcapが多かったりと、問題が割と実務(?)寄りで新鮮でした。