Discover Top Posts Tagged with #stegsolve

SECCON 2013 OSAKA Write Up

12/15にSECCON 2013 大阪大会に参戦してきたのでwrite upを書いてみます。ちなみにチームの成績は3位。CTFの大会は初めてでどんなんだろうと思ってましたが、良い緊張感をもって楽しめました。みなさんありがとうございました。

「デコードせよ」みたいな問題 (100点)

QRコードですよね。試してみると、R、G、Bで3つの画像に分解できます。

それぞれをQRコードリーダーで読み取ると、

uu{ M<&AI<VAI;F<@;FD@;6%K96YA:61E"C5T=2!D86ME(&YO(&]N96=A:0II='5M M =[270G<R!M;W)E(&ME>2!M92!W87(@;6%M(&UO;&QY('1I92!C;VQO $<BY]"@ } ;R!I='5D96UO('=A<W5R96YA:61E;F4*:VEM:2!W;R!M86UO<FET86EK87)A M"D9,04

チームメイトからuudecodeで一部デコードできるという情報をもらい、いろいろ試してみます。最初はWebのサービスを使ってましたがレスポンスが遅いのと、試行した組み合わせを忘れてしまうので、スクリプトを書いてみることに。

#!/usr/bin/perl while (<>) { print unpack("u", $_); }

とりあえず全部投入してみます。

root@kali64-e430:~# ./uu.pl uu{ M<&AI<VAI;F<@;FD@;6%K96YA:61E"C5T=2!D86ME(&YO(&]N96=A:0II='5M M phishing ni makenaide 5tu dake no onegai itum =[270G<R!M;W)E(&ME>2!M92!W87(@;6%M(&UO;&QY('1I92!C;VQO $<BY]"@ } �%Н́��ɔ��䁵��݅ȁ�� tie color.} ;R!I='5D96UO('=A<W5R96YA:61E;F4*:VEM:2!W;R!M86UO<FET86EK87)A M"D9,04 �]Y0[[��\�\�[�ZY[�B��[Zv��&&�� FLA@

どうやら一つ目がうまくデコードできている様子。また、

M<&AI<VAI;F<@;FD@;6%K96YA:61E"C5T=2!D86ME(&YO(&]N96=A:0II='5M

の部分のみで成功することがわかったので、それに続く

が次のブロックの先頭になると仮定。2つ目、3つ目と組み合わせてみる。

root@kali64-e430:~# ./uu.pl M=[270G<R!M;W)E(&ME>2!M92!W87(@;6%M(&UO;&QY('1I92!C;VQO w��Bw2��&R�W�"��ǒF�R6�� M;R!I='5D96UO('=A<W5R96YA:61E;F4*:VEM:2!W;R!M86UO<FET86EK87)A o itudemo wasurenaidene kimi wo mamoritaikara

Mと3つ目のパターンがあたり。1つ目、3つ目、2つ目の順に並べ替えると、全体がuu{...}で囲まれることになります。{}内をuuencodeしてるよ、ということですね。並び替えて改行を取り除くと以下が得られます。

M<&AI<VAI;F<@;FD@;6%K96YA:61E"C5T=2!D86ME(&YO(&]N96=A:0II='5MM;R!I='5D96UO('=A<W5R96YA:61E;F4*:VEM:2!W;R!M86UO<FET86EK87)AM"D9,04=[270G<R!M;W)E(&ME>2!M92!W87(@;6%M(&UO;&QY('1I92!C;VQO$<BY]"@

デコードして

phishing ni makenaide 5tu dake no onegai itumo itudemo wasurenaidene kimi wo mamoritaikara FLAG{It's more key me war mam molly tie color.}

flagは「It's more key me war mam molly tie color.」でした。

キーを探せみたいな問題 (フォレンジックス：100点)

JPEGファイルですが、foremostするとGIFも抽出できました。

root@kali64-e430:~# file av02.jpg av02.jpg: JPEG image data, JFIF standard 1.01 root@kali64-e430:~# foremost av02.jpg Processing: av02.jpg |*|

でてきたGIFがこちら。

チームメイトが郵便バーコードだと突き止めます。で、ツールを使って解読できないか試してみるも時間切れ終了。。残念でした。

後日、郵便局のサイトをみながら解読すると、

113659116

IPAの郵便番号でした。最後の16は16階ということでしょうか。

flagは「IPA」。

その他

当日、ネットワーク接続が不調で焦りました。。VirtualBoxのNAT接続で仮想マシンを使っていたのですが、VirtualBoxがDHCPで割り当てるアドレスとCTFの問題サーバのアドレスが同じだったので、つながらなかった様子。

楽しかったので次回もチャレンジしたいです。

#seccon #ctf #qrコード #郵便バーコード #stegsolve #foremost #uuencode #その他 #フォレンジックス #original