NewbieCTF 2019 Forensic writeup after the end
11/2 0:00(JTC) ~ 11/3 2:00 に開催されたNewbieCTF2019のForensicの中で、時間内に解けなかった問題のWriteupを記す。
時間内に解けた分はコチラ↓
Find The Plain 838pt [85 Solves]
Alpha team's whistleblower captured a packet that leaked internal information to the outside using ftp internal confidential data.
Analyze the packet and flag the password and information obtained for the ftp connection!
flag format : KorNewbie{password_yougetinformation}
「vithim.pcapng」をDL。パケットファイルなのでwireshark起動。とりあえず問題にある通りftpの通信に絞って見てみる。
ftpのやりとりは暗号化されてないので丸見え。まずは、flagの要素となるpasswordの「root」をゲット。また、「badguy.txt」を送っているのが見える。tcpストリームのtcp.stream eq 7やftp-dataに絞って見ると「badguy.txt」の中身が見える。
「badguy.txt」の中身は、上のようにbase64でエンコードされているので、デコードする。
7J2067O06rKMIOyVjO2MjO2MgOydmCDsi6Dsg4HsoJXrs7TripQg67CR7J2YIOyjvOyGjOyXkCDrqqjrkZAg64u07JWE64aT7JWY64SkLiDqsbTtiKzrpbwg67mM7KeA7JuM7YSwLi4gDQpodHRwczovL3Bhc3RlYmluLmNvbS83MHlER2lSUw==
↓ base64 decode
이보게 알파팀의 신상정보는 밑의 주소에 모두 담아놓았네. 건투를 빌지워터..
https://pastebin.com/70yDGiRS
ここで遂にきてしまった韓国語。全く分からないので、とりあえず英語訳する(韓国語から日本語訳が分かりづらかったので)。助けてGoogle先生。
とりあえず、先ほど出てきたURLにアクセスしないと分からなさそうなのでアクセス。
すると何らかの公のサイトに以下のテキストがあった。
k459iki6m5j094m2lmkhjmi9527l81ml
何だろこれと思いながら、flagとして出してみた。
KorNewbie{root_k459iki6m5j094m2lmkhjmi9527l81ml}
これは正解じゃなかった。そもそも、問題文にあるmd5のくだりを使ってないからね。URL先で出てきたテキストはmd5じゃないしどこで出てくるのだろう。まだ正解は遠いのか...。
とここまでが時間内でやってたこと。
改めてパケットを見てみると、
(。´・ω・)ん?「Packet comments」なんて付けれるんですね。
maybe encryped by caesar? (key value=7)
何についていってるのかと一瞬思って、これじゃんってなる。以下のサイトを使い、復号化する。
md5じゃん!ということでこれがflagのyougetinformationでした。
KorNewbie{root_d459bdb6f5c094f2efdacfb9527e81fe}
この程度のことがしっかり出来ていないのは悔しすぎる。
諦めずにパケットはちゃんと見る。
REC 951pt [48 Solves]
REC? Kion vi celas?
「REC.zip」をDL。解凍すると「REC.exe」が現れる。自分は、実行ファイルの解析等は初学者で、少し苦手感があり時間内にチャレンジしなかった。
とりあえずなんとなくバイナリエディターで開いてみる。flag formatの「KorNewbie」で文字列検索してみたが引っかからない。次に「KorNewbie」の「K」のみで検索してみると二つめの「K」あたりで、
もうこれflagじゃん。見づらいが、
KorNewbie{Recover_Signature}
flagでした。
最後に
解けてない2問が簡単すぎて後悔
