SECCON 2014 横浜大会NW予選 Write-up

SECCON 2014 横浜大会NW予選 Write-up

SECCON 2014 横浜大会に参加してきました。 NW,BIN,WEBと3部門の予選がありましたが、ネットワーク大好き♡なのでNWにチャレンジしました。

ネットワーク部門は10問ある問題を解いて答えを紙に書いて提出して採点された点数によって順位付けされ、成績優秀者10人が予選突破という選抜形式で行われました。

CTFにおけるネットワーク問題は年々減少傾向にある上、難易度を上げることが難しいとのことなので、今回は少し特殊なファイル形式で出題されていました。 例えば以下が問題1の出題ファイルです。

Find the Key!

0000  00 00 00 00 00 00 00 00  00 00 00 00 08 00 45 00   ........ ......E.
0010  00 34 f3 ed 00 00 40 01  88 d9 7f 00 00 01 7f 00   .4....@. ........
0020  00 01 08 00 bd c8 18 18  00 00 5a 6d 78 68 5a 33   ........ ..ZmxhZ3
0030  74 7a 5a 57 4e 6a 62 32  35 7a 5a 57 4e 6a 62 32   tzZWNjb2 5zZWNjb2
0040  35 39

そう、いいままでのpcapファイルでの出題ではなくテキストファイルでの出題となっていたのです。

このままでは今まで愛用してきたWiresharkおよび、tsharkでの解析ができません。 バイナリエディタにコピペして目grepしてもいいですが、ここはpcapファイルに変換してしまいましょう。

世の中には便利なソフトウェアが沢山あります。こんなときにもOSSが活躍します。 テキストファイルをpcapファイルに変換するソフトウェア、その名もtext2pcapです。 これ、Wiresharkに付属してるんです。

使い方は簡単、例えば問題1の出題ファイルでは、1行目の問題文を削除してHEX部分だけにしたファイル、question-01.txtを作成し、 text2pcap question-01.txt q01.pcapなどとすれば、Wiresharkで解析できるpcapファイルが作成されます。

さて、このようにしてさくさくと解けるファイルが作成できればあとは画面を凝視するのみ、順々に解いていきます。

目次

Open 目次

  1. 問題1
  2. 問題2
  3. 問題3
  4. 問題4
  5. 問題5
  6. 問題6
  7. 問題7
  8. 問題8
  9. 問題9
  10. 問題10
    1. 感想

問題1

Find the Key!

0000  00 00 00 00 00 00 00 00  00 00 00 00 08 00 45 00   ........ ......E.
0010  00 34 f3 ed 00 00 40 01  88 d9 7f 00 00 01 7f 00   .4....@. ........
0020  00 01 08 00 bd c8 18 18  00 00 5a 6d 78 68 5a 33   ........ ..ZmxhZ3
0030  74 7a 5a 57 4e 6a 62 32  35 7a 5a 57 4e 6a 62 32   tzZWNjb2 5zZWNjb2
0040  35 39

簡単ですね。 tsharkでパケットをチェックしてみると、

  1   0.000000    127.0.0.1 -> 127.0.0.1    ICMP 66 Echo (ping) request  id=0x1818, seq=0/0, ttl=64

と出力されるので、ICMPメッセージにフラッグが隠されてるんだろうなーっと想像つきます。 上記のファイルを見ると、目nkfで簡単に答えが出てきます。 目nkf力が無い人は、echo ZmxhZ3tzZWNjb25zZWNjb259|nkf -mBとでもやるとよいでしょう。

ということでフラッグはsecconsecconでした。

問題2

開いてるTCPポートを列挙せよ

nmaped.pcap

これはpcapファイルが添付されていました。 nmapでポートスキャンをしたときのログが残っているようです。 ポートが空いているということは、TCP FlagのSYNとACKが帰ってくるはずなので、SYN/ACKを返しているポートを列挙する適当なスクリプトを書きました。 node.js + node_pcapです。

var filter = "tcp";

var pcap = require('pcap'),
	pcap_session = pcap.createOfflineSession("./nmaped.pcap", filter);

pcap_session.on('packet', function (raw_packet) {
	var packet = pcap.decode.packet(raw_packet);
	if (packet.link.ip.tcp.flags.syn == 1 &&
		packet.link.ip.tcp.flags.ack == 1) {
		console.log(packet.link.ip.tcp.sport);
	}
});

これを02-solver.jsとして保存し、npm install pcap && node 02-solver.js | sort -n | uniqとしてあげれば答えのポートが出てきます。

問題3

このパケットデータのアプリケーションプロトコルは何でしょう?
英字でお答えください。

0000   00 1a a0 89 a3 7f 44 94 fc 7e 1a ba 08 00 45 00  ......D..~....E.
0010   00 4c 00 00 40 00 36 11 11 2c d2 ad a0 1b c0 a8  .L..@.6..,......
0020   00 04 00 7b 00 7b 00 38 6d 96 1c 02 11 e8 00 00  ...{.{.8m.......
0030   06 8b 00 00 02 9e ac 1d 02 32 d7 ad 09 99 d8 db  .........2......
0040   8b 49 d7 ad 0a 44 7a a8 0f 7e d7 ad 0a 46 42 28  .I...Dz..~...FB(
0050   23 a6 d7 ad 0a 46 42 2b 5a b3                    #....FB+Z.

目grepで答えはすぐにわかるんですが、確認のためにtext2pcapを用いてpcapファイルにしてtsharkに食わせてみると、以下のように出力されます。

$ tshark -r q03.pcap
  1   0.000000 210.173.160.27 -> 192.168.0.4  NTP 90 NTP Version 3, server

NTPですね。

問題4

サーバの名前は何?
FQDNでお答えください。

0000   00 1a a0 89 a3 7f 44 94 fc 7e 1a ba 08 00 45 00  ......D..~....E.
0010   00 4c 00 00 40 00 36 11 11 2c d2 ad a0 1b c0 a8  .L..@.6..,......
0020   00 04 00 7b 00 7b 00 38 6d 96 1c 02 11 e8 00 00  ...{.{.8m.......
0030   06 8b 00 00 02 9e ac 1d 02 32 d7 ad 09 99 d8 db  .........2......
0040   8b 49 d7 ad 0a 44 7a a8 0f 7e d7 ad 0a 46 42 28  .I...Dz..~...FB(
0050   23 a6 d7 ad 0a 46 42 2b 5a b3                    #....FB+Z.

先ほどと同じパケットデータなので、全問でtsharkを動かしたときの出力にあるIPアドレスに向けてnslookupしてあげれば答えがでます。

$ nslookup 210.173.160.27
Server:		192.168.128.1
Address:	192.168.128.1#53

Non-authoritative answer:
27.160.173.210.in-addr.arpa	name = ntp1.jst.mfeed.ad.jp.

Authoritative answers can be found from:

答えは、ntp1.jst.mfeed.ad.jp.です。

問題5

このパケットによると、日本時間で今何月何日何時何分何秒?

0000   00 1a a0 89 a3 7f 44 94 fc 7e 1a ba 08 00 45 00  ......D..~....E.
0010   00 4c 00 00 40 00 36 11 11 2c d2 ad a0 1b c0 a8  .L..@.6..,......
0020   00 04 00 7b 00 7b 00 38 6d 96 1c 02 11 e8 00 00  ...{.{.8m.......
0030   06 8b 00 00 02 9e ac 1d 02 32 d7 ad 09 99 d8 db  .........2......
0040   8b 49 d7 ad 0a 44 7a a8 0f 7e d7 ad 0a 46 42 28  .I...Dz..~...FB(
0050   23 a6 d7 ad 0a 46 42 2b 5a b3                    #....FB+Z.

これも先ほどと同じパケットです。tshark -r 03.pcap -Vとすると、Timestampの情報が現れるので時差と到達遅延を計算してあげれば答えが出ます。

問題6

空欄となっている箇所の2バイトの値は?

00 66 77 88  99 AA 00 11  22 33 44 55  08 00 45 00
00 54 03 76  00 00 40 01  F3 DF C0 A8  01 01 C0 A8
01 02 08 00  48 FD 3B 04  00 6F 54 01  8D C5 00 0C
A6 B9 08 09  0A 0B 0C 0D  0E 0F 10 11  12 13 14 15
16 17 18 19  1A 1B 1C 1D  1E 1F 20 21  22 23 24 25
26 27 28 29  2A 2B 2C 2D  2E 2F 30 31  32 33 34 35
36 37

00 11 22 33  44 55 00 66  77 88 99 AA  08 00 45 00
00 54 1E 0A  00 00 40 01  D9 4B C0 A8  01 02 C0 A8
01 01 00 00  -- -- 3B 04  00 6F 54 01  8D C5 00 0C
A6 B9 08 09  0A 0B 0C 0D  0E 0F 10 11  12 13 14 15
16 17 18 19  1A 1B 1C 1D  1E 1F 20 21  22 23 24 25
26 27 28 29  2A 2B 2C 2D  2E 2F 30 31  32 33 34 35
36 37

目wiresharkするとわかると思いますが、求めるフラッグはICMPのChecksumです。 計算してもいいのですが、wireshark/tsharkのチェック機能を使ってさっくりと解いてしまいます。 --の部分に00を埋めてわざと間違っているであるだろうChecksumを入力してpcapファイルを作成し、 tsharkで詳細情報を見ると、以下のように出力されます。

$ tshark -r q06.pcap -V
Frame 1: 98 bytes on wire (784 bits), 98 bytes captured (784 bits)
    Encapsulation type: Ethernet (1)
    Arrival Time: Sep  3, 2014 12:48:01.000000000 JST
    [Time shift for this packet: 0.000000000 seconds]
    Epoch Time: 1409716081.000000000 seconds
    [Time delta from previous captured frame: 0.000000000 seconds]
    [Time delta from previous displayed frame: 0.000000000 seconds]
    [Time since reference or first frame: 0.000000000 seconds]
    Frame Number: 1
    Frame Length: 98 bytes (784 bits)
    Capture Length: 98 bytes (784 bits)
    [Frame is marked: False]
    [Frame is ignored: False]
    [Protocols in frame: eth:ethertype:ip:icmp:data]
Ethernet II, Src: 00:66:77:88:99:aa (00:66:77:88:99:aa), Dst: 00:11:22:33:44:55 (00:11:22:33:44:55)
    Destination: 00:11:22:33:44:55 (00:11:22:33:44:55)
        Address: 00:11:22:33:44:55 (00:11:22:33:44:55)
        .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
        .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
    Source: 00:66:77:88:99:aa (00:66:77:88:99:aa)
        Address: 00:66:77:88:99:aa (00:66:77:88:99:aa)
        .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
        .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
    Type: IP (0x0800)
Internet Protocol Version 4, Src: 192.168.1.2 (192.168.1.2), Dst: 192.168.1.1 (192.168.1.1)
    Version: 4
    Header Length: 20 bytes
    Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00: Not-ECT (Not ECN-Capable Transport))
        0000 00.. = Differentiated Services Codepoint: Default (0x00)
        .... ..00 = Explicit Congestion Notification: Not-ECT (Not ECN-Capable Transport) (0x00)
    Total Length: 84
    Identification: 0x1e0a (7690)
    Flags: 0x00
        0... .... = Reserved bit: Not set
        .0.. .... = Don't fragment: Not set
        ..0. .... = More fragments: Not set
    Fragment offset: 0
    Time to live: 64
    Protocol: ICMP (1)
    Header checksum: 0xd94b [validation disabled]
        [Good: False]
        [Bad: False]
    Source: 192.168.1.2 (192.168.1.2)
    Destination: 192.168.1.1 (192.168.1.1)
    [Source GeoIP: Unknown]
    [Destination GeoIP: Unknown]
Internet Control Message Protocol
    Type: 0 (Echo (ping) reply)
    Code: 0
    Checksum: 0x0000 [incorrect, should be 0x50fd]
    Identifier (BE): 15108 (0x3b04)
    Identifier (LE): 1083 (0x043b)
    Sequence number (BE): 111 (0x006f)
    Sequence number (LE): 28416 (0x6f00)
    Data (56 bytes)

0000  54 01 8d c5 00 0c a6 b9 08 09 0a 0b 0c 0d 0e 0f   T...............
0010  10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f   ................
0020  20 21 22 23 24 25 26 27 28 29 2a 2b 2c 2d 2e 2f    !"#$%&'()*+,-./
0030  30 31 32 33 34 35 36 37                           01234567
        Data: 54018dc5000ca6b908090a0b0c0d0e0f1011121314151617...
        [Length: 56]

ICMPの項目を見てみると、

Checksum: 0x0000 [incorrect, should be 0x50fd]

とあるので、答えにコレを記入して乙です。

問題7

通信相手のIPアドレスは?次の4つのパケットを見て答えよ。

-- 1 --
000000: FF FF FF FF  FF FF 00 66  77 88 99 AA  08 06 00 01 : .......f w.......
000010: 08 00 06 04  00 01 00 66  77 88 99 AA  C0 A8 01 02 : .......f w.......
000020: 00 00 00 00  00 00 C0 A8  01 01                    : ........ ..
==
-- 2 --
000000: 00 66 77 88  99 AA 00 11  22 33 44 55  08 06 00 01 : .fw..... "3DU....
000010: 08 00 06 04  00 02 00 11  22 33 44 55  C0 A8 01 01 : ........ "3DU....
000020: 00 66 77 88  99 AA C0 A8  01 02 00 00  00 00 00 00 : .fw..... ........
000030: 00 00 00 00  00 00 00 00  00 00 00 00              : ........ ....
==
-- 3 --
000000: 00 11 22 33  44 55 00 66  77 88 99 AA  08 00 45 00 : .."3DU.f w.....E.
000010: 00 54 00 00  40 00 40 01  50 C3 C0 A8  01 02 0A 14 : .T..@.@. P.......
000020: 1E 28 08 00  D0 C0 7A 07  00 01 EA 6C  02 54 C9 72 : .(....z. ...l.T.r
000030: 0C 00 08 09  0A 0B 0C 0D  0E 0F 10 11  12 13 14 15 : ........ ........
000040: 16 17 18 19  1A 1B 1C 1D  1E 1F 20 21  22 23 24 25 : ........ .. !"#$%
000050: 26 27 28 29  2A 2B 2C 2D  2E 2F 30 31  32 33 34 35 : &'()*+,- ./012345
000060: 36 37                                              : 67
==
-- 4 --
000000: 00 66 77 88  99 AA 00 11  22 33 44 55  08 00 45 00 : .fw..... "3DU..E.
000010: 00 54 02 95  40 00 40 01  4E 2E 0A 14  1E 28 C0 A8 : .T..@.@. N....(..
000020: 01 02 00 00  D8 C0 7A 07  00 01 EA 6C  02 54 C9 72 : ......z. ...l.T.r
000030: 0C 00 08 09  0A 0B 0C 0D  0E 0F 10 11  12 13 14 15 : ........ ........
000040: 16 17 18 19  1A 1B 1C 1D  1E 1F 20 21  22 23 24 25 : ........ .. !"#$%
000050: 26 27 28 29  2A 2B 2C 2D  2E 2F 30 31  32 33 34 35 : &'()*+,- ./012345
000060: 36 37                                              : 67
==

pcapファイルを作成して、tshark -r q07.pcapとするだけです。それだけです。やってみてください。

問題8

間違っているのは何バイト目?次の二つのパケットを見て答えよ。

-- 1 --
000000: FF FF FF FF  FF FF 00 11  22 33 44 55  08 06 00 01 : ........ "3DU....
000010: 08 00 08 04  00 01 00 11  22 33 44 55  C0 A8 01 01 : ........ "3DU....
000020: 00 00 00 00  00 00 C0 A8  01 02                    : ........ ..      
==
-- 2 --
000000: 00 11 22 33  44 55 00 66  77 88 99 AA  08 06 00 01 : .."3DU.f w.......
000010: 08 00 08 04  00 02 00 66  77 88 99 AA  C0 A8 01 02 : .......f w.......
000020: 00 11 22 33  44 55 C0 A8  01 01 00 00  00 00 00 00 : .."3DU.. ........
000030: 00 00 00 00  00 00 00 00  00 00 00 00              : ........ ....    
==

ぱっと見で大体予想はつくのですが、今回もpcapファイルを作成して見てみます。 tsharkの出力は以下のようになりました。

$ tshark -r q08.pcap
  1   0.000000              ->              Ethernet 2 [Malformed Packet]
  2   0.000001 00:66:77:88:99:aa -> 00:11:22:33:44:55 ARP 60 1.2.0.17 is at 0066778899aac0a8

1パケット目が壊れてるようです。 この通信はARPの問い合わせの様子を示しているようで、ARPの構造を知っていればすぐに解ける問題です。 ARPのPDUは以下のようになっています。

 0                               1
 0 1 2 3 4 5 6 7 8 9 a b c d e f 0 1 2 3 4 5 6 7 8 9 a b c d e f
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|         Hardware type         |           Protocol type       |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|  HW addr len  | Proto addr len|              OP Code          |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                  Sender Hardware Address                      |
+                               +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                               |   Sender Protocol Address     
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   Sender Protocol Address      |                               |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+                               +
|                      Target Hardware Address                  |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                  Target Protocol address                      |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

これに0x000eから始まるEtherペイロードを合わせてみて見ると、HW addr lenの部分、すなわちARPリクエストのハードウェアアドレス長指定が間違っているのです。 この問い合わせはProtocol typeの部分からIP問い合わせであることがわかり、IPアドレス問い合わせのためにはMACアドレスに対するARP要求が行われます。 MACアドレスが物理層となり、EthernetのMACアドレスは6バイトなので、HW addr lenの部分は08ではなく、06である必要があります。

0x0012番地目の部分が間違っているので、19バイト目が答えとなります。

問題9

なぜか問題8と同じ

問題10

このパケットデータの??の部分に表示される文字列をお答えください。

0000  00 00 00 00 00 00 00 00  00 00 00 00 08 00 45 00   ........ ......E.
0010  00 54 00 00 40 00 40 01  3c a7 7f 00 00 01 7f 00   .T..@.@. <.......
0020  00 01 08 00 ba 0c 02 18  00 01 d7 c2 05 54 00 00   ........ .....T..
0030  00 00 91 f0 0e 00 00 00  00 00 10 11 12 13 14 15   ........ ........
0040  16 17 18 19 1a 1b 1c 1d  1e 1f 20 21 22 23 24 25   ........ .. ?????
0050  26 27 28 29 2a 2b 2c 2d  2e 2f 30 31 32 33 34 35   ?????????????????
0060  36 37                                              ??

パケットの問題ではないね。 ASCIIコードテーブル片手に0x21から0x37までのASCII文字を記入しておしまい。

感想

CTF予選問題としては出題ファイル形式含めてもちょっと優しすぎるかなぁといった印象を持ちました。 さくさくと解けるものが多く、難しいものは無かったように感じます。 ただ、text2pcapの存在を知らない人に取っては結構な時間を取られてしまう骨の折れるような問題群だったと思います。

Related Posts

SECCON2014 Online英語版予選 Write-up

SECCON2014 Online英語版予選 Write-up

昨日12月6日午前9時(日本時間)から12月7日午後5時までの32時間耐久CTFが行われたので参加してみました。 あまり活躍できずでしたがチャレンジしたもののまとめを記します。...

read more

ネットエージェント最終面接問題 Write-up その1

恒例のネットエージェントのいきなり最終面接問題が3月末に公開されました。2016年度 新卒採用|ネットエージェント株式会社ネットニュースサイトにも取り上げられ( 「解けたらいきなり最終面接」 ...

read more

ネットエージェント最終面接問題 Write-up その2

ネットニュースサイトにも取り上げられ、盛り上がりを見せていたネットエージェントのいきなり最終面接mondaiのWrite-upその2です。「解けたらいきなり最終面接」 ネットエージェント、今年も新...

read more

ネットエージェント最終面接問題 Write-up その3

あのネットエージェントのいきなり最終面接問題を解いたのでWrite-upを書きました。2016年度 新卒採用|ネットエージェント株式会社これまでのmondaiはLinuxやOS Xがあれば解く...

read more

ネットエージェント最終面接問題 Write-up エクストリームCTF編

ネットエージェントのいきなり最終面接問題を解いたのでWrite-upです。2016年度 新卒採用|ネットエージェント株式会社これまでmondai1からmondai9までは、mondaiとOS ...

read more
DEFCON CTF 23予選 Write-up (解説付き(すこし))

DEFCON CTF 23予選 Write-up (解説付き(すこし))

今年のDEFCON CTFの予選が5月16日午前9時から48時間開催されていました。今回はチーム********としての参加ではなく、Team Enuに派遣される形で参加してきました。今年は、比較...

read more
TDUCTF 2015の運営をした話

TDUCTF 2015の運営をした話

みなさんご参加ありがとうございます。 存じ上げている方もたくさんいらっしゃると思いますが、先月末の日曜日にTDUCTF 2015なるものが開催されました。TDUCTF 2015 - connpas...

read more