CTFに初めて参加したので、使ったツールやノウハウを記録する。随時更新する。

ネットワーク

• Wiresharkでパケットファイルを見たり、プログラム起動してパケットをキャプチャしたりする
• Windowsのパケットキャプチャ形式の場合は、etl2pcapngでpcapng形式に変換する
• 通信データの抽出
  • [File]->[Export Objects]でHTTPやFTPで送信したデータをエクスポート可能
  • パケットの一部を抽出したい場合は、左下のペインで右クリックして[Export Packet Bytes...]
• パケットが多い場合はStatisticsで統計を取ってみる
  • [Protocol Hierarchiy]でプロトコルごとのパケット数を表示できる
  • [Conversations]で通信元と通信先のペアごとのパケット数を表示できる
• 特定のパケット(ex. サイズ)などで時系列にソートして、数バイトずつくっつけるとフラグになる場合も
• [Telephony]->[VoIP Calls]で通話データをリストアップし、再生することができる。
• TLSの解読
  • RSA暗号でPFSではなく、秘密鍵を持っている場合は解読できる
  • [Preferences]->[Protocols]->[TLS]->RSA key listsに秘密鍵を登録する
    • 解読したい通信先、ポート番号、想定するプロトコル(httpsならばhttp)、秘密鍵のファイル(PEM)を登録する
    • 以下の設定にチェックを入れる必要がある
      • [Reassemble TLS records ...]
      • [Reassemble TLS Application Data ...]

Web

• とりえあえずHTMLソースを見る
• Chrome Developer Toolsを使ってネットワーク通信やcookieの値を見て書き換えられそうなところがないか探す
• JSが難読化されている場合がある
  • jjencode
    • デコーダ
• Postmanやcurlで改ざんしたリクエストを送る

curl

-bでcookieを指定

curl -b 'key=value' https://www.example.com/

-dでフォームデータを指定

curl -d 'key=value' https://www.example.com/

-aでUser-Agentヘッダを指定

curl -a dummy-ua https://www.example.com/

-Hでヘッダを指定

curl -H 'Host: www.dummy-host.com' https://www.example.com/

コマンドインジェクション

• ;(セミコロン)繋げてlsしたりcatでファイルを出力する

SQLi

• 色々チートシートがあるのでそれを読む

  • PortSwigger
  • invicti
  • HackTricks

• テーブルからデータを取得したい場合

  • 現在のアクセス対象のテーブルからシンプルに取得する場合、' or 1 = 1 を使う
  • テーブル名を取得する→カラム数を求める→カラム名を取得する→unionしてデータを取得する
  • テーブル名、カラム名は各データベースのシステムテーブル的なものから取得する。MySQLの場合はinformation_schemaデータベースの各テーブル

テーブル名の取得

' union select table_name from information_schema.tables#

カラム名の取得

' union select column_name from information_schema.columns#

カンマが使えなくて複数カラム選択できない場合はjoinで代用できる

' union (select column_name from information_schema.columns) t1 join (select 1) t2

• WAFのバイパス
  • 論理演算子は2通りある場合があるので、or→||、and→&&、not→!を試す
  • 空白はMySQLだったら/**/のコメントで代用できる

XXE

• XMLの外部参照を使って外部のファイルを読みこむことができる
• 外部のファイルというのはfile:///を指定するとローカルファイルであるが、http:// などを指定するとリモートファイルをインクルードすることができる
  • XMLの妥当性を確保するためにbase64でエンコードする方法がある
  • FTPやSMTPアクセスも場合によっては可能らしい

JWT

• jwt.ioでJWTのエンコード、デコードをすることができる。
• jwt_toolで、JWTのエンコード、デコード、改ざん、既知の攻撃をすることができる。

JWTをデコードする

python jwt_tool.py <JWT>

JWTを対話式で改ざんする

python jwt_tool.py <JWT> -T

JWTをalg:none攻撃する

python jwt_tool.py <JWT> -X a

暗号/エンコード

• CyberChefなどで各種エンコード/デコードできる
• エンコードマニアックスは一度に全部変換してくれるので良い

base64

• wikipediaの解説
• 最後に=が出てくるとbase64を疑う
• コマンドラインでエンコード/デコードする場合はbase64コマンドがある

base64エンコード

base64 -i 入力ファイル -o 出力ファイル

base64デコード

base64 -d -i 入力ファイル -o 出力ファイル

• wikipediaの解説にあるようにbase64の変形版がある
  • URLに+/を使えないので、+/を別文字に置き換える
• base64の亜種を求められる場合がある
  • base64後にシフト暗号や換字暗号をかけるなど

uuencode

• begin xxx〜で始まるとuuencodeを疑う
• uudecodeでデコードする

難解プログラミング言語

ステガノグラフィで抽出した結果がBrainf*ckやWhitespaceなど難解プログラミング言語になっている場合がある。

シーザー暗号

• Wikipedia
• CyberChefのROT13で総当たりで試すことができる

換字暗号

• EnigmatorのCrypto SolverやFrequency Analysisを使えば少し楽に変換できるかも
• 手動の場合はtrコマンドで徐々に変換させた

パスワード

• よく利用されるパスワード
  • WikipediaのList of the most common passwords
  • rockyou.txtはKaggleやKali Linuxで提供される

暗号化ファイルの総当たり解析

適切なツールがなく、候補が限られている場合は総当たりで解析する。例えば、opensslに各種暗号アルゴリズムによるファイルの暗号化機能があるので、各パスワードに対して

openssl 暗号アルゴリズム -d -in 元ファイル -pass pass:${password} > -${password}.txt

を実行し、fileコマンドでまともなテキストファイルになっているかを確認する

zipのパスワード解析

• 総当たりや辞書攻撃を使う
  • Lhaplusで総当たり攻撃できる
  • John the Ripperでzip2johnを実行後、総当たり攻撃や辞書攻撃をする
• 既知平文攻撃する
  • PkCrackを利用する
  • Macだと　HomeBrewに入っていないようなので独自にビルドする

pkcrack -C 暗号化zipファイル -c 暗号化zipファイルの既知平文のファイル名 -P 既知平文のzipファイル　-p 既知平文のファイル名 -d 暗号化を解いたzipファイルの出力先 -a

NTLMハッシュ

• mimikatzを使ってこちらを参考に解析できる

証明書関係

• 秘密鍵、公開鍵、証明書などはPEM形式やDER形式がある
• PEMはbase64でエンコードされている。DERはバイナリ形式

opensslを使って証明書から公開鍵(PEM)の抽出する

openssl x509 -in .crt -pubkey -noout

RSA暗号

• Wikipediaでアルゴリズムは理解できる
• 素因数分解が既知である場合は公開鍵から秘密鍵を取得することができる
  • EnigmatorのRSA Key Analysisでeとnを抽出
  • factordbなどの既知の素因数のDBでnを検索し、pとqに素因数分解する
  • RSA Key Generatorでpとqとeを入力して、秘密鍵を生成する

ハッシュ

• md5sumやshaXXXsumでコマンドラインからハッシュ値を生成できる
• 青空白猫などでも生成できる
• hashcatを使ってハッシュに対する総当たり攻撃や辞書攻撃ができる
• 既知のハッシュであれば、CrackStationから元データを復元できる

ステガノグラフィ

• ファイルの種類判別→とりあえず文字列抽出してみる→各フォーマットの仕様を見ていく
• 青空白猫が便利
• 最終的にバイナリエディタを使う場合がある
  • Stiring
  • HexFiend

ファイルの種類判別

• Mac/Linuxだととりあえずfileコマンドを実行する
• Windowsは青空白猫やTrIDなどを使う

文字列抽出

• Mac/Linuxはstringsコマンドを使う
  • 10文字以上の文字列を抽出する(オプションなしだと4文字)

strings -n 10 filename

• Windowsは青空白猫を使う
  • 文字コード指定で日本語の文字列も抽出可能

ファイル共通

• フォントの種類やサイズ、色に気をつける
  • 特殊なフォントを使っている場合がある。(ex. Electroharmonix)
• 画像ファイルなどに別のファイルが埋め込まれている場合がある。binwalkや青空白猫で抽出できる場合がある

メール

• 攻撃者を見つける問題など
• フォーマット
  • eml: テキスト形式で読みやすい
  • msg: Outlookで開く
• ソースを見てBase64やQuoted Printableをデコードする
• 主要なヘッダの仕様は覚えておく
  • Receivedなど
• メーラで開いて添付ファイルを取得する
  • binwalkでも取得できる

Office

• docx/xlsxの実体はzipファイルなので、解凍して1ファイルずつ見ていくとわかる場合がある
• Excel
  • 空白文字のあるセルを色付けするとフラグが表示されるパターン
    • Ctrl+Homeでセルの先頭、Ctrl+Endでセルの最後に移動できるので、どのセルまで値が入っているかがわかる。
  • シートの保護のパスワードは解除できる。

PDF

• Adobe Readerだとあまり操作ができない
• 文字がファイルに書かれているわけではないので、stringsなどは効果がない
• 文書のプロパティにフラグが隠されている場合がある
• LibreOfficeなどで開くと墨消し部分を移動させることができる

zip

• 簡単な仕様はwikipediaで確認できる
• 壊れたzipが渡される場合があるが、解凍ツールが自動修復してくれる場合もある
• ツールで修復できない場合は、バイナリエディタで仕様を見ながら修復する

画像

• EXIF情報があれば抽出する
  • exiftool
• PNG
  • 簡単な仕様
  • TweakPNGでフォーマットの閲覧や簡単な修正も可能
    • サイズの変更などはできる
  • EXIFはないがtEXtチャンクがありがあるのでそこに情報が書かれている場合がある
  • exiftoolでコメントを抽出できる
• 青空白猫のステガノグラフィ解析を使う
• StegHideでファイルが埋め込まれている場合がある
• stereogram(立体視)を使っている場合がある。StegSolveやStereogram Solverなどで抽出することができる

NTFS

• streamsを使って代替データストリームを取得できる
  • 参考

フォレンジック

レジストリ

• レジストリはメモリ上に存在するが、%SystemRoot%\System32\Config以下に保存される。これらのファイルを解析する
  • レジストリハイブの説明
• Registry Explorerでハイブファイルをみることができる
• KaniRegやregripperを使って解析できる

プログラムの実行履歴を見る(regripper)

rip.exe -p userassist -r ハイブファイル

イベントログ

• イベントビューアでWindowsのイベントログを確認する
  • イベントIDでフィルタををかける
    • ログオン関係
      • 4624: ログオン成功
      • 4625: ログオン失敗
    • 4697: サービスのインストール
• Hayabusaでイベントログの解析ができる
  • logon-summaryでログオン成功したIPアドレス、アカウント名、ログオン回数などを表示することができる

メモリ

• メモリのダンプを渡されて攻撃者の行動を推測する
  • コマンドラインの履歴、プログラムの実行履歴、ネットワークへの接続状況、起動プロセス一覧などを確認できる
• メモリのダンプフォーマット
  • aff4: WinPmemでダンプした形式。zipファイルになっている
  • raw: メモリをそのまま出力したバイナリ形式
• WinPmemでダンプしたaff4形式の場合はwinpmemで変換する
  • ただし、WinPmemの最新版(v4系)だと変換できなかったりするので、Rekallに付属していたv2系を使う

aff4形式からraw形式への変換

winpmem.exe --export PhysicalMemory --output image.raw image.aff4

• メモリのダンプを与えられた場合はvolatilityを使う
  • volatility2とvolatility3があり、かなり別物

volatility2

python vol.py -f メモリダンプ --profile プロファイル プラグイン プラグインオプション

の形式で実行する。2系はプロファイルがないと動かない

ので、まずどのOSのメモリダンプかを確認する

python vol.py -f メモリダンプ --profile プロファイル imageinfo

プロファイルの推測値が表示されるので、その推測値を指定して各種プラグインを実行する

プロセスのリスト表示

python vol.py -f メモリダンプ --profile プロファイル pslist

プロセスのコマンドライン表示

python vol.py -f メモリダンプ --profile プロファイル cmdscan

userassistのレジストリを見て、プログラムの起動日時や実行回数を確認する

python vol.py -f メモリダンプ --profile プロファイル userassist

ネットワークの接続状態を確認する

python vol.py -f image.raw --profile プロファイル netscan

ディスク

• ディスクから消えたファイルを抽出したり、レジストリハイブファイルを取り出す
• .bash_historyを見てコマンドラインの履歴を確認したり
• フォーマット
  • img: ディスクイメージファイル
  • vdi: VirtualBoxの仮想ディスクイメージ
• vdiからimgファイルへの変換はVBoxManager clonehd in.vdi out.img --format raw
• FTK Imagerでディスクイメージを閲覧することができる。
• Linux
  • fsckでファイルシステムを修復することができる
  • extundeleteでファイルを復元することができる

プログラム解析

実行ファイル形式

• .exeはPEヘッダにメタデータが書かれている
• PEViewでみることができる

デコンパイル/デバッグ

• IDA FreeやGhidraでデコンパイルする
• 簡単なものであれば、デコンパイルしたものを修正して、コンパイルし直して実行する
• デバッグ可能であれば、デバッグ時にレジスタの値を変更してフラグを出力させる
• デコンパイルした結果からフラグを推測する
  • 連立方程式を解く場合は以下が使える
  • https://keisan.casio.jp/exec/system/1278931746

Pythonのデコンパイラ

• PyInstallerでexeが生成されている場合がある
• pyinstxtractorとpycdcを利用する
  • 参考
• python-exe-unpackerとuncompyle6を使う記事があるが、うまくいかなかった。

Windowsの解析

• .exeの解析
  • PEViewでWindowsの.exe形式のヘッダ情報などをみることができる
    • 作成日を確認することができる
• 実行時の解析
  • API Monitorで実行時に呼ばれたWindows APIを確認することができる
  • Process Explorerで実行時の情報を出すことができる
    • stringsで参照しているファイルが見えるなど