DEFCON 19 CTF Binary L33tness 100 writeup

2011年6月13日 / 未分類

問題文: Your journey begins
ファイルはまとめて公開している方がいるのでそちらでどうぞ
b100で始まるやつです。

このファイルは何じゃろな。

tkito@ubuntu:~/CTF19/b100$ file b100_6817e51fa3b60f176b56
b100_6817e51fa3b60f176b56: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked (uses shared libs), for GNU/Linux 2.6.32, stripped

実行ファイルだというので実行してみる。

tkito@ubuntu:~/CTF19/b100$ chmod +x b100_6817e51fa3b60f176b56
tkito@ubuntu:~/CTF19/b100$ ./b100_6817e51fa3b60f176b56
./b100_6817e51fa3b60f176b56 [1-11|all]

試しにパラメータとして1を入れてみると…

tkito@ubuntu:~/CTF19/b100$ ./b100_6817e51fa3b60f176b56 1
H4sICJmMlU0AA2JpbjItYQAAGYDmfzd6vK8nHAADiX4awcXXBwAAAAAAVgAAAAAAAABE/zLqAD+RRYRoO97epg8j1uh8YELiOq3V
AGLLApTK6rlYLEJUfbuFA7AjiEibibmCYY3LzZtNmjivC1gt6wA+ZbuLo8SkO/lzVk2VQBa6XUP8kWbfjjMD5Gq5OLQ10TekvQDS
PV+do8rAY6zuu1A21HFTamb8rvPM5dmHusPFPemVy/FSwj8szTQ9k7LuEIDhBarqs4w36+p76Pcr3k+RF9pSx42qRV4ojtLjAbR3
(以下略)

右にはみ出してしまっているのは気にしない。
こんな感じでどわーっとテキストが出力されるが、よく見ると絵が書いてあるっぽい。
一部を切りだしたのが以下の画像。



ずっと見てるとちょっときもい。
こんなのが14回繰り返されている。
なお、1~11まで全て同じような出力が得られる。
構成文字を見てみると、スペースが入ってたり100文字で改行されてたり後ろの方はパディングなのか@で書かれてたりしたけれど、どう見てもBASE64です。本当にありがとうございました。
というわけでデコードする。
ちなみに各パラメータを入れた際の出力を1.txt~11.txt, all.txtとして保存している。
以下1~11までまとめて行けるところまで一気に処理。

tkito@ubuntu:~/CTF19/b100$ for i in `seq 1 11`; do base64 -id $i.txt > b100_1_`printf "%02d" $i`; done
tkito@ubuntu:~/CTF19/b100$ file b100_1_*
b100_1_01: gzip compressed data, was "bin2-a", from Unix, last modified: Fri Apr  1 01:28:09 2011
b100_1_02: gzip compressed data, was "bin2-b", from Unix, last modified: Fri Apr  1 01:28:09 2011
b100_1_03: gzip compressed data, was "bin2-c", from Unix, last modified: Fri Apr  1 01:28:09 2011
b100_1_04: gzip compressed data, was "bin2-d", from Unix, last modified: Fri Apr  1 01:28:09 2011
b100_1_05: gzip compressed data, was "bin2-e", from Unix, last modified: Fri Apr  1 01:28:09 2011
b100_1_06: gzip compressed data, was "bin2-f", from Unix, last modified: Fri Apr  1 01:28:09 2011
b100_1_07: gzip compressed data, was "bin2-g", from Unix, last modified: Fri Apr  1 01:28:09 2011
b100_1_08: gzip compressed data, was "bin2-h", from Unix, last modified: Fri Apr  1 01:28:09 2011
b100_1_09: gzip compressed data, was "bin2-i", from Unix, last modified: Fri Apr  1 01:28:09 2011
b100_1_10: gzip compressed data, was "bin2-j", from Unix, last modified: Fri Apr  1 01:28:09 2011
b100_1_11: gzip compressed data, was "bin2-k", from Unix, last modified: Fri Apr  1 01:28:09 2011
tkito@ubuntu:~/CTF19/b100$ for i in `seq -w 1 11`; do gzip -cd b100_1_$i > b100_2_$i; done
tkito@ubuntu:~/CTF19/b100$ file b100_2_*
b100_2_01: 7-zip archive data, version 0.3
b100_2_02: data
b100_2_03: data
b100_2_04: data
b100_2_05: data
b100_2_06: data
b100_2_07: data
b100_2_08: data
b100_2_09: data
b100_2_10: data
b100_2_11: data
tkito@ubuntu:~/CTF19/b100$ 7zr x b100_2_01

7-Zip (A) 9.04 beta  Copyright (c) 1999-2009 Igor Pavlov  2009-05-30
p7zip Version 9.04 (locale=en_US.utf8,Utf16=on,HugeFiles=on,2 CPUs)

Processing archive: b100_2_01

Error: Can not open file as archive

1と2~11が無関係なわけがない、と考えて結合することにした。

tkito@ubuntu:~/CTF19/b100$ cat b100_2_* > b100_3
tkito@ubuntu:~/CTF19/b100$ file b100_3
b100_3: 7-zip archive data, version 0.3
tkito@ubuntu:~/CTF19/b100$ 7zr x b100_3

7-Zip (A) 9.04 beta  Copyright (c) 1999-2009 Igor Pavlov  2009-05-30
p7zip Version 9.04 (locale=en_US.utf8,Utf16=on,HugeFiles=on,2 CPUs)

Processing archive: b100_3

Extracting  bin2

Everything is Ok

Size:       980647
Compressed: 514107

OK!
ちゃっちゃと進んでいこう。

tkito@ubuntu:~/CTF19/b100$ file bin2
bin2: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked (uses shared libs), for GNU/Linux 2.6.32, not stripped
tkito@ubuntu:~/CTF19/b100$ ./bin2
UzAgUzBSUlkgNDFOVCBOVVRIMU4gQlVUIDQgUDM0TlVUIFMwIFMwUlJZIDQxTlQgTlVUSDFOIEJVVCA0IFAzNE5VVCBTMCBTMFJS
WSA0MU5UIE5VVEgxTiBCVVQgNCBQMzROVVQgUzAgUzBSUlkgNDFOVCBOVVRIMU4gQlVUIDQgUDM0TlVUIFMwIFMwUlJZIDQxTlQg
TlVUSDFOIEJVVCA0IFAzNE5VVCBTMCBTMFJSWSA0MU5UIE5VVEgxTiBCVVQgNCBQMzROVVQgUzAgUzBSUlkgNDFOVCBOVVRIMU4g
(以下略)

またかよ!
今度はこんな絵。

きもいです。
やっぱりBASE64っぽいのでデコード。

tkito@ubuntu:~/CTF19/b100$ ./bin2 > b100_4.txt
tkito@ubuntu:~/CTF19/b100$ base64 -id b100_4.txt > b100_4
tkito@ubuntu:~/CTF19/b100$ file b100_4
b100_4: Motorola S-Record; binary data in text format

知らないフォーマットではあるものの、テキストファイルっぽいので中身を見てみる。

tkito@ubuntu:~/CTF19/b100$ cat b100_4
S0 S0RRY 41NT NUTH1N BUT 4 P34NUT S0 S0RRY 41NT NUTH1N BUT 4 P34NUT S0 S0RRY 41NT NUTH1N BUT 4 P34NUT S0 S0RRY 41NT NUTH1N BUT 4 P34NUT
(以下略)

何だろうこれは。
S0 S0RRY 41NT NUTH1N BUT 4 P34NUTが延々と繰り返されている。
sorryとか言ってるし何かどっかで間違えたのだろう。
戻って別の道がないかどうかさがすことにした。

結果オーライではあったが、↑の判断はよくなかった。
何がよくなかったかというと、得られた謎の文字列を無意味なものだと断じてしまったこと。
もしかしたらこれが求めるべきKeyだったかも知れない。
ダメもとで回答ボックスに入力してみるくらいはするべきであった。
結論から言うとS0 S0RRY 41NT NUTH1N BUT 4 P34NUTはKeyではなかったのでよかった。

一番最初まで戻って、放置していたall.txtを処理してみる。

tkito@ubuntu:~/CTF19/b100$ base64 -id all.txt > b100_1_all
tkito@ubuntu:~/CTF19/b100$ file b100_1_all
b100_1_all: gzip compressed data, was "bin2-a", from Unix, last modified: Fri Apr  1 01:28:09 2011
tkito@ubuntu:~/CTF19/b100$ gzip -cd b100_1_all > b100_2_all
tkito@ubuntu:~/CTF19/b100$ file b100_2_all
b100_2_all: 7-zip archive data, version 0.3
tkito@ubuntu:~/CTF19/b100$ 7zr x b100_2_all

7-Zip (A) 9.04 beta  Copyright (c) 1999-2009 Igor Pavlov  2009-05-30
p7zip Version 9.04 (locale=en_US.utf8,Utf16=on,HugeFiles=on,2 CPUs)

Processing archive: b100_2_all

file bin2
already exists. Overwrite with
bin2?
(Y)es / (N)o / (A)lways / (S)kip all / A(u)to rename all / (Q)uit? u
Extracting  bin2

Everything is Ok

Size:       980647
Compressed: 514107
tkito@ubuntu:~/CTF19/b100$ cmp bin2 bin2_1
tkito@ubuntu:~/CTF19/b100$

結局、1~11とallでは分割してあるかどうかだけで得られるファイルはまったく同じであった。
では、バイナリの中にキーが隠されているかもしれないと思い、bin2の中をstringsで見てみた。

tkito@ubuntu:~/CTF19/b100$ strings bin2 | less
/lib/ld-linux.so.2
__gmon_start__
libc.so.6
_IO_stdin_used
stdout
fprintf
strcmp
__libc_start_main
GLIBC_2.0
PTRh
QVh`
[^_]
h3rr0m3y3n4m31zbr0br0gan
(以下BASE64データっぽかったので見るのを中止)

注目部分はコマンド行以外のハイライト部。
実行されるとテキストを吐き出すだけだと思っていたプログラムに何故かstrcmpがリンクされている。
これはもしや、特定のパラメータを入れた場合と入れない場合とで動作が分かれるのではないだろうか、strcmpはパラメータが特定のものであるかどうかを判定するために使われているんだ、そうに違いない、と思って周辺をよく見ると、BASE64データの真上にあからさまに怪しい文字列が。
これを実行時のパラメータとして入れてみると…

tkito@ubuntu:~/CTF19/b100$ ./bin2 h3rr0m3y3n4m31zbr0br0gan
 H4sICCNylU0AA2JpbjMAFJx/YNXT/8df55z3r/v7ve1uu/v9rtZaa613a1trrTqraGXq9kurVt6lMiRXJUM4+1GmkoswhLeESbglGcJZpYbkIgzxeUt8h3ARhvA9/FfZ3b3nvF7P5+PR7e7WugUzwOfOdOumYboocREABNDMLty2eTGI/6Sll60aNf5BeTBI//0KYGvT
 HW15D0bz0gZQZ3nSYwWgtE/9coUCRS8cMVu6nRpXzv5PVr7VtWfR46NWVlx+rOubxRMmrDz54n0rvjxxa8H9jTs/zi+gG4s/Weo17mmEFzO+UyAy8god1v8y6+QXwVv+13pT7LedNSkAxvRnVha7dWiBkXBw4AIypBuu4rN2Tt2BKSBmXZjEf1Q/mwC7//4O3vmfx/jr
 oQ3f/t598uVr/32mcc/vgXdH1rznZTN/m3HHa5f+M93ZjBHkZQ1dhmD/mdtGqetOv/1l+mUnClatPtnb+17R0eev+Xfv64OMd97cte7fwuf3fHTmkxHrZn2y/c69t9/9ctmZujeK9m9ZlDTopoZjz516tjs65rmJ7NNfD7e9qt5R8f3s34s3vDLlpjPOF0T152qrznz5
(以下略)

だめだったか!
と思ってしまったがよく見ると、1行の長さは違うし文字列も異なるしでパラメータを入れない場合と違う出力であることは明らか。
描かれている絵はこんなもの。

KI☆MO☆I☆YO!
毎度おなじみBASE64にしか見えないので、処理を進めていく。

tkito@ubuntu:~/CTF19/b100$ ./bin2 h3rr0m3y3n4m31zbr0br0gan > b100_5.txt
tkito@ubuntu:~/CTF19/b100$ base64 -id b100_5.txt > b100_5
tkito@ubuntu:~/CTF19/b100$ file b100_5
b100_5: gzip compressed data, was "bin3", from Unix, last modified: Thu Mar 31 23:35:15 2011
tkito@ubuntu:~/CTF19/b100$ gzip -cd b100_5 > b100_6
tkito@ubuntu:~/CTF19/b100$ file b100_6
b100_6: lzop compressed data - version 1.030, LZO1X-999, os: Unix
tkito@ubuntu:~/CTF19/b100$ lzop -d -o b100_7 b100_6
tkito@ubuntu:~/CTF19/b100$ file b100_7
b100_7: compress'd data 16 bits
tkito@ubuntu:~/CTF19/b100$ compress -cd b100_7 > b100_8
tkito@ubuntu:~/CTF19/b100$ file b100_8
b100_8: gzip compressed data, was "bin3", from Unix, last modified: Thu Mar 31 07:10:38 2011
tkito@ubuntu:~/CTF19/b100$ gzip -cd b100_8 > b100_9
tkito@ubuntu:~/CTF19/b100$ file b100_9
b100_9: ARC archive data, uncompressed
tkito@ubuntu:~/CTF19/b100$ arc x b100_9
Extracting file: bin3
tkito@ubuntu:~/CTF19/b100$ mv bin3 b100_10
tkito@ubuntu:~/CTF19/b100$ xz -cd b100_10 > b100_11
tkito@ubuntu:~/CTF19/b100$ file b100_11
b100_11: rzip compressed data - version 2.1 (276265 bytes)
tkito@ubuntu:~/CTF19/b100$ rzip -d -o b100_12 b100_11
tkito@ubuntu:~/CTF19/b100$ file b100_12
b100_12: gzip compressed data, from Unix, last modified: Thu Mar 31 23:10:06 2011
tkito@ubuntu:~/CTF19/b100$ gzip -cd b100_12 > b100_13
tkito@ubuntu:~/CTF19/b100$ file b100_13
b100_13: POSIX tar archive (GNU)
tkito@ubuntu:~/CTF19/b100$ tar xvf b100_13
bin3
tkito@ubuntu:~/CTF19/b100$ mv bin3 b100_14
tkito@ubuntu:~/CTF19/b100$ file b100_14
b100_14: lzop compressed data - version 1.030, LZO1X-999, os: Unix
tkito@ubuntu:~/CTF19/b100$ lzop -d -o b100_15 b100_14
tkito@ubuntu:~/CTF19/b100$ file b100_15
b100_15: bzip2 compressed data, block size = 900k
tkito@ubuntu:~/CTF19/b100$ bzip2 -cd b100_15 > b100_16
tkito@ubuntu:~/CTF19/b100$ file b100_16
b100_16: 7-zip archive data, version 0.3
tkito@ubuntu:~/CTF19/b100$ 7zr x b100_16

7-Zip (A) 9.04 beta  Copyright (c) 1999-2009 Igor Pavlov  2009-05-30
p7zip Version 9.04 (locale=en_US.utf8,Utf16=on,HugeFiles=on,2 CPUs)

Processing archive: b100_16

Extracting  bin3

Everything is Ok

Size:       272781
Compressed: 274332
tkito@ubuntu:~/CTF19/b100$ mv bin3 b100_17
tkito@ubuntu:~/CTF19/b100$ file b100_17
b100_17: ARJ archive data, v11, slash-switched, original name: , os: Unix
tkito@ubuntu:~/CTF19/b100$ arj x b100_17
ARJ32 v 3.10, Copyright (c) 1998-2004, ARJ Software Russia. [18 Dec 2009]

Can't find b100_17.arj

Found     1 error(s)!
tkito@ubuntu:~/CTF19/b100$ mv b100_17 b100_17.arj
tkito@ubuntu:~/CTF19/b100$ arj x b100_17
ARJ32 v 3.10, Copyright (c) 1998-2004, ARJ Software Russia. [18 Dec 2009]

Processing archive: b100_17.arj
Archive created: 2011-03-31 23:01:36, modified: 2011-03-31 23:01:36
Extracting bin3-a                      OK        
Extracting bin3-b                      OK        
Extracting bin3-c                      OK        
     3 file(s)
tkito@ubuntu:~/CTF19/b100$ file bin3-*
bin3-a: ELF 32-bit LSB executable, Intel 80386, version 1 (GNU/Linux), statically linked, stripped
bin3-b: data
bin3-c: data

玉ねぎの皮を剥くように幾重にも重なったアーカイブの殻を一つ一つ外していき、ようやくELFにたどり着いた。
このように何重にもアーカイブの殻で覆われたファイルのことをアーカイブマトリョーシカと呼ぶように提案しようかと思ったが、使いどころがCTFくらいしかないので放置。
何はともあれ実行ファイルにたどり着いたので実行しよう、そうしよう。

tkito@ubuntu:~/CTF19/b100$ chmod +x bin3-a
tkito@ubuntu:~/CTF19/b100$ ./bin3-a
Segmentation fault

単体ではダメなことがわかったのでレッツ結合。

tkito@ubuntu:~/CTF19/b100$ cat bin3-* > bin3
tkito@ubuntu:~/CTF19/b100$ chmod +x bin3
tkito@ubuntu:~/CTF19/b100$ ./bin3
-=-=-=-=-=-=-=-=- Wh4t W1ll B3 R3v34l3d? -=-=-=-=-=-=-=-=-
.key the is This
-=-=-=-=-=-=-=-=- Wh4t W1ll Be R3v34l3d? -=-=-=-=-=-=-=-=-

“What Will Be Revealed?”と言われてもこんなんじゃわからないのでstringsを仕掛けてみる。

tkito@ubuntu:~/CTF19/b100$ strings bin3 | less
(中略)
Th1s1zt3hK3yk3yk33H33H33H33.N0t!
t00rongD1DNTg1ve
canthisbethekeybecauseitissuchalongstringandddteklikeslongstrings?
l33tsp33k1z0ut.RealTalkIsIn.
h1tth3r04dj4ck3ndd0nty3wc0m3b4ckn0m0ren0m0R3n0M0R3N0M0R3!
k3ysk3yst3hmm4g1c4lfr3wtthm0r3y3we4tth3mt3hm0r3y3wr00t
5tunt1n1z4h4b1tput171nth3a1r
! is i upside down!i!i!
A complete statement can also be the key to victory.
This is the key.
.key the is This
Can y3w feel it coming in the air tonight?
Random thoughts give way to random problems give way to random solutions
Lorem Ipsum is a bitch.
(以下略)

あるわあるわ怪しい文字列の山が。
とりあえずこのあたりのをいくつか回答として入れてみたけどダメ。
何回かbin3を実行してみたところ、この怪しい文字列の山から秒変わりで1つを選択して表示しているようであることがわかった。
山の中に何回実行しても出力されない文字列があってそれがKeyなのではないかと思ったが、もしそんな答えだった場合、コード解析できない自分にはお手上げなのでそれはないものとして進めることにした。
stringsの出力を眺めていると、最後の方、エラーメッセージ用の定型文エリアの後に明らかにエラーメッセージではない、しかし意味のある文字列があった。

stack smashing detected
*** %s ***: %s terminated
zPLR
Where we're going we don't need... roads.
CAk[S

こいつは怪しい、と思ってこれを回答してみたところ、見事正解!
というわけでKeyは、Where we're going we don't need... roads.でした。
ちなみにBack to the Futureからの引用だそうで。

感想:
バイナリ解析問題なので、もしかしたらコード解析の知識が必要なのではないかと危惧していたが、その必要はなかったようで助かった。
問題を解いている間はパズルを解いているような感覚で楽しかった。
特に、正解ルートへの道を見つけたときはよっしゃ!とちょっと声を上げてしまった。

しかし、解けてよかった。
1問も解けないかもしれないと思っていたとはいえ、本当に1問も解けなかったらそのがっかり度はハンパなかった。
(Retro Revisited 100は除く)
これを解いた後、Forensicsの100にも挑戦したものの、詰まってしまったため、考えるのをやめてしまった。

他の人のwriteupはGrab Bag 100, Retro Revisited 100, Binary L33tness 100, Forensics 100を見た。
逆に言うとその他のは見ていないため、まだ答えを知らない状態で挑戦できる。
(ファイルがあるものに限定されるけれど)
今度の週末辺りに時間があったら他の問題もやってみようかなと思ったりしている。
すぐにお手上げになる可能性が高いけれど。

タグ: ,

“DEFCON 19 CTF Binary L33tness 100 writeup” への2件のフィードバック

  1. より:

    何か所か > が > になってますよ。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

ERROR: si-captcha.php plugin: GD image support not detected in PHP!

Contact your web host and ask them to enable GD image support for PHP.

ERROR: si-captcha.php plugin: imagepng function not detected in PHP!

Contact your web host and ask them to enable imagepng for PHP.

TOPへ戻る