高専セキュコンに参加しました
高専セキュコンに参加した話
こんにちは.きさらZuMountain(略書きさらちゃん)のメンバーのぽちゃまと申します.
ということでね,今回の順位はこちら!
35チーム中29位!!
まあ,3人(1日目は2人)でやったとしては頑張ったほうかなと思います.
みていてBinaryやWebを解けなかったのは痛かったなと思います.
ということでWriteUpいくぞい
Sample
Sample[100]
年号をローマ字にしろというSample問題
今年は平成なのでHEISEIで点数ゲットです
SCKOSEN{HEISEI}
Misc
人大杉を見たくない[50]
これは簡単ですね.
情報セキュリティとは
情報の機密性(confidentiality)、完全性(integrity)、
可用性(availability)を維持することと定義されています.
今回はDDos攻撃などによって侵害されうる要素の名前なので可用性,すなわちavailabilityが答えとなります
SCKOSEN{availavility}
更新されたIoT対応デバイス[50]
こちらはレスポンスコード418の代わりに美味しいお茶を出力するRFCの番号をフラグにする問題でした.
最初調べたときにRFC2324というのがあってそれだと思ったのですがちゃんと読んでみたら”最新の”と書かれていたので拡張したのが定義されているRFC7168が正解です
SCKOSEN{7168}
君の名は2018[50]
脆弱性の名前ですね.調べたら一発です
SCKOSEN{spectre}
サイトを見ていただけなのに[50]
これも簡単でした.ちょうど勉強していたので特にね!
この攻撃はドライブバイダウンロード攻撃という攻撃手法です.
SCKOSEN{drive_by_download}
ディスクが足りない![100]
こちらに添付されているファイルをstringsしたらなんか見つかっちゃいました.
詳しくはinsecureの人たちが解説してくれてると思うので正規法はそっちみてください.
SCKOSEN{youhou_youryouwo_mamotte}
NetWork
Basic認証[100]
パケットファイルを解析する問題です.
まず,HTTP通信をみてuserとpasswdを見つけます
青い線の下のAuthorization: Basic am9objpzOG9YKnpsY3JvOD8jd2xibHByNA==\r\nの下
に書いてあるCredentials: john:s8oX*zlcro8?#wlblpr4がuser(John)とpasswd(s8oX*zlcro8?#wlblpr4)です.
また,File->export of object -> HTTPからFlag.zipを取得してきます.(僕はこれを見つけることができていなくてメンバーのアオカニくんに解いてもらいました.ありがと♥
こうして,passwdを入力してflag.txtを見ると答えが乗っていました.
SCKOSEN{B@$ic_@uth_is_un$@fe}
Crypto
旅行の写真[200]
上の順位表見ていただけたらわかりますが,この問題を解いたチームは35チーム中4チームしかありません.
これを解いたアオカニくん(アオカニ (@aokani_3) | Twitter)に盛大な拍手を送りたいです.
今度ラーメン一緒に行こうな
これはどうやらステガノグラフィーという技術が使われているみたいです
ステガノグラフィーとは
たとえば、赤色の値が160(0xA0)ならば、2進数では10100000となります。ここで、最下位ビットのビット0を書き換えて、2進数で10100001にしても、人間が視覚で色の違いを認識することは困難です。つまり、色情報として、最下位ビットのビット0あるいはビット1は、書き換えても色の見た目にほとんど影響がないといえます。これにより、画像を構成する各ピクセル(画素)に対して、色情報のビット0やビット1に、任意のバイナリデータをビット単位に分解したものを埋め込んでも、画像としては見た目に変化がなく、データの隠ぺいが可能になります。このような任意のデータの隠ぺい技術をステガノグラフィーと言います
下のURLを参考にしながら解いて
結果がこうなったらしいです
SCKOSEN{dvs GfwDt6IFxtCQ7MpC296Y}
完走した感想
binaryとWebに全く触れられなかったのは悔やまれますが,自分たちの中では頑張ってと思うので次回もまた参加したいなと思います.
それでは,またどこかで会いましょう.
ぽちゃま
今回参加したメンバーのツイッター
potyama(17歳JK) (@PotyaExe) | Twitter