アイジア

CTF, 情報セキュリティの学んだことメモ

ksnctf 25 Reserved

ksnctf.sweetduet.info

ppencode

これはppencodeというperl予約語を使った難読化の技術らしいです。このままでもperlで普通に実行できてしまいます。
最初の方だけ解説すると、

print chr ord uc qw q flock q

ここで「FLAG_」の「F」が出力されています。

q flock q
perlでqはシングルクォーテーションを意味します。'flock'です。

qw q flock q
qw演算子は空白文字で区切ったリストを作るものですがいまはflockしかないのでこの部分は変わらず'flock'になります。

uc qw q flock q
予約語「uc」で'flock'を大文字の'FLOCK'に変換します。

chr ord uc qw q flock q
「ord」で'FLOCK'から一文字取り出してASCIIコードに変換(70)、そして「chr」で再び文字に変換して「print」で'F'を出力という流れ。このような処理を繰り返してFLAGが出力されます。

ksnctf 24 Rights out

ksnctf.sweetduet.info

ファイルの実行

f:id:favoritte15:20181213173615p:plain
パネルを反転させるゲームが開始されますが、問題文に「Solving the puzzle is not sufficient.」とあるのでこれをクリアする必要はありません。 実行ファイルは.NETで作られているらしいので、専用の逆コンパイラを使えばC#のコードにまで復元してくれます。今回は.NET.NET Reflectorという逆コンパイラを使います。

ファイルの中身を調べる

f:id:favoritte15:20181213174645p:plain
flagらしきが見つかりました。単純にnumArrayとnumArray2をXORしたものがflagです。

ksnctf 22 Square Cipher

ksnctf.sweetduet.info 問題文の31×31のアルファベットはQRコードを表しています。小文字が白い部分、大文字が黒い部分です。

アルファベットをQRコードに直す

QRコード作成には画面描画に特化した言語であるProcessingを使います。

final int size = 10;  //QRコードのサイズを指定

background(255);
size(310, 310);
fill(0);


String cipher = "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";
int i,j;
char c1;

for(i=0; i < 31; i++){
  for(j=0; j < 31; j++){
    c1 = cipher.charAt(i*31 + j);
    if(int(c1) < 97){  //大文字なら四角形を描画
      rect(j*size, i*size, size, size); 
    }
  }
}


実行結果

f:id:favoritte15:20181202155941p:plain

Processingのすすめ

Processing.org
Processingは、
・「おまじない」がなくわかりやすい
・実行方法が簡単でコンパイルが高速
・文法がJavaベースなので癖がなく理解しやすい
・簡単に画面描画できるため楽しい(ゲームとかもすぐ作れる)
等の強みがあり、初心者にもおすすめです。

ksnctf 21 Perfect Cipher

ksnctfの21問目を解いていきます。メルセンヌツイスタの問題です。 ksnctf.sweetduet.info

大まかな解法


1. encrypt.keyを復元する
2.encrypt.keyからメルセンヌツイスタの乱数を予測し、flag.keyを生成する
3.flag.keyとflag.encからflag_dec.jpgを復元する

1. encrypt.keyを復元する

encrypt.zipには以下のファイルがあります。
f:id:favoritte15:20181129091148p:plain
↓encrypt.cpp

//  g++ -O2 -o encrypt.exe encrypt.cpp mt19937ar.cpp

#include <stdio.h>
#include <stdlib.h>
#include "mt19937ar.h"

typedef unsigned long dword;

void initialize(const char *seed);
void encrypt(const char *plain, const char *crypt, const char *key);
void decrypt(const char *plain, const char *crypt, const char *key);
int min(int a, int b) { return a<b ? a : b; }

int main()
{
    initialize("seed");
    
    encrypt("encrypt.cpp", "encrypt.enc", "encrypt.key");
    encrypt("flag.jpg", "flag.enc", "flag.key");
    
    //  decrypt("encrypt_dec.cpp", "encrypt.enc", "encrypt.key");
    //  decrypt("flag_dec.jpg", "flag.enc", "flag.key");
}

void initialize(const char *seed)
{
    const int N = 1024;
    
    FILE *f = fopen(seed, "rb");
    if (f==NULL)
    {
        printf("Failed to open %s\n", seed);
        exit(-1);
    }
    
    dword buf[N];
    fread(buf, sizeof (dword), N, f);
    
    fclose(f);
    
    init_by_array(buf, N);
}

void encrypt(const char *plain, const char *crypt, const char *key)
{
    FILE *fp = fopen(plain, "rb");
    if (fp==NULL)
    {
        printf("Failed to open %s\n", plain);
        exit(-1);
    }
    FILE *fc = fopen(crypt, "wb");
    if (fc==NULL)
    {
        printf("Failed to open %s\n", crypt);
        exit(-1);
    }
    FILE *fk = fopen(key, "wb");
    if (fk==NULL)
    {
        printf("Failed to open %s\n", key);
        exit(-1);
    }
    
    fseek(fp, 0, SEEK_END);
    dword length = (dword)ftell(fp);
    fseek(fp, 0, SEEK_SET);
    
    fwrite(&length, 4, 1, fc);
    
    for (int i=0; i<length; i+=4)
    {
        dword p;
        fread(&p, 4, 1, fp);
        dword k = genrand_int32();
        dword c = p^k;
        
        fwrite(&c, 4, 1, fc);
        fwrite(&k, 4, 1, fk);
    }
    
    fclose(fp);
    fclose(fc);
    fclose(fk);
}

void decrypt(const char *plain, const char *crypt, const char *key)
{
    FILE *fp = fopen(plain, "wb");
    if (fp==NULL)
    {
        printf("Failed to open %s\n", plain);
        exit(-1);
    }
    FILE *fc = fopen(crypt, "rb");
    if (fc==NULL)
    {
        printf("Failed to open %s\n", crypt);
        exit(-1);
    }
    FILE *fk = fopen(key, "rb");
    if (fk==NULL)
    {
        printf("Failed to open %s\n", key);
        exit(-1);
    }
    
    dword length;
    fread(&length, 4, 1, fc);
    
    for (int i=0; i<length; i+=4)
    {
        dword c;
        fread(&c, 4, 1, fc);
        dword k;
        fread(&k, 4, 1, fk);
        dword p = c^k;
        
        fwrite(&p, min(4,length-i), 1, fp);
    }
    
    fclose(fp);
    fclose(fc);
    fclose(fk);
}


encrypt関数において、
①引数で指定したファイルを開く
②第一引数で指定したファイル(fp)のサイズを取得して.encファイルの先頭4バイトに書き込む ③genrand_int32関数でメルセンヌツイスタの疑似乱数を生成
④fpと生成した疑似乱数を4バイト単位でXORしたものを.encファイルに出力(生成した乱数は.keyファイルに記録する)
というような操作が行われています。

暗号化と言っても単にXORしているだけなのでXORの性質を利用すればencrypt.keyファイルの復元が可能です。
いま、encrypt関数で
encrypt .cpp (XOR) encrypt.key = encrypt.enc
が計算されているので、
encrypt.cpp (XOR) encrypt.enc(先頭4バイト除く) = encrypt.key
となり、生成された乱数を得ることができます。

2.encrypt.keyからメルセンヌツイスタの乱数を予測し、flag.keyを生成する

メルセンヌ・ツイスタをわかった気になる | 成瀬順のメモ帳
(メルセンヌツイスタのしくみについて書かれています)

メルセンヌツイスタは連続した624個の乱数があれば次に生成される乱数の予測が可能になります。先ほど復元したencrypt.keyは2600バイト(=650個の乱数)なので次に生成されたflag.keyを予測できます。これを一から実装するのは大変なので、

Mersenne Twisterの出力を推測してみる - ももいろテクノロジー
こちらのpredict_mt.pyをお借りして、改造します。

import random
from struct import *

def untemper(x):
    x = unBitshiftRightXor(x, 18)
    x = unBitshiftLeftXor(x, 15, 0xefc60000)
    x = unBitshiftLeftXor(x, 7, 0x9d2c5680)
    x = unBitshiftRightXor(x, 11)
    return x

def unBitshiftRightXor(x, shift):
    i = 1
    y = x
    while i * shift < 32:
        z = y >> shift
        y = x ^ z
        i += 1
    return y

def unBitshiftLeftXor(x, shift, mask):
    i = 1
    y = x
    while i * shift < 32:
        z = y << shift
        y = x ^ (z & mask)
        i += 1
    return y


#encrypt.keyから乱数を624読み込みメルセンヌツイスタの内部状態を復元
with open("encrypt.key", "rb") as f:
    values1 = [int.from_bytes(f.read(4), 'little') for i in range(624)]
    mt_state = tuple([untemper(x) for x in values1] + [624])
    random.setstate((3, mt_state, None))

#650個まで分かってるのでいらない
waste=[random.getrandbits(32) for i in range(26)]

#バイト数が78556 → 19639個の乱数が復元に必要
pre = [random.getrandbits(32) for i in range(19639)]


#生成された乱数を4バイト単位でflag.keyに書き込み
with open("flag.key", "wb") as f:
    for x in pre:
        f.write(pack('<L', x))

3.flag.keyとflag.encからflag_dec.jpgを復元する

flag.keyが分かったのであとはdecrypt関数にかければflag_dec.jpgが復元されます。flag_dec.jpgをバイナリエディタで開くとちょっと下にフラグが出てきます。

ksnctf 20 G00913

ksnctf.sweetduet.info

first 10-digit prime found in consecutive digits of π

円周率の中で、最初の10桁の素数を見つけよ。

素数判定いろいろ - シンプルな判定と、素数の分布 - Qiita
上のリンクのsimple_prime_test.pyで素数判定処理がありますのでそれを拝借させていただきます。

import math

def is_prime(n):
    if n == 1: return False

    for k in range(2, int(math.sqrt(n)) + 1):
        if n % k == 0:
            return False

    return True

#円周率 とりあえず100桁
pi = "31415926535897932384626433832795028841971693993751058209749445923078164062862089986280348253421170679"
x = 0

while(x < 90):
    num = int(pi[x:x+10])   #10桁の円周率を抽出
    if(is_prime(num)):
        print(num)
        break
    x += 1

ksnctf 19 ZIP de kure

ksnctf.sweetduet.info

flag.zipにはパスワードがかかっています。
f:id:favoritte15:20181124101600p:plain

It is known that the encryption system of ZIP is weak against known-plaintext attacks

zipは既知平文攻撃に弱いことが知られています。
既知平文攻撃とは、平文の一部と暗号文から鍵を推測し、平文全体を割り出す攻撃手法です。ここでは平文が「flag.html」「Standard-lock-key.jpg」で鍵がパスワード、暗号文がzipファイルです。ここで平文の一部を知りたいのですが「Standard-lock-key.jpg」はネットで出回っているようでした。
...出回っているのですがサイズがいろいろあり、正しい画像を使わないと復号できないみたいです。250kBぐらいのこれを使ってください。

既知平文攻撃はpkcrackを使って行います。

パスワードクラッキングツール pkcrack
引数は以下の通り。

 -C [暗号化されたzipファイル]
 -c [暗号化されたzipファイルの中で平文がわかるファイル]
 -P [平文のファイルが入っている暗号化されていないzip]
 -p [平文のファイル]
 -d [出力先(復号したzipファイルの名前)]

./pkcrack -C flag.zip -c Standard-lock-key.jpg -p flag.zip -p Stadard-lock-key.jpg -d flag_dec.zip

うまくいくとflag_dec.zipが作成され、unzipしてflag.htmlをブラウザで開くとフラグが表示されます。