リハビリを兼ねてマクニカCTFに参加してみました。
入賞を狙っていたのですが、残念ながら2桁番台でした。
時間が全然たりないってのもありましたし、解けてたのに答えをサブミットしてないってのもありました。
とっても、悔しいので来年リベンジします。

というわけで、CTFはWriteupを書くところまでがCTFです。

・早期警戒
マルウェアのハッシュ値が提供されるので、そのマルウェアのC&CのIPを答える問題。
ちなみにマルウェア扱いされてる可哀想なバイナリはShinobotです。

・感染端末
マルウェアに感染した端末が社内にある。C&Cへのアクセスしている端末を探せという問題。
データが欠けているので、接続元IPとユーザークライアントの2つしかまともなデータがない状況
CSVで提供されたデータをExcelで開き、上の2つをピボットテーブルに突っ込むと怪しい端末がわかります。

・書込文書
マルウェアが書き込むファイル名を当てろという問題。
Ollydbgで開いて、ファイル書き込みをCallしているところにブレイクポイントを張って実行

・情報漏洩
PCAPが提供される。Wiresharkで開くと該当する通信しかないので楽勝。
ZIPファイルをPOSTしていることがわかるので、その部分をカービング。

・不正使用
Ollyでも開くとLicense認証しているロジックが見える。
ライセンスコードが何も難読化されてないので解けた・・・
のですが、実行後に表示されるキーじゃなくて、
ライセンスコードを入れて不正解と判定され、後回しにしたら解答してませんでした。
ウィンドウズの裏に解答がぁぁぁ

・ステガノ
PNGファイルの後ろにZIPファイルがくっついているので、カービング。

・強固暗号
平文がわかると暗号化しててもZIPが解けるという問題。
PKCRACKで一発と思いきや・・・64bit環境では動作しない！
ここで横着したのが敗因。
遠隔にいる人にツールと実行コマンドを渡して、結果を返してもらうように依頼したが、
コマンドが間違っていました。kaliがDL完了してたので、こっちでソースビルドしたら解けました。

解けなかった問題は以下4つです。
・脆弱会社 (Web系)
DBにSQLインジェクションあるのはわかったけど、パス。多分、簡単。

・難攻不落
バイナリハック。問題文に難しいよと書いてあるのでたぶん難しい。でも解けると思うので後で解く。
ちなみにIDAで開くとエラー吐いた。本格的。

・昇進試験(クロスワードパズル)
時間をかければ解ける問題。園田さんが苦労しながら解いてました。

・内部犯行(ShinoCryptor)
凌さんの作った暗号化ツールをハックする問題。
暗号化アルゴリズムに脆弱性があるらしい。これも後で解く。

いいリハビリになりました。
準備不足が身に染みたぁぁｓ