SECCON2014 オンライン予選英語　Writeup

英語ですが日本語でWriteup書きます。
Web200,300しか決められなかったザコなのでこれ終わったら黙って卒論書く作業に戻りますね。。。

Web200 Web200 REA-JUU WATCH

始めてから15分程度で落とした問題

f:id:kazu1130_h:20141207180237j:plain

ﾌｧｰｰｰｰｰｰｰｰｰｰｰｗｗｗｗｗ

とりあえずCookieにCAKEPHPとか見えたのでSQLとかセッションとかXSSじゃねーなこれ、とアタリを付けました。
黙ってログインしてBurpかませて変態選択肢を選んでたらスコア画面へ。
どうやら僕のリア充度は-229らしいですね。。。
で、Burpをみたら

GET /users/chk/12418 HTTP/1.1
Host: reajuu.pwn.seccon.jp
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: en-us,zh;q=0.8,ja;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
X-Requested-With: XMLHttpRequest
Referer: http://reajuu.pwn.seccon.jp/quiz/7?co=6&ch=19
Cookie: CAKEPHP=mshqfmjppv5bu5gn3ke948lvc3
Connection: keep-alive

HTTP/1.1 200 OK
Date: Sat, 06 Dec 2014 19:06:17 GMT
Server: Apache/2.2.22 (Debian)
X-Powered-By: PHP/5.4.35-0+deb7u2
Vary: Accept-Encoding
Content-Length: 58
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: text/html; charset=UTF-8
{"username":"rtonxsqb","password":"ya4uw46n","point":-229}

なるほどな？？

GET /users/chk/1 HTTP/1.1
Host: reajuu.pwn.seccon.jp
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: en-us,zh;q=0.8,ja;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
X-Requested-With: XMLHttpRequest
Referer: http://reajuu.pwn.seccon.jp/quiz/7?co=6&ch=19
Cookie: CAKEPHP=mshqfmjppv5bu5gn3ke948lvc3
Connection: keep-alive

HTTP/1.1 200 OK
Date: Sat, 06 Dec 2014 19:06:44 GMT
Server: Apache/2.2.22 (Debian)
X-Powered-By: PHP/5.4.35-0+deb7u2
Vary: Accept-Encoding
Content-Length: 61
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: text/html; charset=UTF-8
{"username":"rea-juu","password":"way_t0_f1ag","point":99999}

なるほどな？？？

f:id:kazu1130_h:20141207173020j:plain

(　´_ゝ｀)ﾌｰﾝ

Web 300 Bleeding "Heartbleed" Test Web

だれか「OSコマンドっぽいね」
ぼく「そだねー。まさかHeartBleedの脆弱性を使う事は無いでしょ（笑）」

f:id:kazu1130_h:20141207172759p:plain

自鯖に向けて撃ったらちゃんと検査しに来てるようで、pcapファイルを開いたらwireshark先生が赤く強調してくれました。
おいおいマジか。。。
しゃあない脆弱性あるサーバ立てて挙動見るかー。

そしてApache,openssl,mod_sslと格闘すること2,3時間。。。

致命的に頭が悪いのかな
— きひろちゃん (@aki33524) 2014, 12月 2

……ハニポでええやん！！！！！

http://packetstormsecurity.com/files/126068/hb_honeypot.pl.txt<a href="http://packetstormsecurity.com/files/126068/hb_honeypot.pl.txt">Heartbleed Honeypot Script ≈ Packet Storm</a>
Heartbleed Honeypot Script ≈ Packet Storm

神！！！！！！

f:id:kazu1130_h:20141207180223j:plain

というわけで、HBの結果漏れた情報がエスケープされずにSQL文内に組み込まれている、と分かるので、後はガリガリSQLiするだけです。
ソース中に"by KeigoYAMAZAKI"の文字が見えたので、何も考えずにSQLiteのパターンを試して終了。

どっちもやるだけ問題。。。つら。。。
FOR300もWeb400もCrypt200も解けずに、時間と人権だけが溶けたCTFでした。
っらぃ……卒論しょ……

妄想まとめ

研究とかWebセキュとか時事ネタとか。 @kazu1130_h

SECCON2014 オンライン予選英語　Writeup

Web200 Web200 REA-JUU WATCH

Web 300 Bleeding "Heartbleed" Test Web