第9回ネットワークパケットを読む会(仮)

1. CODEGATE2012
YUT Challenge
Preliminary Match
M I S C # 3
2012/06/25
第9回 ネットワークパケットを読む会(仮)
@togakushi

2. お前誰よ
► なまえ：togakushi
► でどころ：sutegoma2

3. CODEGATEとは
► 韓国で2008年から毎年開かれているセキュリ
韓国で から毎年開かれているセキュリ
毎年開かれている
ティカンファレンス
► YUT Challengeはその中で開催されている
はその中 開催されている
CTF
► 事前に予選が行われ、上位チームがカンファレ
事前に予選が われ、上位チーム チームが
ンス内 われる決勝戦 出場できる
決勝戦に
ンス内で行われる決勝戦に出場できる
► 予選開催日 : 2012. 2. 24(Fri) 21:00 ~
2. 26(Sun) 09:00 (36Hrs) (GMT +9)

4. CTFとは
► CaptureThe Flagと呼ばれる競技
► Flag(旗)となるキーワードやパスワードを配布
されるファイルやWebサイトから探す
配布されるファイルの形式
Diskイメージ(ファイルシステム問わず、時には
RAID0の半分だけとか)/実行ファイル(形式問わ
ず)/パケットダンプ/その他いろいろ

5. MISC #3
You spied to find “Secret of Joseon which is
previous dynasty of Korea”.
You got all main pages information to manage
unrevealed secret of Joseon through network
sniffing.
Open the file contained the secret of Joseon.
Answer : strupr(md5(password))
Download : 56C5A2B69084AEC379406CEB42CEC70C

6. これがなんなのか調べる
► ファイルをダウンロードしてお決まりのチェック
> md5sum 56C5A2B69084AEC379406CEB42CEC70C
56c5a2b69084aec379406ceb42cec70c
56C5A2B69084AEC379406CEB42CEC70C
> file 56C5A2B69084AEC379406CEB42CEC70C
56C5A2B69084AEC379406CEB42CEC70C: tcpdump capture
file (little-endian) - version 2.4 (Ethernet,
capture length 32767)

7. Wiresharkで眺めてみる

8. ストーリー(仮説)を考える
► ほとんどがHTTPの通信
► 問題文から秘密のファイルがやり取りされてる
はず
► 秘密のファイルを開ければよさそう

9. 秘密のファイルを探す
► HTTP通信で流れてるファイルはオブジェクトダ
ンプで一括で抽出できる
► ファイル
→エクスポート
→オブジェクト
→HTTP

10. 途中経過
> ls
01.jpg bg-headliner-top-shadow.jpg index(2).html
300px-Korean_celestial_globe.jpg bg-navigation.gif index.html
300px-Korean_Waterclock.jpg bg-navigation-left-curve.gif King_Sejong_en
300px-Seoul-Gyeongbokgung-Sundial-02.jpg bg-navigation-right-curve.gif korean_secret
about.html carterone-webfont(1).woff reference.html
andika-r-webfont(1).woff carterone-webfont.woff register.html
andika-r-webfont.woff celestial.html separator-navigation.gif
bg-body.gif civil_service.html sprites-buttons.gif
bg-featured.gif contact.html sprites-icon.gif
bg-featured.jpg cp0421034001_00001 sprites-inputs.gif
bg-footer.gif css style(1).css
bg-header.gif fonts style.css
bg-headliner-bottom-shadow.jpg hack sundial.html
bg-headliner.gif images waterclock.html
bg-headliner-image-shadow.jpg index(1).html

11. パスワード付きPDFを発見
► 「korean_secret」というあからさまなファイル名
のPDFがあり、パスワードで保護されている
► パスワードは何か？
4人くらいで挑戦
朝鮮王を調べてそれっぽいキーワードで試す
Webのアドレスや電話番号などパスワードにしそう
なもので試す
ブルートフォースアタックを試す

12. パケットの中にパスワードあるかも
► ダンプファイルから辞書を作ってそれでやって
みる
> strings 56C5A2B69084AEC379406CEB42CEC70C ¥
| sed 's/[ ¥t]/¥n/g' | sort -u > dic.txt
> wc dic.txt
42633 42632 282744 dic.txt

13. 回答
► ツールを使って辞書攻撃
% pdfcrack -o -w dic.txt korean_secret
PDF version 1.6
Security Handler: Standard
V: 4
R: 4
P: -3904
Length: 128
Encrypted Metadata: True
FileID: 3f96dd275a3a594b9699307df9117b5f
U: 774e894ba5544df616025fe657b3ac4e00000000000000000000000000000000
O: 215c67bf60b941032efc5e200d906082a394cad728608cad8aea351adaaa2718
found owner-password: ‘28-letter’
found user-password: ‘28-letter’
パスワードを問題文に掲載されてる形式に変換したものが答え

14. おしまい