大阪大学のCTF サークル Wani Hackaseさんが開催してくださりましたWaniCTFのWriteupです！初心者向けのCTFということもあり、かなり面白かったです。

https://score.wanictf.org/#/

今回はCrypto問について書いていきます。他の分野も少しだけ解けたのですが、もう少し出来るようになりたいですね。

Crypto問のOUCSは解き方に加え証明も書いているので、是非とも読んでいただければと思います。分かりやすく書いたつもりですが、不明瞭な点がありましたら、コメントしていただけますと嬉しいです。

• Simple conversion [Begineer]
• Easy [Easy]
• Extra [Normal]
• Can't restore the flag? [Hard]
• OUCS [Very hard]
• Problems & Solver

Simple conversion [Begineer]

戻し方を忘れました…
ファイル：cry-simple-conversion.zip

convert.pyを見るとバイト列を整数にしているようですね。とりあえずlong_to_bytesしてみたらflagが出てきました。little endianならto_bytesを使えば良さそうですね。

from Crypto.Util.number import *
x = 709088550902439876921359662969011490817828244100611994507393920171782905026859712405088781429996152122943882490614543229
print(long_to_bytes(x))

FLAG{7h1s_i5_h0w_we_c0nvert_m3ss@ges_1nt0_num63rs}

Easy [Easy]

手始めに
ファイル：cry-easy.zip

encrypt.pyを見ると、[A-Z]を[0-25]に対応させてそれをxに入れ、a*x+b mod 26の式で暗号化しています。それの結果がoutput.txtに入っています。

outputの先頭4文字は"FLAG"が暗号化された文字列なので、そこからa, bを求めていきます。

• "H" = a×"F" + b
• "L" = a×"L" + b
• "I" = a×"A" + b
• "M" = a×"G" + b

となるa, bを求めていきますが、複雑なことはしません。mod 26の世界なのでa, b共に0~25でbrute forceすればOKです。

enc = "HLIM{OCLSAQCZASPYFZASRILLCVMC}"
test = "FLAG"
ans = []
for i in range(len(test)):
    temp = []
    for a in range(26):
        for b in range(26):
            t = encrypt(test[i],a,b)
            if t == enc[i]:
                temp.append([a,b])

    ans.append(temp)


for i in range(len(ans[0])):
    #ans[0][i]が他にもあるか探索
    check = True
    for j in range(1,len(ans)):
        ch = False
        for k in range(len(ans[j])):
            if ans[0][i] == ans[j][k]:
                ch = True
                break
        if not ch:
            check = False
            break
    if check:
        print(ans[0][i])

上記の4つの式の内、一番上の式に当てはまるa, bはans[0]に記憶し、その下の式はans[1], ans[2], ans[3]に入っています。ans[0][i]がans[1~3]にも含まれているかをcheckします。もっといいコードありそう。

コードを走らせると、a=5, b=8と一意に決まりました。あとはencrypt関数の逆を作ればOKです。

def decrypt(ct,a,b):
    pt = ""
    for x in ct:
        if ord("A") <= ord(x) <= ord("Z"):
            x = ord(x) - ord("A")
            for i in range(26):
                if x == (a*i+b)%26:
                    x = chr(i + ord("A"))
                    pt += x
                    break
        else: pt += x
    return pt

FLAG{WELCOMETOCRYPTOCHALLENGE}

Extra [Normal]

いつものRSA？
ファイル：cry-extra.zip

RSAの公開鍵(e,N)に加えて、M = 2×p+qが公開されています。これは解と係数の関係を使って解けそうです。Mがp+qならx²-N×x+Mの解がp, qになりますが、M = 2×p+qなので2×p, qが解になる二次方程式を立てます。二つの解の積2×p×qはNを2倍すれば手に入るので、解と係数の関係を利用してp, qを求めます。

二次方程式における解と係数の関係 | 高校数学の美しい物語

from Crypto.Util.number import *
import gmpy2
import math

N = (省略)
M = (省略)
e = 65537
c = (省略)
n = 2*N
ro, check = gmpy2.iroot(M*M-4*n,2)
assert check
q = (M-ro)//2
assert math.gcd(N,q) != 1
p = N//q
phi = (p-1)*(q-1)
d = inverse(e,phi)
m = pow(c,d,N)
print(long_to_bytes(m))

FLAG{@n_ex7ra_param3ter_ru1n5_3very7h1n9}

Can't restore the flag? [Hard]

ちりつもですよ
nc crt.cry.wanictf.org 50000
ファイル：cry-cant-restore-the-flag.zip

server.pyを見るとbytes_to_longしたflagに対して、300以下の数値を送るとその数で割った余りを教えてくれます。これはもう中国剰余定理ですね。2~300を全て送ってその余りを記憶してライブラリで解きます。300! > 10¹⁰³ なので確実にflagを復元できます。

from sympy.ntheory.modular import crt
mod = []
val = []
for i in range(2,301):
    print(i)
    read_until(f,"Mod > ")
    s.send(str(i).encode()+b"\n")
    recv = int(read_until(f).strip())
    mod.append(i)
    val.append(recv)
m,_ = crt(mod,val)
print(long_to_bytes(m))

FLAG{Ch1n3s3_r3m@1nd3r_7h30r3m__so_u5eful}

OUCS [Very hard]

OUによるHomomorphicなCryptoSystemです
nc oucs.cry.wanictf.org 50010
ファイル：cry-oucs.zip

この問題解けたの嬉しかったですね。

ではまず暗号化について。n = p×p×qとしg^p-1 mod p² != 1であるgを選び、h=gⁿ mod nとした(n,g,h)が公開鍵となります。plaintextをmとすると暗号文cは、c=(g^m mod n × h^r mod n) mod nとなります(r : 乱数)。hの条件より上記の式は

c = (g^m mod n × (gⁿ)^r mod n) = g^m+n×r mod n ・・・①

となります。

次に復号について。なぜserver.pyのコードで復号できるのでしょうか。

a = ( (c^p-1 mod p²) - 1) // p ・・・②
b = ( (g^p-1 mod p²) - 1) // p ・・・③
m = a × b^-1 mod p ・・・④

まず、フェルマーの小定理 ( x^p-1 mod p = 1) を使います。c^p-1 = k'×p+1 (k' : 整数)となるので、k' != pである限り、②より(c^p-1 mod p²) = k'×p+1となり、a=k'となります。同様に、g^p-1 = k×p+1 (k : 整数)となるので、b=kとなります。ここで④より、k'/k = mとなります。故に、k'=k×mと置くことが出来ます。

k×m = ( (c^p-1 mod p²) - 1) // p
k×m×p+1 = c^p-1 mod p² ・・・⑤

⑤を証明していきます。式①と式⑤に代入しています。n = p×p×qであるので、mod nの式をmod p² の式に落とし込むことが出来ます。

k×m×p+1 = (g^m+n×r mod n)^p-1 mod p² = (g^m+n×r )^p-1 mod p²
= g ^{(m+n×r)×(p-1)} mod p²

となります。さらに展開していきます。

k×m×p+1 = g ^{(m+n×r)×(p-1)} mod p² = g^m×(p-1) × g^n×r×(p-1) mod p²

ここで、オイラーの公式( x ^φ(n) = 1 mod n )を使います。φ(p²) = p×(p-1)となります(p²と互いに素ではないp²以下の自然数は、p, 2p, 3p, ... , (p-1)p, pp のp個)。

n×r×(p-1) = p×p×q×r×(p-1) = A×p×(p-1)

であるので、g^n×r×(p-1) mod p² = 1です。故に、k×m×p+1 = g^m×(p-1) となります、これをg^p-1 = k×p+1 (k : 整数) が出てくるようにします。

k×m×p+1 = g^m×(p-1) mod p² = g^p-1m mod p² = (k×p+1)^m mod p²

となります。ここで二項係数とパスカルの三角形を考えると、

パスカルの三角形 - Wikipedia

(k×p+1)^m = (k×p)^m + m×(k×p)^m-1 + mC2 × (k×p)^m-2 + ... + mC(m-2) × (k×p)² + m×(k×p) + 1

となります。これをmod p²すると、後ろ2項以外はp²が含まれるので0となるのでm×(k×p) + 1となり、式⑤が証明されました。

では、これを使ってどのようにmを求めればいいのでしょうか。ここまで長い証明を読んで下さった方には申し訳ないですが、答えはあっさりです。
a = ( (c^p-1 mod p²) - 1) // p = k×mとなるのに対しa' = 2×k×mとなるa'があれば、
a'×b^-1 mod p²= 2×m mod p²となり、復号結果がflagと異なるので復号後その値をサーバが教えてくれるはずです。2×m < p となるのは希望的観測です。このくらいは耐えるだろう。

c = g^m+n×r mod n より、c² mod n = (g^m+n×r mod n) × (g^m+n×r mod n) = g^2×(m+n×r) mod n

c' = c² mod nとして復号してもらうと、

a = ( (c'^(p-1) mod p²) - 1) // p = ( (g^2×(m+n×r) )^p-1 mod p² - 1) // p = (g^2×m×(p-1) mod p² - 1) // p

b = ( (g^p-1 mod p²) - 1) // p

g^p-1 = k×p+1 (k : 整数) より、

b = ( ( k×p+1 mod p²) - 1) // p = (k×p) // p = k

a = (g^2×m×(p-1) mod p² - 1) // p = ( (k×p+1)^2×m mod p² - 1) // p = (先程のパスカルの三角形より) ( ( 2×m×k×p+1 ) - 1) // p = 2×m×k

よって、a×b^-1 mod p = 2×m×k×k^-1 = 2×m となり、a'×b^-1 mod p²= 2×m mod p²が成り立つa'をサーバに計算させることが出来ました。

長ったらしい証明をしましたが、公開鍵とcを受け取ってc² mod nを計算して復号させ、得られた平文の値を2で割ってlong_to_bytes()するだけです。solverは結構短めです。

HOST, PORT = "oucs.cry.wanictf.org", 50010
s, f = sock(HOST, PORT)
for _ in range(10): read_until(f)
for _ in range(7): read_until(f)
read_until(f,"> ")
s.send(b"1\n")
recv_m = read_until(f).split()
c = int(recv_m[-1][2:],16)
for _ in range(8): read_until(f)
read_until(f,"> ")
s.send(b"4\n")
recv_m = read_until(f).split()
n = int(recv_m[-1][2:],16)
recv_m = read_until(f).split()
g = int(recv_m[-1][2:],16)
for _ in range(9): read_until(f)
c2 = pow(c,2,n)
read_until(f,"> ")
s.send(b"3\n")
read_until(f)
read_until(f,"> ")
s.send(str(c2).encode()+b"\n")
recv_m = read_until(f).split()
m2 = int(recv_m[-1][2:],16)
print(long_to_bytes(m2//2))

FLAG{OU_d0es_n0t_repre53nt_Osaka_University_but_Okamoto-Uchiyama}

Problems & Solver

GitHub - ksbowler/waniCTF_2021spring

おわりに

今回はcrypto問について書いていきました。

OUCSにおいて、証明までしっかりして解いたのは久しぶりでしたしflagが出たときの爽快感が半端なかったです！解いた人の中で証明までした人と、たまたま見つけた人との割合が気になります。この問題ならたまたまの人はそれなりにいるんじゃないかな。

他の分野はまだまだ分からないことだらけで、今年から少しずつ勉強していきたいと思います。もう5月だけど…
m1z0r3として出場するコンテストならともかく、個人戦の初心者向けのCTFならある程度解けるようになりたいですね。

m1z0r3はWPICTFにも参加していたのですが難しすぎて私はすぐ撤退…。
HeroCTFはそこそこの難易度でcryptoは全完できたのでよかったです！

https://www.heroctf.fr

• Result
• Writeup
  • Blockchain
    • Transfer 25pt
  • Crypto
    • h4XOR 75 pt
    • ExtractMyBlocks 125 pt
  • Forensics
    • We need you 1/5 50pt
    • We need you 2/5 75pt
    • We need you 3/5 80pt
  • Misc
    • Discord 1pt
    • Cubes 40pt
    • Russian Doll 50pt
  • OSINT
    • Find me 10pt
    • Social ID #1 15pt
    • Pushhhh 35pt
    • Social ID #2 50pt
  • Prog
    • Ping Pong 45pt
    • PRo Random Guesser 50pt
  • Reverse
    • EasyAssembly 40pt
  • Steganography
    • HolyAbbot 15pt
    • Nice PDF 20pt
• Problems&solver

Result

もう少しで1000ptと2桁順位が見えたので悔しいですね…

Writeup

Blockchain

Transfer 25pt

We've been tracking drug dealers for a few years. The only thing we got from their network is a hash : bfa8b1c8b7f6acc867d6984968756cafd0da99060aa6d90dfb0db1a9ef0c96a2
Can you tell us where the money is gone?

Blockchainというジャンルは初めてです。いつもはよくEtherscanを使っているのですがそちらでは見つからず、こちらでhash検索で見つかりました。

Transaction: bfa8b1c8b7f6acc867d6984968756cafd0da99060aa6d90dfb0db1a9ef0c96a2 | Blockchain Explorer

Hero{1PQBh6tddet14bYDsSbUiox1YJb5EL185A}

Crypto

h4XOR 75 pt

Can you recover the flag.png image ?
Hint : The xor function is from the pwntools module.
ファイル：flag.png.enc, xor.py

まずxor.pyについて読んでいきます。flag.pngのバイナリデータと、ランダムな8bytesと[0-9]の内どれかをバイト列として繋げた9bytesをxorしてflag.png.encに書き込んでいます。ここでpwntoolsでのxorは特殊で、xorする際に両方の長さを揃えるようにします。長い方に合わせる形で短い方を伸ばします。短い方の長さが長い方の倍数で無い場合、先頭bytesを付け加えます。例えばb"ABCDE"を12bytesにしたい場合、b"ABCDEABCDEAB"という感じです。

ランダムな9bytesの方ですが、後ろ1bytesは10通りしかないのでbrute force可能です。ですが前8bytesをbrute forceするのは256⁸ = O(10²⁰)とかなりかかるので不可能です。なので別の方法を考えましょう。

PNG画像ファイルのフォーマットはこちらで勉強しました。

PNG ファイルフォーマット

PNG画像ファイルの先頭8bytesは16進数で "89504E470D0A1A0A"と決まっています。なのでこの値とencの先頭8bytesをxorするとランダムな8bytesの値が手に入ります。あとは0~9の10通りを試せばOKです。

from os import urandom
from random import randint
from pwn import xor
from Crypto.Util.number import *


outpout_img = open("flag.png.enc", "rb").read()
head = 0x89504E470D0A1A0A
k = long_to_bytes(bytes_to_long(outpout_img[:8])^head)
img0 =open("flag0.png", "wb")
img1 =open("flag1.png", "wb")
img2 =open("flag2.png", "wb")
img3 =open("flag3.png", "wb")
img4 =open("flag4.png", "wb")
img5 =open("flag5.png", "wb")
img6 =open("flag6.png", "wb")
img7 =open("flag7.png", "wb")
img8 =open("flag8.png", "wb")
img9 =open("flag9.png", "wb")
key0 = k + bytes([0])
key1 = k + bytes([1])
key2 = k + bytes([2])
key3 = k + bytes([3])
key4 = k + bytes([4])
key5 = k + bytes([5])
key6 = k + bytes([6])
key7 = k + bytes([7])
key8 = k + bytes([8])
key9 = k + bytes([9])
img0.write(xor(outpout_img, key0))
img1.write(xor(outpout_img, key1))
img2.write(xor(outpout_img, key2))
img3.write(xor(outpout_img, key3))
img4.write(xor(outpout_img, key4))
img5.write(xor(outpout_img, key5))
img6.write(xor(outpout_img, key6))
img7.write(xor(outpout_img, key7))
img8.write(xor(outpout_img, key8))
img9.write(xor(outpout_img, key9))

もっと綺麗なsolverはあるはず

Hero{123_xor_321}

ExtractMyBlocks 125 pt

The company PasswordS3cure created a new password reset functionality. Could you crack it and find the flag ?
nc chall0.heroctf.fr 10000
ファイル：challenge.py

challenge.pyを読んでいきます。

文字列を投げるとaccount_idとして処理され、それやflagを含むmsg変数にある文字列がAESのECBモードで暗号化され、それを16進数にした値が渡されます。KEYの値は不明です。

AESのECBモードはもっとも単純な暗号化方式になります。

KEYが同じ場合、同じ平文なら同じ暗号文が返されます。CBCモードと異なり、同じ16bytesの平文を二つ繋げた文字列を暗号化すると、16bytesの同じ暗号文が二つ繋げた状態で返ってきます。何ブロック目かなんて関係ないです。flagの文字列も一緒に暗号化されるので、同じ文字列を送れば同じ暗号文になり情報が得られそうです。ただし16bytes毎に区切っているので開始位置に注意する必要があります。これらを考慮しながら入力を調整していく方向で考えていきます。

flagをいきなりbrute forceするのは無理があります。長さも分からないので無謀です。しかし、一文字ごと特定するのであれば64くらい×(flag長)なのでそんなに時間がかからないです。では一文字ずつ特定していきましょう。

flagが含まれるmsg変数のflagが始まる10文字を注目していきます。(その10文字)+"Hero{"+(flagの1文字目) (=Fとします )が一つのblockとして扱われるよう(blockを跨ぐことのないよう)入力を調整していきます。(その10文字)の先頭が16*k+1文字目になればOKです。※(その10文字) = "assword : "

ではこちらが送る文字列も(その10文字)+"Hero{"+(flagの1文字目をbrute forceで試している1文字) (=Tとします )が一つのblockとして扱われるようにこちらも入力を調整していきます。

下の図について、\は改行を、*はT,Fが1blockに収まるように調整を、?はbrute forceで試す1文字を表しています。これはflagの{以降の最初の文字を調べる時の図です。

上から2,4番目の文字列が等しくなる場合、つまり?にflagの1文字目が入った場合、暗号文の2,4 block目(16~32bytesと48~64bytes目)が同じ値になります。これで1文字目が"_"ということが分かりました(1文字目でこの文字は不安になる)。

次に2文字目についてです。

2block目を1文字シフトさせ3block目のpaddingを一つ減らすことで、上手く2,4block目を対応させます。
このようにして?に"}"が当てはまるまで繰り返していきます。3block目のpaddingが0になったら次は16個増やして2,5 block目が同じならOKという感じにシフトしていきます。flag長が16を超えたら3,6block目にしないと…と考えてたらかなり短かったです。

candi = "ABCDEFGHJIKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz01234567890{}_"
FLAG = "Hero{test_flag}" #簡易的なflag。途中msgを出力している際に入力として送る文字列が正しい長さ確認する
flag = "Hero{"
isbreak = False #終了条件
#tempをシフトさせていって1文字ずつbrute forceしていく
temp = "assword : Hero{"
k = len(" !\n\nYour p") #paddingする際の長さ
print(k)
L = 16 #paddingで送る長さ調整。k=16になった時は32にする。
M = 3 #暗号化されたflagが何blockにあたるか
while True:
    printmsg = True
    print("k :",k)
    for i in candi:
        print(i)
        HOST, PORT = "chall0.heroctf.fr", 10000
        s, f = sock(HOST, PORT)
        _ = read_until(f)
        read_until(f,"ID : ")
        account_id = "12" + temp + i + "0"*(L-k)
        _msg = f"""
Welcome back {account_id} !

Your password : {FLAG}

Regards
"""
        #送る入力が正しいものになっているか。特に長さの確認
        if printmsg:
            for j in range(0,len(_msg),16):
                print(j//16,_msg[j:j+16])
        msg = "12" + temp + i + "0"*(L-k)
        s.send(msg.encode()+b"\n")
        ct = read_until(f).strip()
        assert len(ct)%32 == 0
        cip = []
        for j in range(0,len(ct),32):
            cip.append(ct[j:j+32])
        if cip[1] == cip[M]:
            print(i)
            s.close()
            flag += i
            if i == "}":
                print("This is the flag!")
                print(flag)
                isbreak = True
                break
            print(flag)
            temp = temp[1:] + i
            k += 1
            if k == 16:
                L += 16
                M += 1
            break
        s.close()
        printmsg = False
    if isbreak: break

Hero{_BL0CK5_}

Forensics

We need you 1/5 50pt

Interpol and the FBI have been investigating for over a year now. They are trying to get their hands on two hackers very well known for their ransomware and their ultra efficient botnet.
After long months of investigation, they managed to get their hands on one of their servers. But, when they got it back the PC caught fire because of a defense mechanism set up by the two hackers.
The hard drive could not be saved, but they had time to put the RAM in liquid nitrogen and analyze it later.
You know what you have to do!
For this first step, find the name of the PC!
Download, here.
Format: Hero{Name}
ファイル：Challenge.zip

zipファイルを解凍するとcapture.memが得られます。memファイルの解析ってなんだ、とググるとvolatilityが使えることが判明！

ずばり欲しいデータを得られるコマンドを教えてくれるサイトがありました。

Volatility/Retrieve-hostname - aldeid

$ volatility -f capture.mem imageinfo
Volatility Foundation Volatility Framework 2.6
INFO    : volatility.debug    : Determining profile based on KDBG search...
          Suggested Profile(s) : Win7SP1x86_23418, Win7SP0x86, Win7SP1x86
          (省略)

$ volatility -f capture.mem --profile=Win7SP1x86 hivelist
Volatility Foundation Volatility Framework 2.6
Virtual    Physical   Name
---------- ---------- ----
(省略)
0x823859c8 0x2b5d99c8 \SystemRoot\System32\Config\SAM
0x8940c5e8 0x2d5415e8 [no name]
0x8941a2c0 0x2d58d2c0 \REGISTRY\MACHINE\SYSTEM
(省略)


$ volatility -f capture.mem --profile=Win7SP1x86 printkey -o 0x8941a2c0 -K 'ControlSet001\Control\ComputerName\ComputerName'
Volatility Foundation Volatility Framework 2.6
Legend: (S) = Stable   (V) = Volatile

----------------------------
Registry: \REGISTRY\MACHINE\SYSTEM
Key name: ComputerName (S)
Last updated: 2021-04-19 17:00:09 UTC+0000

Subkeys:

Values:
REG_SZ                        : (S) mnmsrvc
REG_SZ        ComputerName    : (S) KANNIBAL

Hero{KANNIBAL}

We need you 2/5 75pt

It must be their team name.
For this second step, find the user's name and password in clear text.
Format: Hero{Username:Password}

先程使ったサイト、他にも欲しい情報くれるので最高過ぎる

Volatility/Retrieve-password - aldeid

1/5で使ったimageinfoとhivelistを使います

$ volatility -f capture.mem --profile=Win7SP1x86 hashdump -y 0x8941a2c0 -s 0x823859c8
Volatility Foundation Volatility Framework 2.6
Administrateur:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Invit:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Razex:1000:aad3b435b51404eeaad3b435b51404ee:78d9c7e905c695087ee3baa755ce43e4:::

UsernameがRazexであることに気付かず、crackしてから時間かかりました…。

Hero{Razex:liverpoolfc123}

We need you 3/5 80pt

We know for sure that this server allowed to connect to infected machines. Can you check if a connection was instantiated?
Format: Hero{IP:Port}

接続を確認するのはconnectionsコマンドだろうと実行するもサポートしてないと指摘される。うーん、他にないかな。

Volatility, my own cheatsheet (Part 5): Networking | Andrea Fortuna

netscanでもいいのかありがたい。

$ volatility -f capture.mem --profile=Win7SP1x86 netscan
Volatility Foundation Volatility Framework 2.6
Offset(P)          Proto    Local Address                  Foreign Address      State            Pid      Owner          Created
(省略)
0x7ee41538         TCPv4    10.0.2.15:49159                146.59.156.82:4444   ESTABLISHED      3296     nc.exe
(省略)

他を省略していますがStateが唯一ESTABLISHEDとなっているものがあったのでForeign Addressを投げたら通りました。

Hero{146.59.156.82:4444}

Misc

Discord 1pt

Join our Discord server and read the rules !
URL : https://discord.gg/PhNkPrfeJG

discord内に分かりやすく書いてほしい…。

Hero{3njoy_th3_3v3nt}

Cubes 40pt

#257 ; #260 ; #282 ; #12 ; #349:2 ; #344 ; #383:120 ; #368
The flag is in in lowercase, without spaces.

これ解けたの嬉しい！

暗号ぽいので「cube cipher」でググるとrubik's cube cipherがヒットしました。ルービックキューブは9個*6面の54種類のスペース(?)があるのに対し、暗号文の数が大きすぎます。そもそも「383:120」などのコロンが付いているやつが何も分かりません。

この特徴的な値に注目し「383:120 cube」でググると…。

Minecraft ID List - Minecraft Info

めちゃくちゃぽい！！

頭文字を並べてみると"iamscese"となる。"iam"はそれっぽいのに最後がなんか変。提出してもincorrectでした。

方向性は間違っていないだろうとminecraftのIDリストを調べてみるとどうやら見ていたのが古いバージョンだった模様。こちらで調べて頭文字を調べるとcorrectとなりました！

Minecraft ID List (1.16) | Minecraft Item IDs

Hero{iamsteve}

Russian Doll 50pt

Go deeper !
ファイル：archive.zip

問題文と問題名よりzip解凍するとめちゃくちゃディレクトリ階層の深いのだろうと…ビンゴ。ただ予想をはるかに超える深さでした。最下層にflag.txtがあるのが見えたので、なんとか検索できる術はないかと模索したところ、見つかりました！

[Linux]grepでディレクトリ以下の全てのファイルを検索する │ TEAM T3A

$ find ./ -type f | xargs grep "Hero{"
Binary file ./archive.zip matches
./you/are/about/to/get/rick/rolled/rickRollIncoming/no/iMean/really/lastWarning/toldYou/you/should/have/listened/now/stop/looking/in/someoneElse/stuff/cuteCatPictures/goAway/stop/clicking/manually/through/folders/like/that/write/a/script/to/do/it/for/you/come/on/waste/of/time/what/about/a/recipe/now/200/g/de/pois/chiches/500/g/de/feve/seches/1/oignon/moyen/2/gousses/dail/1/bouquet/de/persil/3/cuilleres/a/soupe/de/farine/1/cuillere/a/cafe/de/cumin/en/poudre/1/cuillere/a/cafe/de/coriandre/en/poudre/1/cuillere/à/cafe/de/paprika/3/cuilleres/a/soupe/de/basilic/frais/hache/sel/huile/de/friture/faites/tremper/les/pois/chiches/et/les/feves/dans/leau/12h/les/egoutter/et/les/cuire/45/mn/a/l/auto/cuiseur/peler/oignon/et/ail/les/hacher/ainsi/que/le/persil/passer/les/feves/et/les/pois/chiches/au/mixer/ourobot/melanger/avec/le/persil/loignon/lail/la/farine/les/epices/le/sel/petrissez/le/tout/avec/vos/mains/en/ajoutant/un/peu/deau/si/necessaire/rassemblez/la/pate/et/laisser/reposer/au/refrigerateur/pendant/minimum/30mn/faconner/une/trentaine/de/boulettes/de/la/grosseur/dune/piece/de/2/euros/les/faire/frire/2-3/mn/puis/les/egoutter/sur/du/papier/absorbant/servir/chaud/ou/froid/avec/des/petites/sauces/tomates/aux/herbes/ou/sauces/yaourts/et/voila/cest/pret/bon/appetit/notPorn/stillNotPorn/reallyNot/seriousStuff/work/realWork/porn/did/you/really/think/there/would/be/porn/inA/work/directory/now/stop/looking/in/someoneElseS/stuff/cuteCatPictures/goAway/stop/clicking/manually/through/folders/like/that/write/a/script/to/do/it/for/you/come/on/waste/of/time/what/about/a/recipe/now/200/g/de/pois/chiches/500/g/de/feve/seches/1/oignon/moyen/2/gousses/dail/1/bouquet/de/persil/3/cuilleres/a/soupe/de/farine/1/cuillere/a/cafe/de/cumin/en/poudre/1/cuillere/a/cafe/de/coriandre/en/poudre/1/cuillere/à/cafe/de/paprika/3/cuilleres/a/soupe/de/basilic/frais/hache/sel/huile/de/friture/faites/tremper/les/pois/chiches/et/les/feves/dans/leau/12h/les/egoutter/et/les/cuire/45/mn/a/l/auto/cuiseur/peler/oignon/et/ail/les/hacher/ainsi/que/le/persil/passer/les/feves/et/les/pois/chiches/au/mixer/ourobot/melanger/avec/le/persil/loignon/lail/la/farine/les/epices/le/sel/petrissez/le/tout/avec/vos/mains/en/ajoutant/un/peu/deau/si/necessaire/rassemblez/la/pate/et/laisser/reposer/au/refrigerateur/pendant/minimum/30mn/faconner/une/trentaine/de/boulettes/de/la/grosseur/dune/piece/de/2/euros/les/faire/frire/2-3/mn/puis/les/egoutter/sur/du/papier/absorbant/servir/chaud/ou/froid/avec/des/petites/sauces/tomates/aux/herbes/ou/sauces/yaourts/et/voila/cest/pret/bon/appetit/ok/you/win/hereIsTheFlag/haha/what/about/a/recipe/now/200/g/de/pois/chiches/500/g/de/feve/seches/1/oignon/moyen/2/gousses/dail/1/bouquet/de/persil/3/cuilleres/a/soupe/de/farine/1/cuillere/a/cafe/de/cumin/en/poudre/1/cuillere/a/cafe/de/coriandre/en/poudre/1/cuillere/à/cafe/de/paprika/3/cuilleres/a/soupe/de/basilic/frais/hache/sel/huile/de/friture/faites/tremper/les/pois/chiches/et/les/feves/dans/leau/12h/les/egoutter/et/les/cuire/45/mn/a/l/auto/cuiseur/peler/oignon/et/ail/les/hacher/ainsi/que/le/persil/passer/les/feves/et/les/pois/chiches/au/mixer/ourobot/melanger/avec/le/persil/loignon/lail/la/farine/les/epices/le/sel/petrissez/le/tout/avec/vos/mains/en/ajoutant/un/peu/deau/si/necessaire/rassemblez/la/pate/et/laisser/reposer/au/refrigerateur/pendant/minimum/30mn/faconner/une/trentaine/de/boulettes/de/la/grosseur/dune/piece/de/2/euros/les/faire/frire/2-3/mn/puis/les/egoutter/sur/du/papier/absorbant/servir/chaud/ou/froid/avec/des/petites/sauces/tomates/aux/herbes/ou/sauces/yaourts/et/voila/cest/pret/bon/appetit/bonOk/flag.txt:Hero{if_yOu_gOt_HEre_By_clIcKInG_mANnUaLly_YoU_sHOuLd_REalLy_SeE_SoMeOne}

Hero{if_yOu_gOt_HEre_By_clIcKInG_mANnUaLly_YoU_sHOuLd_REalLy_SeE_SoMeOne}

OSINT

Find me 10pt

Could you retrieve where this photo was taken ?
Format : Hero{place}
ファイル：find_me.jpg

画像検索で一発です。

Hero{portes mordelaises}

Social ID #1 15pt

Can you find the twitter ID of @HeroCTF.
Format : Hero{twitter_id}

twitter ID って@HeroCTFじゃないのか？と調べたところある整数値がIDだそうです。スクリーンネーム(@以降)を投げると教えてくれるサイトがありました。

idtwi | Twitter IDチェッカー(変更履歴の追跡)

Hero{815907006708060160}

Pushhhh 35pt

The flag is in one of the two Github repositories of the last HeroCTF edition. Could you find it ?

今回がv3なのでv2のgithubを調べれば良さそうです。色々見たところbranchが複数…。

ここを覗いてみるとflagがありました。

HeroCTF_v2/flag.txt at flag · HeroCTF/HeroCTF_v2 · GitHub

Hero{y0u_re_g00d_4t_g1t_250820}

Social ID #2 50pt

Can you find the @username of this Twitter ID 44196397.
Format : Hero{username}

先程のidtwiでOKです。

Hero{@elonmusk}

Prog

Ping Pong 45pt

Could you get the flag ?
ファイル：output.txt

ProgってProgrammingかな？

output.txtを見ると"PING"か"PONG"のどちらかが書いてあります。長さが176と8の倍数であることと、文字列として違うのがIとOなので、"PING" = 1, "PONG" = 0とした2進数を8桁ごとでchrしたらうまく復号されました。

from Crypto.Util.number import *
f = open("output.txt")
a = f.readlines()
ans = ""
for i in a:
    if i.strip() == "PING": ans += "1"
    else: ans += "0"
for i in range(0,len(ans),8):
    print(chr(int(ans[i:i+8],2)),end="")
print()

Hero{p1n6_p0n6_15_fun}

PRo Random Guesser 50pt

Everybody loves a little guessing challenge right ? Guess the number \o/
- Love, Mersenne
/!\ If you are using a script, you have to append '\n' to any data you wish to send back.
Host : chall0.heroctf.fr Port : 7003

数字を予測しろとのことなので、何かの乱数を生成しているのだろう。問題文から恐らくメルセンヌ・ツイスターかな。

メルセンヌ・ツイスタ - Wikipedia

細かい仕組みは全く分からないですが、こちらをコードをパクって解けました。ももテクさんには頭が上がらないです。

Mersenne Twisterの出力を推測してみる - ももいろテクノロジー

def untemper(x):
    x = unBitshiftRightXor(x, 18)
    x = unBitshiftLeftXor(x, 15, 0xefc60000)
    x = unBitshiftLeftXor(x, 7, 0x9d2c5680)
    x = unBitshiftRightXor(x, 11)
    return x

def unBitshiftRightXor(x, shift):
    i = 1
    y = x
    while i * shift < 32:
        z = y >> shift
        y = x ^ z
        i += 1
    return y

def unBitshiftLeftXor(x, shift, mask):
    i = 1
    y = x
    while i * shift < 32:
        z = y << shift
        y = x ^ (z & mask)
        i += 1
    return y

HOST, PORT = "chall0.heroctf.fr", 7003
s, f = sock(HOST, PORT)
print(read_until(f))
print(read_until(f))
print(read_until(f))
x = []
for i in range(624):
    print(i)
    read_until(f,"Guess me : ")
    s.send(b"1337\n")
    recv_m = read_until(f).split()
    x.append(int(recv_m[3]))
    read_until(f)
mt_state = tuple([untemper(z) for z in x] + [624])
random.setstate((3, mt_state, None))
ans = int(random.getrandbits(32))
s.send(str(ans).encode()+b"\n")
while True: print(read_until(f))

Hero{n0t_s0_r4nd0m_4ft3r_4ll}

Reverse

EasyAssembly 40pt

Don't worry, this one is quite easy :) Could be a good introduction to assembly !
Format : Hero{input:modified}
ファイル：EasyAssembly.asm

IDAなど色々ツールを使ったのですが、結局catすれば分かりました。

$ cat EasyAssembly.asm
(省略)
# EasyAssembly.c:19:    modified = input >> 2;
        movl    -8(%rbp), %eax  # input, tmp89
        sarl    $2, %eax        #, tmp88
        movl    %eax, -4(%rbp)  # tmp88, modified
# EasyAssembly.c:21:    if(modified == 1337404)
        cmpl    $1337404, -4(%rbp)      #, modified
        jne     .L5     #,
# EasyAssembly.c:22:            isGood = 0;
        movl    $0, isGood(%rip)        #, isGood
.L5:
# EasyAssembly.c:24:    if(!isGood)
        movl    isGood(%rip), %eax      # isGood, isGood.1_1
# EasyAssembly.c:24:    if(!isGood)
        testl   %eax, %eax      # isGood.1_1
        jne     .L6     #,
# EasyAssembly.c:25:            printf("Well done ! You can validate with the flag Hero{%d:%d}\n", input, modified);
(省略)

"if(modified == 1337404)" とあるのでmodifiedは1337404でしょう。"modified = input >> 2" からinputはmodifiedを2ビット左シフトさせたものでしょう。エントロピーが2bitsなのでbrute forceすればいいかなと思い提出したら一発で通りました。

Hero{5349616:1337404}

Steganography

HolyAbbot 15pt

A certain abbot tried to give us a message...
(the message is in lower case) (No need to speak French)
Format : Hero{messageinlowercase}
ファイル：HolyAbbot.txt

steganoって全部画像ファイルの解析と思ってたらテキストでびっくり。
しかもテキストの先頭行をググったら一発。RITSEC CTFでもやった、Ave Maria cipherのフランス語バージョンでした。Steganoというよりcryptoじゃん。

partender810.hatenablog.com

Ave Maria de Trithème - Déchiffrer, Décoder, Encoder en Ligne

decodeしたものを小文字に変更して終了です。

Hero{substitution}

Nice PDF 20pt

Don't think to much ;)
ファイル：NicePDF.pdf

pdfの解析か…。問題文から察するにそんな難しいことはせずに解けそうです。exiftoolやbinwalkなどのツールやPDFを実際に開いてプロパティを見るとかしましたが分からず…。

藁にも縋る思いでgoogleに頼るとこんなオンラインツールが。

PDF Extract Tool

textで解析すると以下の結果が得られました。

 93,02  760,68 H
  99,86  760,68 ses
 113,90  760,68 e
 119,42  760,68 Histoires,
 161,54  760,68 r
 165,38  760,68 l'historien
 209,93  760,68 o
 215,81  760,68 grec
 234,89  760,68 {
 238,37  760,68 Hérodote
 281,09  760,68 E
 286,49  760,68 rapporte
 325,99  760,68 4
 331,63  760,68 ainsi
 352,03  760,68 S
 357,07  760,68 une
 373,99  760,68 Y
 379,39  760,68 anecdote
 421,27  760,68 _
 426,79  760,68 qui
 440,86  760,68 P
 446,62  760,68 eut
 461,50  760,68 D
 468,34  760,68 lieu
 484,66  760,68 F
 489,70  760,68 au
 500,74  760,68 }

一文字おきに読むとflagになりました。

Hero{E4SY_PDF}

Problems&solver

GitHub - ksbowler/HeroCTF_v3

今回、ファイルサイズが大きくあげられないものがありました。ご了承ください。

• forensics We need you Challenge.zip
• OSINT Russian doll archive.zip

Plaid CTF お疲れ様でした！

問題数は多いわけではないのですが、難易度が高い…。XORSAをなんとか解けたのですが他の問題には全く歯が立たず、結局この一問のみのsolveです。

plaidctf.com

Result

XORSA Writeup

XOR + RSA = XORSA
ファイル：xorsa.29fb8e0ef0173eef5953d792373b7db98169018db6747f5e27d26c1c7cb98873.tgz 

「linux tgz 解凍」でググります。どれ試しても上手くいきません。出てきたエラーをググるとこんな親切なサイトが！

tar.gzファイルの解凍 - ZDNet Japan

fileコマンドを叩いてみると

$ file test.tar
test.tar: POSIX tar archive (GNU)

と出るので、このサイトの通りmvコマンドでtest.tarなどにしておきます。そしてtar xvfで解凍できました！ いやもう最初からtarファイルで配ってくれ。  

$ tar xvf test.tar
dist/
dist/xorsa.sage
dist/public.pem
dist/flag.enc

xorsa.sageが問題プログラムということで覗いてみます。

xはpとqのxorした値です。 keyをRSA.constructに(n,e,d,p,q)を投げて生成し、それを用いてPKCS1_OAEPのインスタンスを作ります。 flagを暗号化したものや公開鍵などをファイルに出力します。

まずは公開鍵を知りたいのですが、public.pemを見るとn = 整数という形ではなくopenSSLを用いて解読する必要がありそうです。 openSSLは良くは知らないのですが、このサイトやpicoGymで出た問題から解読できました。

How to extract public key using OpenSSL? - Stack Overflow

picoCTF

openssl rsa -noout -text -inform PEM -in public.pem -pubin

これで以下の結果を得られました。

$ openssl rsa -noout -text -inform PEM -in public.pem -pubin
RSA Public-Key: (4096 bit)
Modulus:
    00:8c:6d:db:f9:a2:dd:53:a2:46:6f:f6:1b:b6:2c:
    f5:be:3a:f8:9d:e8:21:bb:75:a5:81:ab:c8:51:4a:
    84:39:2a:66:13:ea:a3:26:9c:15:98:43:ee:f7:81:
    df:55:22:a9:2d:2d:5a:dc:3c:95:a5:4c:5f:eb:42:
    7d:08:2c:15:7d:4f:2d:b6:90:14:11:c0:ce:29:f1:
    57:15:73:fb:48:88:85:ee:c8:d3:6f:8c:79:48:2b:
    51:23:a8:20:47:d7:95:88:a9:5f:b2:c1:a1:67:10:
    42:78:5f:5d:0c:14:69:eb:a2:18:58:d6:43:f6:64:
    65:9f:9e:63:03:39:5a:05:da:bb:05:03:f2:e8:80:
    a8:99:a6:7e:78:40:bd:20:fa:c2:83:16:93:62:09:
    28:d0:c9:0c:47:ab:d6:95:d0:0d:27:e4:8e:78:62:
    a3:15:01:59:ac:58:e5:0b:64:d1:c9:d4:6c:c7:c6:
    c1:95:df:61:ec:0f:ef:79:93:7f:55:45:b0:8a:53:
    51:73:82:c0:73:62:fc:8a:24:75:a9:9e:9c:b4:1e:
    4f:c5:44:a7:00:e1:1c:a2:3c:65:8a:df:ce:d9:ee:
    bb:79:5e:3a:a5:a3:32:d1:e3:9b:c7:28:d8:e0:39:
    f0:7d:2b:2b:f9:3c:4e:11:20:a3:d4:cb:1b:7a:e1:
    e0:d7:8c:ea:c3:75:95:f0:bd:99:4e:c7:8e:bf:8d:
    39:c5:fb:12:d8:03:cd:f9:bb:01:9a:6f:da:4d:20:
    bf:fd:e8:fe:f0:52:a6:18:94:33:ed:cf:94:f6:d7:
    bb:6a:8d:9c:c1:91:96:50:e0:13:9b:6f:28:4d:44:
    bf:1d:67:2e:5c:e8:a5:6f:2e:7b:d3:e2:eb:ee:6f:
    b7:f6:31:e0:03:9c:f5:07:9e:cf:74:b1:c7:56:5e:
    60:58:b8:1f:46:b5:b6:6e:af:7f:83:4e:94:2c:ce:
    5a:6c:c3:bd:47:ef:4b:d4:18:b1:79:c1:11:4a:a0:
    fb:68:ab:3f:aa:91:ed:bc:51:04:07:e1:05:24:b3:
    79:0f:04:e3:b2:7e:46:eb:c2:5e:5b:b2:b9:34:d4:
    e4:6b:f0:94:05:a5:67:f3:c7:e7:7c:e3:f0:ae:e3:
    83:bd:0c:8d:72:ec:b2:a3:99:73:7c:3f:d2:79:26:
    1b:f2:7b:7c:cf:ee:8b:b2:14:1e:20:2e:fb:78:68:
    7d:15:85:60:9a:af:7c:2c:6f:35:97:f8:4b:00:3b:
    55:a9:f2:ea:d1:ae:df:e0:00:56:cb:b5:50:99:42:
    c2:88:dd:d2:08:fc:05:da:80:33:35:b5:e0:62:b2:
    70:9e:f5:9f:d0:e3:d4:ea:21:7b:8f:29:5d:4a:c0:
    21:ff:37
Exponent: 65537 (0x10001)

この16進数をsplit(":")などで強引に整数型として入れます。

次に、暗号化されたflagについてみていきます。
とりあえずbytes_to_longしてみると、なんとnより大きい値に…。これじゃ復号できないじゃないか！
わざわざPKCS1_OAEPを使っているということはここに復号の方法があるのではないかと手元で動かしてみたら、key = RSA.construct( (n,e,d,p,q) )で暗号化時と同じパラメータを投げて生成したkeyによるインスタンスでdecryptすればOKです。

>>> key = RSA.construct((n,e,d,p,q))
>>> flag = b"m1z0r3{test_flag_yeah}"
>>> cipher = PKCS1_OAEP.new(key)
>>> enc = cipher.encrypt(flag)
>>> cipher.decrypt(enc)
b'm1z0r3{test_flag_yeah}'

まあ、普段のRSAと同様(n,e,d,p,q)の全てを求めたらOKですね。頑張って求めていきましょう。

nは当然素因数分解出来ませんし、情報としてもp xor qのみ公開されています。これを使ってp,qを求めるのだろうとなりますね。
とりあえずいつもの「RSAでやってはいけないnのこと」を見て、pの上位ビット(1/2程度)知られるとダメとなるcoppersmithかなぁと目星を付けます(違った)。「xor multiple」でググっても複数入力のxorしか出てきません。
数学的な問題なのでm1z0r3の黄coderに聞いてみました。「bit毎に見ていけばいけるのでは？」なるほど。

p,qを2進数でのかけ算の筆算を頭に浮かべると、例えばp,qの下位3bitsが決まればnの下位3bitsが決まります(p,qの下位3bits以外はnの下位3bitsに影響しません)。 pを01どちらかを最上位に追加するbrute forceを行ってどんどんbits数増やしていき、増やしたpの01とxor結果よりqの最上位に追加する01が決まります。増やす途中のp*qの下位bitsとnの下位bitsが一致しなかったら、そのp,qは違うとなり一致していたbitまで戻り01の違う方を最上位に追加する再帰で考えます。

最初これを考えた時は直感的にO(2²⁰⁴⁸)では？となり無理だなと思っていたのですが、最悪計算量を考えたらO(2048²)程度かなと思っています(紙に書いたらそうなりました、頭の良い人証明して)。すぐさま実行に移りました。
pの候補が2048bitsの時にnで割り切れるかどうかでチェックして余りが0なら終わりです。

p,q,xorの値からtp="11", tq="01"(temp_p(q)の略)であることが分かるので、後は再帰で解きます。pythonは再帰回数上限を設定しないと怒られるのでsysライブラリから設定します。 とりあえず3000に設定しておきました

ciphertextについては、最後の改行があるとincorrect lengthと怒られるのでそれを抜いてdecryptすると上手く復号されました。

pを仮に置くとqが一意的に決まってしまうことが素因数分解(?)の計算量削減となる脆弱性出したという感じですね。

今回からmarkdown記法で書いているので、solverを張り付けますね(最初からやれ)。githubには完全版と問題ファイルも添付してます。

GitHub - ksbowler/PlaidCTF_2021

import sys
from Crypto.Util.number import *
from Crypto.PublicKey import RSA
from Crypto.Cipher import PKCS1_OAEP

n = (省略)
x = (省略)

M = 2048

binn = str(bin(n))[2:]
binx = str(bin(x))[2:]
binx = "0" + binx
sys.setrecursionlimit(3000)
def recur(tp,tq):
    #再帰でpを求める。tp,tqはp,qの候補の値
    #求めたらpを返し、現在のtp,tqでは求められないのであればFalseを返す
    bits = len(tp)
    if bits == M:
        #tpが2048bitsになった場合
        p = int(tp,2)
        if n%p == 0:
            print("Find!")
            print(p)
            return p
        #nで割った余りが0でないから、tpはpではない
        return False
    tn = int(tp,2)*int(tq,2)
    if str(bin(tn))[-bits:] != binn[-bits:]:
        #tp,tqの積の下位x bits (xはtpの長さ。変数bitsと同義)がnの下位x bitsと異なるのであれば、tp,tqはp,qの候補値から外れる。
        return False

    #xの値より、tp,tqに追加すべき候補は２通りに絞られる
    if binx[-(bits+1)] == "1":
        p = recur("1"+tp,"0"+tq)
        if p: return p

        p = recur("0"+tp,"1"+tq)
        if p: return p
    else:
        p = recur("1"+tp,"1"+tq)
        if p: return p

        p = recur("0"+tp,"0"+tq)
        if p: return p

    return False

p = recur("11","01")
q = n//p
e = 65537
phi = (p-1)*(q-1)
d = inverse(e,phi)
f = open("./dist/flag.enc","rb")
a = f.readlines()
key = RSA.construct((n,e,d,p,q))
cipher = PKCS1_OAEP.new(key)
ciphertext = a[0] + a[1][:-1] #最後の改行が入ると悪さをするのでそれを抜く
flag = cipher.decrypt(ciphertext)
print(flag)

PCTF{who_needs_xor_when_you_can_add_and_subtract}

おわりに

leaky block cipherの途中経過だけでも供養します。

hashcashの突破について、以下の文字列を投げる必要があります。

• ":" でsplitされる
• split後、0番目には"1" とする
• 1番目は"21"より大きい値にすべきだが、大きくし過ぎると後のPoWがきついので"22"とする。
• 3番目は最初に貰った16進数
• 2番目は"100", 4,5番目は"0"とテキトーに決める。
• 全体のSHA-1ハッシュ値を16進数にした時上位5桁が"0"になるようPoWする。

これで突破できます。

しかし、それから自作のクラスのインスタンスのencryptが予測できず終了です。

関係ない話ですが、Markdownで目次が上手くいかないのなんでだろう。