2017.03.25

WhiteHat Wargame Challenge 02 For001 Write Up

kawa.xxx

記事内に商品プロモーションを含む場合があります

3/25 11:00 ~ 19:00 （JST）の期間に開催された WhiteHat Wargame Challenge 02 の Write Up です。
このCTFはクイズ形式のCTFで、レベルは入門者でも少し頑張れば解ける、比較的簡単な方でした。

For001 WriteUp

For001 WriteUp

今回は For001 のWriteUpです。この問題はフォレンジック系の問題で、問題文は以下の通りです。

Hien's website has been attacked. Help him find he attacker by analyzing the website's access_log file. Flag is the attacker's IP and the number of request in form "ip;requests_num". Google and linux command line might help you.
http://material.wargame.whitehat.vn/challenges/2/For001_c3c7d18be9ab55caf8631d4d80d705df.zip
Submit WhiteHat{sha1(flag)}
Example: flag = Hello World
sha1("Hello World") = 0a4d55a8d778e5022fab701977c5d840bbc486d0
You must submit: WhiteHat{0a4d55a8d778e5022fab701977c5d840bbc486d0}
(all hash charactera in lowercase)

問題文を訳すと、

匕エンのWebサイトがアタックされている。彼を助けるためにWebサイトのアクセスログを解析してアタッカーを見つけてくれ。
フラグはアタッカーのIPとそのリクエスト数を “ip;requests_num” としたものだ。GoogleとLinuxコマンドがあなたを助けてくれるかもしれない。

でしょうか。

問題文の次にあるURLからはアクセスログファイルが取得出来ました。

IP別リクエスト数を得る

まずは、攻撃かどうか特定する前に、IP別にどれだけリクエストがあったか取得してしまいます。

$ cut -d " " -f 1 access.log | sort | uniq -c
41326 192.168.1.1
  56 192.168.1.10
   5 192.168.1.123
774 192.168.1.22
473 192.168.1.222
615 192.168.1.3
795 192.168.1.6
1553 192.168.1.67

ふむふむ。 192.168.1.1 からのアクセスが一番多いということが分かりました。

攻撃リクエストを見つける

攻撃者ならば、サーバを乗っ取るために、 /etc/passwd を取得したいだろうなと考えて、とりあえず etc で検索かけてみることにします。

すると、以下のような攻撃リクエストが多數ヒットします。攻撃者はこの 192.168.1.1 で確定でしょう。

192.168.1.1 - - [21/Jan/2017:21:05:35 +0700] "GET /corporation/?page=../../../../../../../../../etc/passwd%00.jpg HTTP/1.1" 200 1799 "-" "Mozilla/5.0 (Linux; Android 5.1.1; Nexus 4 Build/LMY48T)"

フラグを作る

問題文にもあるようにFlagは “ip;request_num” を sha1 でハッシュ化して更に WhiteHat{} でくくるというちょっとめんどくさい仕様になっています。

まず、 “ip;request_num” の部分は 192.168.1.1;41326 で、これを sha1 でハッシュ化すると 72f88f73b399453997d84d328edb9d8333e4f0f6 なので、この問題のフラグは WhiteHat{72f88f73b399453997d84d328edb9d8333e4f0f6} でした。

めでたしめでたし。