Trend Micro CTFに出た感想的な資料

1. Trend Micro CTF
63位(281チーム中)なってきた
uji52
キャプチャー ザ フラグ

2. uji52
自己紹介
• uji52
• 好きなパケット
• HTTP
• ARP
• 今興味のある事柄
• 納涼祭の景品
2

3. uji52
Trend Micro CTF
3

4. uji52
出場チーム
• 世界中から
• １問以上解けた
281チーム
• My Team
• 5問解けて
63位
• 日本で14位
4

5. uji52
どんな問題があったの？(100点問題)
• Analysis - Offensive
• ブラウザ側で超難読化してパスワード認証してるJSのクソコードを読解
• Analysis - Defensive
• 読んでない
• Forensic
• 読んでない
• Reversing
• 与えられる実行可能ファイルに欠損があるので、デコンパイルして修正
• SCADA
• Webカメラを乗っ取って写っている値を取得するんやと思う
• Misc(IoT and Network)
• パケット読んでいろいろ
5

6. uji52
実際に解いた問題
6

7. uji52
パケットが与えられる
7
515パケットからFlagを抜き出すぜ

8. uji52
100点問題やしTELNETのとこやろ
8
ログインしていろいろコマンド叩いとるな
rootのパスワードも答えじゃないし、一体どこに答えが…

9. uji52
何やら見慣れぬコマンド
9

10. uji52
man ip-xfrm
10
xfrm is an IP framework for transforming packets(such as encrypting their
payloads). This framework is used to implement the IPsec protocol suite (with the
state object operating on the Security Association Database, and the policy
object operating on the Security Policy Database). It is also used for the IP
Payload Compression Protocol and features of Mobile IPv6.
• パケット変換のフレームワーク
• 暗号化通信等するにあたって利用
つまり

11. uji52
このコマンド臭うぞ！
11

12. uji52
このパケットも臭うぞ
12
VPCの通信っぽいな。
さっきの設定と関係あるやつやな多分
この裏でFlag渡ってるんやろ

13. uji52
ESPってなんやねん
13
IPSecのプロトコルの1つであり「ESP（Encapsulating
Security Payload）」と呼ばれる入れ物にパックされ送信
される。ESPは、暗号化された通信内容にSPIとシーケン
ス番号フィールド、そして認証データという3つの付加情
報が付け加えられた構造をとる。
つまり
VPN接続で、通信を暗号化してる際のパケットやで

14. uji52
Wiresharkが展開してくれるらしい
14

15. uji52
復号化したらHTTPになった
15
なんやPNGファイルっぽいな。

16. uji52
FLAGゲット！！
16

17. uji52
ってのを6人チームでやってまし
た
17

18. uji52
• TMCTF
• 全24問
• 難易度は高め
• 出場者多め
18

19. uji52
まとめ
• Wiresharkはやっぱりすげぇ
• パケットは雄弁
• 複合してくれるとかマジか
• 研究室の後輩すげぇ
• 子供と戯れてる隙に順位が上がってた
• CTF楽しい
• 複数人でやるとなお楽しい
19