読者です 読者をやめる 読者になる 読者になる

BlogIsHowMuch

鑑賞した作品のレビューやプログラミング系のネタをダラダラ書いていくだけのブログ

TDUCTF2015 writeup

f:id:HowMuch:20150831142422j:plain

 Writeup

練習問題

 これはフラグがちゃんと通るかのテストのための問題でした。画面に表示されているフラグ突っ込むだけでした。

clock

 中学校で習うレベルのことをすっかり見落としていて恥ずかしながらとれませんでした。時差はある程度考えて一時間、二時間とずらして入力してみたりしたんですが、9時間もずらして確かめなかったですorzこれは解けなくて悔しいというか恥ずかしい。

ESPer

 これはさ、ずるいよね笑。tomori,tomori-nao,NaoTomori,TomoriNaoあらゆるローマ字を試しましたが、答えは漢字でTDU{友利奈緒}でした。くそ!

XSS me

 この問題について挙手して質問したのは私です笑。
 問題文には「alert me」とだけ書かれているだけでalertを使うまではわかるが、何を呼び出せばいいかわかりませんでした。

 フラグの入力フォームに</script><script>alert(document.cookie)とか入力しても効果なし。

 質問してもあまりヒントにならず(笑)詰まっていたのですが、事前にTDUCTFパネルにデベロッパツールがあることには気づいていたのでダメもとでそこのコンソールにalert(1)と入力したところフラグ出ましたwww
 懇親会の時に作成者の方と少しお話したのですが、シンプルな問題の割に結構苦労されて作られたそうです。
 

おわり?

 ニュースでセカイノオワリのフカセの暗号文が取り上げられていたのをたまたま視ていたので簡単に解けました。やっぱニュースは日頃からチェックしといた方がいいことありますね(^▽^)/(ちなみに深瀬の暗号はこちら)。
 解き方は各文字の色を英語にして数字番目のアルファベットを取り出してならべます。例えば白の3は「white」の三番目の文字で「i」となります。
 答えはTDU{FUKASENOOWARI}。
 この問題作成者はフカセになんか恨みでもあるんですかね?
 

Lie

 リンク先のサイトでクッキーがメッチャアピールされているのでChromeのEditThisCookieでfalseの部分をtrueに変更したら簡単にフラグ取れました。
 

14:50

 これは時間になると流れてくる動画をよく視て映像に出てくるフラグを入力するとポイントがもらえました。windowsで視ていたときに間違って動画を消してしまいましたが、幸い仮想マシンの方でもクライアントを立ち上げていたので問題なくフラグ取れました。
 YouTubeに動画がアップしてあったのでリンク先に飛んだら説明文のところにももう一つフラグがありました。TDU{説明にもフラグが}と書かれていたのでイヤホンで一生懸命動画内の説明を聞いたりしたのですが、実はそれ自体がフラグだったそうですwww。悔しい!!
 

SQLPractice

 データベース内のフラグを探す問題。SQL文の入力画面もデータ入力スクリプトのソースも公開されていたのでそこまで難易度は高くなかったと思います。おそらくwhereのlikeを駆使すると簡単に答えが出てくるのだろうとは予想できましたが、「likeのあとはどんな文法だったけ?」とか「カラム名をいちいち入力するのめんどい」等の問題があったので
 select * from tweets;
でブラウザに大量のデータを表示してCtrl+fのブラウザ画面内検索で「TDU{」と調べたら、候補は二つだけだったので簡単に見つかりました。俺せっかち過ぎwww
 美しくない解き方だけどシンプルな解法ではあると思います。
 

nullflood

 名前から察するにファイルに大量のnull文字があるんだろうなと予測できたので、どれだけnull文字があるか確かめてやるぜ!というつもりでLinuxのcatでダウンロードしたファイルを開いたら一発でフラグが出てきましたwww。どうやらcatはnull文字は無視して表示してくれるみたいです。ラッキーでした笑
 

感想

 まだまだCTFは初心者でCTF4bとSANSnewars位しか参加したことがありませんが、そろそろ成長が実感できると嬉しいなということで目標をランキングの半分より上に入ると決めていました。

 結果は76人中33位と無事目標達成できました!!

 最初のCTF4bでは下から10%位でしたが、その頃に比べると成長したなと感じます。しかし、成績的には成長したかもしれませんが、手も足も出ないような問題がまだまだたくさんあって勉強不足を痛感しました。特にバイナリに関する知識やら技術は皆無に近いのでこれから勉強していく必要性を感じました。

 今回のTDUCTFについて一言でまとめると「楽しかった」です。運営の方々のトークや懇親会等も含めて貴重なお話が聞けたり、ほかの人の問題の解き方を聞いたりしてCTF以外でも得られるものの多いイベントでした(ステッカーとかお菓子とかもたくさんもらえました)。

 最後にこのようなイベントに参加できて非常にありがたく感じます。次回以降も機会があれば是非参加したいです!