SECCON CTF 2013 online予選

感想：難しかった

解けたのはforensics100と300だけ、あとはcrypt100の法則に気がついた(ソルバー書いたのは後輩)のとforensics200の仕様を発見した(スクリプト書いて回したのは後輩)くらいしか貢献できませんでした...

とりあえずforensics300だけメモしておきます。（追記：最下部にWriteUpへのリンクをまとめました）

問題：ログインパスワードを解明せよ

調査対象パソコンのユーザー名Forensicsのパスワードが不明な状態です。 システムの電源を落とす前に、win32ddにより、メモリ全体のイメージファイル（RAW形式)が取得されています。 このイメージファイルを解析し、ユーザー Forensics のWindowsへのログオンパスワードが何かを特定してください。
メモリをダンプした対象システムは Windows 7, x86(32bit)です。
Memorydump2.rar

参考にしたのは
http://cyberarms.wordpress.com/2011/11/04/memory-forensics-how-to-pull-passwords-from-a-memory-dump/

Volatility 2.3.1 Standaloneを使いました。
https://code.google.com/p/volatility/downloads/list

Windows 7 x86とのことなので、

C:\Users\keiichiro\Desktop>volatility hivelist -f Memorydump2.bin --profile=Win7SP0x86
Volatility Foundation Volatility Framework 2.3.1
Virtual    Physical   Name
---------- ---------- ----
0x9ff5a3c0 0x37fbb3c0 \SystemRoot\System32\Config\SECURITY
0x9ffc03a0 0x30e243a0 \SystemRoot\System32\Config\SAM
0x8f60c568 0x04bbc568 [no name]
0x8f61c008 0x005d2008 \REGISTRY\MACHINE\SYSTEM
0x8f6448d8 0x04b3c8d8 \REGISTRY\MACHINE\HARDWARE
0x90659650 0x199c0650 \??\C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
0x906d8008 0x13200008 \??\C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT
0x93cf5008 0x38814008 \Device\HarddiskVolume1\Boot\BCD
0x93d479d0 0x388c19d0 \SystemRoot\System32\Config\SOFTWARE
0x989bc008 0x37920008 \SystemRoot\System32\Config\DEFAULT
0x9e6e69d0 0x005469d0 \??\C:\Users\forensics\ntuser.dat
0x9efe5650 0x028aa650 \??\C:\Users\forensics\AppData\Local\Microsoft\Windows\UsrClass.dat

SAMとSYSTEMの番地が分かったので、これを使って

C:\Users\keiichiro\Desktop>volatility hashdump -f Memorydump2.bin --profile=Win7SP0x86 -y 0x8f61c008 -s 0x9ffc03a0 > passhashs.txt

Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
forensics:1000:aad3b435b51404eeaad3b435b51404ee:98ffdb1b29e7c88954326cd4011141d8:::

ophcrackにrainbow table(vista_free)を読ませてpasshashs.txtを投入すると3秒くらいで出ました。

最後はforensicsの500をいじってましたが、500点問題となるとうまくはいかないもんですね...

追記：以下に参考になるWrite-upを貼っていくことにします。

見つけ次第、更新していきます。

フォレンジックス
[100] ここはどこ?
　http://d.hatena.ne.jp/Dltn/20140126/1390708058
　http://mrt-k.hateblo.jp/entry/2014/01/26/153934
　http://senz.hatenablog.com/entry/2014/01/26/144304
　http://misodengaku.hatenablog.com/entry/2014/01/27/032047
　http://d.hatena.ne.jp/kusano_k/20140126/1390761127
[200] 削除されているファイルの名前は何ですか？
　http://d.hatena.ne.jp/Dltn/20140126/1390708058
　http://gomiba.co.in/blog/archives/351
　https://mimumimu.net/blog/2014/01/27/seccon-ctfweb%E4%BA%88%E9%81%B8%E3%81%AB%E5%8F%82%E5%8A%A0%E3%81%97%E3%81%A6%E3%81%8C%E3%82%93%E3%81%B0%E3%81%A3%E3%81%9F/
[300] ログインパスワードを解明せよ
　http://d.hatena.ne.jp/Dltn/20140126/1390708058
　http://gomiba.co.in/blog/archives/342
　https://mimumimu.net/blog/2014/01/27/seccon-ctfweb%E4%BA%88%E9%81%B8%E3%81%AB%E5%8F%82%E5%8A%A0%E3%81%97%E3%81%A6%E3%81%8C%E3%82%93%E3%81%B0%E3%81%A3%E3%81%9F/
　http://d.hatena.ne.jp/kusano_k/20140126/1390761127
　http://eleclog.quitsq.com/2014/01/seccon-ctf-2013-online.html (この記事)
[400] QRコードの断片を読み取れ
　http://eleclog.quitsq.com/2014/01/seccon-ctf-2013-online-forensics-400.html
　http://d.hatena.ne.jp/kusano_k/20140126/1390761127
[500] CVE-2011-2484

プログラミング・crypt 
[100] calculate it / 計算せよ
　http://d.hatena.ne.jp/Dltn/20140126/1390708058
　http://math314.hateblo.jp/entry/2014/01/26/135814
[200] 数「毒」ちゃれんじ★
　http://sc123.hatenablog.jp/entry/2014/01/26/122313
　http://math314.hateblo.jp/entry/2014/01/26/135814
　http://d.hatena.ne.jp/kusano_k/20140126/1390761127
[300] Cryptanalysis
　http://math314.hateblo.jp/entry/2014/01/26/135814
　http://d.hatena.ne.jp/kusano_k/20140126/1390761127
[400] TicTacLogic
　http://math314.hateblo.jp/entry/2014/01/26/135814
　http://d.hatena.ne.jp/kusano_k/20140126/1390761127
[500] 古典暗号ちゃれんじ★
　http://d.hatena.ne.jp/Dltn/20140126/1390708058
　http://math314.hateblo.jp/entry/2014/01/26/135814
　http://d.hatena.ne.jp/kusano_k/20140126/1390761127

バイナリ
[100] Enjoy the Game
　http://d.hatena.ne.jp/Dltn/20140126/1390708058
　https://mimumimu.net/blog/2014/01/27/seccon-ctfweb%E4%BA%88%E9%81%B8%E3%81%AB%E5%8F%82%E5%8A%A0%E3%81%97%E3%81%A6%E3%81%8C%E3%82%93%E3%81%B0%E3%81%A3%E3%81%9F/
　http://d.hatena.ne.jp/kusano_k/20140126/1390761127
　http://d.hatena.ne.jp/aki33524/20140126/1390761307
[200] exploit me
　http://d.hatena.ne.jp/kusano_k/20140126/1390761127
　http://d.hatena.ne.jp/aki33524/20140126/1390761307
[300] RISC processor
　http://orumin.blogspot.jp/2014/01/seccon-ctf-2013-online-wirteup.html
　http://d.hatena.ne.jp/kusano_k/20140126/1390761127
[400] Enter 8-char password to the interpreter
　http://d.hatena.ne.jp/Dltn/20140126/1390708058
[500] Hack this site
　http://pastebin.com/EY0gSCYe

ネットワーク・Web
[100] repeat after me
　http://takahoyo.hatenablog.com/entry/2014/01/26/184133
　http://d.hatena.ne.jp/kusano_k/20140126/1390761127
[200] Find the key!
　http://senz.hatenablog.com/entry/2014/01/26/144304
　http://takahoyo.hatenablog.com/entry/2014/01/26/184133
　http://misodengaku.hatenablog.com/entry/2014/01/27/032047
　http://d.hatena.ne.jp/kusano_k/20140126/1390761127
[300] Hidden Message?
　http://d.hatena.ne.jp/Dltn/20140126/1390708058
　http://takahoyo.hatenablog.com/entry/2014/01/26/184133
　http://misodengaku.hatenablog.com/entry/2014/01/27/032047
[400] SECCON競馬
　https://gist.github.com/tyage/8628077
[500] 箱庭XSS Final
　http://gomiba.co.in/blog/archives/354
　http://d.hatena.ne.jp/Dltn/20140126/1390708058
　http://dec12-kaz.hatenablog.com/entry/2014/01/26/170218
　http://misodengaku.hatenablog.com/entry/2014/01/27/032047
　http://d.hatena.ne.jp/kusano_k/20140126/1390761127

その他
[100] 練習問題
　http://yagihashoo.com/archives/596
[200] Encode me.
　http://orumin.blogspot.jp/2014/01/seccon-ctf-2013-online-wirteup.html
　http://dec12-kaz.hatenablog.com/entry/2014/01/26/170218
[300] Crossword Puzzle
　http://dec12-kaz.hatenablog.com/entry/2014/01/26/170218
[400] solve the steganography
　http://wataamectf.blogspot.jp/2014/01/seccon-ctf-2013-onlinewriteup.html
　http://d.hatena.ne.jp/aki33524/20140126/1390761307
[500] Secret of Galaxy / 銀河の秘密

リンク貼られたら困る！という方はコメント欄か@9GHzに「リンクするなアホ」とお伝えください。
追加もコメント欄か@9GHzまでお願いします。