CSAW CTF 2013 Write Up (Trivia, Recon)

<TRIVIA>

  #1. Drink all the booze, HACK all the things!

  #2. What is the abbreviation of the research published in the Hackin9 issue on nmap by Jon Oberheide, Nico Waisman, Matthieu Suiche, Chris Valasek, Yarochkin Fyodor, the Grugq, Jonathan Brossard, and Mark Dowd?  DICKS

  #3, What is the common name for a single grouping of instructions used in a Return Oriented Programming payload, typically ending in a return (ret) instruction?  GADGET

  #4. What is the new web technology that provides a web browser full-duplex communication to a web server over a single connection?  Websocket

  #5. What is the x86 processor operating mode for running 64-bit code? Long mode

 

<Recon>

Julian Cohen - 100 Points

  Julian Cohen의 닉네임이 HockeyInJune이라는 것을 검색을 통해 알수 있습니다. 그 후 검색 키워드는 "HockeyInJune wiki"라고 검색하시면 Julian Cohen이 제작한 Wikipedia 개인 페이지가 나옵니다.  해당 페이지에 들어가면 "Check out my new website: http://omnom.nom.co/" 라고 적혀 있는데 링크에 들어가도 사진 한장 덩그러니 있는것이 끝입니다.하지만  이 사이트의 IP주소(http://23.23.196.37/)를 찾은 후 접속을 한다면 아래와 같이 key가 나오게 됩니다. (아..지금은 운영자가 key를 지우고 사진만 남겨뒀네요..)

Jordan Wiens - 100 Points

  웹사이트 하나를 던저주네요. http://key.psifertex.com이고,  Michael Vario sure does some suspicious signs, hope he doesn't do me.라고 적혀있습니다. Michael Vario는 gpg를 창안한 사람인가?? 잘 모르겠지만 gpg와 관련된것들이 많이 나오네요..

  그럼 문제 출제자 Jordan Wiens의 gpg-key를 찾아보면 "0x9fbebc5ea827d636 "인것을 알 수 있으며, 이 값을 검색하면

 http://pgp.mit.edu:11371/pks/lookup?op=get&search=0x9FBEBC5EA827D636 

위의  페이지가 나오게 됩니다. 밑에 암호화된 문자열이 있는데 이 값들을 base64로 디코딩을 해보면 서두에 email관련 정보가 있고 조금 내려가보면 jfif가 보입니다. 이 부분부터 모두 긁어서 *.jpg로 만들면 key를 얻을수 있습니다.

import base64  fd = open("C:\Users\blackcon\Desktop\out2.jpg", "wb") fd2 = open("C:\Users\blackcon\Desktop\secret.txt", "rb") data = fd2.read() data = data.decode('base64') fd.write(data) fd.close() fd2.close()

Kevin Chung - 100 Points

  검색 키워드는 "Kevin Chung csaw highschool"입니다. hint에 이 사람이 졸업한 학교에 관해서 찾아라고 하네요. 

CSAW High School Forensics | Previous Winners - CSAW HSF 2013

여기 들어가서 Kevin chung을 찾아보면 이름에 링크가 걸린 것을 볼 수 있습니다.

historypeats - 100 Points

github사이트에 들어가면 메인에 최근 포스팅한 정보가 그래프에 표시되어 있습니다. 이 부분을 클릭하시면 등록된 글들이 보이게 되는데..

글이 별로 없어서 하나씩 점검을 해보니 아래와 같이 key를 담고있는 게시판이 나왔습니다.

Key{whatDidtheF0xSay?}

Brandon Edwards - 100 Points

  위의 문제의 답이 GITHUB사이트에 있어서 이번에도 이름과 같이 GITHUB를 검색했습니다.

Ke {a959962111ea3fed179eb044d5b80407}

Odin - 100 Points

처음 보면 진짜 막연한 문제...하지만 csaw IRC에 접속을 했다면 아주 쉬워지는 문제입니다.  아래는 IRC 채팅창.

whois snOwDIN 19:20 -!- snOwDIN [~o@ISIS-B0CFAD3E.com]19:20 -!-  ircname  : linkedin:chinesespies 19:20 -!-  channels : @#odin @#csaw19:20 -!-  server   : isis.poly.edu [ISIS IRC Server] 19:20 -!-        : is using a Secure Connection 19:20 -!-  idle  : 0 days 0 hours 1 mins 18 secs [signon: Thu Sep 19 21:04:20 2013]19:20 -!- End of WHOIS

snOwDIN을 구글링하면 linkedin을 찾을수 있는데 거기에 key가 있습니다.

Key { cookies_are_for_csaw}

Theodore Reed - 100 Points

http://prosauce.org 제출자의 블로그입니다. 블로그 내에 Shmoocon2013 발표 동영상이 있습니다. 블로그에서 감상하지 마시고 youtube창을 띠운 후 All comments를 누르시면 댓글에 falg값이 나옵니다.

If you're playing CSAWCTF2013 and looking for a flag try: shmoonconrocksglhfwithcsaw