2022 HISCON writeup - HHJ

오늘은 2022년에 한세사이버고등학교에서 실시한 ctf인 HISCON대회의 writeup을 쓸 것이다.

대회에서 8문제를 풀어서 1등을 한분과 점수는 동일하지만 더 늦게 풀어서 2등이 되었다.

 

1. Mic check

그냥 디스코드의 welcome탭에 플래그를 확인할 수 있다.

 

2. 번역기(Network)

이 문제는 어떠한 파일을 찾아서 그 파일에서 질문한 것의 정답이 flag였다.

 

먼저 파일을 wireshark로 열어서 object 탭을 확인해보면 다음과 같다.

10.26.104.108이라는 수상한 ip에서 통신된 파일이 있는 것을 확인할 수 있다.

 

위 ip로 통신된 모든 파일을 다운 받아서 살펴보았는데 1개 빼고 싹 다 가짜라는 내용의 글이 있다.

남은 1개의 내용이 다음과 같았다.

푸르다를 영어로 물어보는데, 푸르다는 blue이기 때문에 flag는 HIOC{blue}가 된다.

 

3. Time Stamp(Network)

이 문제는 어떠한 4이트로 처음 통신된 날짜가 flag라고 한다.

 

이 파일은 http통신 많았는데 여기서 www.nsdi.go.kr 이라는 주소로 통신이 많이 되었다.  

그래서 그냥 HTTP로 filtering 후 시간 순으로 나열했다.

이 중 제일 처음으로 통신된 피켓의 http stream을 확인하면 www.nsdi.go.kr로 통신된 걸 확인할 수 있다.

그러면 이 피켓이 통신된 날짜는 20221105이므로 flag는 HIOC{20221105}

 

4. isekai...(Forensic)

이 문제는 그냥 problem.jpg라는 다음 사진 파일 하나를 준다.

그래서 문제 분석 겸 exiftool로 확인해봤는데 다음과 같이 certificate와 comment 항목에 플래그가 있는 걸 확인할 수 있다.

따라서 flag가 HSOC{li1p4_i5_l3geN0}이다.

 

5. invisibility 6:04(Forensic)

이 문제는 이상한 소리가 들리는 mp3파일이 있다.

 

먼저 spectrogram을 기반으로 분석을 했는데 아무런 결과도 도출해내지 못했다.

그래서 strings로 파일을 분석했는데 png 시그니처를 확인했다.

사진 파일이 있다는 것을 예상하고 foremost를 이용하여 숨겨진 파일들을 추출했는데, png와 jpg 파일이 각각 하나씩 나왔다.

글자가 거꾸로 되어있어서 사진 반전하면 다음과 같다.

base64로 추정되는 문자열들이 나눠져 있는데 S 부터 FNP 이런 식으로 두 사진에 나눠져 있는 문자열들을 위아래 조합하면 다음과 같은 base64로 암호화된 문자열이 나온다. 

SFNPQ3szNHN5X0YwckVOczFDfQ==

이 문자열을 decoding 하면 다음과 같이 flag가 나온다.

flag는 HSOC{34sy_F0rENs1C}이다.

 

6. captiplifine(Crypto)

이 문제는 어떠한 학생이 10문제의 암호 문제를 풀어야 하는데, 암호 문제는 고전 암호들 중 하나로 암호화된 문자열을 주면 뭔지 보고 복호화된 메시지를 답으로 적어야 한다. 근데 이 문제는 답이 맞든 안 맞든 다음 문제로 넘어가는 것을 확인했다.

그래서 그냥 enter를 연타했더니 10문제가 다 틀려도 flag를 획득할 수 있었다.

 

7. ㄹㅇ창식이(pwn)

문제 코드는 다음과 같다.

이 문제에서 ㄹㅇ을 영어로 치니깐 fd가 되었다. 문제의 의도는 read라는 함수의 fd가 어떤 값을 가져야 하는지 알고 이를 만족시키기 위해서 num에 어떤 값이 들어가야 하는지를 구하는 것이다.

 

일단 read는 fd가 0이면 정상처리가 된다. 따라서 rea1은 0x12345로 시작하고 real이 num과 0x123ef와 xor된 값, real1이 real과 0x8201과 xor 해서 0x12345가 되어야 한다. 따라서 xor 역연산으로 num을 구할 수 있다.

 

다음과 같이 파이썬 코드를 만들고 num을 구했다.

num이 33451인 것을 확인할 수 있다.

 

문제에서 주는 서버에서 num 33451을 넣고 buf와 R3AL을 비교하니 buf에 R3AL을 입력하면 flag를 얻을 수 있다.

 

8. 개발자의 실수(web)

이 문제는 Find the flag라고 사이트에 적혀있는데, 소스를 확인하니 Suicide.js라는 경로가 있었다. 이 경로로 이동하면 flag를 얻을 수 있다.