今日はファイア・アイ社の Security Tech Lounge に参加してきました。
ミニCTF では途中から隠し問題の Q4 の面倒を見ていまして、
家に帰ってきてから解いたので Writeup を。
Q4 のファイルは何かのバイナリファイルです。
自分はバイナリファイルはとりあえず Strings とかをかける前にバイナリエディタで見る癖があり、
この問題でも例にもれず真っ先にバイナリエディタで確認しました。
先頭にファイルヘッダ的なのが見えた後、80 が続き、
また少しバイナリ列が続いた後に 80 が続く、、、この並びは
MZ から始まる exe ファイルにとても良く似ているな、と。
XORSearch で調べてみると、たしかにいつもの文字列が。
たまたま手元に McAfee FileInsight が入っていたのでこれで開き、
XOR で 80 部分を 00 に戻すと、やはりプログラムが出てきました。
後ろの方を見ていくと、フラグが出てきそうな難読化されたコードが出てきます。
この辺の記事とかを参考にすると、PowerShell で実行できるコードっぽいです。
実行してみたところ、10進のASCIIコードっぽいのが出てきました。
あとは文字列に変換して表示させるだけなので、スクリプトを組みまして実行。
フラグゲットでした。
おいしいお酒やお食事をとりながら、
久々に CTF の問題を解きながらワイワイとできる時間で
こういうのあまり参加したことがなかったのですが楽しい時間を過ごせました。
CTF 久々だし強そうな人ばっかりで全然歯が立たなかったらどうしようと
ビクビクしていましたが、ある程度優しい問題も用意があったおかげで
肩ひじ張らずに取り組めたかな、と。
またこういったイベントに参加したいな、と思いました。
イベントを主催してくださったファイア・アイ社の皆様、
問題作成者の皆様、一緒のチームになった皆様どうもありがとうございました。