Advent of Cyber 2020 Christmas

本記事は旧ブログから移行しました

Advent Cyber 2020 やってみたら楽しかった。

TryHackMe!という教育サイトのイベントで、教育的なCTFになっておりとても楽しいCTF。ご丁寧にサンタ帽の陽気な解説者によるYouTubeで解説動画もあり、辛いときはそれもヒントになるので、CTF解けなくて苦手意識感じている人にも向いている予感。 一時的な環境が作成され、VPNで接続してチャレンジする形式でウェブサイトの作りがなんだか凝っている。

Day1 A Christmas Crisis

  • VPNを繋ぐときにリージョンをAU-xxxにしないと繋がらない罠があるので注意。
  • HTTP, Cookieについての解説記事が書かれている。
  • フォーマット名はヒントの"shorthand for binary"で検索する。
>>> 'もふもふ'.encode('utf-8').hex()
'e38282e381b5e38282e381b5'
>>> bytearray.fromhex("e38282e381b5e38282e381b5").decode()
'もふもふ'
  • 変換サイト使ってしまったけれど、Pythonですぐ変換できる。
  • Cookieeは書き換えてリロードすれば読み込まれる。

Day2 The Elf Strikes Back!

Day3 Christmas Chaos

Day4 Santa’s watching

  • Fuzzing = fancy bruteforcing をやってみようという回
  • GoBusterというツールで隠れファイルやディレクトリの検出ができる。
  • wfuzzというツールでURL変数をwordlistに従ってリクエストを作成できる。
  • wfuzzの実行時に"Pycurl is not compiled against Openssl"のエラーが出たが、Pythonでimport pycurlが出来なかったので、pycurlに問題が生じていたが、下記の情報で解決。
  • wordlist

Day5