Jeff_ITBlog

풀이

rcity9@04d1eb9322c1:~$ ls
flag.txt  nmap-result.txt
rcity9@04d1eb9322c1:~$ cat flag.txt 
U2FsdGVkX1+leDPhZC2pHbHzQIm53MhRqDVCJb2LcjMP1GDsGRCyOwImPRC8WlYt
rcity9@04d1eb9322c1:~$ head nmap-result.txt 
21/tcp open FTP Microsoft ftpd v.1.3
22/tcp open ssh OpenSSH 7.9 (protocol 2.0)
23/tcp open telnet Linux telnetd
25/tcp open smtp Postfix smtpd
53/tcp open domain ISC BIND 9.8.2rc1-RedHat-9.8.2-0.62.rc1.el6_9.2
80/tcp open http Apache httpd 2.4.29 ((Ubuntu))
110/tcp open pop3 Dovecot pop3d
111/tcp open rpcbind 2 (RPC #100000)
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)

이렇게 되어 있는 것을 파싱해서 21,22,23,25 이렇게 나오게 해야한다 

rcity9@04d1eb9322c1:~$ cat nmap-result.txt  | awk -F'/' '{printf "%s,", $1}' | sed 's/,$//'
21,22,23,25,53,80,110,111,135,139,143,179,199,389,443,445,465,512,513,514,515,587,631,646,873,902,989,990,993,995,1080,1194,1241,1433,1521,2049,2082,2083,2086,2087,3306,3389,3690,3784,3899,4000,4369,4433,4444,4445,4446,5432,5500,5631,5666,5900,5901,5985,6000,6001,6002,6003,6112,6379,6666,6667,6679,6697,7000,7001,7070,8000,8008,8009,8080,8081,8082,8085,8086,8087,8090,8443,8888,9001,9090,9091,9100,9200,10000,10001,10002,10003,10004,10009,10010,10100,11211,27017,27018,27019

이렇게 나온 출력 결과물을 복사 한다음에 아래와 같이 붙여 넣는다

rcity9@04d1eb9322c1:~$ cat flag.txt | openssl enc -d -aes-256-cbc -base64 -k 21,22,23,25,53,80,110,111,135,139,143,179,199,389,443,445,465,512,513,514,515,587,631,646,873,902,989,990,993,995,1080,1194,1241,1433,1521,2049,2082,2083,2086,2087,3306,3389,3690,3784,3899,4000,4369,4433,4444,4445,4446,5432,5500,5631,5666,5900,5901,5985,6000,6001,6002,6003,6112,6379,6666,6667,6679,6697,7000,7001,7070,8000,8008,8009,8080,8081,8082,8085,8086,8087,8090,8443,8888,9001,9090,9091,9100,9200,10000,10001,10002,10003,10004,10009,10010,10100,11211,27017,27018,27019
*** WARNING : deprecated key derivation used.
Using -iter or -pbkdf2 would be better.
flag: z9J3r8D1sX4h2L0q6F7

위에서 nmap-result.txt 를 파싱한 결과물 가지고 복호화를 하면 flag가 떨어진다

풀이

동일하게 로그인 한 후에 cat 명령어로 flag를 확인하면 엄청나게 많은 양의 디코딩된 파일이 있을 것이다 그래서 스크립트로 문자열을 찾아낼 수 있게 while 이나 for 문을 이용하여 스크립트를 짜야한다

#!/bin/bash

encode_file=$(cat "/home/rcity8/flag.txt"0

while true;
do
	decode_string=$(echo "$encode_file" | base64 --decode)
    echo "$decode_string"
    encode_file=$deocde_string
done

Vm1wSmQyVkZOVWhTYTJScVVrWndjRlJYTVZOamJGcHlWMnQwVkdKR1JqTlhhMmgzWWtaYWMxTnNXbFpXZWxaUVZtcEtWMk5zWkZWUmJHUlRUVEJLZVZkV1pIcGtNbFpIVW14V1YySlZXbE5XYm5CdVRsWkZlVmw2YkZGVlZ6ZzVRMmM5UFFvPQo=
VmpJd2VFNUhSa2RqUkZwcFRXMVNjbFpyV2t0VGJGRjNXa2h3YkZac1NsWlZWelZQVmpKV2NsZFVRbGRTTTBKeVdWZHpkMlZHUmxWV2JVWlNWbnBuTlZFeVl6bFFVVzg5Q2c9PQo=
VjIweE5HRkdjRFppTW1SclZrWktTbFF3WkhwbFZsSlZVVzVPVjJWcldUQldSM0JyWVdzd2VGRlVWbUZSVnpnNVEyYzlQUW89Cg==
V20xNGFGcDZiMmRrVkZKSlQwZHplVlJVUW5OV2VrWTBWR3BrYWsweFFUVmFRVzg5Q2c9PQo=
Wm14aFp6b2dkVFJJT0dzeVRUQnNWekY0VGpkak0xQTVaQW89Cg==
ZmxhZzogdTRIOGsyTTBsVzF4TjdjM1A5ZAo=
flag: u4H8k2M0lW1xN7c3P9d
base64: invalid input




마지막에 이런식으로 flag 가 나온다 근데 간단하게 코드를 만들어서 저 코드가 뜨면  ctrl+c 를 해서
수동으로 멈춰줘야한다

풀이

┌──(root㉿kali)-[~/raccoon/rcity]
└─# ssh rcity7@ctf.redraccoon.kr -p 31338
rcity7@ctf.redraccoon.kr's password: 


rcity7@04d1eb9322c1:~$ ls -l
total 0
rcity7@04d1eb9322c1:~$ ss
-bash: ss: command not found
rcity7@04d1eb9322c1:~$ lsof
-bash: lsof: command not found
rcity7@04d1eb9322c1:~$ nestat
-bash: nestat: command not found
rcity7@04d1eb9322c1:~$ nmap localhost
Starting Nmap 7.80 ( https://nmap.org ) at 2024-03-31 02:40 UTC
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000096s latency).
Other addresses for localhost (not scanned): ::1
Not shown: 998 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
9999/tcp open  abyss

Nmap done: 1 IP address (1 host up) scanned in 0.10 seconds
rcity7@04d1eb9322c1:~$ nc localhost 9999
[+] 20초 안에 현재 유저의 비밀번호를 입력하세요: h5Z8D2G4cW7L6x0R3f9
[+] Correct password received. Flag: F6jR2K3qH1gW7X5b0S9

사용하고 있는 포트를 확인하기 위해서 ss, lsof, netstat를 써봣지만 안되서 nmap 을 사용

9999 포트가 열려있어서 netcat -> nc 명령어를 사용하여 연결한 다음에 flag 획득

풀이

┌──(root㉿kali)-[~/raccoon/rcity]
└─# ssh rcity6@ctf.redraccoon.kr -p 31338
rcity6@ctf.redraccoon.kr's password: 


rcity6@04d1eb9322c1:~$ cat flag 
@@@@�▒▒▒����   ���-�=�=���-�=�=�888 XXXDDS�td888 P�td\#\#\#<<Q�tdR�td�-�=�=00/lib64/ld-linux-x86-64.so.2�e�m!z U��cg�Q��F�8_��}�䝻NU
       H3� � 49"putsctimestrlen__ctype_b_loc__libc_start_mainsrand__cxa_finalizeprintflibc.so.6GLIBC_2.3Yu▒iC_2.c���o���`HH@�?�?��?eregisterTMCloneTable__gmon_start___ITM_registerTMCloneTableOii
@@▒@ @(@        0@
                  8@
                    H�H��/H��t��H���5�/�%�/@�%�/h������%�/h������%�/h������%�/h������%�/h������%�/h������%�/h������%�/h�p����%*/f�1�I��^H��H���PTE1�1�H�=���.�f.�@H�=Y/H�R/H9�tH��.H��t �����H�=)/H�5"/H)�H��H��?H��H�H��tH��.H����fD�����=�.u+UH�=j.H��t
                                         H�=�.�)���
                                         
rcity6@04d1eb9322c1:~$ ls -l
total 20
-r--r-x--- 1 root rcity6 16696 Mar  6 08:04 flag

rcity6@04d1eb9322c1:~$ file flag 
flag: ELF 64-bit LSB pie executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, BuildID[sha1]=b1f86367bf51938246c5385f86ff7dfee49dbb08, for GNU/Linux 3.2.0, not stripped

rcity6@04d1eb9322c1:~$ strings flag 
/lib64/ld-linux-x86-64.so.2
puts
ctime
strlen
__ctype_b_loc
__libc_start_main
srand
__cxa_finalize
printf
libc.so.6
GLIBC_2.3
GLIBC_2.2.5
GLIBC_2.34
_ITM_deregisterTMCloneTable
__gmon_start__
_ITM_registerTMCloneTable
PTE1
u+UH
h5Z8D2G4cW7L6x0R3f9

flag 파일을 봤을때 정상적으로 파일이 잘 안보여서 file 명령어로 어떤 파일인지 확인 ELF 인것을 확인 후

strings 명령어를 이용해 파일을 확인

*ELF : 실행 가능한 바이너리 파일, 목적 파일, 공유 라이브러리, 코어 덤프 등에서 사용되는 형식

풀이

┌──(root㉿kali)-[~/raccoon/rcity]
└─# ssh rcity5@ctf.redraccoon.kr -p 31338
rcity5@ctf.redraccoon.kr's password: 

rcity5@04d1eb9322c1:~$ ls
flag.txt
rcity5@04d1eb9322c1:~$ cat flag.txt 
flag is base64 encoded string - ZmxhZzogTTJwTjl6UTFzVzN5SDhnUjZkMAo=rcity5@04d1eb9322c1:~$ 
rcity5@04d1eb9322c1:~$ echo "ZmxhZzogTTJwTjl6UTFzVzN5SDhnUjZkMAo=" | base64 --decode
flag: M2pN9zQ1sW3yH8gR6d0

base64 명령어를 이용해여 --decode(-d) 옵션을 사용하여 해당 인코딩된 코드를 디코딩 시켜서 flag 획득

풀이

┌──(root㉿kali)-[~/raccoon/rcity]
└─# ssh rcity4@ctf.redraccoon.kr -p 31338
rcity4@ctf.redraccoon.kr's password: 


rcity4@04d1eb9322c1:~$ cat flag.txt | grep -riw "flag"
flag.txt:syncope Nucula vicissitous Minos orrhology gustation multicarinate flag deuterogelatose pachycephalia derivational
flag.txt:millrace za Spartacist flag here  euhemerist Araby sphacelus licorn nonconstruable
flag.txt:Amiidae victualer nosocomium indictional flag kinetograph hempen viscosimetry didelphous shaggily sla
flag.txt:Cephalotaceae hemerologium sanguisuge invoke underyoke  flag unadvertised Tenonian contendingly displayer Kiwanis
flag.txt:Itoism flag widdendream unfearing Asherites sperm Vasundhara orthophosphate crusader pathometabolism lymphy
flag.txt:phytomorphic fornaxid rhematology flag instantial jaculative overexuberant nonconformable gigantize narcotina berycoidean
flag.txt:conjunctur Aquilid supernature fLag Is HerE W6fR3jP7uN1xZ2bL8s4 mumpishly dipterology chromidrosis unresisted

제일 마지막에 나오는 것이 flag 이다

grep 명령어의 옵션은 -i, -w, -r을 사용했다

-w : 해당 단어를 찾은 그 줄 전체를 표출해준다 

-i : 대소문자 구문 해제

-r : 문자열 검색

풀이

┌──(root㉿kali)-[~/raccoon/rcity]
└─# ssh rcity3@ctf.redraccoon.kr -p 31338
rcity3@ctf.redraccoon.kr's password: 

rcity3@04d1eb9322c1:~$ ls -al
total 64
drwxr-xr-x  1 root root   4096 Mar  6 08:04 .
drwxr-xr-x  1 root root   4096 Mar  6 08:03 ..
-rw-r--r--  1 root root    220 Jan  6  2022 .bash_logout
-rw-r--r--  1 root root   3771 Jan  6  2022 .bashrc
-rw-r--r--  1 root root    807 Jan  6  2022 .profile
drw-r-x--- 12 root rcity3 4096 Mar  6 08:04 raccoon1
drw-r-x--- 12 root rcity3 4096 Mar  6 08:04 raccoon10
drw-r-x--- 12 root rcity3 4096 Mar  6 08:04 raccoon2
drw-r-x--- 12 root rcity3 4096 Mar  6 08:04 raccoon3
drw-r-x--- 12 root rcity3 4096 Mar  6 08:04 raccoon4
drw-r-x--- 12 root rcity3 4096 Mar  6 08:04 raccoon5
drw-r-x--- 12 root rcity3 4096 Mar  6 08:04 raccoon6
drw-r-x--- 12 root rcity3 4096 Mar  6 08:04 raccoon7
drw-r-x--- 12 root rcity3 4096 Mar  6 08:04 raccoon8
drw-r-x--- 12 root rcity3 4096 Mar  6 08:04 raccoon9
rcity3@04d1eb9322c1:~$ find ./ -name "*.txt"
./raccoon1/city3/directory3/flag7/f14g.txt
rcity3@04d1eb9322c1:~$ cat ./raccoon1/city3/directory3/flag7/f14g.txt 
a3P1n7cJ9mV8G0r6S2t

이번에도 무수히 많은 디렉터리가 많들어져있다 그래서 find 명령어로 찾아야하는데 역시 flag.txt 파일이 이름이 달라서 와일드 카드로 먼저 진행

풀이

┌──(root㉿kali)-[~/raccoon/rcity]
└─# ssh rcity2@ctf.redraccoon.kr -p 31338
rcity2@ctf.redraccoon.kr's password: 


rcity2@04d1eb9322c1:~$ ls -al
total 28
drwxr-xr-x 1 root root   4096 Mar  6 08:04 .
drwxr-xr-x 1 root root   4096 Mar  6 08:03 ..
-r--r----- 1 root rcity2   20 Mar  6 08:04 ...catthisfile.txt
-rw-r--r-- 1 root root    220 Jan  6  2022 .bash_logout
-rw-r--r-- 1 root root   3771 Jan  6  2022 .bashrc
-rw-r--r-- 1 root root    807 Jan  6  2022 .profile
rcity2@04d1eb9322c1:~$ cat ...catthisfile.txt 
e7G5D8yL0qR6v4s3W9Z

숨겨진 파일을 찾기 위해서 ls -al 명령어를 사용하여 flag 획득

┌──(root㉿kali)-[~/raccoon/rcity]
└─# ssh rcity1@ctf.redraccoon.kr -p 31338
rcity1@ctf.redraccoon.kr's password: (rcity0에서 얻은 flag)

rcity1@04d1eb9322c1:~$ find ./ -name "flag.txt"
rcity1@04d1eb9322c1:~$ ls
 flag  'maybe here'   nowaithere
rcity1@04d1eb9322c1:~$ find ./ -name "*.txt"
./maybe here/fl ag.txt
rcity1@04d1eb9322c1:~$ cat ./maybe\ here/fl\ ag.txt 
n1zP6Q3jX4wC7r2bH5T

flag.txt 파일을 그대로 검색해 봤더니 검색이 안된걸 보고 뭔가 파일에 띄어쓰기나 다른 것이 포함된 것같아서 와일드카드를 이용하서 다시 find 명령어로 검색

ssh rcity0@ctf.redraccoon.kr -p 31338
rcity0

------------------접속------------------------

rcity0@04d1eb9322c1:~$ ls
flag
rcity0@04d1eb9322c1:~$ cat flag 
d9mK4R2cS1gJ3o7V8A0

간단한 ssh 접속으로 다음 rcity1의 비밀번호를 얻는 워게임 rcity를 시작하겠습니다