説明

■ 概要

2015年2月7日(土)～8日(日)に開催された「SECCON2014全国大会」のサーバ４です．
(実際に利用したイメージではなく，同等の作成方法＋部分的な変更(※)を加えて新たに作り直したものです)

http://www.seccon.jp/

※ MIPSのシミュレータにread()でバッファが余計にクリアされてしまいエラーが出る問題があったので，本番では無かった修正を入れています． (サーバ攻略には影響しない問題＆修正ですが，見栄えが悪いので修正しました)
あと，ベースとなったイメージからuser/rootのパスワードを変更していません．

■ 注意！

脆弱性があります！無保証です！自己責任で利用してください！

CTF競技用の，脆弱性のあるプログラムが動作するＶＭイメージです．
取扱には十分に注意してください．インターネットに直接接続しているような状態でうかつに立ち上げたりしないように注意！

■ 起動・ログイン

書籍「開発ツールを使って学ぶ！Ｃ言語プログラミング」のイメージ (progtool-CentOS.ova)をベースに作成しています．

パスワードを変更していないため，同じユーザIDでSSHでログインできます． (ログインはあくまで管理用で，攻略には不要です)

以下のようにポートフォワーディングしています．

SSH 127.0.0.1:10022 → 22
HTTP 127.0.0.1:10080 → 80
アーキ１ 127.0.0.1:10000 → 10000
アーキ２ 127.0.0.1:10001 → 10001
アーキ３ 127.0.0.1:10002 → 10002
アーキ４ 127.0.0.1:10003 → 10003
アーキ５ 127.0.0.1:10004 → 10004
アーキ６ 127.0.0.1:10005 → 10005

注意:ポートフォワーディングのホストのアドレスを127.0.0.1に指定しているので，外部からネットワーク経由では接続できません．ホストから接続してください．

10022ポートでSSHログイン可能です．(userのみSSHログイン可能)
ユーザIDとパスワードは以下．

user / progtooluser
root / progtoolroot

ブラウザから以下に接続することで，サーバのホームページを見ることができます．

http://localhost:10080/

■ 設定

GDBのシミュレータで６種類のアーキテクチャのプログラムが動作しています．
動作については /etc/rc.local と /home/user 以下にある各種スクリプト類を参考にしてください．

まずはサーバのホームページに繋いで，説明を読んでください．

以下のポートで脆弱性のあるプログラムが動作しています．
telnet等で繋いでみてください．

10000 ... アーキ１(RX)
10001 ... アーキ２(CR16)
10002 ... アーキ３(M32R)
10003 ... アーキ４(MN10300)
10004 ... アーキ５(MIPS)
10005 ... アーキ６(H8)

■ ファイルについて

脆弱性プログラムのソースファイル，実行ファイル，各種スクリプト， GDBに対するパッチなどはサーバ内の /home/user 等に置いてあります．

必要な場合，SSHで接続して引き上げてください．

■ 競技の概要

以下を行う競技です．得点には２種類があります．(攻撃ポイントと防御ポイント)

サーバ上のキーワードを読むことで得点が得られる．(攻撃ポイント)
具体的には，脆弱性プログラムをExploitして，word.txtというファイルを読む．
サーバ上のフラグファイルに自チームのフラグワードを書き込むことで得点が定期的に得られる．(防御ポイント)
具体的には，脆弱性プログラムをExploitして，flag.txtというファイルにフラグワードを書き込む．
(flag.txtに書き込むと，それがフラグページ(flag.html)に自動で反映される)
- フラグワードは５分に１回更新される．
- さらに５分に１回，フラグページ(flag.html)が参照され，フラグワードが書き込まれているかどうかがチェックされる．フラグワードが書き込まれていたチームにはその都度得点が与えられる．

■ 競技の設計

size.txtというファイルがあり，脆弱性プログラムはsize.txtに書かれているサイズまでしかread()しません．

なので，Exploitしてsize.txtを小さめの値で上書きすることで，他チームがExploitしにくくするように妨害することができます．

もちろん無闇に小さな値を書き込むと自分もExploitできなくなるので，頑張って他チームよりも短いExploitコードを作成して，自分はExploitできるが他人はできない，というサイズにする必要があります．

つまり競技者は，以下の３種類のExploitを行うことになります．

word.txtの内容を取得するためのExploit ... 攻撃ポイントの獲得のため
flag.txtにフラグワードを書き込むためのExploit ... 防御ポイントの獲得のため
size.txtにサイズを書き込むExploit ... 他チームの妨害のため

size.txtに書き込まれている値は定期的にインクリメントされます (サイズゼロが書き込まれても，しばらく待てばサイズは戻ります)．またflag.txtには定期的にフラグワードを書き込む必要があります．このため，flag.txtとsize.txtへのExploitは１回だけではなく，定期的に行う必要があります．

防御ポイントは，どれかひとつのアーキを攻略すれば得られます． (複数のアーキを攻略しても，そのぶん防御ポイントが得られるわけではありません)

あるチームがあるアーキを最小Exploitで攻略してsize.txtにそのサイズを定期的に書き込んでいけば，そのアーキでの主導権を握ることができます． (そしてflag.txtを上書きすることで，防御ポイントが得られます)

この場合他チームはそれよりも短いExploitを書けば主導権を奪取できるため，可能な限り短いExploitを書く，という競技になります．もしくは他チームは，別アーキを攻略してそちらで防御ポイントを稼ぐ，という方法もあります．なので様々なアーキのExploitを書く，という競技でもあります．

さらに，あるアーキを攻略したとしても，他チームが防御ポイントを得ることを妨害するために，別アーキも攻略したほうがいい，ということでもあります． (あるアーキの主導権を得たとしても，別アーキを攻略するモチベーションが無くなるわけではない)

よって様々なアーキを転々として最小Exploitを作成する，という競技になります．

※ size.txtに不正な値(数値でない，とか)が書き込まれた場合には，自動的に復旧されます．

※ stager防止のために標準入出力をclose()しています．このためword.txtの内容を直接得ることはできません． word.txtを読んだ後，size.txtに書き込むなどして間接的に内容を得る必要があります．