2016年7月 – akashisnの日記

UbuntuにApache＋PHP7でWebサーバー、Postfix＋Dovecot+Rainloop＋MySQLでWebメール構築(途中)

2016年7月31日2023年1月31日 akashisn コメントをする

環境

Ubuntu-Server : 15.10
PHP : 7.0.7
Apache : 2.4.12 (Ubuntu)
Postfix : 2.11.3
Dovecot : 2.2.18

ポイントはApacheを先にインストールすること！

Webサーバーの構築

Apacheのインストール

$ sudo apt-get update
$ sudo apt-get install apache2

http://~などでアクセスしてみて、インストールできてるか確認

PHP7のインストール

php7は標準ではインストール出来ないのでPPAを追加します

$ sudo add-apt-repository ppa:ondrej/php

php7とphp7のMySQLモジュールをインストールします

$ sudo apt-get update
$ sudo apt-get install php7.0 php7.0-mysql libapache2-mod-php7.0 php7.0-mcrypt

インストールが完了したら、Apacheを再起動して、以下のソースをwebルート（/var/www/html/）にアップロードしてブラウザからアクセスしてみます

$ sudo service apache2 restart

<?php
    phpinfo();
?>

phpの設定が表示されれば成功です

MySQLのインストール

次にMySQLをインストールします

$ sudo apt-get install mysql-server

インストールの時にrootのパスワードの設定するよう求められるので設定します。

完了したら以下のコマンドで、rootとして設定したパスワードでMySQLにアクセスできればインストール成功です。

$ mysql -u root -p

Webメールの構築

ドメイン名：hoge.com
ユーザー名/パスワード：hoge/hagehage

とする

Postfixの設定

SMTPサーバー。ポート25を使用して、外部のSMTPサーバーからのメール受信や、外部SMTPサーバーへのメール送信を行う。MTA（Message Transfer Agent）とも呼ばれる。

インストール

$ sudo apt-get install postfix

メールサーバーのタイプは[Internet Site]を選択します。システムメール名（デフォルトのドメイン名のようなもの）はドメイン名を指定します。

設定ファイル編集

設定ファイルをコピーしてから編集

$ mv /etc/postfix/main.cf /etc/postfix/main.cf.old
$ cp /usr/share/postfix/main.cf.dist /etc/postfix/main.cf
$ vi /etc/postfix/main.cf

#基本設定
myhostname = hoge.com
mydomain = hoge.com
myorigin = $mydomain
mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain
relay_domains = $mydestination
home_mailbox = Maildir/　#ユーザーディレクトリ内にメールが格納される
mynetworks = 127.0.0.0/8
inet_interfaces = all
inet_protocols = ipv4

#以下コメントアウトする
#sendmail_path =       
#newaliases_path =
#mailq_path =
#setgid_group =
#html_directory =
#manpage_directory =
#sample_directory =
#readme_directory =


#SMTP-Auth設定（追記する）
#認証にはdovecotを参照させる（Dovecotと同じユーザー名/パスワードで認証可能にする）
smtpd_sasl_auth_enable = yes
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/dovecot-auth
smtpd_client_restrictions = permit_mynetworks, reject_unknown_client, permit
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination

#スパム対策（追記する）
smtpd_etrn_restrictions = reject
smtpd_helo_required = yes
disable_vrfy_command = yes

Postfixを再起動する

$ newaliases
# /etc/init.d/postfix restart
[ ok ] Restarting postfix (via systemctl): postfix.service.

Dovecotの設定

DovecotはPostfixが保存したメールをメーラーへと渡すPOP3/IMAPサーバー。

この時のDovecotの認証方法をそのままPostfixのSMTP-Auth認証時に参照させる。

インストール

$ apt-get install dovecot-common dovecot-imapd dovecot-pop3d

認証方法を設定する

Dovecotの認証にはいくつかの方法があるが、最もわかりやすいパスワードフアイルを参照する方法（auth-passwdfile）で設定する。

OSのpasswdファイルと似た書式でDovecot専用のパスワードファイルを作製し参照させる。

$ vi /etc/dovecot/conf.d/10-auth.conf

disable_plaintext_auth = no 　　#コメントを外す
auth_mechanisms = plain login　　#コメントを外す　
!include auth-passwdfile.conf.ext　#コメントを外す

パスワードファイルの参照先を設定

$ vi/etc/dovecot/conf.d/auth-passwdfile.conf.ext

このように書き換える

passdb {
  driver = passwd-file
  #args = scheme=CRYPT username_format=%u /etc/dovecot/users
  args = /etc/dovecot/users
}

userdb {
  driver = passwd-file
  #args = username_format=%u /etc/dovecot/users

  # Default fields that can be overridden by passwd-file
  #default_fields = quota_rule=*:storage=1G

  # Override fields from passwd-file
  #override_fields = home=/home/virtual/%u
  args = /etc/dovecot/users
}

パスワードファイルを用意

Dovecotのパスワードフアイルは暗号化してから記載する。

ユーザー名：hoge、パスワード：hagehageの時の暗号化文は以下のコマンドで取得できる。

$ doveadm pw -s DIGEST-MD5 -u hoge -p hagehage
{DIGEST-MD5}8687f71fc51f3392269ee94cbc1d33f1

参照先として指定した場所にパスワードファイルを作製する。

(ユーザー名):(暗号化済みパスワード)　の形式で記載する。

$ vi /etc/dovecot/users

hoge:{DIGEST-MD5}8687f71fc51f3392269ee94cbc1d33f1

その他編集

$ vi /etc/dovecot/dovecot.conf

# 30行目：変更（IPv6をリスンしない場合）
listen = *

$ vi etc/dovecot/conf.d/10-mail.conf

# 30行目：Maildir形式に変更
mail_location = maildir:~/Maildir

$ vi /etc/dovecot/conf.d/10-master.conf

# 96-98行目：コメント解除し追記
# Postfix smtp-auth
unix_listener /var/spool/postfix/private/auth {
    mode = 0666
    user = postfix
    group = postfix
}

$ vi /etc/dovecot/conf.d/10-ssl.conf

# 6行目：コメント解除して変更(SSLなし)
ssl = no

# 12,13行目：コメントにする
#ssl_cert = </etc/dovecot/dovecot.pem
#ssl_key = </etc/dovecot/private/dovecot.pem

再起動

Dovecotを再起動し設定を反映させる。

$ /etc/init.d/dovecot restart

動作確認

telnetで接続してPostfix・Dovecot認証の動作確認を行う

POP3動作確認

telnetで接続して認証確認をする。

POP3は平文なので、そのままユーザー名をパスワードを打てばいい。

$ telnet hoge.com 110
Trying 127.0.1.1...
Connected to hoge.com.
Escape character is '^]'.
+OK Dovecot ready.
USER hoge
+OK
PASS hogehoge
OK LOGGED IN.

こうなれば成功

$ telnet hoge.com 110
Trying 127.0.1.1...
Connected to hoge.com.
Escape character is '^]'.
+OK Dovecot ready.
USER hoge
+OK
PASS hogehoge
-ERR [AUTH] Authentication failed.

エラーが出たら次のコマンドを実行してエラーを確認します。

$ doveconf -n

SECCON 2015 Online CTF write up

2016年7月31日2023年1月31日 akashisn コメントをする

2015/12/5~6の間SECCON 2015 Online CTFにチーム名BiPhoneでAkashi_SNとして5人で参加しました。CTFは初めてまだ1ヶ月ほどにしてはまぁ解けた方かな・・・？

ちなみに順位は240位でした。

僕が解いた問題のwrite upをします。

問題はGitHubにあります

Write up

SECCON WARS 2015

Youtubeのリンクがあるだけ・・・

とりあえず見てみるとStarWarsをもじったみたいな動画があり途中からQRコードが見え始める。

とにかくダウンロードしてフレームごとに分けてみる

背景だけ動いているのでもしやこれは比較明合成が使えるのではと思い

僕がよく星の写真を撮るときに使う

SiriusCompを使ってみたら

はっきりと出てくるので読み取って終わり

flag:SECCON{TH3F0RC3AVVAK3N53P7}

Unzip the file

後で他の人のwrite upを見て解きました

unzipというファイルが渡されUnzip the fileとのこと

普通に解凍しようとするとパスワードがかかっているみたい・・・

$ unzip unzip.zip 
Archive:  unzip.zip
[unzip.zip] backnumber08.txt password: 
   skipping: backnumber08.txt        incorrect password
   skipping: backnumber09.txt        incorrect password
   skipping: flag                    incorrect password

backnumber08.txtをとりあえず検索してみると

backnumber08.txt

このようにヒットする

ファイルの中身がわかっているので既知平文攻撃だとわかる

これはpkcrackというツールで解析できるみたい

とりあえずソースをダウンロードして

$ cd pkcrack-1.2.2/test
pkcrack-1.2.2/test/$ sudo make

testディレクトリに移動してmakeすると./srcに実行ファイルが生成される

pkcrackの使い方は、
   -C [暗号化されたzipファイル]
   -c [暗号化されたzipファイルの中で平文がわかるファイル]
   -P [平文のファイルが入っている暗号化されていないzip]
   -p [平文のファイル]
   -d [出力先（復号したzipファイルの名前）]

以下のbacknumber08.zipはbacknumber08.txtを普通にZIP圧縮したもの

~/pkcrack-1.2.2/src/$ pkcrack -C ./unzip.zip -c backnumber08.txt -P backnumber08.zip -p backnumber08.txt -d unzip_1.zip
Files read. Starting stage 1 on Mon Dec  7 14:35:35 2015
Generating 1st generation of possible key2_5299 values...done.
Found 4194304 possible key2-values.
Now we're trying to reduce these...
Lowest number: 984 values at offset 970
Lowest number: 932 values at offset 969
Lowest number: 931 values at offset 967
Lowest number: 911 values at offset 966
Lowest number: 906 values at offset 965
Lowest number: 904 values at offset 959
Lowest number: 896 values at offset 955
Lowest number: 826 values at offset 954
Lowest number: 784 values at offset 606
Lowest number: 753 values at offset 206
Done. Left with 753 possible Values. bestOffset is 206.
Stage 1 completed. Starting stage 2 on Mon Dec  7 14:35:46 2015
Ta-daaaaa! key0=270293cd, key1=b1496a17, key2=8fd0945a
Probabilistic test succeeded for 5098 bytes.
Ta-daaaaa! key0=270293cd, key1=b1496a17, key2=8fd0945a
Probabilistic test succeeded for 5098 bytes.
Stage 2 completed. Starting zipdecrypt on Mon Dec  7 14:36:14 2015
Decrypting backnumber08.txt (5315a01322ab296c211eecba)... OK!
Decrypting backnumber09.txt (83e6640cbec32aeaf10ed1ba)... OK!
Decrypting flag (34e4d2ab7fe1e2421808bab2)... OK!
Finished on Mon Dec  7 14:36:14 2015

これで暗号化されていないunzip_1.zipが生成される

$ unzip unzip_1.zip
Archive:  unzip_1.zip
replace backnumber08.txt? [y]es, [n]o, [A]ll, [N]one, [r]ename: y
　inflating: backnumber08.txt        
　inflating: backnumber09.txt        
　inflating: flag                    
$ ls
　backnumber08.zip
　unzip.zip
　backnumber08.txt
　backnumber09.txt
　flag
　unzip_1.zip
$ file flag 
　flag: Microsoft Word 2007+

flagはwordファイルだとわかる

LibreOfficeで開いてみる

何も見えないがフォントの色を変えると出てくる

flag:SECCON{1s_th1s_passw0rd_ weak?}

Reverse-Engineering Android APK 1

これはチームメイトが前半を解いてくれ最後は僕がflagをみつけました。

なんかいいとこ取りみたい・・・

APKファイルが渡され「じゃんけんに1000回連続で勝ち続けよ」とありました

さすがにごり押しは厳しそうなのでapkファイルについて調べてたらただの圧縮ファイルであるとわかり解凍してみる。

するとclasses.dexというファイルがあってこれがアプリの本体だとわかった。

これは、dex2jarというソフトで変換できるそうなのでやってみる

~/dex2jar-2.0$ ./d2j-dex2jar.sh classes.dex
dex2jar classes.dex -&gt; ./classes-dex2jar.jar
~/dex2jar-2.0$ ls
classes-dex2jar.jar            d2j-dex2smali.bat   d2j-smali.bat
classes.dex                     d2j-dex2smali.sh    d2j-smali.sh
d2j-baksmali.bat                d2j-jar2dex.bat     d2j-std-apk.bat
d2j-baksmali.sh                 d2j-jar2dex.sh      d2j-std-apk.sh
d2j-dex-recompute-checksum.bat  d2j-jar2jasmin.bat  d2j_invoke.bat
d2j-dex-recompute-checksum.sh   d2j-jar2jasmin.sh   d2j_invoke.sh
d2j-dex2jar.bat                 d2j-jasmin2jar.bat  lib
d2j-dex2jar.sh                  d2j-jasmin2jar.sh

するとclasses-dex2jar.jarというファイルができる

これはただのZIPファイルなので展開してみる

すると./com,./androidの2つのフォルダが出てくる

./com/example/seccon2015/rock_paper_scissors/MainActivity.classをJava Decompilerというソフトで見てみると

package com.example.seccon2015.rock_paper_scissors;

import android.app.Activity;
import android.os.Bundle;
import android.os.Handler;
import android.view.View;
import android.view.View.OnClickListener;
import android.widget.Button;
import android.widget.TextView;
import java.util.Random;

public class MainActivity
  extends Activity
  implements View.OnClickListener
{
  Button P;
  Button S;
  int cnt = 0;
  int flag;
  private final Handler handler = new Handler();
  int m;
  int n;
  Button r;
  private final Runnable showMessageTask = new Runnable()
  {
    public void run()
    {
      TextView localTextView = (TextView)MainActivity.this.findViewById(2131492946);
      MainActivity localMainActivity;
      if (MainActivity.this.n - MainActivity.this.m == 1)
      {
        localMainActivity = MainActivity.this;
        localMainActivity.cnt += 1;
        localTextView.setText("WIN! +" + String.valueOf(MainActivity.this.cnt));
      }
      for (;;)
      {
        if (1000 == MainActivity.this.cnt) {
          localTextView.setText("SECCON{" + String.valueOf((MainActivity.this.cnt + MainActivity.this.calc()) * 107) + "}");
        }
        MainActivity.this.flag = 0;
        return;
        if (MainActivity.this.m - MainActivity.this.n == 1)
        {
          MainActivity.this.cnt = 0;
          localTextView.setText("LOSE +0");
        }
        else if (MainActivity.this.m == MainActivity.this.n)
        {
          localTextView.setText("DRAW +" + String.valueOf(MainActivity.this.cnt));
        }
        else if (MainActivity.this.m &lt; MainActivity.this.n)
        {
          MainActivity.this.cnt = 0;
          localTextView.setText("LOSE +0");
        }
        else
        {
          localMainActivity = MainActivity.this;
          localMainActivity.cnt += 1;
          localTextView.setText("WIN! +" + String.valueOf(MainActivity.this.cnt));
        }
      }
    }
  };

  static
  {
    System.loadLibrary("calc");
  }

  public native int calc();

  public void onClick(View paramView)
  {
    if (this.flag == 1) {
      return;
    }
    this.flag = 1;
    ((TextView)findViewById(2131492946)).setText("");
    TextView localTextView1 = (TextView)findViewById(2131492944);
    TextView localTextView2 = (TextView)findViewById(2131492945);
    this.m = 0;
    this.n = new Random().nextInt(3);
    int i = this.n;
    localTextView2.setText(new String[] { "CPU: Paper", "CPU: Rock", "CPU: Scissors" }[i]);
    if (paramView == this.P)
    {
      localTextView1.setText("YOU: Paper");
      this.m = 0;
    }
    if (paramView == this.r)
    {
      localTextView1.setText("YOU: Rock");
      this.m = 1;
    }
    if (paramView == this.S)
    {
      localTextView1.setText("YOU: Scissors");
      this.m = 2;
    }
    this.handler.postDelayed(this.showMessageTask, 1000L);
  }

  protected void onCreate(Bundle paramBundle)
  {
    super.onCreate(paramBundle);
    setContentView(2130968600);
    this.P = ((Button)findViewById(2131492941));
    this.S = ((Button)findViewById(2131492943));
    this.r = ((Button)findViewById(2131492942));
    this.P.setOnClickListener(this);
    this.r.setOnClickListener(this);
    this.S.setOnClickListener(this);
    this.flag = 0;
  }
}

39行目にflagらしきものが・・・

$cntはカウンターだとわかった

どうやらcalc()はライブラリーから読み込んでいるらしい・・・

そういえばライブラリファイルがあったなー

./rps/lib/x86/libcalc.soをfileコマンドでたたくと

$ file libcalc.so
libcalc.so: ELF 32-bit LSB shared object, 
Intel 80386, version 1 (SYSV),dynamically linked, 
BuildID[sha1]=841ccd3a86c678914a4dc1a17bd80647ca290916, stripped

32bitのelfだとわかったので、

Retargetable Decompilerというオンラインのデコンパイラーでデコンパイルしてみると

//
// This file was generated by the Retargetable Decompiler
// Website: https://retdec.com
// Copyright (c) 2015 Retargetable Decompiler &lt;[email protected]&gt;

// Address range: 0x400 - 0x405
int32_t Java_com_example_seccon2015_rock_1paper_1scissors_MainActivity_calc(void) {
    // 0x400
    return 7;
}

calc()はいつでも7を返すということがわかり

SECCON{" + String.valueOf((MainActivity.this.cnt + MainActivity.this.calc()) * 107) + "}"

ここを計算して

flag:SECCON{107749}

Command-Line Quiz

telnet caitsith.pwn.seccon.jp
   User:root
   Password:seccon
   すべての *.txt ファイルを読め

接続しクイズの答えもわかったが回答の仕方がわからず断念・・・

Steganography 1

MrFusion.gpjb

というファイルが渡され「Find image files in the file」とのこと

このファイルはgifファイルだとわかったので拡張子を変え表示してみるとSECCON{}としか描かれてないのに8Mはでかすぎるので

バイナリエディタで見てみるといろんなファイルフォーマットのヘッダーが含まれていたのでそれを仕様に沿って分けてみるてそれを合成すると

flagかと思ってsubmitしたがincorrectばっかりだった

結局できず断念

gpjbはg(mp)p(ng)j(peg)b(mp)の略だったようでbmpが足らなかったから不正解だったみたい

後で解いてみた

binwalkという便利なコマンドがあるらしい

なんでもファイルを解析してくれるみたいfileコマンドの強いやつって感じかな？

aptでインストールできるものはバージョンが古いみたいなのでここからホームディレクトリにダウンロードして

$ cd binwalk-2.0.0.tar/binwalk-2.0.0
binwalk-2.0.0.tar/binwalk-2.0.0 $ ./configure
binwalk-2.0.0.tar/binwalk-2.0.0 $ make
binwalk-2.0.0.tar/binwalk-2.0.0 $ sudo make install

これでインストールできbinwalkで実行できる

binwalkでMrFusion.gpjbを解析してみると

$ binwalk MrFusion.gif 

DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
0             0x0             GIF image data, version "89a", 1280 x 720
6943          0x1B1F          PNG image, 1280 x 720, 8-bit colormap, interlaced
7194          0x1C1A          Zlib SECCON_2015_Online_CTF data, SECCON_2015_Online_CTF, unSECCON_2015_Online_CTF size &gt;= 922950
9727          0x25FF          JPEG image data, JFIF standard  1.01
26632         0x6808          PC bitmap, Windows 3.x format, 1280 x 720 x 24
2791486       0x2A983E        GIF image data, version "89a", 1280 x 720
2794240       0x2AA300        PNG image, 1280 x 720, 8-bit colormap, interlaced
2794491       0x2AA3FB        Zlib SECCON_2015_Online_CTF data, SECCON_2015_Online_CTF, unSECCON_2015_Online_CTF size &gt;= 922950
2796217       0x2AAAB9        JPEG image data, JFIF standard  1.01
2813627       0x2AEEBB        PC bitmap, Windows 3.x format, 1280 x 720 x 24
5578481       0x551EF1        GIF image data, version "89a", 1280 x 720
5580896       0x552860        PNG image, 1280 x 720, 8-bit colormap, interlaced
5581147       0x55295B        Zlib SECCON_2015_Online_CTF data, SECCON_2015_Online_CTF, unSECCON_2015_Online_CTF size &gt;= 922950
5583378       0x553212        JPEG image data, JFIF standard  1.01
5601221       0x5577C5        PC bitmap, Windows 3.x format, 1280 x 720 x 24
8366075       0x7FA7FB        GIF image data, version "89a", 1280 x 720
8368830       0x7FB2BE        PNG image, 1280 x 720, 8-bit colormap, interlaced
8369081       0x7FB3B9        Zlib SECCON_2015_Online_CTF data, SECCON_2015_Online_CTF, unSECCON_2015_Online_CTF size &gt;= 922950
8371932       0x7FBEDC        JPEG image data, JFIF standard  1.01

このようにファイルフォーマットごとに表示してくれます

(ZlibはPNGに使われている圧縮方法なのでZlibのところは無視する)

gif→png→jpeg→bmp→gif→png→・・・のように繰り返している

#coding: UTF-8

a = [0,6943,9727,26632,2791486,2794240,2796217,2813627,5578481,5580896,5583378,5601221,8366075,8368830,8371932,8388384]
#アドレス
b = ['gif','png','jpg','bmp']
#拡張子
f = open("MrFusion.gif", "rb")
#ファイルの読み込み
for x in range(len(a)-1):
  open('result{:02d}.{}'.format(x, b[x % 4]), 'wb').write(f.read(a[x + 1] - a[x]))

pythonのコードを書いて実行

~/ctf/a$ ls
MrFusion.gif  split.py
~/ctf/a$ python split.py 
~/ctf/a$ ls
MrFusion.gif  result03.bmp  result07.bmp  result11.bmp  split.py
result00.gif  result04.gif  result08.gif  result12.gif
result01.png  result05.png  result09.png  result13.png
result02.jpg  result06.jpg  result10.jpg  result14.jpg
~/ctf/a$

分割されたファイルが出力される

最初と最後のファイルをネガポジ変換しすべてjpgに変換して

SiriusCompで比較明合成

Please input flag like this format SECCON{*** ** **** ****}

形式が指定されていたので

flag:SECCON{OCT 21 2015 0728}

4042

謎の文章が2005年に古代遺跡から発見された。

これは何を意味している？

no-network.txt

4042?2005?古代遺跡？ということでとりあえずググってみた

東ソー？

おっなんかヒットした

https://www.ietf.org/rfc/rfc4042.txt

RFC4042・・・？

とりあえずググってみた

RFC4042–Google検索

RFC4042
2005 年のエープリルフール発行のジョーク RFC です。
UCS4 や UCS2(Unicode) のエンコード方法である UTF-9 や UTF-18 を規定しています。 PDP-10 などの8bitベースではないマシンのためのエンコーディング…？

･･･http://www.imasy.or.jp/~yotti/rfc-joke.htmlより引用

ジョーク・・・

このファイルはUTF-9で書かれているのか・・・

rfc4042.txtにUTF-9からUCS-4に変換するコードが書かれている

/* Return UCS-4 value from UTF-9 string (C version)
* Accepts: pointer to pointer to UTF-9 string
* Returns: UCS-4 character, nonet pointer updated
*/

UINT31 UTF9_to_UCS4 (UINT9 **utf9PP)
{
  UINT9 nonet;
  UINT31 ucs4;
  for (ucs4 = (nonet = *(*utf9PP)++) &amp; 0xff;
  nonet &amp; 0x100;
  ucs4 |= (nonet = *(*utf9PP)++) &amp; 0xff)
  ucs4 &lt;&lt;= 8;
  return ucs4;
}

Last Challenge (Thank you for playing)

規則性にのっとて変換するだけ

flag:SECCON{SEEYOUNEXTYEAR}

終わり

初めてにしてはできたかな～

でも疲れた

視野は広くしないと