Ce week-end, j’ai rapidement participé aux qualifications du CTF de la DefCon 18. Je n’avais pas refait de challenge depuis Insomni’hack 2010 donc je me suis senti obligé de me décrasser un peu le cerveau. Ma participation à ces qualifications est toutefois restée limitée ; n’ayant pas pu m’inscrire à temps j’ai du rejoindre une team à l’arrache (Big-Daddy).

Vue d’ensemble

Le challenge consistait en 6 séries de 5 épreuves, chacune intitulée de la sorte :

• Poursuit trivial (épreuves générales)
• Crypto Badness (cryptographie)
• Packet Madness (réseau)
• Binary L33tness (cracking, applicatif)
• Pwtent Pwnables (exploitations de services)
• Forensics (analyse de fichiers)

N’ayant pas énormément de temps à consacrer à ce challenge, je n’ai pas vraiment touché à tout mais me suis focalisé sur la crypto et le réseau.

Dans l’ensemble j’ai trouvé ça plutôt sympa, même si j’ai quand même deux remarques négatives à faire :

• L’interface du panneau d’équipe codée en Java était vraiment plus que foireuse. Je ne sais pas si c’était du au fait qu’on soit plusieurs à partager le même compte, mais il fallait bouriner comme un dingue sur le bouton de validation afin d’avoir un espoir de valider les réponses (valides), voire même parfois se reconnecter.
• Certaines épreuves étaient relativement capilotractées, dans le sens ou elles n’étaient pas réalistes du tout et qu’il fallait être à peu près aussi dingue que leur concepteur pour la valider. Enfin je pense que ça doit être à peu près pareil sur tous les challenges du genre…

Étant loin d’avoir réussi à valider toutes les épreuves, je vous propose de dévoiler la solution de deux d’entre elles que j’ai trouvées assez sympathiques.

Packet Madness 200

Dans cette épreuve, on fournissait une capture de paquets (à renommer en .pcap), le but étant comme toutes les autres épreuves de trouver une passphrase de validation.

Sous Wireshark, on constate qu’il s’agit d’un trafic TCP entre un client et un serveur. En utilisant l’option « Follow TCP Stream », on constate qu’il semble s’agir de trafic binaire…

Capture Wireshark

Cependant, l’indice laissé par l’épreuve suggère que les deux machines communiquent avec une « langue » inhabituelle. S’agirait-il d’un encodage connu mais peu courant ? En regardant un peu les encodages supportés par Wireshark, on s’aperçoit rapidement qu’ils ‘agit en fait de l’EBCDIC, encodage créé par IBM qui semble remonter à l’époque quasi-préhistorique des cartes perforées… En utilisant cet encodage, on y voit tout de suite plus clair :

Trafic décodé

Il s’agit donc d’une sorte de telnet encodé en EBCDIC. Visiblement, le serveur propose plusieurs options, comme la création d’un compte, l’authentification, un mode maintenance et un affichage de news. L’IP du serveur visible dans le dump, 192.42.96.121, existe bel et bien et héberge bien ce service sur le port 8686. Il semble donc que la réponse à l’épreuve doive être obtenue en s’y connectant. Malheureusement les outils classiques comme telnet et netcat ne supportent pas l’EBCDIC. Mais c’est sans compter Python, qui le supporte nativement, et qui va ainsi nous permettre de se coder un petit client maison :

#!/usr/bin/python

import socket
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect(("192.41.96.121", 8686))

while True:
 data = s.recv(3000)
 print data.decode('EBCDIC-CP-BE').encode('ascii')

 input = raw_input()
 input_to_send = input.decode('ascii').encode('EBCDIC-CP-BE')+"%"
 s.send(input_to_send)

Ce client permet d’envoyer des commandes au service tout en affichant ses réponses. Toutefois, j’ai constaté qu’il était toujours en retard d’un message par rapport au serveur. N’ayant pas le temps d’être perfectionniste, je m’en suis contenté et ai pu me créer un compte sur le serveur avec la commande « a », puis me loguer avec ce même compte (« l »). Le mode administrateur « m » ne fonctionnant pas, il ne restait que l’affichage des news (« n »), qui donnait cette sortie :

5/21/2010 - Defcon qualifiers are underway.

5/18/2010 - It's Bob Randolph's birthday today, wish him well
 if you see him

5/16/2010 - It's IBM old timer's night at the bowling alley.
 The key thing to remember at these things is that:
 once upon a time IBM ruled the world

4/29/2001 - First post! w00t!

La news du 16 mai 2010 m’interpelle du fait de la présence du mot « key »… Nous testons donc la réponse « once upon a time IBM ruled the world » à l’épreuve, et après un léger acharnement collectif sur le team board, nous parvenons à valider ! Finalement, ce n’était pas compliqué…

Crypto Badness 400

Dans cette épreuve épinglée de l’indice « crack me », on fournit une archive tgz (encore une fois à renommer). Celle-ci contient un fichier blob.dat visiblement chiffré et une clé publique pubkey.pem. Il s’agit donc visiblement de casser la clé publique afin de retrouver la clé privée et déchiffrer le fichier .dat. Voici la clé publique :

-----BEGIN RSA PUBLIC KEY-----
MGgCYQDK2YRVfJfgOUMaImrXJ/DG1D7z1BhGnxs3UEmyKYQ+6fg7H5dzisJ09fYf
QB8h8ZE+S2S7MbVaONOYwN/tALE5LwiJcRxEs1nnl2xhf8xzTwbj6VwmR2CRtS9G
LnlBPbUCAwEAAQ==
-----END RSA PUBLIC KEY-----

Il s’agit d’une clé RSA. Pour analyser ce genre de clé, l’outil tout indiqué est OpenSSL. Cependant, une mauvaise surprise nous attend…

$ openssl rsa -pubin -in pubkey.pem -text
unable to load Public Key
20934:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:647:Expecting: PUBLIC KEY

Impossible de lire la clé avec cet outil, donc. Un peu de recherche Google, et je trouve quelqu’un qui a eu le même problème :

The problem is this an RSA public key PEM or DER generated by Ruby’s OpenSSL::PKey::RSA are unreadable by OpenSSL, Bouncy Castle and probably other crypto tools.

The actual issue is that Ruby’s OpenSSL::PKey::RSA#to_pem and #to_der generate a PKCS#1 public key format while the openssl rsa command only works PKCS#8 formatted public keys.

Ainsi, la clé semble avoir été générée avec le module OpenSSL de Ruby, et son format PKCS#1 empêche sa lecture avec OpenSSL. Qu’à cela ne tienne, nous allons utiliser ce même module pour la lire ! On ouvre le shell Ruby (IRB) et on tape :

$ irb
irb(main):001:0> require 'openssl'
=> true
irb(main):002:0> a=OpenSSL::PKey::RSA.new(File.read("pubkey.pem"))
=> -----BEGIN RSA PUBLIC KEY-----
MGgCYQDK2YRVfJfgOUMaImrXJ/DG1D7z1BhGnxs3UEmyKYQ+6fg7H5dzisJ09fYf
QB8h8ZE+S2S7MbVaONOYwN/tALE5LwiJcRxEs1nnl2xhf8xzTwbj6VwmR2CRtS9G
LnlBPbUCAwEAAQ==
-----END RSA PUBLIC KEY-----

irb(main):003:0> a.params
=> {"dmq1"=>0, "dmp1"=>0, "iqmp"=>0, "n"=>12301866845301177551304949
58384962720772853569595334792197322452151726400507263657518745202199
78646938995647494277406384592519255732630345373154826850791702612214
29134616704292143116022212404792747377940806653514195974598569021434
13, "d"=>0, "p"=>0, "e"=>65537, "q"=>0}

On arrive ainsi à extraire le module (n) et l’exposant public (e). Ce dernier étant quasiment toujours le même, seul le module importe ici. Pour savoir si nous avons une chance de le casser, regardons sa taille en bits :

$ python
>>> import math
>>> n=12301866845301177551304949583849627207728535695953347921973224
52151726400507263657518745202199786469389956474942774063845925192557
32630345373154826850791702612214291346167042921431160222124047927473
7794080665351419597459856902143413
>>> math.log(n, 2)
767.66426718447133

Il semble codé sur 768 bits… Cela ne vous rappelle rien ? Le nombre RSA-768 a été cassé en décembre dernier. Et comme par hasard, c’est bien le même qui est utilisé ici… Nous allons donc pouvoir utiliser sa factorisation pour générer la clé privée correspondante. Par chance, StalkR de la team Nibbles a posté un article très similaire issu du CTF Codegate il y a quelques mois. Il y indique la procédure à suivre pour générer le certificat, qui pour simplifier se résume à télécharger un en-tete d’OpenSSL ainsi qu’un programme C servant à générer la clé. On lance tout ça :

$ gcc -lssl -o create_private create_private.c
$ ./create_private

La clé privée est générée dans le fichier private.pem. Il ne reste alors plus qu’à décrypter le fichier blob.dat en utilisant la commande :

$ openssl rsautl -decrypt -inkey private.pem -in blob.dat -out output.txt

Moment de vérité…

$ cat output.txt
how long until 1024 falls by the wayside?

Il s’agit bien de la réponse à l’épreuve (validée encore une fois grâce à un acharnement collectif).

Comme l’épreuve précédente, ce n’était techniquement pas compliqué, l’obstacle majeur étant la non-reconnaissance de la clé par OpenSSL… En tout cas merci à StalkR pour son article qui a été d’une grande aide.

Conclusion

Ces épreuves ont été l’occasion pour moi de me remettre un peu dans le bain des CTFs. Le niveau était globalement assez élevé (plus dur que l’année dernière à en croire certains), et nous n’avons réussi à valider que quelques épreuves; les résultats sont disponibles ici. Pour ceux que ça intéresse, vous trouverez le résultat de la dernière épreuve du Poursuit trivial ici.

Chapeau à Nibbles pour avoir terminé 10ème ; un grand bravo à eux. Et merci à tous ceux avec qui j’ai challengé, en particulier à Silkut, MatToufoutu, et Dad. En espérant que nous parviendrons à créer une équipe HZV l’année prochaine, du moins si nous avons plus de temps et de ressources…

Week-end : cell phone mission

Jeudi midi, une fois mon cours de base de données terminé, je suis en week-end. Après avoir déjeuné à Crossroads (un resto non loin du collège d’informatique) avec d’autres Frenchies, nous décidons de partir en expédition dans le but d’acheter des téléphones portables ! Car il faut l’avouer : ici, si on n’a pas de portable, c’est la loose. Skype est très pratique pour communiquer entre amis lorsqu’on est chacun chez soi, mais quand on est sur le campus, c’est une autre paire de manches. Le campus est tellement grand que l’on n’a quasiment aucune chance de croiser la personne que l’on cherche.

Après avoir un peu recherché sur Internet, nous concluons que l’offre qui nous conviendrait le mieux est « Pay as you go« . Pour faire simple, il s’agit de l’équivalent des cartes de recharges en France. Nous repérons une offre de T-Mobile qui a l’air intéressante : pour $30, on a un portable avec une carte de $25 gratuite, le tout étant livré gratuitement à domicile. Cependant, impossible de commander en ligne ; la commande échoue au dernier moment, suite à une erreur inconnue. Nous avons essayé de les contacter, mais leur site est tellement bien fait que leur formulaire d’envoi de mail ne fonctionne pas non plus.

Motivés, nous décidons de nous rendre dans l’agence la plus proche. Nous prenons un bus qui nous dépose à Southtown Plaza, une galerie commerciale. Après une petite reconnaissance, aucune boutique T-Mobile en vue. Nous demandons donc à des commerçants, qui nous indiquent que la boutique la plus proche est en fait au Marketplace Mall, centre commercial qui est très proche quand on a une voiture, mais pas si proche que ça quand on est à pieds… Nous avons donc l’occasion de vérifier une deuxième vérité : ici, si on n’a pas de voiture, c’est la loose (à peu près autant que quand on n’a pas de portable, en fait).

Après une vingtaine de minutes de marche, nous parvenons dans la galerie marchande du Mall. Là, nous repérons une boutique T-Mobile, et nous demandons conseil au vendeur. Celui-ci nous explique que cette boutique ne fait pas l’offre que nous voulons, mais qu’il y en a une autre qui la fait dans la même galerie. Nous y allons donc, et une fois à l’intérieur, on nous explique que l’offre que nous avions vue n’est en fait disponible que sur Internet… En fait, ils la font aussi ici, mais sans la carte gratuite. Nous jetons un coup d’oeil, et nous trouvons un portable à 20$, le plus basique qui soit. Au niveau des cartes de recharges, il y a plusieurs tarifs, de $20 à $200, suivant le nombre de minutes disponibles. Au passage, on nous explique aussi qu’aux USA, votre crédit est aussi débité quand on vous appelle, et même quand vous consultez votre messagerie vocale… Mais bon, nous n’avons pas trop le choix, donc nous optons tous pour cette solution, en achetant le portable ainsi qu’une carte de $50. On se retrouve alors avec 7h de crédit d’appel/réception à utiliser en 3 mois, sachant que le crédit inutilisé est reporté si on recharge avant la date limite. Bref, le principal est que nous avons désormais chacun un portable !

Computer System Security

Lundi, reprise à 8h30 avec sécurité informatique. Bonne nouvelle, je me rends compte que la lecture du livre et son compte rendu n’est pas à faire pour les étudiants undergraduate comme moi, c’est toujours ça de moins à faire. Le prof continue son introduction sur la sécurité, et insiste sur le fait que dans une entreprise, la véritable menace vient de l’intérieur : c’est très souvent les employés mécontents qui sont scusceptibles de crasher le réseau, plutôt que des attaquants externes.

Pendant la séance de lab, nous nous remettons par groupes pour préparer la compétition (celle au cours de laquelle nous allons devoir pirater les autres groupes). Avec mon équipe, nous décidons des systèmes d’exploitation et des logiciels que nous allons mettre en place sur nos machines. Petit détail qui ne nous facilite pas la tâche : le réseau étant totalement déconnecté d’Internet pour éviter la propagation des attaques, il est difficile de télécharger les mises à jour des différents programmes que nous allons utiliser… Nous répartissons les tâches; pour ma part elle consistera à installer le serveur Web (avec HTTPS), le sécuriser, et créer un mini site web factice, le but étant de fournir un point d’accès supplémentaire aux autres équipes.

Cryptography

En cryptographie, nous avons un homework à rendre pour le vendredi qui suit. Pour ceux que ça intéresse, parmis les questions posées, il est demandé de décryter le texte suivant :

NAGQNXIIZAGBGIIYXQOMQUGQUZAXTNGMYXQGTTASNISQO
AMFGZAGEZVOOGUZAGIGMTAMQUTZYMXQGUMCMYZDECMLWS
RVQYVIEASVQUTXLMQQSZTZMYZZAGDMOMXQSQMPVMYYESR
WQSNIGUOGZAGEAMZGZSAVQZXLMQAMVIZAGDMQUVYOGZAG
DQSDSYGQSDSYGLMQXGQUVYGZSBGMYZAGBYVQZSRZAGBSS
WTZAMZIXGSVZSQZAGUGTWTMRVIIZAYGGTLSYGSRTGFGYM
IXQTVIZTSRBISZZGUCMOGTMQUTLYMNISRTISFGQIENSYW
ZAMZZAGEAMFGSRRGYGUDGXMDTXLWMQUZXYGUDSYGZAMQM
QEZAYMIIVCSQZAGNSSUTZMLWTNSYWXQONGMYXGUIE

Deux indices :

• Il s’agit d’un chiffrage par substitution monoalphabétique, autrement dit chaque lettre du texte crypté correspond en réalité à une autre lettre.
• Le texte original est en Anglais.

Allez, un petit effort, il n’y a que 26! = 403291461126605635584000000 possibilités… Mais pour nous aider, nous sommes libres d’utiliser quelques astuces ainsi que le langage de programmation de notre choix ; pour ma part j’ai choisi Python. Je m’acharne un peu dessus, et au bout de quelques heures, j’en viens enfin à bout. Je donnerais la solution plus tard pour ceux qui souhaitent chercher eux mêmes . Pour ceux qui en veulent encore, je peux leur donner le deuxième texte que nous avions à décrypter, cette-fois çi en Hollandais…

Au niveau des cours, ils sont assez intéressants. Nous finissons la série des cryptosystèmes classiques tels que Hill et Vigenère, puis nous entamons RSA (un des plus utilisés de nos jours) à la fin de la semaine.

Pour ceux qui sont vraiment motivés, je pourrais vous filer mon homework de chaque semaine, si vous voulez le faire à ma place… Non, je plaisante, je ne voudrais surtout pas enfreindre le règlement du RIT ! En effet, ici ils ne plaisantent pas : tricher ou copier le travail d’un autre est puni d’un F, qui est la pire note (l’équivalent d’un 0 chez nous).

Database System Implementation

Lorsque nous arrivons en cours de bases de données, le professeurs procède au tirage au sort pour la composition des groupes de projet. Je me retrouve avec 2 américains, qui ont l’air plutôt motivés pour faire du C/C++, comme moi. Il faut ensuite choisir quel système de base de données reprendre. Nous partons sur PostgreSQL, mais après quelques concertations, nous changeons d’avis et décidons que nous allons plutôt travailler avec MySQL, qui a l’air plus simple et mieux documenté.

Le travail va consister à récupérer son code source, l’analyser pour comprendre son fonctionnement. Nous devrons ensuite proposer 3 améliorations, puis nous les ajouter au code source, pour finir avec une démonstration et la rédaction d’un rapport de projet.

Niveau cours, nous commençons par parler des moyens de stockage de données. Nous voyons le fonctionnement des disques durs, avec un jargon (plateau, piste, cylindre, secteur…) qui me rappelle étrangement ce que nous voyons en cours de Système à l’INSA. Nous en venons ensuite à la structure des fichiers contenant les tables des bases de donnée, en abordant l’indexation des blocs de données. Cela me rappelle beaucoup certaines parties du cours de Base de Données de 4INFO, mais en plus condensé. En tout cas, j’en profite pour enrichir mon vocabulaire anglo-saxon.

De nouveau en week-end

Et voila, ma semaine est déjà finie. J’ai déjà quelques soirées de prévues, dont un resto — je vais tester Buffalo Wild Wings, qui a l’air d’être assez connu ici —, un ciné @ RIT (ils projettent The Kingdom ce soir en amphi), ainsi qu’une super French Crêpes Party organisée par tous les INSAliens exilés au RIT. Il ne faudra quand même pas que j’oublie de travailler, pour éviter de prendre trop de retard dans mes projets…