Merge branch 'master' of https://github.com/rev112/stepctf-2015

Author: awengar

ASR/summary.yml

@@ -3,7 +3,7 @@ answer_regex: STCTF#Dang3r0u51R5AMay83Vu1n3ra813#
 author: patrick
 category: crypto
 description: |
-  Папа, будучи в коммандировке, оставил Кириллу послание с ключом от сейфа.
-  В сейфе лежат золотые монеты, которые Кирилл может потратить, если сумеет отгадать, как расшифровать приложенное сообщение.
+  Папа, будучи в командировке, оставил Кириллу послание с ключом от сейфа.
+  В сейфе лежат золотые монеты, которые Кирилл может потратить, если сумеет отгадать, как расшифровать приложенное сообщение. Ключик в помощь.
 name: ASR
 price: 300

Catless/create/bootstrap.sh

@@ -1,23 +1,26 @@
-#!/bin/bash
+#!/usr/bin/env bash
 
-rm -f \
-    /bin/less /usr/bin/tail* /usr/bin/head /bin/*grep* \
-    /usr/bin/*grep* /etc/alternatives/v* /usr/bin/xxd \
-    /usr/bin/python* /bin/cat /usr/bin/perl* /usr/bin/vi* /bin/more \
-    /bin/sed /usr/bin/*diff* /usr/bin/curl /usr/bin/wget /usr/bin/base64 \
-    /bin/nc* /bin/netcat /usr/bin/nano /bin/nano /usr/bin/sort \
-    /usr/bin/awk /bin/echo
+# sudo apt-get update && sudo apt-get install -y sl cowsay
 
-# /usr/bin/cut?
-# /usr/bin/nl?
 
 # Greeting
-echo '### Welcome home! ###' > /.box/.greeting
+echo '< Welcome home >
+ --------------
+        \   ^__^
+         \  (oo)\_______
+            (__)\       )\/\ 
+                ||----w |
+                ||     ||
+' > /home/box/.greeting; chown box /home/box/.greeting
+
+
 
 # Update bashrc
+echo 'tac /home/box/.greeting 2> /dev/null | tac; rm -f /home/box/.greeting' >> /home/box/.bashrc
 echo 'alias echo=/bin/echo' >> /home/box/.bashrc
+# echo 'alias ls=sl' >> /home/box/.bashrc
 
-
+# Write the flag
 echo "Noooo, you've managed to read me!
 
 Ok, here's the flag: STCTF#l1nvxH4sN1ceStvff#
@@ -26,3 +29,14 @@ Ok, here's the flag: STCTF#l1nvxH4sN1ceStvff#
 # Remove sudo
 rm -f /etc/sudoers.d/box
 
+# Remove programs
+rm -f \
+    /bin/less /usr/bin/tail* /bin/tail* /usr/bin/head /bin/*grep* /usr/bin/tmux \
+    /usr/bin/*grep* /etc/alternatives/v* /usr/bin/xxd /usr/bin/strings \
+    /usr/bin/python* /bin/cat /usr/bin/perl* /usr/bin/vi* /bin/more \
+    /bin/sed /usr/bin/*diff* /usr/bin/curl /usr/bin/wget /usr/bin/base64 \
+    /bin/nc* /bin/netcat /usr/bin/nano /bin/nano /bin/echo /usr/bin/sort /usr/bin/awk
+
+# /usr/bin/cut?
+# /usr/bin/nl?
+

FMS/create/Dockerfile

@@ -0,0 +1,6 @@
+FROM ubuntu:14.04
+
+RUN apt-get install -y nmap
+
+COPY FMS run.sh flag.txt /
+CMD /run.sh

FMS/create/FMS

@@ -1,6 +1,5 @@
 #!/bin/bash
-
+/bin/echo 0 > /proc/sys/kernel/randomize_va_space
 port=1234
 
-make main
-ncat -lp $port -ke ./main
+ncat -lp $port -ke ./FMS

FMS/create/run.sh

@@ -8,4 +8,4 @@ description: |
   Will it make it easier on you now
   If you've got someone to blame
 name: FMS
-price: 150
+price: 200

FMS/summary.yml

@@ -1,6 +1,6 @@
 #! /bin/bash
 
-sudo docker kill web100
-sudo docker rm web100
-sudo docker build -t patrick/web100 .
-sudo docker run -d --name web100 -p 127.0.0.1:13371:8080 patrick/web100
+sudo docker kill feeddapanda
+sudo docker rm feeddapanda
+sudo docker build -t patrick/feeddapanda .
+sudo docker run -d --name feeddapanda patrick/feeddapanda

FeedDaPanda/create/feeddapanda.sh

@@ -4,6 +4,6 @@ author: patrick
 category: web
 description: |
   Артуру нравились панды, поэтому он подкармливал их, и за это, они рассказывали ему все свои секреты.
-  Мы обнаружили следы панд здесь: http://server:13371.
+  Мы обнаружили следы панд здесь: feeddapanda.2015.ppctf.net
 name: FeedDaPanda
-price: 100
+price: 200

FeedDaPanda/summary.yml

@@ -3,6 +3,6 @@ answer_regex: STCTF#aaaaad#
 author: ZetsubouClown
 category: reverse
 description: |
-  
+  Я слишком ленив, чтобы придумать описание для этой задачи. Не слишком ли вы ленивы, чтобы решить её?
 name: I Don't Even
 price: 100

IDontEven/summary.yml

@@ -0,0 +1,17 @@
+# NoisyNeighbor
+
+## RF Transmitter
+![RF Transmitter](transmitter.jpg)
+Радиопередатчик 433 МГц, подключенный к Raspberry Pi:
+
+## RF Receiver
+![RF Receiver](receiver.jpg)
+Радиоприемник 433 МГц, подключенный через резистор в микрофонный вход аудиокарты:
+
+## Signal Generation
+На Raspberry Pi компилируем `trisend.cpp`, для сборки нужна библиотека [433Utils](https://github.com/ninjablocks/433Utils). `trisend` посылает tri-state последовательности, которыми кодируются команды rf пультов.
+
+Запускаем скрипт `rf_broadcast.py`, который сначала посылает случайные команды со случайным интервалом между ними. Потом посылает команды вида `FFFFFxxxxxxx`, где `xxxxxxx` -- 7 бит `0` или `1`, представляющих ascii коды флага. После флага опять посылает случайные команды.
+
+## Signal Sniffing
+На машине, к которой подключен rf приемник, запускаем [Audacity](http://sourceforge.net/projects/audacity/) и включаем запись с микрофонного входа.

NoisyNeighbor/create/README.md

@@ -0,0 +1,44 @@
+#!/usr/bin/env python3
+import random
+import subprocess
+
+from time import sleep
+
+
+FLAG = 'STCTF#uN1oCKd00r#'
+
+MAX_COMMAND_INTERVAL = 10
+
+
+def char2tristate(char):
+    return 'FFFFF{0:07b}'.format(ord(char))
+
+
+def random_tristate():
+    return ''.join((random.choice(['0', '1', 'F']) for i in range(12)))
+
+
+RANDOM_COMMANDS = [random_tristate() for i in range(10)]
+
+
+def send_tristate(tristate):
+    subprocess.call(['./trisend', tristate])
+
+
+def send_random_commands(number):
+    for i in range(number):
+        send_tristate(random.choice(RANDOM_COMMANDS))
+        sleep(random.randrange(MAX_COMMAND_INTERVAL))
+
+
+print("# Sending random commands")
+send_random_commands(23)
+
+print("# Sending FLAG commands")
+for c in FLAG:
+    tristate = char2tristate(c)
+    subprocess.call(['./trisend', tristate])
+    sleep(random.randrange(MAX_COMMAND_INTERVAL))
+
+print("# Sending random commands")
+send_random_commands(12)

NoisyNeighbor/create/receiver.jpg

@@ -0,0 +1,22 @@
+#include "RCSwitch.h"
+#include <stdlib.h>
+#include <stdio.h>
+
+int main(int argc, char *argv[]) {
+
+    // This pin is not the first pin on the RPi GPIO header!
+    // Consult https://projects.drogon.net/raspberry-pi/wiringpi/pins/
+    // for more information.
+    int PIN = 0;
+
+    char* tri_state = argv[1];
+
+    if (wiringPiSetup () == -1) return 1;
+    printf("sending tri_state[%s]\n", tri_state);
+    RCSwitch mySwitch = RCSwitch();
+    mySwitch.enableTransmit(PIN);
+
+    mySwitch.sendTriState(tri_state);
+
+    return 0;
+}

NoisyNeighbor/create/rf_broadcast.py

@@ -0,0 +1,97 @@
+#!/usr/bin/env python3
+import struct
+import sys
+import wave
+
+
+FILENAME = sys.argv[1]
+
+TRI_STATE_SEQUENCE_LENGTH = 12
+IS_SYNC_BIT_LOW = lambda inter: inter[0] == 0 and 450 < inter[1] < 500
+IS_LOW = lambda inter: inter[0] == 0 and 15 < inter[1] < 30
+IS_HIGH = lambda inter: inter[0] == 1 and 15 < inter[1] < 30
+IS_3LOW = lambda inter: inter[0] == 0 and 45 < inter[1] < 55
+IS_3HIGH = lambda inter: inter[0] == 1 and 45 < inter[1] < 55
+
+
+def read_pulses_sequence(intervals, index, pulses, bit):
+    if all(is_pulse(inter) for is_pulse, inter in
+           zip(pulses, intervals[index:index + len(pulses)])):
+        return bit, index + len(pulses)
+    return None, None
+
+
+def read_tri_state_0(intervals, index):
+    pulses = [IS_HIGH, IS_3LOW, IS_HIGH, IS_3LOW]
+    return read_pulses_sequence(intervals, index, pulses, '0')
+
+
+def read_tri_state_1(intervals, index):
+    pulses = [IS_3HIGH, IS_LOW, IS_3HIGH, IS_LOW]
+    return read_pulses_sequence(intervals, index, pulses, '1')
+
+
+def read_tri_state_F(intervals, index):
+    pulses = [IS_HIGH, IS_3LOW, IS_3HIGH, IS_LOW]
+    return read_pulses_sequence(intervals, index, pulses, 'F')
+
+
+def read_tri_state(intervals, index):
+    read_funcs = [read_tri_state_0, read_tri_state_1, read_tri_state_F]
+    for read_func in read_funcs:
+        bit, new_index = read_func(intervals, index)
+        if bit:
+            return bit, new_index
+    return None, None
+
+
+def read_tri_state_sequence(intervals, index):
+    sequence = []
+    for i in range(TRI_STATE_SEQUENCE_LENGTH):
+        tri_state, index = read_tri_state(intervals, index)
+        if not tri_state:
+            return None, None
+        sequence.append(tri_state)
+    return ''.join(sequence), index
+
+
+def read_sync_bit(intervals, index):
+    if IS_HIGH(intervals[index]) and IS_SYNC_BIT_LOW(intervals[index + 1]):
+        return True, index + 2
+    return None, None
+
+
+wf = wave.open(FILENAME)
+
+signal_intervals = []
+signal = 0
+signal_length = 0
+for i in range(wf.getnframes()):
+    frame_data = wf.readframes(1)
+    frame = struct.unpack("<h", frame_data)[0]
+    new_signal = 1 if frame > 0 else 0
+    if new_signal == signal:
+        signal_length += 1
+    else:
+        signal_intervals.append((signal, signal_length))
+        signal = new_signal
+        signal_length = 1
+
+
+tri_state_sequences = []
+index = 0
+while index < len(signal_intervals) - 1:
+    is_sync_bit, new_index = read_sync_bit(signal_intervals, index)
+    if not is_sync_bit:
+        index += 1
+        continue
+    index = new_index
+    #print("# Sync bit:", index)
+
+    tri_state_seq, new_index = read_tri_state_sequence(signal_intervals, index)
+    if tri_state_seq:
+        tri_state_sequences.append(tri_state_seq)
+        index = new_index
+        #print("# Read tri-state:", tri_state_seq)
+        if tri_state_seq.startswith('FFFFF'):
+            sys.stdout.write(chr(int(tri_state_seq[5:], 2)))

NoisyNeighbor/create/transmitter.jpg

@@ -0,0 +1,18 @@
+Файл noise.wav является записью эфира с радиоприемника с частотой 433 МГц. Это частота имеет большое распространение в радиоуправляемой технике, в том числе в различных управляемых выключателях, розетках и замках для умных домов. Однако в таких системах обычно не используется никакой обратной связи от стороны приема, и сигнал, как правило, никак не шифруется. Таким образом, система подвержена прослушиванию и replay-атакам.
+
+При передаче сигнала RF пультом используется амплитудная модуляция сигнала (ASK)[http://en.wikipedia.org/wiki/Amplitude-shift_keying]. Одно нажатие на кнопку RF пульта -- это обычно посылка серии одинаковых tri-state последовательностей, состоящая из 12 бит `0`, `1` или `F` (https://code.google.com/p/rc-switch/wiki/KnowHow_LineCoding). Каждый из трех битов модулируется амплитудой сигнала (восемь импульсов). Последовательности в серии разделяются битом синхронизации.
+
+Предложенный файл можно открыть в Audacity (http://sourceforge.net/projects/audacity/) и нормализовать (Effect -> Normalize), чтобы нагляднее видеть изменения амплитуды цифрового сигнала. Кстати, просто проиграв wav файл, даже на слух среди шума можно услышать места, где передаются команды пульта. Пробуем записать вручную импульсы сигнала и видим, что он всегда состоит из шаблонов:
+10001000 - 0
+11101110 - 1
+10001110 - F
+это и есть tri-state биты последовательностей.
+
+В начале файла записаны случайные команды, в середине можно отыскать 17 подряд идущих последовательностей виды FFFFFxxxxxxx, где xxxxxxx -- 7 бит `0` или `1`, представляющих ascii коды флага. После флага снова идут случайные RF команды.
+
+Для автоматизации решения пишем скрипт, который извлечет нужные последовательности из аудио файла:
+
+./rf_parser.py noise.wav
+SSSSTTTTTCCCCCTTTTTTFFF####uuuuuNNN1111ooooooCCCCKKKKKdddddd0000000000rrr#####
+
+Удаляем повторяющиеся символы и получаем: STCTF#uN1oCKd00r#

NoisyNeighbor/create/trisend.cpp

@@ -0,0 +1,8 @@
+---
+answer_regex: STCTF#uN1oCKd00r#
+author: spy
+category: forensics
+description: |
+  Ваш сосед очень любит свой умный дом, его дом умнее уже даже своего хозяина. Сосед искренне уверен, что со всеми новомодными электронными штучками в доме он в полной безопасности. Докажите ему, что это не так, откройте входную дверь до его возвращения домой. https://stepic.org/media/attachments/course/117/noise.wav.xz
+name: NoisyNeighbor
+price: 500

NoisyNeighbor/solution/rf_parser.py

@@ -0,0 +1,5 @@
+FROM ubuntu:14.04
+
+COPY reader tag run.sh /
+RUN apt-get install nmap
+CMD /run.sh

NoisyNeighbor/solution/solution.html

@@ -3,7 +3,7 @@ answer_regex: STCTF#chocolate_chip_c00kies_arrive_on_monday#
 author: gnull
 category: crypto
 description: |
-  На вооружение вражеской разведки поступили бесконтактные смарт-карты нового поколения. Новейшая разработка Западной Академии Естественной Близорукости использует шифр Crackto, основанный на секретности алгоритма. Нашей разведкой было выяснено, что смарт-карты используются для передачи информации о доставках вражеского печенья в наш тыл. Если вражеские голуби и дальше продолжат беспрепятственно доставлять секретные донесения, это нанесет непоправимый ущерб нашей пряниковой индустрии. К счастью, наш агент, Василий, сумел украсть <a href="source on dropbox">исходный код</a>, а так же адреса смарт-карты(IP:PORT) и считывателя(IP:PORT). В скором времени враг планирует переброску крупной партии овсяного печенья, ее необходимо предотвратить. Узнайте время доставки. 
+  На вооружение вражеской разведки поступили бесконтактные смарт-карты нового поколения. Новейшая разработка Западной Академии Естественной Близорукости использует шифр Crackto, основанный на секретности алгоритма. Нашей разведкой было выяснено, что смарт-карты используются для передачи информации о доставках вражеского печенья в наш тыл. Если вражеские голуби и дальше продолжат беспрепятственно доставлять секретные донесения, это нанесет непоправимый ущерб нашей пряниковой индустрии. К счастью, наш агент, Василий, сумел украсть <a href="https://www.dropbox.com/s/uunuvhaz84hd0p4/obscurity.7z?dl=0">исходный код</a>, а так же адреса смарт-карты(IP:PORT) и считывателя(IP:PORT). В скором времени враг планирует переброску крупной партии овсяного печенья, ее необходимо предотвратить. Узнайте время доставки. 
 
 name: Obscurity
-price: 300-400?
+price: 400

NoisyNeighbor/summary.yml

@@ -3,6 +3,6 @@ answer_regex: STCTF#5aRcAmMa5573R15Wa7Ch1NGY0u#
 author: patrick
 category: stegano
 description: |
-  Петя был мастер сарказмов. Попробуй найти небольшой ключ от его ящика-пандоры.
+  Петя был мастер сарказмов. Попробуй найти небольшой ключ от его ящика Пандоры.
 name: Sarcasm
-price: 100
+price: 300

Obscurity/create/Dockerfile

@@ -0,0 +1 @@
+�l�3������v#���#�:^�����u�Հ����qG*#ՈBd�e�Lq=ӻ��� �4F��r��

Obscurity/create/obscurity.7z

@@ -0,0 +1 @@
+hoDWU3xn3Gk9y

Obscurity/create/reader

@@ -0,0 +1,29 @@
+#include <stdio.h>
+#include <stdlib.h>
+#include <string.h>
+
+int main()
+{
+	FILE *fi, *fo, *fk;
+	int i, r;
+	char key[20], text[100];
+
+	fi = fopen("flag.txt", "r");
+	fo = fopen("encrypted.txt", "w");
+	fk = fopen("key.txt", "r");
+
+	fscanf(fi, "%s", text);
+	fscanf(fk, "%s", key);
+
+	srand(key[0] * key[1] * key[2] * key[3]);
+	for(i = 0; i < strlen(text); ++i)
+	{
+		r = rand();
+		putc(r ^ key[(r % strlen(key))] ^ text[i], fo);
+	}
+
+	fclose(fi);
+	fclose(fo);
+	fclose(fk);
+	return 0;
+}

Obscurity/create/tag

@@ -0,0 +1 @@
+1fYouAreR4ad1ngTh1sThenYouHaveG0tTh1sF1agSTCTF#WhenWi11TrueRandom#co

Obscurity/summary.yml

@@ -0,0 +1 @@
+T4DchoDWU3xn3Gk9y

Sarcasm/summary.yml

@@ -0,0 +1,3 @@
+Вспоминая, как работает стандартный ГПСЧ в Си, можно увидеть, что вся дешифрация зависит от первых 4х символов ключа.
+Т.к. 100 ^ 4 = 10^8 - это количество попыток подбора ключа неоптимизированным алгоритмом полного перебора, то таким образом
+можно получить за адекватное время ключ и оригинальный текст