DEFCON CHV CTF 2025 Write-up

Transcript

1. None

2. 2

3. 3

4. 4 2025年の日程 ※BlackHatUSAは - 8/2-4: トレーニング - 8/5: サミットデイ -

   8/6-7: メインカンファレンス のように1週間ありますが、メインカンファレンスだ けでも十分。入場料は早割で2699ドル(約40 万円)とお高め。朝食と昼食が提供されます。 ※DEFCONは早割で540ドル(約8万円)。 昔は100ドルとかだったらしい。 ※Bsides LVは110ドル(約1.6万円)。

5. 5 今年の会場図

6. 6

7. 7 ブース ブース ブース ブース ブース ブース ブース CTF 運営席

   CTF運営席 ブース ブース ブース ブース ブース ブース ブース ブース テ ー ブ ル テ ー ブ ル テ ー ブ ル テ ー ブ ル テ ー ブ ル テ ー ブ ル テ ー ブ ル 机 机 机 机 机 机 実 機 問 実 機 問 実車をハッキング(解錠)するチャレンジ CTFの前から、座席確保という戦いが 始まっている。今年もなんとか確保 keyfobのペイロードを解析する チャレンジ(キャプチャも自分でやる) CAN問題とUSB問題が 同居するオリジナルデバイス

8. 8

9. 9 No. カテゴリ 問題名 作者 概要 現地要素 備考 1 -

   Don't trust in the tool ? ファームウェア中の画像探索 なし 2 - Weak rolling code Reverse Everything keyfobのペイロード解析 SDRデバイス必須 3 Rivian Remote Possibilities Rivian Rivian車の解錠チャレンジ (6ステージからなるシリーズ問題) ETHポートへ接続して解く Web 4 Rivian x509 Marks The Spot Rivian Linux環境調査 5 Rivian Trust but Don't Verify Rivian Web問に近い？ 6 Rivian Characteristic Behavior Rivian 解けなかったため情報なし 7 Rivian Nonce Sense Rivian 解けなかったため情報なし 8 Rivian Read Write Between The Lines Rivian Web問に近い？ 9 RBS XORry for being 4-getful Red Baloon Security 古典暗号を解く なし 10 RBS r0p 2 the t0p Red Baloon Security Pwn問 なし 11 RBS Can't stop the r0p Red Baloon Security エスパー要素の入ったPwn問 なし 12 CHALL Caffè Truncato DRIVESEC USBメモリを使ったexploitを作る 現地デバイスにUSBメモリを挿す 13 CHALL Utterly Deranged Server DRIVESEC UDSのセキュリティアクセス突破 現地デバイスとCAN通信 2ステージ(?)構成 14 CanQuest The Car Tunes Chronicles ETAS 壊れたFWを修正してOTA なし チュートリアル3問+本番1問 15 LISA Beyond ECU LISA (韓国;順天郷大学校) UDSのセキュリティアクセス突破 現地デバイスにWi-Fi経由で侵入 してCAN通信 2ステージ構成

10. 10 開催年 イベント名称 出題数 備考 2025 DEFCON 33 15 2025からは問題が公募となった

    1問を解くために、複数ステージを解く必要がある問題が散見された 2024 DEFCON 32 15 2023 DEFCON 31 26 このあたりから問題数が減り、代わりに「作り込まれた問題」が増えた 「ググって答えるだけ」「コマンド叩いて答えるだけ」みたいな問題はほぼなくなった 2022 DEFCON 30 49 2021 DEFCON 29 ？ コロナによりオンライン開催と現地大会の2本立て。現地大会には不参加のため情報なし 2020 DEFCON 28 61 2019 DEFCON 27 176 2018 DEFCON 26 78

11. 11 2025 CHVメインバッジ 表側 2025 CHVメインバッジ 裏側 2024年はメインバッジ(サーキット部分)とスピードメータバッジがあった 組み合わせると動いた上に、どちらのFWにも問題が仕込まれていた

12. 12 ※私一人で解いたような書き方に見えるかもしれませんが、 実際にはチームメイトが解いた部分が大半です。またすんなり と答えを導けたわけではなく、非常に多くの試行錯誤の結果、 得られた内容です。

13. 13 ETHケーブルを ハブにつなぐと接続できる フタはなく、中が見える

14. 14 No. 問題名 問題カテゴリ 問題文 解答状況 #1 Remote Possibilities Exploitation

    Pop a shell on the Rivian HIL #2 x509 Marks The Spot Exploitation [サイト上の問題文] Convince vehicle cloud you're a vehicle and have it give out information [机の上に貼ってあった問題文] Discover unwise security practices that allow users to connect to vehicle cloud #3 Trust but Don't Verify Reverse Engineering Convince vehicle cloud you're a vehicle and have it give out information ✘ #4 Characteristic Behavior Reverse Engineering Do Recon on the Rivian HIL to pivot into the vehicle ✘ #5 Nonce Sense Exploitation [サイト上の問題文] Use your knowledge of Flag 1-1 to unlock the vehicle [机の上に貼ってあった問題文] Abuse Bluetooth/TCM to unlock vehicle ✘ #6 Read Write Between The Lines Exploitation Build payload that convinces the cloud to unlock the vehicle ✘ 問題文が複数箇所にあった場合は、どちらも記載しています 番号は解説の都合で振り直しています

15. 15

16. 16 172.28.2.64 (Rivian HIL) 172.28.2.210 (車両クラウドを模したRaspi) 172.28.2.0/24

17. 17 22/tcp ssh 443/tcp https 8000/tcp http-alt 8080/tcp http-proxy 172.28.2.64

    (Rivian HIL) 172.28.2.0/24 http-altやhttp-proxyなどと表示されているが、 nmapが機械的にこの様に報告しているだけで、 実際にどう使われているかはケースバイケース。 今回は8080で普通のhttpが動いていた

18. 18 ダッシュボード ユーザ一覧 ユーザのパスワードとSSH秘密鍵

19. 19

20. 20

21. 21 サイト(スコアサーバ)上の問題文と、 現地テーブルに貼ってあった問題文が 違いましたが、スコアサーバ上の問題文は#3と 同じになっており、おそらくコピペミスと思われたた め、省略しています

22. 22

23. 23

24. 24

25. 25

26. 26

27. 27 22/tcp ssh 80/tcp http 443/tcp https 3000/tcp ppp 172.28.2.64

    (Rivian HIL) 172.28.2.210 (車両クラウドを模したRaspi) 172.28.2.0/24 WebSocketで接続

28. 28

29. 29 443/tcp https 172.28.2.64 (Rivian HIL) 172.28.2.210 (車両クラウドを模したRaspi) 172.28.2.0/24 WebSocketで接続

    TypeScriptを実行

30. 30

31. 31 問題番号 #1, #4, #5 が書いてある 問題番号 #1, #2, #3,

    #6 が書いてある

32. 32

33. 33

34. 34 172.28.2.0/24 172.28.1.0/24 172.28.2.64 (Rivian HIL) 172.28.1.64 (TCM) 172.28.1.x (???)

    Rivian HILがTCMの IPアドレスも持っている eth0 eth1 eth0 hci0 ？ HIL(TCM)

35. 35 172.28.2.0/24 172.28.1.0/24 172.28.2.64 (Rivian HIL) 172.28.1.64 (TCM) 172.28.1.73 (XMM-ANDROID)

    eth0 eth1 eth0 hci0 HIL(TCM) nats-server:7422/tcp parallax-controller:9826/tcp 7422/tcp と 9826/tcp が怪しい lsof -P -i -nで ポート番号に紐づいた プロセス名を特定できます (netstat -anptuはダメだった)

36. 36

37. 37 サイト(スコアサーバ)上の問題文と、 現地テーブルに貼ってあった問題文が 違ったため、両方記載しています

38. 38

39. 39

40. 40

41. 41 側面のCANインターフェースは、別の 問題で利用(この問題には関係がない) 上側にはタッチパネル、 前側面にはUSB差込口 プレイリスト内の音声ファイルをリストアップ/ インポート/エクスポートする機能がある

42. 42

43. 43 mainはコールバックハンドラ？を登録しているだけ playlistをリストアップ/インポート/エクスポートする処理が並ぶ

44. 44 プレイリスト (m3u) USBフラッシュメモリ 音声ファイル (mp3など) backend mediaserver マウント proxy

    処理をトリガ タッチパネル操作 プレイリストを 処理する機能

45. 45 mediaserver ①マウント + 音声 ファイル名 /mnt/usb/ ← /mnt/usb/<音声ファイル名> backend

    ③コピー元ファイルパス生成 ④/mnt/hddへコピー - シンボリックリンクはNG このとき、文字列格納先のバッファは50バイト。 BOFしないよう、最大49文字に切り詰めてしまう ②プレイリストに書かれた音声ファイル名のチェック - ファイル名は.mp3, .wavなどの音声系拡張子であること プレイリスト (m3u) USBフラッシュメモリ 音声ファイル (mp3など) 音声 ファイル名 ファイル名を切り詰めた結果、 /flag.txtを指すようにすればOK

46. 46 #EXTM3U #EXTINF:-1,aaaaa bbbbbbbbbbbbbbbb/../../../../../flag.txt.mp3 aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa.m3u USBフラッシュメモリ 空のディレクトリ bbbbbbbbbbbbbbbb ※音声ファイルは不要 dockerと現地環境が微妙に違い、

    作ったexploitが動かなくて苦労した (dockerでは../が4つでも動いたが、 現地では../が5つ必要だった) "/mnt/usb"を連結すると 53バイトとなり、末尾4バイ ト(=".mp3")が切り捨てら れフラグを指す

47. 47

48. 48 Windows版もMac版も4GB超。 残念ながら公開は終了している

49. 49 CANquest.exe Windowsマシン Linuxマシン pythonによるサーバ (8080/tcp) docker vcan0

50. 50 CANquest.exe Windowsマシン Linuxマシン pythonによるサーバ (8080/tcp) docker vcan0

51. 51

52. 52

53. 53

54. 54

55. 55 Linuxマシン pythonによるサーバ (8080/tcp) docker vcan0 bash

56. 56

57. 57 常にCANID:058が流れてい るので、ここでは無視している

58. 58 ここ

59. 59 これが問題の方向を指している

60. 60

61. 61

62. 62 頑張って「3」の ところまで行きましょう

63. 63

64. 64

65. 65

66. 66

67. 67

68. 68

69. 69

70. 70

71. 71

72. 72

73. 73

74. 74

75. 75

76. 76

77. 77