picoCTF / picoGym Writeups

PicoGym Crack the Gate 2

Thu, 20 Nov 2025 19:05:01 +0900

問題リンク

https://play.picoctf.org/practice/challenge/521

概要

ログインフォームが与えられ、「emailは特定したので侵入してね」というもの

サイトURLとEmailとは別に、パスワードのリストも与えられます

本問は“Crack the Gate 1”という問題の続きという位置づけ

予備知識

X-Forwarded-For ヘッダー

リクエストヘッダーの一種です。端的に言えば、元のクライアントのIPアドレスをウェブサーバーに伝えるためのHTTPヘッダーフィールドです

以下サイトがわかりやすいです

https://developer.mozilla.org/ja/docs/Web/HTTP/Reference/Headers/X-Forwarded-For

パスワードリスト攻撃

何らかの手法で手に入れたIDとパスワードのリストを使ってサービスに不正ログインを試みるという、攻撃手法の一種です

今回の問題では、ID固定でパスワードのリストが与えられており、これを使って擬似的にパスワードリスト攻撃を仕掛けます

解き方

パスワードリストをとりあえず試すと、2回目の試行でToo many failed attempt. Please try again in 20 minutes.となってしまいブロックされます

前の問題(Crack the Gate 1)のバックドアである X-Dev-Acess: yesを設定してもダメです

「システムはユーザーがコントロールするHeaderを信頼するかも」というヒントが問題文で与えられていて、どうやらX-Forwarded-Forの値(IPアドレス)を書き換えながら攻撃を仕掛ければこちらのIPアドレスを偽装することができるらしいです

やり方としては、burpsuiteのIntruderタブからPitchfork attackを選び、

リクエストヘッダーのX-Forwarded-Forを書き換え続ける
リクエストボディのpasswordフィールドでパスワードリストの全パターンを試す

ということをすればOKです

実際に攻撃を仕掛けると、以下のようなResultが得られます

Request	Payload1	Payload2	Status code	Response receive	Error	Timeout	Length
1	100	l9xKfsH0	200	250	false	false	252
2	101	rCRnekkE	200	202	false	false	368
3	102	wqMh5SQT	200	196	false	false	252
4	103	9JL7BM3W	200	194	false	false	252
5	104	OtrkErZU	200	209	false	false	252
6	105	xr5N5yun	200	203	false	false	252
7	106	FAfQ34Dr	200	261	false	false	252
8	107	xAzOtoGy	200	205	false	false	252
9	108	NT4Vm1FC	200	191	false	false	252
10	109	aRhrp17j	200	204	false	false	252
11	110	5vcxz5xZ	200	184	false	false	252
12	111	SooyOtMf	200	232	false	false	252
13	112	qpTlHqaG	200	207	false	false	252
14	113	0AwkENeB	200	160	false	false	252
15	114	tfkwkm3g	200	189	false	false	252
16	115	UToyxdBs	200	204	false	false	252
17	116	NWj5rDBm	200	204	false	false	252
18	117	LiVR9e3g	200	306	false	false	252
19	118	3v6avTIP	200	197	false	false	252
20	119	jcEoe8hx	200	204	false	false	252

上記は攻撃1回ごとに対応するレスポンスの統計値を表しているのですが、 Length(つまりレスポンスの長さ)に注目すると一つだけ長さが368のものが見つかります

PicoGym Crack the Gate 1

Thu, 20 Nov 2025 14:36:25 +0900

問題リンク

https://play.picoctf.org/practice/challenge/520

概要

ログインフォームが与えられ、「emailは特定したので侵入してね」というもの

予備知識

HTTPリクエスト

webページでなにかを送受信したりするときは大抵HTTP(HTTPS) メッセージでやり取りをする。

HTTPメッセージの中でリクエストメッセージのフォーマットは次の通りになっている

POST /login HTTP/1.1 ←リクエストライン
hoge: aaa ←メッセージヘッダーが空行まで続く
fuga: bbb
{"hogehoge": "" ←ここからメッセージボディ
...
}

リクエストラインは宛先、メッセージヘッダーはメタ情報、メッセージボディは送りたいもの本体みたいなイメージ

burpsuite

ブラウザからHTTPリクエストを送る時に、「送る前に一旦内部で止めて書き換えてから送る」を可能にするソフト

解き方

「開発者が秘密裏に取り残した」とか書いてあるので、ブラウザのDeveloperツールでコードを見てみると

<!-- ABGR: Wnpx - grzcbenel olcnff: hfr urnqre "K-Qri-Npprff: lrf" -->
<!-- Remove before pushing to production! -->

というコメント文があることに気づく

base64ではなさそうなのでROT13を試すと

NOTE: Jack - temporary bypass: use header "X-Dev-Access: yes

という文字列に復号できた

ここでheaderに"X-Dev-Access: yes"を追加すればいいとわかるので、

burpsuiteを起動→burpsuiteのproxyタブからburpsuiteブラウザ起動→ 競技サイトを開く

をして、interceptをオンにする

その後、テキトーにログインフォームを入れてsubmitすると burpsuite上でリクエストメッセージが編集できる

以下のようにX-Dev-Access: yesをメッセージヘッダーに追記して forwardするとフラグが得られる

PicoGym Hidden in Plainsight

Mon, 17 Nov 2025 16:23:57 +0900

問題リンク

https://play.picoctf.org/practice/challenge/524

概要

画像ファイルからフラグを探してねというもの

予備知識

ステガノグラフィ

CTFにはステガノグラフィという分野があり、今回の問題はこれ

以下のサイトが役に立つはず

解き方

ダウンロードしたimgファイルを普通に画像ファイルとして見ても何もわからないので、 fileコマンドを試す

❯ file img.jpg
img.jpg: JPEG image data, JFIF standard 1.01, aspect ratio, density 1x1, segment length 16, comment: "c3RlZ2hpZGU6Y0VGNmVuZHZjbVE9", baseline, precision 8, 640x640, components 3

commentが明らかに怪しいので、base64でデコードすると

❯ echo "c3RlZ2hpZGU6Y0VGNmVuZHZjbVE9" | base64 -d
steghide:cEF6endvcmQ=

steghideという文字列と、その後ろにさらに謎の文字列が出てきた

ちなみに、steghideで検索するとステガノグラフィで有名なツールの名前らしい

→「steghideでフラグが埋め込まれたjpgファイルなのでは？」と推測

“steghide:“の後ろの文字列をbase64でさらにデコードすると

❯ echo "cEF6endvcmQ=" | base64 -d
pAzzword

なんかパスワードっぽいことがわかったので、後はsteghideをインストールして extractモードでフラグを探してみる

(steghideのインストールは省略)

使い方は簡単で、“Enter passphrase:“の後にさっきの"pAzzword"を入れるだけ

❯ steghide extract -sf img.jpg
Enter passphrase:
wrote extracted data to "flag.txt".

flag.txtの中身がpicoCTF{h1dd3n_1n_1m4g3_67479645}となっているので、多分これがフラグ

PicoGym Log Hunt

Mon, 17 Nov 2025 12:37:10 +0900

問題ページ

https://play.picoctf.org/practice/challenge/527

概要

サーバーのログファイルを見て、バラバラのフラグをまとめろというもの

解き方

生ファイルを見ると、“INFO FLAGPART"という文字列が入ったログがフラグだと思われる

一旦grepで該当行を見る

❯ grep "INFO FLAGPART" server.log
[1990-08-09 10:00:10] INFO FLAGPART: picoCTF{us3_
[1990-08-09 10:02:55] INFO FLAGPART: y0urlinux_
[1990-08-09 10:05:54] INFO FLAGPART: sk1lls_
[1990-08-09 10:05:55] INFO FLAGPART: sk1lls_
[1990-08-09 10:10:54] INFO FLAGPART: cedfa5fb}
[1990-08-09 10:10:58] INFO FLAGPART: cedfa5fb}
[1990-08-09 10:11:06] INFO FLAGPART: cedfa5fb}
[1990-08-09 11:04:27] INFO FLAGPART: picoCTF{us3_
[1990-08-09 11:04:29] INFO FLAGPART: picoCTF{us3_
[1990-08-09 11:04:37] INFO FLAGPART: picoCTF{us3_
[1990-08-09 11:09:16] INFO FLAGPART: y0urlinux_
[1990-08-09 11:09:19] INFO FLAGPART: y0urlinux_
[1990-08-09 11:12:40] INFO FLAGPART: sk1lls_
[1990-08-09 11:12:45] INFO FLAGPART: sk1lls_
[1990-08-09 11:16:58] INFO FLAGPART: cedfa5fb}
[1990-08-09 11:16:59] INFO FLAGPART: cedfa5fb}
[1990-08-09 11:17:00] INFO FLAGPART: cedfa5fb}
[1990-08-09 12:19:23] INFO FLAGPART: picoCTF{us3_
[1990-08-09 12:19:29] INFO FLAGPART: picoCTF{us3_
[1990-08-09 12:19:32] INFO FLAGPART: picoCTF{us3_
[1990-08-09 12:23:43] INFO FLAGPART: y0urlinux_
[1990-08-09 12:23:45] INFO FLAGPART: y0urlinux_
[1990-08-09 12:23:53] INFO FLAGPART: y0urlinux_
[1990-08-09 12:25:32] INFO FLAGPART: sk1lls_
[1990-08-09 12:28:45] INFO FLAGPART: cedfa5fb}
[1990-08-09 12:28:49] INFO FLAGPART: cedfa5fb}
[1990-08-09 12:28:52] INFO FLAGPART: cedfa5fb}

重複があったりすることがわかったので、フラグと関係ない前半37文字を削除し、sort とuniqで重複削除

PicoGym Riddle Registry

Mon, 17 Nov 2025 10:42:40 +0900

問題ページ

https://play.picoctf.org/practice/challenge/530

概要

捜査官としてPDFからフラグを見つけろというもの

解き方

PDFを開いて見える黒塗の部分はダミーなので無視 pdfをエディタで開いて、authorの部分をBase64でデコードするだけ

❯ echo "cGljb0NURntwdXp6bDNkX20zdGFkYXRhX2YwdW5kIV80MjQ0MGM3ZH0\075" | base64 -d
picoCTF{puzzl3d_m3tadata_f0und!_42440c7d}