CTFtime.org / UIUCTF 2020 / Bot Protection IV
When on website: +1 spam resistance +10 user annoyance
Gotta be fast! 500 in 10 minutes!
https://captcha.chal.uiuc.tf
Author: tow_nater
Captchaのようなサイト。
ソースコードを見ると、/captchas.zip
へアクセスするよう書いてある。
1GBくらいあるんですけど…
ダウンロードしながら他を見てみよう…
Captchaを普通に解く
見かけ上は読めないが、上の文字は「Level 0 is not high enough」と書かれている。
何も入れずにボタンを押すと、「Invalid capcha」と出てくる。
cssを見ると、
@font-face { font-family: mc; src: url(mc.ttf); }
こう書いてあり、/static/mc.ttf
へアクセスするとダウンロードができて、minecraft enchantmentというフォントのようだ。
Minecraft Enchantmentフォント - ダウンロード
ここを見ながら入力すると、「Level 1 is not high enough」に移行できる。
更に入力すると「Level 2 is not high enough」に移行する。
はーん。なるほど?
CookieにはセッションIDのみ書かれているので、サーバ側にクリアレベルは保持されているようだ。
これは何かしらの方法でズルをしないといけないみたい。
…まだcaptchas.zipのダウンロードが終わってないけれど、たぶんcaptchaの画像データだろう。
どうしたもんかな
方針:自動の入力器を作る
ソルバを自力で作って自動でレベルを上げていってもらう方針。
現状それしか見えないけど、サーバに負荷をかけるのと、ちょっと面倒なので、どうしようかな…
でもCaptcha画像与えられてるってことはそういうことなんかな…?
わかんねぇ
解説を見る
CTF-Writeup/web/UIUCTF/Bot_Protection_IV at master · wwkenwong/CTF-Writeup
ロックな解説になってる。いや、メタルな解説になってる。
本文はさっぱりわからんので、pythonコードで理解していく。
自動の判定器を作ってる感じがしますね。
アンサンブル学習みたいなことしてるやん。
似てるやつはうまくいくまで全部試すっぽい。
500回くらい成功したらフラグが出てくる。
復習してもいいけれど、これのソルバ作るのちょっとしんどいな…