ChogeLog

主にセキュリティ関係の記録やWrite-up。たまーに日記も。

メモ帳(notepad.exe)の自動保存機能を調べてみた

フォレンジック アーティファクト Windows セキュリティ

概要

Windows 11では2023年9月頃にメモ帳(notepad.exe)に自動保存機能が追加された。
今回はたまたまメモ帳の自動保存先が分かったため、保存している内容を確認する方法 + メモ帳の挙動を調べてみた。

初回起動時のメッセージ

結論として、メモ帳が生成する特定のファイルを確認することで、自動保存している内容や、メモ帳が直近で開いていたファイルのフルパスや内容を簡単に確認可能なことが分かった。

自動保存されたメモの復元方法

まず、メモ帳を開くと以下のパスにbinファイルが生成される。(ファイル名はランダム?)

%localappdata%\Packages\Microsoft.WindowsNotepad_8wekyb3d8bbwe\LocalState\TabState 
(C:\Users\[ユーザ名]\AppData\Local\Packages\Microsoft.WindowsNotepad_8wekyb3d8bbwe\LocalState\TabState)

binファイルの生成

ここで試しに文字を入力してみるが、入力するだけではbinファイルに内容は反映されない。
ちなみにbinファイルの中身はこんな感じ。

.bin生成時の中身

次に、文字を入力した状態でウィンドウを閉じてみる。(※タブではない)

この状態でbinファイルを開くと以下のような内容になっており、自動保存された内容が一部確認できる。

ウィンドウを閉じた(自動保存)後の.binの中身

ただ、この状態では日本語部分が読めないため、文字コードUTF-16に設定して開きなおしてみる。

UTF-16で開いた場合

すると、自動保存されたメモ内容の全文を確認することができた。
あとは本文前後の余計なバイナリを削除すると元の内容を復元できる。

メモ内容の復元

以上の方法で自動保存されたメモ内容を簡単に復元することができた。

binファイルの削除

binファイルはメモ帳のウィンドウを閉じても削除されないが、タブを閉じると削除される。

「タブを閉じる」をクリックすると以下のポップアップが表示される。

ここで「保存しない」をクリックするとbinファイルが削除される。

「保存しない」をクリックした後

ただウィンドウを閉じただけでは自動保存されるためbinファイルは消えないが、明確に「保存しない」を選択した際に削除されることが分かった。

すでに保存されているファイルを開いた場合

保存済みのファイルをメモ帳で開いた際もbinファイルが生成される。
たとえば、デスクトップに保存したテキストファイルを開くと以下のようになる。

デスクトップに保存したテキストファイルを開いた場合

binファイルの内容を確認すると、開いているファイルのフルパスが含まれていることが分かる。
ちなみに、テキストファイル以外であってもbinファイルが生成される。

画像をメモ帳で開いた場合

このbinファイルもウィンドウを閉じただけでは自動保存され、削除されない。
このことから、現在メモ帳に自動保存されている、直近で開いたファイルの履歴が分かる可能性がある。
ただし、こちらもメモ帳のタブを閉じるとbinファイルは削除される。

複数タブを開いた場合

複数のタブを開くと、1つのタブに対して1つのbinファイルが生成される。
たとえば、以下のように3つのタブを開き、それぞれに文字を入力してウィンドウを閉じてみる。

3つのタブに入力

すると、以下のように3つのbinファイルが確認できる。(.0.binと.1.binは除外)

各binファイルの中身は以下のようになっており、それぞれのメモ内容が記録されていることが分かる。

自動保存されないケース

下記のようなケースではメモ内容は自動保存されず、binファイルも生成されない。

  • タブを閉じるなどの操作で、「保存しない」をクリックした場合
  • メモ帳のウィンドウを複数開いている場合、2つ目以降に開いたウィンドウの内容は保存されない
    • ウィンドウを閉じる際に保存する・しないのポップアップが表示される
  • メモ帳の設定画面にて、「メモ帳の起動時」を「新しいウィンドウを開く」に設定している場合
    • この場合も保存する・しないのポップアップが表示される
    • デフォルトでは「前のセッションからコンテンツを開く」になっていると思われる

メモ帳の設定画面

.0.binと.1.binについて

メモ内容が保存されているbinファイルと同名の.0.binと.1.binは以下のタイミングで生成される。

  1. メモ帳を開き、自動保存されている内容を表示する(もしくは保存しているファイルを開く)
  2. メモ内容を編集せず、そのままメモ帳を閉じる
  3. ウィンドウを閉じると.0.binと.1.binが生成される

逆に、メモ内容を編集してウィンドウを閉じるとこれらのファイルは生成されず、すでに存在している場合は削除される。

追記した例

メモ内容をいじって閉じると.0.binと.1.binは消える

ちなみに、.0.binと.1.binの中身が何なのかは不明…

まとめ

現在のWindows 11のメモ帳はデフォルトではメモ内容を自動保存するようになっており、保存されている内容を簡単に確認可能なことが分かった。また、最近メモ帳で開いたファイルの痕跡も残っている可能性があるため、フォレンジックの際に役立つかもしれない…。
メモ帳の自動保存を無効にしたい場合は設定を「新しいウィンドウを開く」にしておきましょう。

参考サイト

#24 Rights out (Write-up)

ksnctf Write-up

問題

ksnctf.sweetduet.info

exeファイルが配布されている。
とりあえず実行すると以下のようなパズルゲームが表示される。

これはライツアウトというパズルで、クリックしたボタンとその上下左右が反転する。全てのボタンを反転させることができればクリアとなる。

このパズル自体は知っていたが、「ライツアウト」という名前は初めて知った。
とりあえず攻略サイトを見つつ解いてみたが、お祝いされるだけだった。

問題にも書かれているが、ただ解くだけではダメらしい。

解法

ここから解析作業に入る。
まずはstringsコマンドを実行してみるが、特に情報は得られなかった。
binwalkとかも実行してみたが特に収穫なし。

次にghidraで解析してみるが、デコンパイルに失敗しているっぽい…。

色々調べてみると、元のコードはC#で書かれているっぽい。
ということでILSpyを使ってリバエンしてみる。
ILSpyでexeを開くとあっさりとデコンパイルが完了した。

コードを読んでいくと、checkメソッドでFLAGを表示するか否かの判定を行っていることが分かった。

ざっくりと読むと、全てのボタンを反転させた場合に「Congratulations!」というメッセージが表示され、さらにとある条件も満たしている場合だけフラグを表示するようになっているらしい。
このif(flag)以降のコードを実行させてフラグを取得するのもいいが、正攻法で解きたいので条件を調べてみる。

上記のコードをよく読むと、フラグを表示させる条件はhist[i] == array[i]の場合らしい。
array配列の中身は「1, 7, 16, 11, 14, 19, 20, 18」に設定されている。
hist配列のサイズは8に設定されており、中身は下記のbutton_Clickメソッドで設定されるようになっている。

上記のコードを読むと、hist配列は直近の8回分のボタンクリックの情報を保存しているらしい。
以上のことから、hist[i] == array[i]を満たすには、直近8回にクリックしたボタンが「1, 7, 16, 11, 14, 19, 20, 18」の順番である必要がある。さらにこの順番でボタンをクリックしたタイミングで全てのボタンを反転させておく必要もある。
ちなみにボタンNoについては、左上から右に数えていく。(だからボタンに「→」の文字が書かれているっぽい)

これで条件が判明したので、あとは実際にパズルを解いていく。
まずは全てのボタンを反転させる。

その後、ボタンNoが「1, 7, 16, 11, 14, 19, 20, 18」の順番で押していく。
このとき、左上のNoは0であることに注意!(ボタンNo.1は一番上の左から2番目になる)

その後、再び「1, 7, 16, 11, 14, 19, 20, 18」の順番で押していく。同じ場所を2回押すと元の形に戻るため、これで全てのボタンが反転される。
これでフラグが表示された。

所感

100ptの問題なのでそんなに難しくはなかった。ghidraでデコンパイルできなかったところで苦戦したが…。
簡単なリバーシングは解けるようになった気がする。
「ライツアウト」という単語は初めて知った。正しくは「Lights out」なのね。

#4 Villager A (Write-up)

ksnctf Write-up

問題

ksnctf.sweetduet.info

SSHの情報が記載されているので、とりあえずSSHで接続する。
接続するとflag.txtq4という実行ファイルが用意されている。
もちろんflag.txtから直接フラグを取ることはできない。

解法

q4を実行してみると名前を聞かれ、その後「no」を入力するまで同じ質問が繰り返される。

実行するだけでは何も分からないので、ここからはローカルに落として解析してみる。
まずはstringsコマンドを実行する……が特に情報を得られず。

次にGhidraデコンパイルしてみる。ちなみにGhidraを使うのは初めてなので使い方はよく分かっていない('ω')
とりあえずGhidraで開き、解析結果のmain関数を確認すると以下のようになっていた。

解析結果によると、上図のlocal_180の場合にフラグを出力するっぽい。
しかし、local_18の値は常に1であるため、普通に実行してもフラグを取得することはできない。
バッファオーバーフローでもするのかな?と考えたが、違うっぽい。

ここで手詰まりになったので、Write-upを少しだけ見てヒントを確認した。
どうやらこの問題では書式文字列攻撃(フォーマット文字列攻撃)を利用するらしい。
書式文字列攻撃についての知識は全くなかったが、ハリネズミ本で紹介されていることに気づいたので、この本を参考に攻撃を行ってみた。
printfに直接文字列を入力できる場合に発生する脆弱性らしい。

とりあえずAAAA %p %p %p %p %p %p %pを引数に入れて実行すると、以下のような結果になった。

%pは対応するスタックの値を16進数で出力している。
よく見ると6番目の%pの箇所に0x41414141がされており、これはASCIIコードの「AAAA」を16進数で表した値になっている。
つまり、最初の引数で入力した「AAAA」(ローカル変数の値)が6番目のスタックに存在していることが分かる。

次に、char*型で指定されたアドレスの文字列を出力する「%s」を使ってみる。
また、%6$s と書くことで6番目の値を%sで表示させている。

上記のように入力した場合、0x41414141番地に存在する文字列を出力しようとしているため、「Segmentation fault」が発生している。
つまり、第一引数に読み込みたいアドレス値を指定することで、その中身を読み出すことができる。

ここまでは任意アドレスの読み込みだったが、「%n」を使うことで任意のアドレスへ書き込みことも可能。

この脆弱性を使って、↑のmain関数の画像の15行目にある

putchar(10);

のputchar関数のアドレスを、18行目以降のif文内の処理のアドレスに書き換えることで、19行目のフラグを取得する処理を実行することができそう。

Ghidraの解析結果を確認すると、Global Offsets Table (GOT)にputchar関数のアドレスが記述されていた。
ここでは080499e0になっている。

書き込み先のアドレスは、if文(JNZ命令?)以降の適当なアドレスを指定する。
ここでは08048691を指定してみる。

これらをまとめると、以下のような攻撃値になる。

最初の\xe0\x99\x04\x08でputchar関数のアドレスを指定している。リトルエンディアンで記述する必要があるので注意。
次の%134514317xは、書き込み先のアドレスである「080499e0」を10進数に変換(134514321)し、さらに-4した値になっている。先頭にアドレス指定用の4バイトがあるため、-4する必要があるらしい。
あとは%6$nと書くことで、\xe0\x99\x04\x08のアドレスの内容を%134514317xの内容に書き換えるようにする。

上記のコマンドを実行すると、見事フラグが出力された。

補足

これは厳密には「GOT Overwrite」という攻撃らしい。
RELROが「No RELRO」もしくは「Partial RELRO」の場合に攻撃可能とのこと。
セキュリティ機構のチェックはchecksecで行った。

所感

なんとなくは理解したが難しい。。
書式文字列攻撃だけではなく、フォーマット指定子についても全然知識がなかったので結構時間がかかった。
今回はwrite-upを少しだけ読んでしまったが、とりあえず初pwn!