M4ndU의 만두만두한 블로그

Whois_Ajou 팀으로 참여했다.

Crypto

ss-puzzle

단순 xor 역연산이다. 알고 있는 값들을 토대로 하나씩 xor 역연산 해가면서 찾아나아가면 된다.
참고로 S[0] = "LINECTF{" 임을 알고 있으면 된다.

X Factor

rsa blind signature attack 같은 느낌인데 sign을 해주는 기능을 제공해주지는 않는다.
대신 plain -> signature pair들을 제공해주기 때문에 이 값들을 sign함수 대신 사용하는 느낌으로 가야된다.
0x686178656c696f6e 값의 signature를 구하는 문제이다.

문제 제목이 힌트라고 볼 수 있는데, 각 plain 값들을 소인수분해한다. 이는 factordb 사이트를 이용하면 된다.
a ~ g의 값들을 사용하여 Z를 만들어내려면 ( f * b * g * d * g * d ) / ( c * e * a ) 가 된다.

http://the2702.com/2015/09/07/RSA-Blinding-Attack.html

plain a ~ g, Z의 signature 값을 Sa ~ Sg, SZ 라고 하면,
위 사진의 식에서
M=Z = ( f * b * g * d * g * d ) / ( c * e * a ) ,
r= Sc * Se * Sa
r^e mod N = c * e * a
이므로 M' = ( f * b * g * d * g * d ) / ( c * e * a ) * (c * e * a) mod N = ( f * b * g * d * g * d )

S' = M'^d mod N = ( f * b * g * d * g * d )^d mod N = ( Sf * Sb * Sg * Sd * Sg * Sd ) mod N

우리가 원하는 S = S'/r mod N = ( ( Sf * Sb * Sg * Sd * Sg * Sd ) / ( Sc * Se * Sa ) ) mod N 이다.

( Sc * Se * Sa ) 의 역원을 구해야 한다.

( Sc * Se * Sa ) 와 N 은 서로소이므로 확장된 유클리드 호제법을 사용하여 역원 x를 구한다.

역원을 얻었다.

S를 연산하고, 검증했다.
클리어.

Forensics

Sounds Familiar

dtmf

이건 너무 부정확해서 다른 도구를 사용했다.

http://www.polar-electric.com/DTMF/Index.html

0과 1이 많아서 키패드 알파벳 변환은 아니다.

띄어서 입력되는 부분을 고려하면

100 88 82 106 100 71 90 55 78 87 86 106 99 109 86 48 88 50 89 120 81 68 108 102 90 71 57 102 98 109 57 48 88 122 86 111 81 72 74 108 102 81 61 61

이 되고, 이를 ascii로 변환한 뒤에 base64로 디코딩해주면 플래그가 나온다.

dtmf decode -> ascii -> base 64

Forensics

IRC

memdump.lime.z 파일이 주어진다.

zlib compreesed data이므로 압축을 풀어주자.

압축을 풀고 strings와 grep을 사용해서 프로필 정보를 알아냈다.

debian 10.2.1-6 에 linux version 5.10.0-11-amd64이다.

volatility2 사용을 위한 profile을 create해야한다. 

환경 구성의 편의를 위해서 커널버전 5.10.0-11에 가장 근접하는 데비안 버전을 사용했다.

debian 11.0.0 amd64 iso 파일을 다운받아서 가상환경을 구축해준다.

https://ftp.cae.tntech.edu/debian-cd/dvd/

apt install linux-headers-5.10.0-11-amd64

apt install linux-headers-5.10.0-11-common

apt install linux-image-5.10.0-11-amd64

apt install linux-image-5.10.0-11-amd64-dbg

디스크 용량은 15GB 이상 확보하자.

기존에 설치되어 있는 커널 버전은 remove 해준다.

https://github.com/volatilityfoundation/volatility/wiki/Linux 을 참고하여 프로필을 생성하면 된다.

/boot/System.map-<uname -r> 파일을 보면 

The real System.map is in the linux-image-<version>-dbg package

이렇게 되어 있다. apt install linux-image-5.10.0-11-amd64-dbg 를 한 이유가 real System.map 파일을 얻기 위해서다.

real System.map 파일은 usr/lib/debug/boot/ 경로에 있다.

생성된 프로필 zip 파일을 볼라티리티 overlays linux 폴더에 옮겨 넣는다.

hexchat이라는 irc 프로그램을 설치한 기록을 확인할 수 있다.

pslist에서 hexchat이 확인된다.

이제 irc password를 찾기 위해서 log 파일을 확인하면 password를 찾을 수 있을 것이라고 생각했다.

그런데 log파일들이 있는 경로는 알지만 정확한 로그 파일을 봐야하고 그 파일의 이름이 뭔지를 알 수 없었으므로

(linux는 filescan이 안된다. 정확한 파일의 절대 경로를 알고 있어야 한다.)

여기서부터는 게싱을 했다.

HxD로 메모리 덤프 파일을 열어서 hexchat과 utctf를 검색했고, P=blabla 문자열을 확인할 수 있었다.

utctf.live는 irc 주소, P 값은 irc password로 추측되었다.

해당 P값을 flag로 제출했다.

WEB

Websockets

어드민 로그인 페이지가 있는데 username은 admin이고 pw는 숫자 3자리라고 한다.

웹소켓으로 id와 pw를 전달한다.

파이썬으로 쓰윽

WEB

pdf로 변환을 해준다.

<h1 id='test2'>a</h1><script>x = new XMLHttpRequest();
x.open('GET','file:///etc/passwd',false);
x.send();
document.getElementById('test2').innerHTML= x.responseText+location.href;
</script>

이렇게 파일을 읽어올 수 있고

+location.href로 현재 경로를 알아냈다.

<h1 id='test2'>a</h1><script>x = new XMLHttpRequest();
x.open('GET','file:///usr/src/app/app.py',false);
x.send();
document.getElementById('test2').innerHTML= x.responseText;
</script>

약간의 게싱으로 app.py의 소스를 가져온다.

flag가 환경변수에 있는데, /proc/environ을 못읽도록 하고 있다. 그런데 필터링 우회해서 해당 파일에 접근해도 결과가 안나왔다. (언인텐이라서 이쪽으로는 못풀게 아에 막은 듯 싶다.)

/admin 페이지 로그인으로 플래그를 얻어야 하는데 unix계정 로그인을 하면 된다.

아까 passwd파일을 확인했을 때 WeakPasswordAdmin 이라는 계정이 있었다. 해당 계정의 패스워드를 구해서 로그인하면 될 것으로 보인다.

/etc/shadow 파일도 가져온다.

클리어.

Misc

https://ropsten.etherscan.io/tx/0xca78d2d51101fda93f3f8c62f4349dd23a7e5692cef667ab834c3611601f068f

그냥 이더스캔으로 컨트랙트 생성 트랜젝션의 인풋값 보면 된다.

올해에는 대학부로 참여했다. 분야별 난이도 차이가 좀 큰 편이었다.

처음에 크립토 잡고 풀다가 하루 다 보내버리고 뒤늦게 웹에 합류하여 문제를 풀었다. 좀 더 빨리 웹을 잡고 풀었으면 좀 더 점수를 낼 수 있었을 텐데 아쉬웠다. 그리고 예선전은 인원 제한이 없는걸 몰랐어서 처음엔 4명 모아서 할려고 했다가 대회 시작 직전에 뒤늦게 사람 2명밖에 못 데려온 것도 좀 아쉬었다. 내년에는 소학회원들 많이 데리고 하면 좋을 거 같다.

코게에도 포렌식이나 네트워크 문제 나왔으면 좋겠다. 예전엔 그래도 한 두개씩 나왔던거 같은데..

WEB - superbee

golang으로 작성되어 있고

beego 라는 프레임워크를 사용하고 있다.

플래그는 app.conf에 정의되어 있고 (물론 주어진 파일에서는 REDEACTED)

http://[IP]/main/index 경로로 접속하면 flag를 확인할 수 있도록 되어 있지만

쿠키값을 비교하여 admin이 아니면 플래그를 확인할 수 없고, login 페이지로 redirect된다.

먼저 어드민 패스워드를 획득하여 어드민계정으로 로그인 하는 방법은

패스워드를 알아낼 방법이 없으므로 불가능하고

SSTI일까 생각해봤지만,

사용자가 입력한 값으로 render하는 곳이 없고, 애초에 beego에서는 값을 직접 때려주기 때문에 불가능하다.

어떻게 풀어야 될까 생각을 해보다가

/admin/authkey 페이지로 접근해서 encrypted_auth_key를 얻고

aes 복호화를 해서 평문 auth_key를 얻어서 sess 쿠키 값을 설정해서 main/index로 접근하여 flag를 얻는 루트같았다.

그러지 않고서야 aesencrypt함수를 넣어두고 admin페이지를 만들어둘 이유가 없다고 생각했다.

그런데 admin/authkey에 접근할려면 domain이 localhost가 되어야 한다.

아니 ssrf때릴 곳도 없는거 같은데 어떻게 domain명을 localhost로 만들지 고민을 하다가

Ctx.Input.Domain()이 사실 처음 보는 함수였기 때문에 정확히 어떻게 동작하는 지 알 필요가 있었다.

코드를 살펴보니 request의 host가 공백이면 localhost를 return해주고 있었다. (.....이게 맞나?)

그래서 burp suite로 리퀘 잡아서 Host 부분을 공백으로 바꿔주었더니

00fb3dcf5ecaad607aeb0c91e9b194d9f9f9e263cebd55cdf1ec2a327d033be657c2582de2ef1ba6d77fd22784011607

encrypted_auth_key값을 얻을 수 있었다.

해당 값을 복호화하기 위해서는 key값에 사용되는 auth_crypt_key값을 알아야하는데

키값이 공백일 수는 없는데.. 라고 생각을 하다가 

Padding 함수를 보면

Padding(key, 16)ciphertext가 [] 이더라도

16 - 0 % 16 = 16

16을 16번 반복 => [16] * 16 이 된다

즉 auth_crypt_key값이 공백이어도 된다.

aes cbc이고, iv와 key값이 동일하다

​복호화하여 auth_key를 구할 수 있다.

Md5("sess") = f5b338d6bca36d47ee04d93d08c57861

Md5(admin_id + auth_key) = Md5("admin" + "Th15_sup3r_s3cr3t_K3y_N3v3r_B3_L34k3d") = e52f118374179d24fa20ebcceb95c2af

Cookie: f5b338d6bca36d47ee04d93d08c57861=e52f118374179d24fa20ebcceb95c2af

이렇게 쿠키를 설정해주고, /main/index로 접근하면 flag를 확인할 수 있다.

WEB - babyfirst

로그인하고, 메모 작성하고, 메모를 읽는 간단한 서비스이다.

flag는 /flag에 있다.

memoServiet.class를 디컴파일해서 살펴봐야한다.

메모를 읽어오는 getMemo 함수를 보면 db에서 가져온 memo데이터를 가지고 lookupImg 함수를 돌리는데

lookupImg함수는 memo 내용에서 [URL] 패턴을 찾아서 해당 url 데이터가져와서 base64로 인코딩해서 <img>에 담아준다.

[file:///flag]가 되면 좋겠지만 file로 시작하는 건 필터링해버린다.

종료 30분 남은 시점에셔 여기서 막혀서 못 풀었다.

[url:file:///flag] 로 하면 된다.

https://github.com/openjdk/jdk11/blob/master/src/java.base/share/classes/java/net/URL.java#L575

ㅠㅠ 아쉽

CRYPTO - dark-arts

챌린지 1,2,3,4를 모두 통과해야 플래그를 얻을 수 있다.

CHAL1은 GUESS_MODE()를 64번 통과해야 한다.

GENERATOR1에서 랜덤으로 func_gen 과 func_random 둘 중 하나로 고정되서 리턴한다.

gess_mode에서 x에 값을 직접 넣어서 그 결과를 알 수 있고, 그 값들을 가지고  mode가 0일지 1일지 (func_gen을 통과한 결과인지 func_random을 통괗나 결과인지)를 맞춰야 한다.

func_gen과 func_random 둘다 결과는 무조건 0 또는 1이 나온다.

func_gen은 랜덤 seed와 x의 각 bit를 내적한 값으로 66행의 식을 계산한 값이 결과가 된다.

x가 0 [0]이라면 prod가 0이 되고 66행의 계산 결과는 0이 된다.

x가 1 [1]이라면 prod는 1 또는 0이 되고, 1이라면 66행의 결과는 (1 % 2 + 1 % 3 ) %2 = 0

x가 2 [0,1]이라면 prod는 1 또는 0이 되고, 결과는 0

x가 3 [1,1]이라면 prod는 2 또는 1 또는 0이 되고 2라면 (2 % 2 + 2 % 3 ) % 2 = 0

x가 4, 5, 6, 8, 9, 10, 11 일 때에도 (bit 중 1인 bit의 개수가 3개 미만인 수들) 모두 결과는 0이 된다.

x가 7 [1,1,1] 이라면 prod가 3이 될 수도 있는데 (3 % 2 + 3 % 3) % 2 = 1이다.

따라서 x에  0,1,2,3,4,5,6,8,9,10,11 넣어서 결과가 1 나오면 무조건 mode=1

모두 0이 나오면 mode = 0 으로 판단하도록 코드를 작성하여 돌렸다.

chal2도 guess_mode()를 64회 통과해야하는데

이제는 리턴 값이 0,1,2,3,4 총 5개 이며

func_gen에서 x를 sha256을 돌려서 사용한다.

일단 x에는 int만 들어가고 x를 0부터 1씩 증가시켜 넣어서 결과를 확인했을 때 규칙을 찾을 수 없었고

sha256(x) 의 결과들 중에서 bit중 1의 개수가 작아봐야 80-90개 사이였기 때문에

chal1처럼 풀 수 없었다.

다르게 풀어야 되는 거 같은데..