제목 그대로다.

magic gadget( 원샷가젯이라고도 한다.)이란 굉장히 편리한 가젯을 알게되어서 한번 r0pbaby에서 써보았다.

아래가 익스 코드... 사실 좀 필요없는 코드가 많긴한데, 그냥 가독성 좋으라고 함수로 추가해서 짜보았다.

물론 평범하게 pop rdi 가젯 구하고 /bin/sh 문자열 위치도 구해서

"A"*8  |  pop rdi  |  &"/bin/sh"   |  system  

익스할 수도 있다. 뭐... 뭐가 편한지는 사람마다 다르니까 ㅇㅇ; 근데 원샷가젯이 한방에 풀려서 익스가 빨라서 좋긴하다... 굿굿

code version 1

code version 2

1. got영역에서 preItem 이 null이 되게하는 곳(Item갯수가 무려 35개가 되게할수가 있다.)

거기서부터 fread까지 덮어쓰고, fread다음에 있는 strlen의 값을 system함수의 주소로 덮어쓰는 코드

2. 이것말고 shopname을 주소를 bss영역으로 덮고 rename을 통해서 

bss영역을 덮어쓰면서 다시 shopname주소를 memmem의 got값으로 덮어써서 memmem got의 값을 변경시키는 코드도 있다. 

일단 전자.

RCTF 2018 Misc문제인 Number Game 풀이 소스이다.

writeup은 이쪽 (사용한 알고리즘 및 소스 원본은 이쪽)

Misc 4개 / Crypto 1개 / Reverse 1개 / Web 0개 / Pwn 0개

위와 같이 문제풀고 마무리. Pwn 문제를 좀 더 풀고 싶었지만 heap overflow를 아직 몰라서(공부해야한다...) 풀지 못했다.

[Misc]Sign

간단한 문제다 IDA를 이용해 스트링을 살펴보면 FLAG를 찾을 수 있다.

RCTF{WelCOme_To_RCTF}

[Misc] git

git 관련해서 파일을 하나 주는데, 로그를 보면 하나밖에 없다. flag를 검색하면 뭔가 나오지않을까해서 Notepad++로 끌어다가 검색해보니 아니다 다를까

Flag라고 커밋해둔게 있다. git checkout을 해서 다시 되돌려주면 flag.txt를 얻을 수 있다.

굿..

[Misc] cats

꽤나 재미있는 문제였다. 주어진 url로 들어가면 아래와 같은 문구를 볼 수 있다.

I love cats! Can you find 15 cats for me ._.?

I'll save the cat food as file "food" and observe whether the outcomes of "cat food" and "eachCatNameYouProvided food" are exactly the same (including return code and trailing CRLFs). Download dockerfile to find cats locally, or you may find reCAPTCHA annoying.

dockerfile을 주는데, 어떻게 cats를 찾느냐. 이 dockerfile을 통해서 가상이미지 환경설정을 하고 그 컨테이너에서 cat들을 찾으면 된다.

도커(docker)는 컨테이너 기반의 오픈소스 가상화 플랫폼이라고 하는데, 자세한 건 검색하면 좋은 자료들이 많이 나온다.

참고자료 : 

https://subicura.com/2017/01/19/docker-guide-for-beginners-1.html

http://pyrasis.com/Docker/Docker-HOWTO#dockerfile

cat을 찾는 방법은 간단하다. 

명령어로 cat food했을때 나오는 결과와 eachCatNameYouProvided food라고 쳤을때 나오는 결과가 같으면 된다. (둘다 CRLF(\r, \n 등등)으로 끝마쳐 리턴해준다.)

예를 들어 tarcat이란 명령어가 있는데 아래와 같이 치면 둘다 같은 결과를 반환해주는 것을 알 수 있다.

cat: food: No such file or directory

이제 환경변수 PATH에 등록되어있는 곳에서 명령파일들을 하나하나 실행시켜가며 찾든가 하면 된다.

필자는 find 명령어를 사용해서 쓸만한 바이너리파일들을 모아서 cat과 비슷한 결과가 나오는 놈들을 찾게 코드를 돌려서 찾았다.

cat과 같은 결과를 내놓는 명령어들은 대부분 아래와 같다.

tarcat, tail, head, sort, shuf, fold, expand, paste, unexpand, iconv, bash, sh, rbash, erb, dash

RCTF{you_love_cats_dont_you}

[Misc] Number Game

넘버게임이라고 nc로 접속하게 되면, 게임에 들어가기 전에 proof of work를 해야한다.

주어진 sha256 해시값과 같은 해시값을 가지게 4자리 XXXX를 채워넣어주면 게임이 시작된다.

게임은 숫자야구게임으로 외국에서는 Bulls and Cows 라고 불리는 게임이다. 6번의 기회가 주어지고 중복없는 4자리 숫자를 순서에 맞게 맞추면 되는 게임이다. 자세한 룰은 이쪽에서 보면 좋다.(한글번역은 이쪽)

하드코딩해서 풀면 된다. Bulls and Cows solver 라고 검색해서 적당한 소스를 가져와서 문제의 조건에 맞게 수정해서 사용하였다.

소스가 길어서 따로 글을 작성해서 올렸다.

Solve.py

[Reverse] babyre

babyre라는 바이너리 파일과 out파일을 주는데, out으로 나온게 아마 암호화된 flag일 것이다.

babyre 파일을 분석해보면 처음에 문자열과 정수를 입력받고 "your input:try again"라는 문자열을 출력하고 다시 입력을 받는데

이때 입력한 문자들이 각각 인코딩되서 나오므로, 이를 이용해서 out을 디코딩할 수 있다.

[Crypto]cpushop

cpushop

 

nc를 통해 들어가면 돈과 무엇을 할 수 있는 지 나온다.

문제소스는 여기 

cpushop.py

과연 cpushop이라 할만하다. List Items를 해보면 CPU들과 가격이 나온다.

그리고 9번째 항목을 보면 Flag도 팔 고 있는 것을 볼 수 있다. 물론 돈이 없어서 Flag를 살 수는 없다...

물건을 사려면 먼저 Order을 통해서 Items ID에 해당하는 구입증(?)을 발급받아야한다. 

만약 0번 제품인 Intel Core i9-7900을 산다고 하면 아래와 같은 코드에 의해서 출력된 것을 Pay에 입력하면 물건을 살 수 있다.

payment에 제품에 대한 정보가 들어가 있고, 그 제품정보들 앞에 signkey를 붙여 sha256으로 서명한 값이 payment뒤에 붙어 고객에게 전달되고,

그 값을 고객이 제출하면 샵에서는 payment에서 sign값을 파싱해 그 값을 가지고 payment에 대한 무결성을 검증할 수 있고 고객은 상품을 구입할 수 있다. 

만약 상품정보에서 price값을 낮게 설정하고 그 값에 대한 sha256 sign값이 있다면 Order을 통해서 상품구입이 가능하고 우리는 Flag를 구입할 수 있을 것이다. 참고로 Shop측에서 제품정보를 파싱하는 부분에서 취약점이 있는데 아래와 같다.

어디가 취약한지 알겠는가? 만약 payment과 다음과 같다면 어떻게 될 것 같은가..?

payment = "product=Flag&price=999&timestamp=15235&price=1"

기존의 payment 뒤에 price=1이라는 값을 붙여쓴것이다. 

만약 위와 같은 payment가 있다면 price값을 파싱할때, 처음 만난 price=999에서 price=999로 설정하고 계속 for문을 돌다가 마지막에 price를 또 만나 최종적으로 price=1로 설정되고 종료될 것이다.

그러므로 여기서 할 공격은 Hash Length Extension Attack이다!

github에 hash_extender라는 툴이 있으므로 이것을 이용해서 공격할 것이다.

(대회가 끝나고 몇달이 지난후, 우연히 다른 사람의 writeup을 보게 되었다. python 라이브러리중 hashpumpy라는 꿀툴이 있더라... ㄷㄷ;; 이걸 이용하면 좀 더 소스가 깔금해진다. )

https://ctftime.org/task/6126

참고로 우리는 signkey는 모르므로 signkey의 길이는 브루트포싱으로 맞춰줘야한다.

8개의 fragment가 주어지고 이 순서만 제대로 맞추면 elf파일이 정상적으로 작동할 것이므로 경우의 수는 8!=40320이다.

브루트포싱으로 공격하여 프로그램이 정상적으로 작동할 때까지 끼워맞추기를 하면 다음 순서로 이어맞출때 아래와 같이 출력된다.

'fragment_8.dat', 

'fragment_7.dat', 

'fragment_1.dat', 

'fragment_5.dat', 

'fragment_6.dat', 

'fragment_2.dat', 

'fragment_3.dat', 

'fragment_4.dat'

FLAG는 welc000me

크롬 개발자도구(F12)를 키고 이 문제를 열어보면 network에서 message부분에서 누락된 Flag를 확인 할 수 있다.

OOO{Sometimes, the answer is just staring you...}

짤려버렸고, 문제서버가 닫혀서 다시 확인해볼 수 없지만 아래와 같이 찾을 수 있다.

해당 Web에서는 openssl_sign을 이용해서 pdf의 서명 및 인증을 하고 있다. openssl_sign의 디폴트 알고리즘은 SHA-1으로 이는 취약함이 2017년 2월에 구글에 의해서 완전히 입증되었다. ( 충돌쌍을 누구나 만들 수 있게 소스 또한 공개되어있다.)

참고 사이트 : https://cpuu.postype.com/post/580053

서비스 사이트 : https://shattered.io/

그러므로 동일한 해시값을 가진 서로 다른 pdf를 생성할 수 있다.

echo flag라는 문자열을 포함하고 있는 pdf와 cat flag라는 문자열을 포함하고 있는 pdf를 동일한 해시값을 가지게 생성하고,

echo flag를 서명받아 그 값을 가지고 cat flag를 실행시킬 수 있다.

pdf_sha1collider github : https://github.com/nneonneo/sha1collider

5월 13일은 외국에서 어머니의 날이다. 어머니에게 전화나 메세지를 남기라는 문제로 유형도 human interaction이다.

어버이날에 한번 인사드렸지만 한번 더 감사해하며 Flag를 인증해주자.

문제 페이지에 들어가면 eval을 이용하여 코드를 실행시킬 수 있다.

flag binanry 파일을 실행시키면 되는데, flag파일은 현재 폴더에서 한단계 상위에 있으므로 ../flag를 실행시키면 되겠다.

eval을 이용해서 printf(1+1);을 실행시키는 것을 볼 수 있는데, system()함수 또한 실행되기 때문에 이를 이용해서 system("../flag");를 실행시키면 된다.

주어진 text 파일의 문자열을 "!"를 기준으로 알파벳 갯수를 세서, 이것을 문자로 치환하면 된다. (ex : m!yria! / 1개 -> a, 4개 -> d )

flag는 dark`logic

대회가 끝나기 전에 알아차려서 flag 인증 할 수 있었으면 좋았겠지만, 안타깝게도 끝나고나서야 알아차렸다...

PCTF의 125점짜리 Crypto문제이다. nc macsh.chal.pwning.xxx 64791 로 접속하면

사용자로부터 무언가를 입력받는다. 일단 아무거나 입력해보면 그냥 죽어버린다.

주어진 소스를 통해 서버에서 무슨 일을 하고 있는지 알 수 있다.

fmac.py는 keygen과 AES암호화로 암호하시키는 코드이고 macsh.py가 서버에서 정말로 하는 일이다. 코드를 보자

• macsh.py

사용자로부터 입력을 받아 <|>를 기준으로 mac과 cmdline으로 나누어준다.

그 후 cmdline을 또 공백을 기준으로 나누어 cmd와 args로 나눈다.

그 후 cmd가 commands에 포함되어 있는지 검사한다. commands에는 아래 명령들이 포함되어있다.

즉 우리는 cmd값으로 echo, tag, pwd, cd, ls, cat 을 사용할 수 있다.

여기 cmd를 eval을 통해 argv값을 너헝 실행해주는데, 조건이 있다.

1. cmd == "tag"

2. crypt(cmdline) == mac

여기서 cmd가 tag이면 항상 tag를 실행하므로 두번째조건인 mac과 cmdline를 암호화한 것이 같으면 cmd를 원하는대로 설정해서 사용할 수 있을 것이다.

그럼 tag가 무엇을 해주느냐?

cmd가 echo이거나 tag일때만 실행되어 tag뒷부분을 cmdline으로 해서 fmac으로 암호화해서 돌려준다.

그러므로 아래와 같이 하면 echo가 실행되는 것을 알 수 있다.

tag echo AAAA

-> bytes.hex(fmac(k0, k1, "echo AAAA"))

이제 fmac의 암호화부분을 살펴보자.

암호화는 m을 블록으로 나누어 각 블록을 순서대로 암호화한다. 

이 때 key를 블록의 index만큼 rotation해서 암호화를 진행하고 암호화된 m의 블록들을 모두 xor하여 그 값을 반환한다. 

key가 계속 로테이션하면서 변하지만 rot(to_int(k0), i % (8 * N))이므로 (N=16)

1번째 블록과 129번째 블록은 키가 같게 된다. 이걸 이용해서 이제 문제를 풀 수가 있다.

1. Enc(BLOCK_A | MyCommand | len(BLOCK_A | MyCommand) | padding)

2. Enc(tagCommand | len(tagCommand) | padding)

3. Enc(BLOCK_A | tagCommand | len(BLOCK_A | tagCommand) | padding)

참고로 블록들은 뒤에 입력에 들어간 cmdline의 길이를 붙이고 padding은 PKCS#7으로 된다.

이제 저 1,2,3을 tag명령을 통해 구하여 XOR하게 되면, 먼저 1^3이 되서 len부터 뒷부분이 모두 없어지고

그 후 2와 xor되서 tagCommand도 없어져 Enc(BLOCK_A | MyCommand | len(MyCommand) | padding) 를 얻게 된다.

아래를 공격코드이다.

• xor3.py

• hand_attack.py

PCTF{fmac_is_busted_use_PMAC_instead}

대회가 다 끝난 시점에 스샷을 찍었다. 풀었을 때 대략 40명가량이었는데 대회가 끝났을 쯤엔 100명이 넘어가 있었다...

0ctf quals 2017 : integrity

Category: Crypto Points: 75 Solves: Description:

Just a simple scheme.

nc 202.120.7.217 8221

integrity_f2ed28d6534491b42c922e7d21f59495.zip

문제가 괜찮아서 writeup을 써본다.

문제코드는 아래와 같다.

AES로 암호화하는데 CBC모드를 이용한다. CBC모드란?

CBC모드는 랜덤하게 생성된 IV으로 첫 블록을 암호화시킨 암호문을 다음 블록의 암호화에 사용한다. 

If the first block has index 1, the mathematical formula for CBC encryption is

${\displaystyle C_{i}=E_{K}(P_{i}\oplus C_{i-1}),}$

${\displaystyle C_{0}=IV}$

while the mathematical formula for CBC decryption is

${\displaystyle P_{i}=D_{K}(C_{i})\oplus C_{i-1},}$

${\displaystyle C_{0}=IV.}$

그런데 여기 문제에서는 secret값의 IV || encrypted형식이고 encrypted는 md5(pad(username)) || pad(username)이다.

CBC모드는 IV로 블록을 암호화한 암호문을 다음 블록을 암호화하는데 쓰이므로, IV를 떼어낸 encrypted만 보내면 encrypted의 첫 블록을 IV로 사용하여 나머지 블록들은 모두 복호화가 될 것 이다.

우리가 이 값 md5(pad("admin")).digest() || admin을 username으로 보내면 

IV || enc(real md5) || enc(admin md5) || enc(admin).  이렇게 값이 돌아올 것이다. 

+---------+------------------------+--------------------+---------------+
|   IV    | Enc(md5(admin)||admin) |   Enc(md5(admin))  |   Enc(admin)  |
+---------+------------------------+--------------------+---------------+

md5가 128bit이고 암호화 블록사이즈를 128bit로 해서 이런 암호문을 얻을 수 있는 것이다.

여기서 우리가 필요한 값은 admin을 복호화시키는 것 뿐이므로 IV와 첫암호화블록 C1을 빼버린 값을 보낸다면

Enc(md5(admin))값이 IV로 들어가서 Enc(admin)을 복호화하여 admin만 남게 될 것이다.

ctf에 직접 참여해서 푼건 아니고... 나중에 pilot이란 파일만 가지고 문제를 풀었다.

처음해보는 pwn문제라 좀 해멨다. 64bit환경에서 x86(32bit) Shellcode를 가지고 했으니...

또 이번에 문제풀면서 처음으로 파이썬 라이브러리 pwntools랑 gdb-peda를 사용해보았다.

덕분에 여러가지로 공부가 많이 된듯하다. 나중에 실제로 ctf에서 pwn문제 풀면 매우 유용하게 사용할듯.

문제로 들어가자

저렇게 나온다.

Location을 주는데, 저게 중요할것 같다.

gdb-peda로 실행해서 "A"*32 + "B"*8 + "C"*4를 입력하면 아래와 같이 나온다.

RBP가 "BBBB"로 덮이고, RIP는 0x7f0a43434343으로  "CCCC\n"이 덮혀진것을 볼 수 있다.

buf는 "A"*32로 채워져있을 것이므로, 이곳에 shellcode를 넣고 이 곳의 주소로 jump하면 될 것 같다.

참고로 NX는 걸려있지않다.

사용 Shellcode x64 execve 

"\x31\xf6\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x56\x53\x54\x5f\x6a\x3b\x58\x31\xd2\x0f\x05"

굿

출처는 내 블로그...

여기서 따로 떼어내가져와보았다.

ByteBanditsCTF 2018 전체 writeup

[Crypto]R u Ronald Rivest? 70p

문제이름은 Are you Ronald Rivest?이다. Ronald Rivest가 누구지? 하고 검색해보았다.

각각을 살펴보면 아래와 같다.

------------------------------------------------------------------------------------------------------------------------

PEM(Privacy-enhanced Electronic Mail)

여기서 준 lol_pub.pem 파일은 이름에서 유추해볼때 public_key파일이라는 것과 파일을 열어봤을때 첫줄과 마지막에 보이는 PUBLIC KEY로 이 파일이 공개키파일임을 알 수 있다.

RSA에서 쓰이는 공개키는 숫자인데, base64로 인코딩된 듯한 문자와 위아래로 텍스트 문자열(-----public ----)이 들어가 있다.

이러한 형태를 띄고 있는 파일은 PEM(Privacy Enhanced Mail) 포맷 파일로, 공개키를 암호화한 파일이다.

openssl을 이용해 개인키 및 공개키를 생성하면 위와 같은 파일을 자주 볼 수 있다.

비교해보기 위해 임의로 mykey.pem을 생성해보았다.

같은 형식인 걸 알 수 있었다.

그럼 openssl로 분석해볼까.. -noout -text 옵션으로 PEM 인코딩된 인증서를 파싱해서 정보를 출력해보겟다.

n = 225bit이고 e=65537인것을 알 수 있다. 

n을 좀 더 숫자로 표현해서 보고 싶다면 방법이 있다. ( https://stackoverflow.com/questions/3116907/rsa-get-exponent-and-modulus-given-a-public-key )

PUBKEY=`grep -v -- ----- lol_pub.pem | tr -d '\n'`  
echo $PUBKEY | base64 -d | openssl asn1parse -inform DER -i  

환경변수로 문자열을 파싱하고 base64 디코딩해 openssl을 통해 정보를 읽는다.

n이랑 e가 BIT STRING, offset 17에 들어있ㄷ. -strparse을 추가해서 파싱해주자.

n=0x013269DC2680BC64277889DC6A101ED6F13DD07498F13A4818474C2069

(32269109513264378873151120068074444086989044741418671122338798116969)

e=0x10001 (65537)

n을 찾았다!!

이제 소인수 분해를 하면 되겠다. 이 때 좋은 사이트가 있다는 것을 알았다.

FatorDB : http://factordb.com/    

이 사이트에 넣으면 만약 DB에 이미 소인수분해한 값이 있다면 그대로 알려준다. 매우 좋은 사이트다...!!

오옹... 감사합니다...

p,q = 1796360473659570891671495336244551, 17963604736595708916714953362445519

이제 p,q를 구했으니 개인키 d를 구하면 되겠다. 이 때 좋은 툴 rsatool 이 있다. 이걸 활용하자.

아 그놈의 gmpy... 다른 서버로 가야겠다.

n =

13269dc2680bc64277889dc6a101ed6f13dd07498f13a4818474c2069

e = 65537 (0x10001)

d = 24628356329157132106384879910356205355957782278135706168828095323773

(0xe9dc37c53f2e09f6c21dde172931a8e35ec454f10fb39c15a38f5e7d)

p = 1796360473659570891671495336244551 (0x589141bcf7bfd38312fcb363b547)

q = 17963604736595708916714953362445519 (0x375ac9161ad7e431ebddf01e514cf)

구할건 다 구했다.

text.txt에 있는 값들이 base64인코딩되있으니 디코딩해주자.

echo "AGRPJtAkcHxM5h9RiMMECc9KdKeXRuVvP5XlgsI=" | base64 -d | openssl rsautl -keyform PEM -inkey private.pem -decrypt

echo "AAqhlINL/9sBf80jq9qgdHO+yXR1O0zyljGDzCo=" | base64 -d | openssl rsautl -keyform PEM -inkey private.pem -decrypt

echo "AIV/vkErNAGt0j37090nxhiwwQyjtXcDugLTKDE=" | base64 -d | openssl rsautl -keyform PEM -inkey private.pem -decrypt

뭐가 출력되는지 보자

좀 엉망이지만... 순서를 조금 정리해보자.

flag{u  

_n00b}

n0_10ng3r

flag{un0_10ng3r_n00b} 인것 같다... 굿!