Srdnlen CTF 2022 Rat Pack

Srdnlen CTF 2022に参加していました。 解き損ねたpwnのRat Packという問題のメモです。 問題 典型的なheap問でよくある、メニューがあって操作ができるタイプの問題です。 書き方はかなりCっぽいですが、C++でコンパイルされています。 まずはGhidraとかで適当にreversingをしておきます。 rat構造体 この問題の中心となるratという構造体は以下のような構造になっています。(変数名は公式Writeup1で公開されているソースコードに準拠) 1struct rat { 2 struct rat** pack; // スタック上のstruct rat* packへのポインタ 3 void(*dialogue)(struct rat*); // base pointer 4 char name[16]; // ratの名前 5 int maxlen; // ratの名前の最大長 6} 7 8// |0|1|2|3|4|5|6|7|8|9|a|b|c|d|e|f| 9// +00h |pack-----------|dialogue-------| 10// +10h |name---------------------------| 11// +20h |maxlen---------| | 操作 この構造体に対して可能な操作は以下の通りです。ただし、packaddrはratを管理するサイズ16の配列です。 createRat() 1void createRat(struct rat** packaddr) { 2 // Allocate and initialize 3 struct rat* newRat = (struct rat*) malloc(sizeof(struct rat)); 4 newRat->maxlen = NAME_LEN; 5 newRat->dialogue = dialogue; 6 newRat->pack = packaddr; 7 name(newRat); 8 9 // Place rat in pack. 10 for (int i = 0; i < MAX_RATS; i++) { 11 if (packaddr[i] == NULL) { 12 packaddr[i] = newRat; 13 return; 14 } 15 } 16 printf("You ran out of rat space!\n"); 17 free(newRat); 18} sizeof(struct rat) = 0x28 のサイズの領域を確保(実際は0x30) これをnewRatとする。 newRatのメンバ変数を初期化し、name(newRat)で名前を設定 packaddrを先頭から走査し、空いている箇所にnewRatを設定 もし領域が空いていなければfree(newRat) greetRat() ...

2022-10-09 · 3 min · 564 words · Laika

SECCON Beginners CTF 2022 writeup

6月4日の14時から24時間開催されていたSECCON Beginners CTF 2022にWani Hackase で参戦して5位でした。 普段のreversing担当が不在だったので、reversingとcryptoを担当しました。 WinTLS [reversing, 102 solved] Windowsというだけで忌避していたこの手の問題に、久しぶりに挑戦しました。 .rdataを漁っていると香ばしい文字列(c4{f..., tfb%...)があったのでxrefで参照元を見に行きます。 2つのスレッドで文字列を処理していて、flagのインデックスに応じて2つの文字列に振り分けているようです。 操作は単純なので逆の操作をしてあげると、文字列を復元できます。 1t1 = b"c4{fAPu8#FHh2+0cyo8$SWJH3a8X" 2t2 = b"tfb%s$T9NvFyroLh@89a9yoC3rPy&3b}" 3 4flag = [] 5k1, k2 = 0, 0 6for i in range(len(t1+t2)): 7 if i % 3 == 0 or i % 5 == 0: 8 flag.append(t1[k1]) 9 k1 += 1 10 else: 11 flag.append(t2[k2]) 12 k2 += 1 13 14print(bytes(flag)) Flag: ctf4b{f%sAP$uT98Nv#FFHyrh2o+Lh0@8c9yoa98$ySoCW3rJPH3y&a83Xb} ところで、UndefinedFunctionがめちゃくちゃ見にくい…… Recursive [reversing, 127 solved] 再帰で文字列をぐちゃぐちゃにしてあります。 少しreversingをすると文字列長が書いてあるので、処理前の文字列が処理後にどこに配置されるかが分かれば、逆操作で元に戻せます。 1from string import printable 2 3table = b"ct`*f4(+bc95\".81b{hmr3c/}r@:{&;514od*<h,n'dmxw?leg(yo)ne+j-{(`q/rr3|($0+5s.z{_ncaur${s1v5%!p)h!q't<=l@_8h93_woc4ld%>?cba<dagx|l<b/y,y`k-7{=;{&8,8u5$kkc}@7q@<tm03:&,f1vyb'8%dyl2(g?717q#u>fw()voo$6g):)_c_+8v.gbm(%$w(<h:1!c'ruv}@3`ya!r5&;5z_ogm0a9c23smw-.i#|w{8kepfvw:3|3f5<e@:}*,q>sg!bdkr0x7@>h/5*hi<749'|{)sj1;0,$ig&v)=t0fnk|03j\"}7r{}ti}?_<swxju1k!l&db!j:}!z}6*`1_{f1s@3d,vio45<_4vc_v3>hu3>+byvq##@f+)lc91w+9i7#v<r;rr$u@(at>vn:7b`jsmg6my{+9m_-rypp_u5n*6.}f8ppg<m-&qq5k3f?=u1}m_?n9<|et*-/%fgh.1m(@_3vf4i(n)s2jvg0m4" 4 5FLAG_LEN = 0x28 6t = printable[: FLAG_LEN - 2] 7flag = [0 for _ in range(FLAG_LEN)] 8 9def check(s, i): 10 n = len(s) 11 if n == 1: 12 flag[t.index(s)] = table[i] 13 return 14 else: 15 m = n // 2 16 check(s[:m], i) 17 check(s[m:], m * m + i) 18 19check(t, 0) 20print(bytes(flag)) Flag: ctf4b{r3curs1v3_c4l1_1s_4_v3ry_u53fu1} ...

2022-06-05 · 5 min · 1064 words · Laika

LINE CTF 2022 Writeup

I participated in LINE CTF 2022 as a member of Wani Hackase, and solved four crypto challenges. ss-puzzle Just play an XOR puzzle using the fact S[0] == b"LINECTF{". Some values are still unknown but predictable from the restored flag. 1def xor(a, b): 2 return bytes(i ^ j for i, j in zip(a, b)) 3 4with open("Share1", "rb") as f: 5 s1 = f.read() 6with open("Share4", "rb") as f: 7 s4 = f.read() 8 9r0_s0 = s1[0:8] 10r2_s3 = s1[16:24] 11r3_s2 = s1[24:32] 12 13r0_s3 = s4[0:8] 14r1_s2 = s4[8:16] 15r2_s1 = s4[16:24] 16r3_s0 = s4[24:32] 17 18s0 = b"LINECTF{" 19r0 = xor(s0, r0_s0) 20s3 = xor(r0, r0_s3) 21r2 = xor(s3, r2_s3) 22s1 = xor(r2, r2_s1) 23r3 = xor(s0, r3_s0) 24s2 = b"wn_plain" 25r1 = xor(s2, r1_s2) 26print(s0 + s1 + s2 + s3 + r0 + r1 + r2 + r3) Flag: LINECTF{Yeah_known_plaintext_is_important_in_xor_based_puzzle!!} ...

2022-03-26 · 7 min · 1380 words · Laika