Programming
- Half Search Game
- ASCII CAPTCHA
Web application
- Decoding the Storm
- Partial Flag Check Service
Digital Forensics
- Flood Alert
- Sound of Doc
Pwnable & Reverse Engineering
- Reverse w/ Code
- Reverse w/o Code
Network Security
- Chat Message
- Encrypted File

bold text คือสามารถแก้ได้ในเวลาการแข่งขัน

Programming#

Programming > Half Search Game#

ปัญหาของมันคือ เราต้อง connect ไปที่ ip ที่กำหนดมาให้ เราต้องเดาว่าเลขที่ถูกต้องจากการสุ่มคือเลขอะไร โดยเราจะต้องตอบให้ได้ภายใน 3 วิ และไม่เกิน 10 ครั้ง โดยทุกครั้งที่ตอบจะได้คำใบ้เพื่อให้เราขยับเข้าใกล้คำตอบได้ ในโจทย์นี้เราได้ source code ฝั่ง server มาวิเคราะห์

Server

Client

จาก source code สรุปได้ว่า

จำกัด 10 รอบต่อเกม
จำกัด 3 วินาที
Hit บอกว่าไปทาง high 3 รูปแบบ
- Higher! Try again.
- Go higher! Give it another shot.
- Not quite, try a higher number.
Hit บอกว่าไปทาง low 3 รูปแบบ
- Lower! Try again.
- Try a smaller number.
- Not quite, go lower.

การแก้ปัญหาคือ เราจะทำการสร้าง script สำหรับเล่นเกมนี้แทนเรา เพราะด้วยข้อจำกัดเวลาแค่ 3 วินาที ยากมากที่มนุษย์จะตอบได้ทัน

เราได้ทำการสร้าง script นั้นด้วย python โดยใช้ socket connect ไปที่ target แล้วรับรู้สถานะด้วยการ search string และใช้ binary search เพื่อหาทางเข้าใกล้คำตอบอย่างรวดเร็ว กรณีที่ fail จะทำการ retry เองจนกว่าจะได้ flag

1
import socket
2

3
HOST = "localhost"
4
PORT = 43211
5

6
def task():
7
    with socket.socket(socket.AF_INET, socket.SOCK_STREAM) as sock:
8
        sock.connect((HOST, PORT))
9
        res = sock.recv(1024).decode()
10
        print(res, end="")
11
        low = 1
12
        high = 1000
13
        while low <= high:
14
            guess = (low + high) // 2
15
            print(guess)
16
            sock.send((str(guess) + "\n").encode())
17
            res = sock.recv(1024).decode()
18
            print(res, end="")
19
            res = res.lower()
20
            if "congratulations" in res:
21
                print()
22
                return True
23
            elif "higher" in res:
24
                low = guess + 1
25
            elif "smaller" in res or "lower" in res:
26
                high = guess - 1
27
    return False
28

29
while True:
30
    try:
31
        if task():
32
            break
33
    except KeyboardInterrupt:
34
        break
35
    except:
36
        pass

Programming > ASCII CAPTCHA#

ปัญหาในโจทย์ข้อนี้คล้ายๆกับข้อ Half Search Game ที่ต้องเขียนโปรแกรม connect ไปที่ target เพื่อ solve ปัญหา

สำหรับโจทย์นี้เราต้องทำการตอบว่า 30 ตัวอักษรที่อยู่ในรูป ASCII Art คือตัวอักษรอะไรบ้าง ซึ่งจำกัดเวลา 3 วินาที และสุ่มใหม่ทุกครั้งที่เล่น และในโจทย์นี้เรายังได้ source code มาเหมือนเดิม

Server

Client

จาก source code จุดที่น่าสนใจคือ map ที่เก็บ character และ character ที่อยู่ในรูป ASCII Art ไว้ ซึ่งเราจะเอาไปใช้ประโยชน์ในภายหลัง

ภาพจากที่อยู่ Client เราจะสังเกตุได้ว่าอักษรที่เป็น ASCII Art นั้นสูงคงที่ คือ 5 บรรทัด ดังนั้นบรรทัดทั้งหมดที่ได้รับ server หลัง connect คือ $l=(n\cdot5)+2$ โดยที่ $l$ คือจำนวนบรรทัด และ $n$ คือจำนวนตัวอักษร ส่วนการบวก 2 คือบรรทัดว่าง + บรรทัดแสดงคำถาม

เราจะทำการเขียน script สำหรับแก้ปัญหานี้ด้วย python โดยการ connect ไปที่ target แล้วเมื่อได้รับคำถามแล้วเราจะสนใจแค่ 150 บรรทัดแรก แล้วเราก็ทำการแยกเป็นกลุ่มตามลำดับ กลุ่มละ 5 บรรทัด เสร็จแล้วทำการ join เข้าด้วย newline และแทรก newline บรรทัดสุดท้าย (เนื่องจาก map ของ server มี newline ต่อท้าย) แล้วทำการ map แต่ละบรรทัดว่าตรงกับตัวอักษรอะไร แล้วทำการส่งกลับ server เพื่อตอบ

1
import socket
2

3
HOST = "localhost"
4
PORT = 43212
5

6
map_ = {
7
    "A": "    _\n   / \\ \n  / _ \\ \n / ___ \\ \n/_/   \\_\\\n",
8
    "B": " ____\n| __ )\n|  _ \\ \n| |_) |\n|____/\n",
9
    "C": "  ____\n / ___|\n| |\n| |___\n \\____|\n",
10
    "D": " ____\n|  _ \\ \n| | | |\n| |_| |\n|____/\n",
11
    "E": " _____\n| ____|\n|  _|\n| |___\n|_____|\n",
12
    "F": " _____\n|  ___|\n| |_\n|  _|\n|_|\n",
13
    "G": "  ____\n / ___|\n| |  _\n| |_| |\n \\____|\n",
14
    "H": " _   _\n| | | |\n| |_| |\n|  _  |\n|_| |_|\n",
15
    "I": " ___\n|_ _|\n | |\n | |\n|___|\n",
16
    "J": "     _\n    | |\n _  | |\n| |_| |\n \\___/\n",
17
    "K": " _  __\n| |/ /\n| ' /\n| . \\ \n|_|\\_\\\n",
18
    "L": " _\n| |\n| |\n| |___\n|_____|\n",
19
    "M": " __  __\n|  \\/  |\n| |\\/| |\n| |  | |\n|_|  |_|\n",
20
    "N": " _   _\n| \\ | |\n|  \\| |\n| |\\  |\n|_| \\_|\n",
21
    "O": "  ___\n / _ \\ \n| | | |\n| |_| |\n \\___/\n",
22
    "P": " ____\n|  _ \\ \n| |_) |\n|  __/ \n|_|\n",
23
    "Q": "  ___\n / _ \\ \n| | | |\n| |_| |\n \\__\\_\\\n",
24
    "R": " ____\n|  _ \\ \n| |_) |\n|  _ <\n|_| \\_\\\n",
25
    "S": " ____\n/ ___|\n\\___ \\ \n ___) |\n|____/\n",
26
    "T": " _____\n|_   _|\n  | |\n  | |\n  |_|\n",
27
    "U": " _   _\n| | | |\n| | | |\n| |_| |\n \\___/\n",
28
    "V": "__     __\n\\ \\   / /\n \\ \\_/ /\n  \\ V /\n   \\_/\n",
29
    "W": "__        __\n\\ \\      / /\n \\ \\ /\\ / /\n  \\ V  V /\n   \\_/_/\n",
30
    "X": "__  __\n\\ \\/ /\n \\  /\n /  \\ \n/_/\\_\\\n",
31
    "Y": "__   __\n\\ \\ / /\n \\ V /\n  | |\n  |_|\n",
32
    "Z": " _____\n|__  /\n  / /\n / /_\n/____|\n",
33
}
34

35
for c in map(chr, range(ord("A"), ord("Z") + 1)):
36
    map_[map_[c]] = c
37
    del map_[c]
38

39
with socket.socket(socket.AF_INET, socket.SOCK_STREAM) as sock:
40
    sock.connect((HOST, PORT))
41
    data = sock.recv(4096).decode()
42
    print(data, end="")
43
    lines = data.splitlines()
44
    group = []
45
    for i in range(30):
46
        group.append([])
47
        for j in range(5):
48
            group[i].append(lines[(i * 5) + j])
49
        group[i] = "\n".join(group[i]) + "\n"
50
        group[i] = map_[group[i]]
51
    ans = "".join(group)
52
    print(ans)
53
    sock.send((ans + "\n").encode())
54
    res = sock.recv(4096).decode()
55
    print(res)

Web application#

Web application > Decoding the Storm#

เราได้ไฟล์ html โดยเราต้องหา flag ในเว็บนี้

Screen

เมื่อเราได้เปิดดู html แล้วพบว่ามีจุดหนึ่งใน code พร้อมกับ hit ที่บอกว่าข้อมูลอยู่ในรูปอะไร ซึ่งถ้ามองด้วยตาปล่าวจะรู้ว่ามันคือ code ที่ถูก obfuscate

เราจึงได้แยก javascript ดังกล่าวออกมา

ทำการ deobfuscate

Web application > Partial Flag Check Service#

โจทย์ข้อนี้เราต้องเด่าว่า flag คืออะไร โดยที่มีคำใบ้ว่าเราสามารถที่จะเดาที่ละตัวแล้วตรวจสอบว่า flag นั้นถูกต้องไหม โดยที่ภายใน flag คือ md5

Screen

เมื่อกรอกผิด

เมื่อเรากรอกถูกส่วนหนึ่ง

จากการทดลองกรอก flag pattern เราพบว่า เป็นไปตามที่โจทย์อธิบาย

ความน่าจะเป็นของ md5 ที่ยาว 128 bits คือ $2^{128}$ ซึ่งเยอะมาก แต่โจทย์ได้ให้คำใบ้โดยการสามารถตรวจสอบได้ที่ละตัวอักษร เลยเหลือความน่าจะเป็นเพียง $16\cdot32$

เพื่อความรวดเร็วในการหาคำตอบที่ถูกต้องเราจึงเลือกที่จะเขียน script ในการ brute force

1
import requests
2

3
URL = "https://localhost"
4

5
headers = {"Content-Type": "application/x-www-form-urlencoded"}
6
count = 0
7
flag = "FLAG{"
8
chars = "0123456789abcdef"
9

10
for _ in range(32):
11
    for c in chars:
12
        count += 1
13
        test = flag + c
14
        print(test)
15
        res = requests.post(URL, data={"password": test}, headers=headers).text
16
        if "Correct!" in res:
17
            flag = test
18
            break
19
        elif "Incorrect!" in res:
20
            continue
21
        else:
22
            flag = test
23
            break
24

25
print(flag + "}")
26
print(count)

2-2-3

2-2-4

Digital Forensics#

Digital Forensics > Flood Alert#

เราต้องหา flag ในไฟล์ pdf

Screen

สำหรับโจทย์ข้อนี้เราสามารถหาสองส่วนแรกได้ง่ายๆ 2 วิธีคือ

Ctrl + A แล้วจะเจอทันที
ใช้ PDF to Text

ปัญหาของมันคือตัว text ถูกซ่อนด้วยการกำหนดสี font จึงทำให้มองไม่เห็น

ส่วนสุดท้ายอยู่ใน info

1+2 - Ctrl + A

ครึ่งหลังอยู่หน้าที่สอง

1+2 PDF to Text (poppler-utils)

3 - (pdfinfo)

Digital Forensics > Sound of Doc#

เราได้ไฟล์ pdf ที่มี .mp3 ขึ้นก่อน

ลองลบ .pdf แล้วเล่นเสียงดู นี้แหละ flag

Pwnable & Reverse Engineering#

Pwnable & Reverse Engineering > Reverse w/ Code#

ในโจทย์ข้อนี้เราได้ไฟล์มาสองไฟล์คือ ELF ไฟล์และ source code โดยเราต้องทำการใส่ flag เข้าไปแล้วโปรแกรมจะตอบกลับมาว่า flag นั้นถูกต้องไหม

Screen

เนื่องจากเรามี source code เราจึงมุ่งเป้าไปหาคำตอบที่ source code

จะเห็นได้ว่า เงื่อนไขนี้ได้ทำการ check ว่าคำตอบถูกต้องไหม

เราจึงไปต่อที่ function ที่ถูกเรียก จาก code จะพบวิธีตรวจสอบ password โดยวิธีการที่ใช้ในการตรวจสอบสรุปได้ดังนี้

ตัวอักษรต้องเท่ากับ 38 (เกิดจาก flag pattern 6 + md5 32 = 38)
ต้องขึ้นต้นด้วย FLAG{ และลงท้ายด้วย }
ภายใน flag pattern ต้องเท่ากับ correct_password โดย input ต้องเป็น raw hex

เราจึงสรุปได้ว่า password คือ ค่าในตัวแปร correct_password เราจึงนำมารวมกับ flag pattern จึงได้ flag

Pwnable & Reverse Engineering > Reverse w/o Code#

โจทย์ข้อนี้ได้ไฟล์ ELF เพียงอย่างเดียว

Screen

เนื่องจากไม่มี source code และ ELF ไฟล์นี้เป็นแบบ stripped เราจึงเริ่มจากการ reverse engineering เลย ซึ่งในครั้งนี้เราจะใช้ ghidra

เมื่อเปิดมาให้เรา analyze เลย

เราจะไล่เข้าไปหาจุดที่เปรียบเทียบคำตอบ

__libc_start_main -> FUN_0010126e -> FUN_00101189

จาก code ตัว loop แสดงให้เห็นว่า มันทำการตรวจสอบจาก input + 5 ถึง input + 5 + 32 ว่าตรงกับ local_28 + local_c ไหม โดยก่อนเข้า loop จะทำการตรวจสอบ 5 ตัวแรกคือ FLAG{ ตัวสุดท้ายคือ } ภายใน flag คือ hex 16 bytes หรือ char 32 ตัวนั้นเอง

โดยภายใน flag จะถูกเปรียบเทียบกับตัวแปร local_28 ซึ่งจากการสังเกตุจะพบว่า local_28 และ local_20 นั้นมีขนาดเท่ากันและประกาศต่อกัน 8 + 8 = 16 bytes

เราจึงนำค่าในสองตัวแปรดังกล่าวมารวมกันเป็น character array ขนาด 16 bytes แล้วทำการแปลงกลับเป็น hex ที่ละ byte

1
#include <iostream>
2
#include <iomanip>
3
#include <cstring>
4

5
using namespace std;
6

7
int main() {
8
    unsigned long long var1 = 0xd0cce7d10add060;
9
    unsigned long long var2 = 0x4dd7966adab08cc9;
10
    size_t size = sizeof(var1) + sizeof(var2);
11

12
    unsigned char ptr[size];
13

14
    memcpy(ptr, &var1, sizeof(var1));
15
    memcpy(ptr + sizeof(var1), &var2, sizeof(var2));
16

17
    cout << "FLAG{";
18

19
    for (size_t i = 0; i < size; i++) {
20
        cout << hex << setw(2) << setfill('0') << (int)ptr[i];
21
    }
22

23
    cout << "}" << endl;
24

25
    return 0;
26
}