CTF

Unintended CPython101 From May 5th to 7th the second edition of the PWNME CTF was held**. Our team participated in the student category. For this write-up, I will explain how I was able to bypass the intended way to flag the Pwn CPython101 challenge. CPython101 What if you could do memory corruption in Python ? Well this is an opportunity for you to discover that ! Find a way to read the flag on the remote service. **Note**: - *This challenge is not a pyjail, mesures have been taken to block unintented way. If you find a bypass to the challenge please report to the challenge maker :)* - *You must spawn an instance for this challenge. You can connect to it with netcat: nc 51.254.39.184 1338* Author: Express#8049 Analysis The challenge gave us an archive that contains a Dockerfile and the vulnerable pwnme.so library, which is a Python module written in C. There is also a wrapper that takes our Python code and places it into a file that will be executed later. ...

Follow the Rabbit Tandis qu'Alice s'occupait de son jardin, elle est tombée sur un lapin blanc affolé. Celui-ci, pressé, lui a demandé de le suivre. Sans hésiter, Alice a décidé de le poursuivre dans son mystérieux terrier. https://follow-the-rabbit.france-cybersecurity-challenge.fr SHA256(follow-the-rabbit-public.tar.gz) = 6d5af5b83e3c9d3d5bb556965440df80507406239e68ef94c03ba1482d99f411. Analyse Le challenge nous offre une archive contenant des fichiers docker ainsi que le code source de la configuration nginx. docker-compose.yml: version: '3' services: follow-the-rabbit: build: context: . args: FLAG: FCSC{flag_placeholder} ports: - 8000:80 Dockerfile: ...

Hello from the inside Votre nouveau stagiaire aimerait bien vous persuader que les architectures orientées micro-service améliorent nettement la sécurité de vos systèmes d'information. Il a décidé de vous le démontrer en réalisant une preuve de concept du type "Hello world", déployé à la hâte sur un serveur HTTP Apache. Allez-vous lui proposer un contrat à la fin de son stage ? https://hello-from-the-inside.france-cybersecurity-challenge.fr/ Note : Aucun bruteforce n'est nécessaire à la résolution du challenge. Analyse Le code source n’est pas donné pour ce challenge, visitons dans un premier temps le site. ...

Peculiar Caterpillar Alors qu'elle se promenait au Pays des merveilles, Alice tomba sur une chenille étrange. À sa grande surprise, cette dernière se vantait d'avoir construit son propre site web en utilisant Javascript. Bien que le site semblait simple, Alice ne pouvait s'empêcher de se demander s'il était vraiment sécurisé. https://peculiar-caterpillar.france-cybersecurity-challenge.fr/ SHA256(peculiar-caterpillar-public.tar.gz) = 0aad816ba8eeff048785257f1bc157e83e59ec3246af0f9556ef7b6e39b56b6f. Analyse Le challenge nous offre une archive, contenant plusieurs fichiers intéressants. On apprend notamment que l’application est codée en Node.js et qu’elle utilise deux dépendances. ...

Tweedle Dum Au cours de ses aventures au Pays des merveilles, Alice a rencontré une curieuse paire de jumeaux : Tweedledee et Tweedledum. Les deux avaient créé un site web simpliste en utilisant Flask, une réalisation qui a suscité l'intérêt d'Alice. Avec son esprit curieux et son penchant pour la technologie, Alice ne pouvait s'empêcher de se demander si elle pouvait pirater leur création et en découvrir les secrets. Note : Tweedle Dum est la version "facile" du challenge, regardez Tweedle Dee pour la version "difficile". https://tweedle-dum.france-cybersecurity-challenge.fr/ SHA256(tweedle-dum-public.tar.gz) = fc9c858fa98401db631b27876e17acf2a9cb25627887cd5d849af6a746a4c646. Analyse Le challenge nous offre une archive dans laquelle on connait les versions de Flask ainsi que le code source de l’application. ...

Reverse - JeanLouis Analyse En ouvrant le binaire dans Ghidra et après avoir renommé les variables, on tombe sur une sorte de memcpy d’un shellcode qui sera xoré avec une clé statique ensuite par le programme. Figure 1: Copie du shellcode et XOR de celui-ci. SHELLCODE = "4F274DEB5442071D4F075746544F530743424F42074A484F425D074B4F624953559F232727279C26272727AEC69D3F272727EAA79F242727279C27272727AA6B03C79D37272727EAA7AEE8AD30A7D56AA7DD3928A2CC27272760AD30A7D548A7DD1C28A2FB27272760AD30A7D553A7DD1B28A2EA27272760AD30A7D543A7DD0228A29927272760AD30A7D542A7DD0128A28827272760AD30A7D557A7DD1C28A28727272760AD30A7D546A7DD3D28A2B627272760AD30A7D554A7DD0D28A2A527272760AD30A7D554A7DD31525060AD30A7D542A7DD3B524B60AD30A7D514A7DD71524660AD30A7D514A7DD6D527160AD30A7D545A7DD20526C60AD30A7D546A7DD75526760AD30A7D543A7DD70521260AD30A7D543A7DD3E520D604F0E0E2D274F0042071D4F074D48524F654E42499F232727279C26272727AEC69D28272727EAA7CC1D4D2D4F090909094F544209094F075746544F530743424F54074A484F5251464E4F6A4627279F232727279C26272727AEC69D07272727EAA7CC279F262727279C27272727EAA700" SHELLCODE = bytes.fromhex(SHELLCODE) final_shellcode = bytearray(len(SHELLCODE)) for k in range(0, 0x18b): final_shellcode[k] = SHELLCODE[k] ^ 0x27 print(bytes(final_shellcode)) Il suffit de prendre le shellcode en mémoire de le copier et de placer la valeur hexa dans un site comme defuse.ca pour retrouver les instructions. ...

Break safe code - 2 Easy Write-up TL;DR En m’aidant du fichier flowchart.png, je pouvais déduire les fonctions dans le programme. La fonction permettant d’initialiser un code révèle un XOR dynamique en commençant avec la clé 0xc6. Il m’a ensuite suffi de décoder la mémoire EEPROM via le XOR dynamique pour récupérer le code de la boîte. Introduction Le challenge fournit : - un schéma électronique - un schéma du flow d’exécution du programme ...

Global Pandemic This challenge give us the c code and the compiled binary. Figure 1: Global_Pandemic.c The Vulnerability First, at looking at the c code we can see the printf(pass); line. That is a Format Bug String. We can check that if we try to compile with clang. Figure 2: Compilation of the c code with clang. Pre-requirements To obtain the flag, we need to change the admin variable value. To do that, we need to write 0xb4dbabe3 were the address of admin is. ...

Malware 3-3 Ce challenge est un challenge en 3 parties indépendantes, mais dont l'ordre logique est indiqué par les numéros : forensics (1) -> pwn (2) -> reverse (3). /!\ Le programme a de réelles capacités malveillantes /!\ Ouf ! Vous avez réussi à récupérer le malware, à vous connecter sur le serveur de l'attaquant et à récupérer la clé privée (fichier key.priv ci-joint) ayant servi à chiffrer votre précieux flag. Le fichier key.priv portait initialement le nom : 0fdb0eea57198b3bb69e8267690ede5d5ba95ab791638a610372120b773d4acc_2021-03-15|21:34:41.priv. Dechiffrez le fichier flag.txt pour valider cette épreuve. SHA256(malware) = d63087cb4ad44b1bf07646e195e8bc2997ab0dea6119f0ef6c70ddcc51dc7f11. SHA256(flag.txt) = 14474b163650c1e940ae9612e29c4a8a5012f1ee1d31c6262f84e657680568b8. SHA256(key.priv) = 55a4f14531fbc38349687d1a8fb13faa55a52bb8cff5bb23576ca72c595af37f. Tag: reverse ...

Vice-VeRSA Points: 199 (dynamique) L'administrateur se cache bien d'indiquer aux utilisateurs que leurs messages sont enregistrés. Prouvez-lui qu'on ne peut pas la faire à l'envers aux utilisateurs. http://challenges2.france-cybersecurity-challenge.fr:5003 Tags: web, crypto Analyse Avec le nom du challenge et les tags, je comprends que le challenge va être orienté crypto avec une partie web. Plus précisément sur du chiffrement RSA. Dans un premier temps, j’aime bien regarder le code source html de chaque page pour me faire une arboresence de toutes les pages disponibles. Après l’avoir fait sur la première page, je comprends que 4 pages sont disponibles. ...