D2에서 지원하는 보안 커뮤니티 Exploitfor.me에서 진행한 Christmas CTF 보안대회 수상팀 '구운순살치츠치킨'의 문제풀이서입니다.

1.
ChristmasCTF 2015 Writeup
팀

2. 1. [SYSTEM­200] ­ 1ByteisOK
main함수는 원하는 주소(argv[1])에 1byte 값을(argv[2]) 쓸 수 있도록 되어 있다.
./1ByteisOK `python ­c 'print ""xacx95x04x08""'` `python ­c 'print ""xd4""'` 를 실행하여 fini
array의 값을 1byte 바꾼다. 스택을 많이 당겨서 환경변수 쪽에 페이로드를 박고 ROP를 하기
위해 fini의 아래 부분이 실행되게 바꾸었다.
이제 환경변수에 ROP payload 를 넣고 실행하면 끝.
ulimit ­s unlimited 를 걸어서 libc의 주소를 고정해서 풀었다.
system : 0x555c3cd0
“/bin/sh” : 0x556e1a84
Key : Don_T_w0rry__3very_J4ck_has_hi5_J1ll

3. 2. [FOR­100] ­ Do you know what to say maetdol sonjabi
압축 파일을 열어보니 어이없는 동영상 하나랑 어이없는 메모리 덤프 파일 하나가 들어
있었다. R­Studio를 돌려보니 Administrator의 다운로드 폴더에 perhaps_first.docx랑
maybe_second.hwp라는 수상한 파일들이 있는 걸 볼 수 있었다. 그래서 volatility라는 메모리
덤프 분석툴을 돌려보니 HwpViewer로 maybe_second.hwp를 보고 있길래 프로세스 덤프 뜬
담에 메모리에 올라와 있는 파일을 빼내서 열어봤다. base64된 데이터가 있길래 풀어보니
Compress Password is : Are you solo? 라는 게 나왔다.
한참을 삽질하다 보니 어이없게도 어이없는 동영상 뒤에 7z파일이 붙어있는 것을 발견할 수
있었다. 암호가 걸려있었고 위에서 얻은 암호를 적으니 풀렸다.
이상한 여자애가 어이없는 소리를 하는데 다행히 위에 flag가 있다.
I.SOLO.U
perhaps_first.docx에도 뭐 있던데 왜 있는 건지 모르겠다

4. 3. [WEB­50] ­ Welcome to korea
링크에 들어가면 warning.or.kr 같은 게 뜨는데, 프록시로 들어가면 플래그가 보인다.
Flag is {2015qudtlssus}
4. [MISC­1] ­ rootnix의 선물
대회 홈페이지에 로그인하면 쿠키에 flag가 박혀있다.
goodbyerootnix
5. [WEB­300] ­ SuperLogin
링크에 들어가 보면 로그인 폼이 하나있다.
로그인하면 ?column1=id&id=id&column2=id&pw=pw 이런 식으로 리퀘스트를 보내는데,
특수문자만 쓸 수 있고 MySQL 에러가 보인다.
에러를 봤을 때,
select * from user where $column1=’$id’ and $column2=$pw
이런 식의 쿼리를 보내는 것 같다. 이상하게도 $pw는 쿼트로 안 막아뒀다.
~~ where id=’_’ and pw=’’||’’=”” 로 만들어서 로그인 시키면
hi guest
login as '3l33t'
라고 뜬다. 3l33t로 로그인을 해야하는데, id가 3으로 시작하므로
~~ where id=3 같은 식으로 숫자 비교로 만들면 될 듯하다. 그래서
~~ where id=’’ and pw='+!('_')+!('_')+!('_') 이렇게 쿼리를 만들어 보냈다.
’’ and pw='나 ‘_’ 같이 앞에 숫자가 없는 문자열은 숫자로 바뀌면 0이기 때문에 !을 붙이면 1이
되고, 세 개를 더해서 3을 만들었다.
hi 3l33t
Flag is {rhkdrhkddnfjrEkbb}

5. 6. [SYSTEM­500] ­ vsnoted
fprintf를 하는데, 우리가 넣은 input을 바로 fprintf 하기 때문에 format string bug가 발생한다.
또한 title과 content의 length를 우리가 원하는 대로 정해줄 수가 있다.
1. return address를 체크하는 루틴을 format string을 이용해 값을 변조해 우회한다.
2. system + cmd 를 ROP로 부른다. ( cmd는 format string으로 값을 만들어줌)
Exploit은 아래 사진 참고.

6.
Key : vvvvvvvvsssssssnnnnnnooooottttteeeeeddddd

7.
7. [UNKNOWN­300] ­ cdhttpd
홈페이지가 나오는데 메뉴 누를 때 /?page=about 이런 식으로 요청해서 받아온다.
include하는 것 같았는데, 알고 보니 php command를 이용한 것이라 command injection이
가능했다.
띄어쓰기를 못써서 대신 $IFS를 써서 명령어를 실행했다.
/?page=;ls$IFS..;
을 보니 하위 디렉토리에 flag가 있었다.
/?page=;ps$IFS­ef;
로 프로세스 실행 되는걸 보니
sh ­c php ­f index.php page=;ps$IFS­ef;
이런식으로 실행이 되는데, $를 두 개 밖에 못써서 삽질을 하다가 ;에는 escape가 되고 <에는
escape가 안되는 것을 이용해서
/?page=;cat;<../flag
보냈더니 flag를 볼 수 있었다.
good_apachi_good_nginx
8. [MISC­200] ­ Lots of Love
네모네모 로직을 주길래 풀었다.
인스타그램 아이콘인듯 하다.
힌트로 #RGB가 나와서 한참을 고민하다 RGB 픽셀수를 세어서 16진수로 만들어 #485af1
이런 해시태그로 인스타그램에서 검색을 해보니 flag가 나왔다 부들부들..
flag : Let's_say_LoL_to_your_love goodjob!!!!! :D #​485AF1

8. 9. [Reversing­500] ­ catMycat
catMycat이라는 프로그램 하나랑 db파일 하나가 있었다. db에 있는 고양이 사진들을
꺼내주는 프로그램 인것 같다. 사진 말고 텍스트도 저장되는데, secret이라는 텍스트가
저장되어 있다. 근데 암호를 걸어서 저장해뒀다.
텍스트를 저장하는 방식을 보니, 텍스트를 hex string으로 바꾼 다음에 hex string의 각
글자마다 대응되는 8바이트 데이터가 있으며 이 데이터를 다시 bit 마다 한 바이트로
저장한다. 즉 데이터의 길이가 2*8*8배나 늘어난다. 비효율적이넹..
그리고 암호를 걸면 입력한 암호를 md5한 해쉬를 blowfish 키로 써서 ecb로 암호화 한다.
텍스트의 데이터가 엄청 크게 늘어나 있는 상태고, ecb이기 때문에 block 별로 암호화 되어서
패턴이 별로 많지 않아서 hex string에 대응되는 8바이트 데이터들의 패턴을 참고해서 암호화
된 block 별로 원래 값을 쉽게 찾을 수 있었다.
다 찾아서 보니 flag가 나왔다
flag{iL0vEcAt^_^}

9. 10. [WEB­300] ­ 수정아 ㅔㅎ헤...
웹페이지에 들어가보니 Xpath Injection이라고 친절하게(?) 힌트가 주어져있다.
id에 인젝션을 하는데, 몇 번째 노드가 admin인지 몰라서 그냥 100개정도 브루투 돌리면
되겠거니 해서 돌렸는데, 의외로 금방 나왔다.
isTheOrderARabbit?

10. 11. [Crypto­200] ­ Easy_conjecture
를 보면 n이 소수인 것을 알 수 있다. 그런데
이기 때문에 하나는 소수, 나머지는 1이다. 근데 a+b+c에서 출력된 값이 1015209 이므로 a =
1015207, b = 1, c = 1 로 값을 찾을 수 있다.
를 보면 m/a + m%a + m/b + m%b + m/c
+ m%c 인데 값을 대입해보면 2m + m/1015207 + m%1015207 = 4480179420102935122287
이다. 이걸 wolfram alpha에 돌려보면 3411231571386178043506834376/1522811 가
나오는데 이 값을 정수로 바꾸면 2240088606784543875442가 나온다. 이 값을 hex로
바꿔보면 “yoyo_Xmar” 인데, Xmas 이겠거니 해서 Xmas로 넣었더니 답.
yoyo_Xmas
12. [WEB­400] ­ 꼬북꼬북
꼬부기 팬 카페인데 소스를 보면 백업 파일이 있다. 받아서 php 소스를 보니 board에서 sql
injection을 할 수 있었다.
글 가져오는 query랑 글 수 세는 query 두 개 다 에러가 안 나게 injection을 해야 하는데, 두
번째 query에서만 addslashes를 해줘서 할 수 있었다.
http://119.81.231.181:83/beb1ba572a18638a1baefe097931af69/board.php?page=01AC%27
%20and%201=1%20union%20select%201,2,3,group_concat(pw),5%20from%20user%20wh
ere%20id=%27admin%27%23&search=%27%20or%201=1%23
이런식으로 union select를 써서 admin의 pw를 빼냈다.
ce88b109d589f3055299db869d6f0360
db에 저장된 pw는 md5(“admin”+pw+salt)이기 때문에 실제 pw를 알아내야 했다.
소스를 보면 md5를 할 때 길이가 32보다 길면 쪼개서 하기 때문에 이를 이용해서 id나 pw가
길게 만들면 salt를 뒤부터 한 글자 씩 md5 hash를 알아내서 salt를 구할 수 있었다.
salt 는 th1s1ss21tth1s1ss21t 였고, 이를 이용해서 bruteforce로 admin의 pw를 알아냈다.
pw는 81828 였고, 로그인 해 보니
Wow!! but!! Sorry... this is not flag hehe...zzzzz real flag is {salt + admin's plain password}
라고 나와서 flag는 th1s1ss21tth1s1ss21t81828

11. 13. [WEB­200] ­ hidden ftp
파일 목록을 볼 수 있는 웹서버이다. .php와 .txt 파일만 목록에 보이고 나머지는 not php or txt
file이라고만 표시된다.
page로 받은 값에 .php를 붙어서 include 하는 것으로 보여서
index.php?page=php://filter/convert.base64­encode/resource=list
이렇게 php filter를 걸어서 base64로 소스코드를 볼 수 있었다.
admin.php의 소스를 보니
<?php
$memo = "this is fake file zzzzz";
$memo2 = "your next mission is find hidden directory";
$memo3 = "good luck~~";
?>
라고 되어있는데, list에서 안 보이는 directory를 찾아 들어가야 하는 것 같다.
이번엔 dir에 glob을 이용해서 찾아보았다.
index.php?page=list&dir=glob:///var/www/html/7e1474471db10fbd30ed6a8cd1c94889/*/*
이러면 flag.txt가 있는 것이 보이는데, directory 이름을 알아내야 해서 *a* 이런 식으로 어떤
글자가 있는지 알아내고,
index.php?page=list&dir=glob:///var/www/html/7e1474471db10fbd30ed6a8cd1c94889/?????
?????????????/*
이렇게 ?로 글자수도 알아내서 찾을 수 있었다.
/th1s_1s_h1662n_41r/flag.txt 에 있었고 내용은
this is real flag zzzzzzzzzzzzz
flag is {xmas_is_very_happy_day_lolololololololol}

12. 14. [SYSTEM­300] ­ Mailing
메일을 쓰고 받는 척하는 프로그램이다. 이름이랑 메일 주소를 저장할 때 heap overflow가
발생한다. InitMail에서 malloc한 메모리 영역은 0x64byte이고, 그 중 메일 주소를 위한 영역은
0x58byte이지만 메일 주소를 저장할 때 0x64byte를 받기 때문에 12byte가 overflow 된다.
메일을 쓸 때 메모리를 malloc 하고 free를 하는 루틴이 있기 때문에 12byte overflow를
이용해서 malloc의 header를 조작하는 공격을 할 수 있다.
처음에 0x64+0x4(header), 즉 0x68byte 짜리 chunk가 만들어 지고, 메일 쓰기 기능을
이용하면 그 뒤에 0x68byte 짜리 chunk가 두 개 더 생긴다.
그러면 heap 구조가
[0x00000069][ data1 64byte ][0x00000069][ data2 64byte ][0x00000069][ data3 64byte ][ ….
]
이런 형태가 된다. 여기서 data1을 overflow 시켜서
[0x00000069][ data1 60byte ][0x00000068][0x00000068][ data2 64byte ][ …. ]
이렇게 바꾸면 data1이 0x68byte 짜리 freed chunk가 된다. 그리고 메일 쓰기를 다시 하면
원래 있던 data2, data3을 free 시키고 다시 할당 하는데, data1 부분도 freed chunk이므로
여기에 할당된다. 그러면 data1에 있던 함수 포인터들을 덮어 쓸 수 있다.
show saved mail을 이용해 함수를 부를 수 있으므로 puts로 got 영역을 출력하도록 해서
system 함수 주소를 알아내고, system 함수를 불러서 쉘을 땄다.
flag is "I$_Y0ur_Girl_Friend_!N_y0ur_PC?"
15. [MISC­100] ­ Find secret box
이상한 그림이 하나 있는데, jpg 뒤에 압축 파일이 붙어있어서 빼내면 그림에 숨겨져 있던
부분이 보인다. 간단한 로직인데, BEAR를 만들라고 해서, 결과가 BEAR가 되는 로직 input을
구해보니 ABC'D'ABCD'AB'CD'AB'CD가 나왔다.
base64로 인증하라고 해서 flag는
QUJDJ0QnQUJDRCdBQidDRCdBQidDRA==
처음엔 인증 안되던데 갑자기 되었다 부들부들
16. [Crypto­50] ­ Find key.
알파벳으로 된 txt 파일이 있는데, ABCDEFGabcd 이런식으로 특정 글자까지 쓰고 다시 a로
돌아가는 긴 문자열이다. 다시 a로 돌아가기 전에 마지막으로 쓴 문자만 모으면
GsvPvbrhDvZivUilavmYvvi
이렇게 되는데, 치환암호 인것 같아서 대충 끼워 맞췄더니
TheKeyisWeAreFrozenBeer가 나왔다
flag는 WeAreFrozenBeer

14. 17. [MISC­50] ­ Fandu Diary
이상한 파일 하나 주는데 hex editor로 보니 한글 파일 같다.
그런데 헤더가 지워져 있어서 맨 앞 8바이트를 D0CF11E0A1B11AE1 로 바꾸니 열렸다.
아 라이트업 쓰기 싫다….

15. 18. [ALGO­250] ­ Water
문제가 주어진 대로 풀었다.
6번 동작이라고 해봤자 경우의 수가 얼마 되지 않기 때문에 문제 조건에 맞게 모든 행동을
하면서 답을 찾으면 끝나도록 설계하였다.
Key : Ch33r_Up!!Everyone_knows_y0u_d1d_your_b3st_1n_2015

16. 19. [ALGO­150] ­ SimpleAdder
문제가 위와 같다. 연립방정식 만들어서 각각을 다 z3 solver에 넣고 나오는 값을 잘 싸서
보내줬다. 귀찮아서 eval을 사용했다.
그리고 서버가 엄청 느리더라 부들부들 ….
flag is "There_are_0nly_h4ppy_days_1n_2OI6,Byung­Sin_Year"

17. 20. [Reversing­200] ­ ARM­Check
ARM 프로그램을 하나 줬는데, 분석해보니 password 입력 받으면 뭔가 계산해서 저장된
값이랑 비교하고 맞으면 Correct!!를 출력해준다.
분석해보니 CRC64였고, 0xFC73609FE4E903FF를 만들어야 한다.
답이 8자리라면 역 연산 가능하므로 역 연산 슉슉 했더니
KeY@Val!
이 나왔다.
21. [SYSTEM­200] ­ Merry_Echo
맨 처음, 구조체를 만들고 그 구조체에 함수포인터를 넣어서 함수를 콜한다.
그런데 main 첫부분에 불리는 say 에서 이 구조체를 free하고 나중에 우리가 input을 넣을 수
있도록 해주었다. 이를 통해서 EIP를 컨트롤할 수 있었다.
로컬이여서 ulimit 꼼수를 쓰려 했지만 아쉽게도 막혀 있었기 때문에 display에 있는
formatstring bug를 통해서 libc 주소 릭을 내서 system주소를 알아냈었다.
이를 통해 system을 실행하도록 해보았더니, system(“%c”)를 부르더라.
해서 그냥 %c를 /bin/sh로 심볼릭 링크 걸고 PATH추가해서 쉘을 땄다.
Key: Jingle_jINgLe_be1I

18.
22. [MISC­100] ­ Jingle Bell Rock
신나는 징글벨 mp3파일이다.
골드웨이브로 열어서 스펙트로그램을 보면
중간에 이렇게 나온다
Flag is MaybeNextyear?!