Báo cáo KCSC lần 8 [23/08/2023]

# Tenable CTF 2023 ## Braggart ![](https://hackmd.io/_uploads/S17CvyK2h.png) Đây là một challenge pwn x web khá thú vị. Chúng ta được cung cấp một link và khi bấm vào link đó sẽ hiện như sau: ![](https://hackmd.io/_uploads/SyYeuyY2h.png) Click vào `backup` sẽ cho ta một binary. Decompile file binary đó thì ta biết được nó là thành phần back-end xử lý gói tin request tới khi ta xem hàm `printMain`: ![](https://hackmd.io/_uploads/HkF9zgYhn.png) Chương trình thực thi khá nhiều hàm `getenv` nhưng ta thấy có một vài hàm lấy chuỗi bắt đầu với `HTTP_`, đây có thể được xem là header của gói tin request. Do đó ta sẽ dùng burpsuite để có thể thêm bớt một cách dễ dàng. Sau một hồi tìm kiếm bug, ta thấy trong hàm `printDebugInfo` có lỗi **Buffer Overflow** khi thực hiện `strcpy` với dữ liệu là `User-Agent`: ![](https://hackmd.io/_uploads/H14OQetn2.png) Biến `dest` nằm ngay trên biến `format`, do đó nếu nó overflow, ta hoàn toàn có thể thay đổi format của biến `format` để thực thi format tùy ý --> **Format String**. Để tìm offset phù hợp, ta sẽ cùng debug chương trình này và thiết lập các biến môi trường phù hợp để có thể đi vào hàm `printDebugInfo` của `printMain`: ![](https://hackmd.io/_uploads/HJgcSlY3h.png) Vì biến môi trường `HTTP_USER_AGENT` sẽ gây ra overflow nên ta sẽ set nó với 0x400 byte dữ liệu. Debug dừng ngay đoạn printf sau khi `strcpy` để tìm offset: ![](https://hackmd.io/_uploads/B16qrgYh2.png) ![](https://hackmd.io/_uploads/rJ2iBet23.png) Vậy ta sẽ thử thêm format `%p%p%p` sau 1008 byte xem coi ta có leak được địa chỉ trên server hay không: ![](https://hackmd.io/_uploads/ByNY8lF3h.png) ![](https://hackmd.io/_uploads/Hy19Lgt2n.png) Vậy là ta overflow thành công. Bây giờ ta sẽ lợi dụng format string để leak dữ liệu của biến `AdminPass` nằm ngoài hàm main. Ta có thể debug và tìm offset: ![](https://hackmd.io/_uploads/B1tePxK3n.png) Thay thế format string mới là `%275$s` để leak password: ![](https://hackmd.io/_uploads/BJWVwxYnn.png) Vậy password là `xbYP3h7Ua94c`. Bây giờ ta sẽ bổ sung thêm header `X-PASSWORD` với password ta lấy được để đi vào hàm `printSecrets`: ![](https://hackmd.io/_uploads/SkGjwxY2h.png) Ta đã thực thi được hàm đó nhưng file được đọc là `/home/ctf/brag`. Do đó ý tưởng sẽ là dùng format string để thay đổi chữ `brag` thành `flag` để lấy flag. Vẫn là tìm offset từ printf cho tới chuỗi `brag` trên stack là `267` (dùng gdb để tìm, set các env để nhảy vào `printSecrets`): ![](https://hackmd.io/_uploads/B1ptKgthn.png) Vậy ta chỉ việc thêm `%c` để in ra một lượng byte phù hợp và ta dùng `%hn` để thay đổi 2 byte `br` thành `fl` của chuỗi `brag` để thành `flag`: ![](https://hackmd.io/_uploads/SJtUceYh2.png) Vậy ta sẽ in ra `27750` byte tương ứng với 2 byte `fl`. Ta kết hợp với `%hn` được payload `%27750c%267$hn` lấy được flag: ![](https://hackmd.io/_uploads/Syy35xt22.png) Flag là `flag{f0rmat_th3m_str1ngz}` ## Brick Breaker ![](https://hackmd.io/_uploads/ryKKo1m3n.png) Đây là một challenge reverse. Chúng ta được cung cấp một file duy nhất và định dạng là một con game Nintendo Dual Screens: ![](https://hackmd.io/_uploads/SJvdRAO3n.png) Do đó ta sẽ tải trình giả lập [DeSmuME](https://www.emulatorgames.net/emulators/nintendo-ds/desmume-0911-32-bit/) để tiến hành chạy file. Sau khi giải nén, ta chạy trình giả lập lên. Để load file game `ctf.nds` ta chọn `File -> Open ROM...` ![](https://hackmd.io/_uploads/rk6Sm1Y32.png) Tiếp theo đó ta chọn con game và bấm `Open`: ![](https://hackmd.io/_uploads/rkJ2QJtnn.png) Và ta được giao diện như sau: ![](https://hackmd.io/_uploads/HyFC7Jt2h.png) Khi bấm start thì ta được trò chơi phá gạch: ![](https://hackmd.io/_uploads/HJs-E1Y23.png) Để điều khiển trái phải thì ta dùng mũi tên trái và mũi tên phải, để bắn bi thì dùng phím `x`. Tổng cộng có 5 lượt chơi, nếu hết thì sẽ phải chơi lại từ đầu. Ý tưởng đầu tiên sẽ là chỉnh lại số lượt chơi đó cho thật lớn và việc chỉnh sẽ tác động trực tiếp tới memory. Do đó ta chọn `Tools -> RAM Search...` để tiến hành tìm biến count đó: ![](https://hackmd.io/_uploads/S1yYVytnn.png) Sẽ có 2 hướng biến count thay đổi, 1 là count từ 5 về 0, 2 là count từ 0 lên 5. Do đó ta sẽ thử trước với trường hợp 1, thiết lập Specific Value thành 5 và bấm `Search`: ![](https://hackmd.io/_uploads/HJMxBJt2h.png) Sau đó ta tiến hành chơi game và để mất một mạng. Bây giờ ta thay số 5 thành số 4 và bấm `Search` tiếp tục để tìm tiếp từ các giá trị đã search cũ. Sau khi search thì ta thu gọn lại được chỉ còn 2 kết quả: ![](https://hackmd.io/_uploads/r1HNHkKnn.png) Vì 2 giá trị đó thay đổi giống nhau nên ta sẽ thay đổi thử giá trị ở địa chỉ đầu tiên `02060DB8`. Ta chọn vào `Tools -> View Memory` để xem bộ nhớ: ![](https://hackmd.io/_uploads/SyHCryK2h.png) Ta thay phần `Address` thành địa chỉ của biến count đó và bấm `Go` để nhảy tới vị trí của biến đó: ![](https://hackmd.io/_uploads/SJ3G81F32.png) Ta sẽ chơi thử thêm một lượt để thấy giá trị đó giảm dần: ![](https://hackmd.io/_uploads/BkHOU1tn3.png) Vậy ta thay đổi thành 0xff để có thể chơi được nhiều lần và qua màn. Sau khi qua màn, ta thấy giá trị `02` tăng lên thành giá trị `03` (số nằm sau biến count tại cột A): ![](https://hackmd.io/_uploads/B1RTU1Khn.png) Do đó ta sẽ chơi thử các màn nhưng tới khi giá trị màn là 5 thì nhảy lại màn có giá trị 2. Ý tưởng sẽ là set thành màn số 6 để khi chơi xong sẽ nhảy sang màn 7: ![](https://hackmd.io/_uploads/SyywP1Y3n.png) Mỗi màn sẽ là một ký tự của flag nên ta cứ chơi tiếp theo để lấy flag.