# RPC CTF // DA RIVEDERE CON QUELLO CHE ABBIAMO DECISO **Modalità di accesso:** - CTF in modalità mista - Online accessibile a tutti - On Site accesso limitato ad un numero massimo **Modalità di iscrizione onsite:** - Aperto a tutti - Accesso con 3 mini challenge ( in caso di limite di posti presi cronologicamente) - I premi sono assegnabili solo a chi si presenta quel giorno onsite con una classifica estratta da quella globale online **Piattaforma e iscrizioni:** - Nessun limite di persone sui team (>=1) - Piattaforma del CINI (fallback: CTFd) - Creazione di un server discord per discussioni/ticket (Con un sanity check per farli entrare???) **Durata CTF:** 24h (con 12h in presenza) **Challenge:** - PUNTEGGI DINAMICI Usiamo la stessa formula di zio gasp? ```python max(50, int(500*min(1, k/(k+x-1))**e)) ``` dove `**` rappresenta l'elevamento a potenza e `x` il numero di soluzioni. I due parametri sono impostati a `e=1.51` e `k=11`. **Livelli di difficoltà delle challenge:** --- entry level easy medium hard (Massimo 2 minimo 1) --- **Categorie:** - Binary - Web - Crypto - Misc - EXTRA HARDWARE (1/2 challenge) --- # Qui possiamo appuntare le idee sulle challenge da realizzare, specificatene anche la difficolta ## Nome Challenge (Categoria) <Livello> @Author Testo --- ## RandomWrite (Binary) <easy> @DomySh L'idea alla base è una challenge in cui inizialmente viene allocato un blocco di memoria, e nel programma viene data una primitiva di scrittura su cui possiamo controllare cosa si scrive ma non dove, questo è invece deciso random, diamo comunque in output il seed usato da rand() in modo da rendere possibile la predizione di tutti i numeri, l'obiettivo è scrivere su questa memoria uno shellcode, ma appunto scriptando la scrittura in maniera intelligente. - Si potrebbe limitare la scrittura di un massimo di byte per renderla più complessa (da pensarci) - Potremmmo ogni tanto scrivere su aree di memoria non segmentate, ma con la possibilità di annullare la scrittura - Potremmo rendere illegali alcuni byte - Funzione in input limitante (magari limita i byte a 0, che però scriviamo inizialmente nella memoria allocata). ## GatoWifi (Binary, Hardware) <medium, hard> @Nik @DomySh 1. L'idea nasce da un gatto dell'ikea su cui @Nik ha montato un microprocessore 2. Comunicazione col gatto possibile con una comunicazione wireless (integrata nel microprocessore) 3. Il gatto è una lampada rgb 3. Challenge simulata da remoto, reale per le persone in presenza L'idea alla base prevede di: 1. Usare qualche protocollo wireless strano per la comunicazione (eg. [lolra](https://github.com/cnlohr/lolra)) 2. Una volta attaccati al gatto, vuln sulla sovrascrizione dello stack 3. IDEA: potremmo "simulare" una kernel dando un programma che emula un ambiente userspace (che non esiste sui microprocessori che vogliamo usare) 4. Output del programma non presente se non con i led del gatto: estrarre la flag tramite i colori del led! ## LD-LIBC custom (Binary) <medium, hard> @DomySh Non ho un idea precisa di questa challenge, ma l'idea era ispirata ad una kernel di Pisa, dove il loader ELF nel kernel allocava anche in posti "strani": L'idea è magari compilare un nostro loader ld.so.1 ma buggato in maniera simile, e permettere di avviare del codice (File ELF), ma l'esecuzione è sendboxata, l'obiettivo è fare escape dalla sendbox e ottenere la shell ## NomeDaDecidere (Misc, Binary) <medium, hard> @salvatore.abello Python patchato in modo tale da non far eseguire nessuna funzione pericolosa. Per fare sandbox escape è necessario sfruttare qualche vuln presente in una funzione implementata da noi (stavo pensando ad una versione "safe" di str.format() o robe così) ## Pyjail generica (nome da decidere) (Misc) <hard> @salvatore.abello Le idee erano due: * Prison (presa dalla ifctf finals) dove alla blacklist si aggiunge il '@' * Una chall che ho fatto io. Più semplice ma la tecnica da usare sarebbe la stessa della prima opzione ## CodonJail (Misc, Binary?) <easy> @salvatore.abello L'idea è quella di creare un programma che ti permette di eseguire del codice codon. L'obiettivo è quello di avere RCE bypassando delle blacklist/whitelist. Non so se è facile da hostare però ci starebbe come idea. Ho messo easy perché le blacklist/whitelist non voglio renderle troppo strict. ## Una Web (nome da decidere) (Web) <medium> @salvatore.abello In realtà ho un po' di web pronte che dovevo metterle in un altra ctf che poi non abbiamo più fatto: * XSLeak tramite ReDOS. Bisogna capire però se è facilmente solvabile durante la gara per via dell'instabilità dell'exploit * 0day in una lib scema (pyratemp) * LFI dove bisogna leggere il DB (sqlite3), ma con una blacklist che rende impossibile la lettura diretta di esso. La blacklist si può bypassare leggendo da `/proc/self/fd/<fd>` Tutte e tre sono da considerare medium ## Sanity Checker (Web, Sanity Check?) <entry-level> @salvatore.abello Una Web App che ti permette di controllare se la sintassi di un codice python è corretta o no tramite la funzione `compile()`. ## Random Products Company (Web) <medium> @Polonium Uno store online è accessibile unicamente tramite un client RPC che viene fornito all'inizio ([gRPC](https://grpc.io/) per la precisione). All'interno dello store è possibile comprare varie cose, una di queste è la flag. Il problema è che l'utente non dispone dei soldi necessari. A causa di una pessima gestione in fase di sviluppo dell'eliminazione di alcuni vecchi campi nel file `.proto`, è possibile abusare dell'uso dei campi in questione ed ottenere la flag. *Reference: [Consequences of Reusing Field Numbers](https://protobuf.dev/programming-guides/proto3/#consequences)* ## Yet Another Microservice Limited (Web) <easy> @Polonium Un servizio di hosting di container Ducker (Docker) compose. Per poter usufruire del servizio è necessario fornire un file di configurazione `ducker-compose.yaml`. Per via di una pessima gestione dei file YAML di configurazione, l'utente sarà in grado di causare una RCE e leggere la flag. > Nota: Potenzialmente la si può complicare e farla diventare una pyjail. ## Good things come in small packages (Misc) <entry-level> @Polonium Viene dato un file compresso con un algoritmo custom (in realtà l'algoritmo aumenta lo spazio richiesto). Reversando l'algoritmo, sarà possibile estrarre la flag presente in una cartella. > Nota: Non so se complicarla (qualche entry-level dobbiamo metterla). ## (Nome da decidere) (Web3) <easy/medium> @Polonium Hostiamo una versione privata di Ethereum (non abbiamo soldi per coprire tutte le gas fee) dove sarà presente uno smart contract che avrà una serie di vulnerabilità. ## (Nome da decidere) (Web3) <medium, hard> @Polonium Premessa: Negli ultimi giorni per motivi completamente separati dalla CTF stavo sviluppando da zero una blockchain in Python, sono alla gestione delle transazioni, giusto per imparare (ovviamente si farà un re-write in Rust). Descrizione: Una serie di challenge riguardanti sempre la blockchain in questione. Viene fornita una blockchain (copia uscita male di Ethereum, per ovvi motivi logistici il numero di nodi sarà limitato) insieme al suo codice sorgente. Ogni volta verrà effettuato un fix della vulnerabilità precedentemente sfruttata. Vulnerabilità: - Collisione dell'address - Overflow del contatore dell'altezza della catena - 51% attack - Collisione dell'hash dei blocchi > Nota: Potrebbe essere necessario generare per ogni team un address da usare sulla blockchain. ## Perfection (Misc) <medium> @Polonium Il linguaggio di programmazione definitvo esiste ed è: https://github.com/TodePond/DreamBerd La challenge consisterà nel dare al partecipante il codice sorgente di un programma scritto in DreamBerd. L'utente conoscendo l'output e il codice sorgente, dovrà reversare per ottenere la flag. Come è anche scritto nella repo, non esiste alcun compilatore. > Nota 1: Esiste, menzionato anche nella repository ufficiale, un tentativo di creare un interprete. Però fortunatamente l'ultimo commit risale a circa 3 mesi fa ed è incompleto. > Nota 2: Analizzando meglio la descrizione del linguaggio, penso sarà necessario fare una fork in modo da modifcare alcune cose e far si che abbia un minimo di senso (altrimenti diventa difficile anche per noi creare la challenge). ## TPS (Misc) <medium> @Polonium In seguito alla guerra tra sostenitori della Terra piatta e Terra sferica, un gruppo ne è uscito vincitore: i sostenitori della Terra toroidale. I sistemi di navigazione sono stati riprogettati ed è stato creato il Toroidal Positioning System (TPS). Al malcapitato verranno date le specifiche del sistema ed una lista di file .wav, ogni file conterrà i segnali TPS ricevuti da 4 satelliti differenti. I singoli frame saranno cifrati con AES in modalità CTR usando sempre la stessa chiave (però univoca per satellite) e come nonce l'ID assegnato al satellite. Una volta decifrati, il partecipante sfruttando i dati ottenuti dai satelliti otterrà una serie di posizioni sul toroide, unendo le posizioni verrà disegnata la flag. > Nota 1: Per semplicità e sanità mentale (sarebbe richiesta la teoria della relatività) l'errore relativistico presente nella misurazione del tempo verrà considerato nullo. > Nota 2: Tralasciando le varie considerazioni fisiche nei confronti di un pianeta toroidale, i satelliti avranno un'orbita elicoidale lungo la circonferenza centrale del toro. > Nota 3: Ovviamente sarà necessario modifcare anche le coordinate geografiche: > - I poli non esistono più, ma ci sono le circonferenze Nord e Sud. Rispettivamente queste due circonferenza saranno le due circonferenze composte dall'insieme dei punti superficiali con distanza media dal centro del toroide > - Saranno presenti due equatori, uno interno ed uno esterno (ovvero le due circonferenze composte rispettivamente dall'insieme dei punti superficiali più vicini e più lontani dal centro del toroide) > - La latitudine sarà espressa con riferimento all'equatore (interno o esterno) da cui si inizia a misurare, esempi: > - 37°NE => 37° verso Nord partendo dall'equatore Esterno > - 18°NI => 18° verso Nord partendo dall'equatore Interno > - 66°SE => 66° verso Sud partendo dall'equatore Esterno > - 21°SI => 21° verso Sud partendo dall'equatore Interno > La latitudine assumerà valori tra 0° e 90°, NE Nord Esterno, SE Sud Esterno, NI Nord Interno oppure SI Sud Interno. > - La "longitudine" sarà espressa con riferimento ad una circonferenza in particolare (circonferenza di Torus City) da cui iniziare a misurare, esempi: > - 75°E => 75° verso Est partendo dalla circonferenza passante per Torus City > - 156°W => 156° verso Ovest partendo dalla circonferenza passante per Torus City > La longitudine assumerà valori tra 0° e 180°, W West oppure E Est. *References:* - *https://oceanservice.noaa.gov/education/tutorial_geodesy/geo09_gps.html#:~:text=To%20find%20the%20distance%20from,approximately%2011%2C000%20miles%20in%20space.* - *https://en.wikipedia.org/wiki/Satellite_navigation_solution* - *https://en.wikipedia.org/wiki/Global_Positioning_System* - *https://gssc.esa.int/navipedia/index.php/Relativistic_Clock_Correction* - *https://it.mathworks.com/help/satcom/ug/gps-waveform-generation.html* ## Coffee break (Web) <medium> @Polonium @DomySh Implementazione di Hyper Text Coffee Pot Control Protocol. *Reference: [rfc2324](https://datatracker.ietf.org/doc/html/rfc2324)* ## PoC: Self made tar (Misc) <dunno> @Petapton Seminare qualche tipo di errore in un pacchetto autoestraente creato con makeself. Nei prossimi giorni la articolo un po' meglio, promesso. ## C* (Misc) <medium> @Petapton @pa.nic Mega labirintone non risolvibile a mano che alla fine compone una flag. Per risolverla, il malcapitato dovrà: 1. Interpretare i 20GB di png 2. Definire una euristica ragionevole per risolvere il labirinto > Nota: Se ci si riesce, si potrebbe generare un labirinto che non permette la soluzione tramite euristiche, ma solo attraverso un algoritmo deterministico, di cui però suppongo soltanto la possibilità teorica. Stay tuned... ## alwaysDebug (Web) <easy> @ddisp Applicazione web sviluppata in Flask con `debug=True`. Generando un errore è possibile accedere alla console dalla quale si dovrà eseguire del codice per trovare la flag (variabile globale in `secret.py`). > Mettere flag in un file che non deve essere visualizzato nella error page e vedere se è possibile disabilitare gli import. Rimuovere il PIN della console. ## segfaulter (Pwn) <easy> @DomySh App da terminale che crasha molto spesso con segfault, ci sono una serie di controlli che falliscono, l'obiettivo è sovrascrivere la memoria per settare tutti i parametri correttamente e stampare la flag ## BookInn (pwn) <multi-level> @gilberto @ale-lup servizio di vendita libri con chain di vuln ## Borraccia 2 (web, hardware) <easy, medium> @nik012003 Server HTTP implementato in myHDL ( i web guys penseranno sia una pyjail, ma invece si ritroveranno a fare una hardware ). Due strade per implementare la vuln: - Route /flag protetta, ma si puo' comunque accedervi reversando il funzionamento del sistema di route. Il sistema di route in hardware funzionera' con una look up table, con ingresso il risultato di un hash dell'url. (quindi basta trovare una collisione). (easy) - Route /flag protetta dal proxy in python. Ma si puo' sovrascrivere la memoria dove viene salvata la route sull'fpga, overflowando gli header. (medium) ## Nome da decidere (web, crypto, rev) @alessio @giuseppe Challenge web che si connette ad un binario contenente un algoritmo crittografico per firmare dei token. Bisogna sfruttare una misconfig per scavalcare i controlli e lanciare il payload autenticato con il token forgiato. ## Nome da decidere (misc, ac, guess-the-man) <entry-level? maybe not> @Petapton NFS vuln on subdirectory exports ``` man 5 exports Subdirectory Exports Normally you should only export only the root of a filesystem. The NFS server will also allow you to export a subdirectory of a filesystem, however, this has drawbacks: First, it may be possible for a malicious user to access files on the filesystem outside of the exported subdirectory, by guessing filehandles for those other files. The only way to prevent this is by using the no_subtree_check option, which can cause other problems. Second, export options may not be enforced in the way that you would expect. For example, the security_label option will not work on subdirectory exports, and if nested subdirectory exports change the security_label or sec= options, NFSv4 clients will normally see only the options on the parent export. Also, where security options differ, a malicious client may use filehandle- guessing attacks to access the files from one subdirectory using the options from another. ``` ### Variante 1 Montare una sottodirectory (in cui non è contenuta la flag) tramite NFS, utilizzando l'opzione `no_subtree_check`. Per risolverla basterà guessare il filehandle, oppure mettere un link ad hoc (?). ### Variante 2 Montare due sottodirectory. Una con permessi ro, l'altra rw. Nella cartella ro, server side, un demone controlla il contenuto o la presenza di un file. Se la condizione è soddisfatta, viene rilasciata la flag. L'attaccante dovrà exploitare i permessi rw del secondo mount point per scrivere nel primo.