ブログ未満のなにか

ブログなのか誰にも分からない

MeePwn CTF 2018 Quals babysandbox, house_of_card, secure_message, 0xBAD MINTON writeup

はじめに TokyoWesternsで参加して5920ptsで6位だった。finalsに行ける順位なのでベトナムに行くかもしれない。ワールドカップの試合の結果を予想して当てると点数が貰えたりする良いCTFだった。 共同で解いた分を含めて4問解いた。house_of_cardとsecure_me…

0CTF/TCTF Finals Baby Heap 18.04, freenote2018 writeup

Baby Heap 18.04 機能 起動すると以下のように機能を選択できる。 ===== Baby Heap 18.04 ===== 1. Allocate 2. Update 3. Delete 4. View 5. Exit Command: 各機能は、 1. Allocate 0x1 ~ 0x58までのサイズでmallocを実行できる。取得された領域はmemsetに…

SECCON BeginnersCTF 2018 writeup

はじめに ShenzhenWesternsで参加して全完した。普段はTokyoだが、0CTF Finalsで深圳に行っているメンバーがいたのでShenzhenになった(たぶん) condition main関数での[rbp-0x4]が0xdeadbeefであれば、flagが出力される。 # python -c 'print "\xef\xbe\xad\…

RCTF 2018 writeup

babyheap bug: 1. Allocにoff-by-one single byte null overflowがある。 下のチャンクのsizeが上書きでき、サイズの縮小とPREV_INUSEビットのクリアができる。 適当にやればチャンクのoverlapができるので、libcのアドレスをリークをしてfastbin attackをし…

ASIS CTF Quals 2018 writeup

Cat editで更新をしないとUAFが起きるので適当にやった #!/usr/bin/env python from pwn import * context(terminal=['tmux', 'splitw', '-h']) # horizontal split window # context(terminal=['tmux', 'new-window']) # open new window # libc = ELF('') …

* CTF 2018 writeup

warmup (misc) miscだがpwnだった。 stack bofがあるのでやるだけ。 #!/usr/bin/env python from pwn import * context(os='linux', arch='amd64') context.log_level = 'debug' # output verbose log RHOST = "47.91.226.78" RPORT = 10006 LHOST = "127.0.…

Midnight Sun CTF 2018 writeup

Babyshells - Pwn (50 + 15) x86, ARM, MIPSのshellcodeを送るだけ。 x86 #!/usr/bin/env python from pwn import * # context(os='linux', arch='i386') context(os='linux', arch='i386') context.log_level = 'debug' # output verbose log RHOST = "52.3…

HITB-XCTF GSEC CTF 2018 Quals writeup

once (pwn, 281pts) libcのアドレスは適当な選択をすれば漏れてくるので、適当に双方向リストのポインタを上書きした。 #!/usr/bin/env python from pwn import * context(os='linux', arch='amd64') context.log_level = 'debug' # output verbose log RHOS…

BackdoorCTF 2018 SHELTER, BOOKKEEPING writeup

SHELTER (pwn, 200pts) 機能 ノート管理系のアプリ。ノートの新規作成とノートの削除を行うことができる。ノートの作成時に作成されたノートが割り当てられたメモリのアドレスを教えてくれる。また、3.Helpを選択するとcode領域のアドレスを得ることができる…

UCSB iCTF 2018 hero_text_adventure writeup

vuln 武器の名前の大きさは、0x20byteとなっている。しかし、4) give weapon a new nameで入力できるサイズが0x24byteとなっている。NULL終端されるため0x23byteが自由に制御でき、3byteがオーバーフローする。オーバフローする部分は、次の武器の関数ポイン…

Christmas CTF 2017 writeup

はじめに クリスマスに予定がなかったのでCTFしてた。TokyoWesternsで参加して1829点で3位だった。賞金が降ってくるらしいのでちょっとしたクリスマスプレゼントっぽくなった。解けた問題のwrteiupを書く。 [PWNABLE] BOOKSTORE C++で書かれたバイナリで、St…

Kernel ExploitとかVM Escapeについて調べた時に見つけたリンクまとめ

この記事はCTF Advent Calendar 2017の1日目です。 adventar.org タイトル通りですが、本人は読んで満足する人間なので、中身は理解していないです。付け合わせで、CTFで出題された関係のありそうなやつもまとめました。 Kernel Exploit関連 Linuxでのlocal …

Trend Micro CTF 2017 - Raimund Genes Cup - The Finalの感想

hamaです。TokyoWesternsとしてTMCTF Finalに参加しました。今回はwriteupではなく感想と愚痴です。僕の感想を箇条書きにすると、 今年のTMCTF Finalは良くなかった 全体を通して、問題がCTFとして面白くない 本当にverifyしたのかと疑うレベルの杜撰な問題…

hack.lu CTF 2017 HeapsOfPrint writeup

はじめに 色々と試したら, saved rbpを部分的に書き換えて_startを戻りアドレスになるようにすることで再度FSAができるようになった. あとは適当にstack上にone gadget RCEを指すアドレスを作り, mainの戻りアドレスをそこにした. exploitではheapのアドレス…

SECCON Beginners NEXT 2017 東京 next_note writeup

はじめに 初心者で問題が解けないので、これで成長できたらいいなぁと思い参加した。 pwnableの方の講義で使われたnext_noteという問題のwriteupとなっている。 動作 よくある感じのノート管理。 脆弱性 double freeできる。 方針 double free -> fastbin du…

ksnctf C92 md5 writeup

はじめに ksnctf C92のwriteup公開が解禁されたようなので、唯一のpwn問題だったmd5のwriteupをあげる。 ksnctf C92の各問題は下記リンクより参照できる。 ksnctf C92 初期調査 chceksecの結果を以下に載せる。SSPがないため、stackでのBOFが狙えそうである…

SECUINSIDE CTF 2017 childheap writeup

はじめに コンテスト期間中に解くことができなかったが良いところまでいって放置していた。最近解いたので、そのwriteupを載せる。 checksec etc 普通のバイナリなので特に言うことはない。 % file ./childheap ./childheap: ELF 64-bit LSB executable, x86…

Google CTF 2017 Inst Prof writeup

はじめに shellcode問、やるだけ。 方針 下記のshellcodeを用いて、ROPを組んだ。それぞれ4byteになっている。 shellcode実行中のstackの先頭にはリターンアドレスがあるので、pop, pushでstackを壊さずにレジスタにテキスト領域のアドレスを格納することが…

FAUST CTF 2017 writeup

はじめに TokyoWesternsで参加して14161.47ptの8位だった。得点の内訳は、Attackが2412.00pt、Defenceが-651.05pt、SLAが12166.52ptだった。 自分は、8つあるサービスの1つであるtoiletのpatchとexploitをやった。toiletでflagを取られることはなかったのでp…

RCTF 2017 writeup

はじめに TokyoWesternsで参加して4581ptで15位だった。自分はそのうち6問を解いて1965ptだった。 解いた問題は、Sign In、easyre、Recho、RCalc、RNote、RNote2で、そのwriteupを書いていく。 Sign In (Misc 32pt) IRCに入るだけ RCTF{Welcome_To_RCTF_2017…

ASIS CTF 2017 Quals writeup

はじめに TokyoWesternsで参加して4933ptで3位だった。そのうち998ptを取った。 解いてflagを出したのは、Random generator、Defaulter、CRC、Stard hard、Ca…gF remastered、CTF Surveyの6問(実質5問)だった。 Random generator (Warm-up, Pwning 95pt) バ…

x64 alphanumeric shellcodeを書く

はじめに 最近、x64でalphanumeric shellcodeを書く機会が増えてきた。その度に使える命令が何か調べ直して一から書いていて面倒だと感じたので、一旦まとめておく。 適当にググるとLinux/x86-64 - Position independent & Alphanumeric execve("/bin/sh\0",…

0CTF 2017 Quals pages writeup

はじめに 期間中に解けなかったのが悔しかったので、writeup見ながら解いた。https://gruss.cc/files/prefetch.pdf が頭にあれば解けたかもしれない。というか元ネタがこれだと思う。期間中、cacheかTLB関連の何かを使うのかなぁと予想していたが、PREFETCH…

0CTF 2017 Quals char writeup

はじめに 解けたのが、これだけだった。 他の問題もチームメンバーと話したりしたが、直接の貢献は一切してない(one gadget rceのoffset調べたくらい?)。 単純なので、やるだけだった。 exploit libcは添付されている。そして、添付のlibcは0x5555e000にマ…

DEFCON 2014 CTF - Baby's First: 1 - heap

はじめに heap系の問題が良くわからないので、katagaitai CTF勉強会(https://speakerdeck.com/bata_24/katagaitai-ctf-number-1)で取り上げられていた問題を解いてみた。 やっていることはだいたい同じなので、違うところだけを書いていく。 exploit kataiga…

第7回ICTトラブルシューティングコンテスト 感想

はじめに 大学サークルチーム「tuat_mcc」として第7回ICTトラブルシューティングコンテストに参加した。CTFをやっているいつもの3人+期待の後輩2人というチーム構成だった。3月3日土曜日、4日日曜日の2日間に渡って開催され、場所は調布にあるNTTの研修セン…

CODEGATE 2017 CTF EasyCrack 101

はじめに 101個のバイナリファイルのkeyを当てるだけ。 angr使って解いた。 チーメメンバがcurl使って自動送信するコードを書いてくれたので、途中からは、そのコードを使って分担してた。 そのコードは載せてない。 solve.py keyはコマンドライン引数にて指…

33C3 CTF writeup

はじめに TokyoWesternsで参加して6位でした。pwnを中心にやってたのですが、解析パートが辛く厳しかった。僕が関わった問題2問のwriteupです。 The 0x90s called (pwn 150) Linuxカーネルが動作するサーバーにアクセスして、rootでしか読めないflagを読む問…

The 318br, DESEC, and SucuriHC Capture The Flag (3DSCTF) writeup

はじめに ソロで参加しました。 時間内に2問解いたけど、参加している間に問題の解放がされなかったので、あとの2問は競技時間外に解きました。 pwnだけしか解いてないので許して。 Get started (pwn 100) BOFがありリターンアドレスの書き換えが可能であっ…

CTFをやり始めたきっかけとかいろいろ

はじめに この記事は、CTF Advent Calendar 2016 - Adventarの20日目の記事です。 空いている日を埋めようとしている作成者を見かけたので、便乗して書きました。 中身は、まったく技術的なことがないポエムです。 CTFを知ったきっかけ 地元の有志による勉強…