ArkAngels – PETIR CYBER SECURITY

October 19, 2019October 31, 2019

[PicoCTF 2019] – NewOverflow2

Posted in Binary Exploitation by ArkAngels Leave a Comment

Diberikan sebuah binary dengan konfigurasi sebagai berikut: Berikut adalah list fungsi yang ada dalam binary: Jika kita lihat isi fungsi win_fn akan terlihat sebagai berikut:

int win_fn()
{
  int result; // eax@6
  char s; // [sp+0h] [bp-40h]@4
  FILE *stream; // [sp+38h] [bp-8h]@1

  stream = fopen("flag.txt", "r");
  if ( !stream )
  {
    puts("'flag.txt' missing in the current directory!");
    exit(0);
  }
  fgets(&s, 48, stream);
  if ( win1 && win2 )
    result = printf("%s", &s);
  else
    result = puts("Nope, not quite...");
  return result;
}

int win_fn()

{

int result; // eax@6

char s; // [sp+0h] [bp-40h]@4

FILE *stream; // [sp+38h] [bp-8h]@1

stream = fopen("flag.txt", "r");

if ( !stream )

{

puts("'flag.txt' missing in the current directory!");

exit(0);

}

fgets(&s, 48, stream);

if ( win1 && win2 )

result = printf("%s", &s);

else

result = puts("Nope, not quite...");

return result;

}

Untuk bisa mendapatkan flag, kita harus membuat fungsi win_fn1 dan win_fn2 menjadi true. Berikut isi dari kedua fungsi tersebut:

void __fastcall win_fn1(int a1)
{
  if ( a1 == 0xDEADBEEF )
    win1 = 1;
}

void __fastcall win_fn1(int a1)

{

if ( a1 == 0xDEADBEEF )

win1 = 1;

}

__int64 __fastcall win_fn2(int a1, int a2, int a3)
{
  __int64 result; // rax@1

  result = (unsigned __int8)win1;
  if ( win1 && a1 == 0xBAADCAFE && a2 == 0xCAFEBABE && a3 == 0xABADBABE )
    win2 = 1;
  return result;
}

__int64 __fastcall win_fn2(int a1, int a2, int a3)

{

__int64 result; // rax@1

result = (unsigned __int8)win1;

if ( win1 && a1 == 0xBAADCAFE && a2 == 0xCAFEBABE && a3 == 0xABADBABE )

win2 = 1;

return result;

}

Disini terlihat bahwa untuk membuat value dari win1 […]

September 25, 2019October 19, 2019

[PicoCTF 2018] – ropchain

Posted in Binary Exploitation by ArkAngels Leave a Comment

Untuk soal ini, kita diberikan sebuah file binary dan source code C.

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <sys/types.h>
#include <stdbool.h>

#define BUFSIZE 16

bool win1 = false;
bool win2 = false;


void win_function1() {
  win1 = true;
}

void win_function2(unsigned int arg_check1) {
  if (win1 && arg_check1 == 0xBAAAAAAD) {
    win2 = true;
  }
  else if (win1) {
    printf("Wrong Argument. Try Again.\n");
  }
  else {
    printf("Nope. Try a little bit harder.\n");
  }
}

void flag(unsigned int arg_check2) {
  char flag[48];
  FILE *file;
  file = fopen("flag.txt", "r");
  if (file == NULL) {
    printf("Flag File is Missing. Problem is Misconfigured, please contact an Admin if you are running this on the shell server.\n");
    exit(0);
  }

  fgets(flag, sizeof(flag), file);
  
  if (win1 && win2 && arg_check2 == 0xDEADBAAD) {
    printf("%s", flag);
    return;
  }
  else if (win1 && win2) {
    printf("Incorrect Argument. Remember, you can call other functions in between each win function!\n");
  }
  else if (win1 || win2) {
    printf("Nice Try! You're Getting There!\n");
  }
  else {
    printf("You won't get the flag that easy..\n");
  }
}

void vuln() {
  char buf[16];
  printf("Enter your input> ");
  return gets(buf);
}

int main(int argc, char **argv){

  setvbuf(stdout, NULL, _IONBF, 0);
  
  // Set the gid to the effective gid
  // this prevents /bin/sh from dropping the privileges
  gid_t gid = getegid();
  setresgid(gid, gid, gid);
  vuln();
}

#include <stdio.h>

#include <stdlib.h>

#include <string.h>

#include <unistd.h>

#include <sys/types.h>

#include <stdbool.h>

#define BUFSIZE 16

bool win1 = false;

bool win2 = false;

void win_function1() {

win1 = true;

}

void win_function2(unsigned int arg_check1) {

if (win1 && arg_check1 == 0xBAAAAAAD) {

win2 = true;

}

else if (win1) {

printf("Wrong Argument. Try Again.\n");

}

else {

printf("Nope. Try a little bit harder.\n");

}

void flag(unsigned int arg_check2) {

char flag[48];

FILE *file;

file = fopen("flag.txt", "r");

if (file == NULL) {

printf("Flag File is Missing. Problem is Misconfigured, please contact an Admin if you are running this on the shell server.\n");

exit(0);

}

fgets(flag, sizeof(flag), file);

if (win1 && win2 && arg_check2 == 0xDEADBAAD) {

printf("%s", flag);

return;

}

else if (win1 && win2) {

printf("Incorrect Argument. Remember, you can call other functions in between each win function!\n");

}

else if (win1 || win2) {

printf("Nice Try! You're Getting There!\n");

}

else {

printf("You won't get the flag that easy..\n");

}

void vuln() {

char buf[16];

printf("Enter your input> ");

return gets(buf);

}

int main(int argc, char **argv){

setvbuf(stdout, NULL, _IONBF, 0);

// Set the gid to the effective gid

// this prevents /bin/sh from dropping the privileges

gid_t gid = getegid();

setresgid(gid, gid, gid);

vuln();

}

Untuk konfigurasi file binary masih sama seperti writeup ini. Dilihat dari source code C yang kita dapat, kita harus mendapatkan value true pada fungsi win1 dan win2 untuk bisa mendapatkan flag yang terdapat pada fungsi flag. Tapi permasalahannya ketiga fungsi tersebut tidak […]

September 23, 2019

[CSAW CTF Qualification Round 2019] – baby boi

Posted in Binary Exploitation by ArkAngels Leave a Comment

Diberikan sebuah binary, libc library, dan source code C:

#include <stdio.h>
#include <stdlib.h>

int main(int argc, char **argv[]) {
  setvbuf(stdout, NULL, _IONBF, 0);
  setvbuf(stdin, NULL, _IONBF, 0);
  setvbuf(stderr, NULL, _IONBF, 0);

  char buf[32];
  printf("Hello!\n");
  printf("Here I am: %p\n", printf);
  gets(buf);
}

#include <stdio.h>

#include <stdlib.h>

int main(int argc, char **argv[]) {

setvbuf(stdout, NULL, _IONBF, 0);

setvbuf(stdin, NULL, _IONBF, 0);

setvbuf(stderr, NULL, _IONBF, 0);

char buf[32];

printf("Hello!\n");

printf("Here I am: %p\n", printf);

gets(buf);

}

Dari konfigurasi binary ini, tiap poin mempunyai maksud tersendiri: Binary yang diberikan adalah 64-bit binary dan Not Stripped Partial RELRO: RELRO sendiri adalah singkatan dari Relocation Read-Only, dimana dalam hal ini yang digunakan adalah Partial RELRO yang berarti untuk Global Offset Table (GOT) dan Procedure […]

September 11, 2019September 12, 2019

[Cyber Jawara 2019 Qualification] – Heejin

Posted in Web Exploitation by ArkAngels Leave a Comment

Diberikan sebuah web beserta source code. Link source code: https://drive.google.com/open?id=1cJPV4_bjRzMO_woqrx6_2vHp7UFsXzAY Berikut adalah source codenya (hanya diambil bagian modul fungsionalitas website saja):

August 11, 2019August 26, 2019

[HackToday 2019 Qualification] – memepy

Posted in Web Exploitation by ArkAngels Leave a Comment

Note: Soal ini baru diselesaikan penulis setelah kompetisi selesai dan dapat sentilan clue dari tim lain. (Credits goes to who gave the writer clue) Clue:

@app.route("/fetch/<key>")
def fetch(key):
    key = b64decode(key)

    if not key.startswith(b"http://") and not key.startswith(b"https://"):
        return abort(404)

    code = _fetch(key)

    if code is None:
        return abort(404)

    code = code.replace('[', '').replace(']', '')
    code = '<pre>' + code + '</pre>'

@app.route("/fetch/<key>")

def fetch(key):

key = b64decode(key)

if not key.startswith(b"http://") and not key.startswith(b"https://"):

return abort(404)

code = _fetch(key)

if code is None:

return abort(404)

code = code.replace('[', '').replace(']', '')

code = '<pre>' + code + '</pre>'

Diberikan sebuah web. Sepertinya web ini meminta input sebuah link. Tapi, dari clue yang diberikan, tidak terlihat bahwa karakter yang di replace merupakan untuk link URL. Dan dari judul soal sepertinya […]

August 6, 2019

[Tutorial] – Cara Membuat Gambar di WordPress Full Size

Posted in Tutorial by ArkAngels Leave a Comment

Postingan ini penulis buat agar mencegah gambar yang di custom size dan akhirnya menjadi blur di dalam suatu postingan. Tutorial ini dibuat dari sudut pandang penulis. 1. Insert gambar. 2. Klik gambar. 3. Klik tombol edit|button (Di sebelah tombol no alignment). 4. Klik dropdown size. 5. Pilih Full size. 6. … 7. Profit!

July 26, 2019

[Vulnhub] – DC-2

Posted in Pentest by ArkAngels Leave a Comment

Pada kesempatan kali ini, penulis ingin kembali berbagi ilmu yang didapat penulis dari mengerjakan sebuah vulnbox yang bernama DC-2. Box ini merupakan seri lanjutan dari DC-1 yang dimana memperkenalkan kita pada beberapa sudut pandang baru dalam pentest. Langsung saja gaskeun! Seperti biasa, kita mulai dengan mencari IP dari box kita menggunakan netdiscover, berikut syntaxnya: $ […]

June 19, 2019June 19, 2019

[BCACTF19] – basic-pass-3

Posted in Reverse Engineering by ArkAngels Leave a Comment

Challenge description: Hint: Diberikan sebuah service netcat. Mari kita lihat terlebih dahulu dari isi servicenya. Hmm, sepertinya service ini meminta kita memasukan sesuatu lalu dari backend akan di evaluasi. Di beberapa karakter yang di input, salah satu angka 0 yang ada akan berubah menjadi 1. Sepertinya soal ini merupakan soal bruteforce. Setelah fuzzing berikutnya didapatkanlah hasil sebagai berikut: Sepertinya […]

June 9, 2019June 9, 2019

[HSCTF6] – Networked Password

Posted in Web Exploitation by ArkAngels Leave a Comment

Note: Mungkin untuk sebagian orang soal ini terlihat kurang menarik untuk dibuat writeup. Namun penulis memutuskan untuk membagikan writeup ini karena penulis greget terhadap waktu yang diperlukan untuk menyelesaikan soal 😀 . Challenge Description: Hint: Diberikan sebuah web dengan tampilan sebagai berikut: Hmm… terlihat seperti web sederhana yang berisi sebuah kolom input didalamnya. Mari kita periksa terlebih […]

May 21, 2019November 19, 2019

[Harekaze CTF 2019] – Encode and Encode

Posted in Web Exploitation by ArkAngels Leave a Comment

Diberikan sebuah web beserta source code. http://153.127.202.154:1001/ Dari website tersebut sepertinya hanya ada 3 url, yang pertama ke about.html, kedua ke lorem.html, dan yang ketiga ke bagian source code dari file query.php. Mari kita lihat terlebih dahulu isi dari query.php.

<?php
error_reporting(0);

if (isset($_GET['source'])) {
  show_source(__FILE__);
  exit();
}

function is_valid($str) {
  $banword = [
    // no path traversal
    '\.\.',
    // no stream wrapper
    '(php|file|glob|data|tp|zip|zlib|phar):',
    // no data exfiltration
    'flag'
  ];
  $regexp = '/' . implode('|', $banword) . '/i';
  if (preg_match($regexp, $str)) {
    return false;
  }
  return true;
}

$body = file_get_contents('php://input');
$json = json_decode($body, true);

if (is_valid($body) && isset($json) && isset($json['page'])) {
  $page = $json['page'];
  $content = file_get_contents($page);
  if (!$content || !is_valid($content)) {
    $content = "<p>not found</p>\n";
  }
} else {
  $content = '<p>invalid request</p>';
}

// no data exfiltration!!!
$content = preg_replace('/HarekazeCTF\{.+\}/i', 'HarekazeCTF{&lt;censored&gt;}', $content);
echo json_encode(['content' => $content]);

<?php

error_reporting(0);

if (isset($_GET['source'])) {

show_source(__FILE__);

exit();

}

function is_valid($str) {

$banword = [

// no path traversal

'\.\.',

// no stream wrapper

// no data exfiltration

'flag'

];

$regexp = '/' . implode('|', $banword) . '/i';

if (preg_match($regexp, $str)) {

return false;

}

return true;

}

$body = file_get_contents('php://input');

$json = json_decode($body, true);

if (is_valid($body) && isset($json) && isset($json['page'])) {

$page = $json['page'];

$content = file_get_contents($page);

if (!$content || !is_valid($content)) {

$content = "<p>not found</p>\n";

}

} else {

$content = '<p>invalid request</p>';

}

// no data exfiltration!!!

$content = preg_replace('/HarekazeCTF\{.+\}/i', 'HarekazeCTF{<censored>}', $content);

echo json_encode(['content' => $content]);

Inti dari source code ini adalah input yang kita kirim harus dalam bentuk encoded json karena adanya […]