Robbert

Last week, we - m1cr0$oft 0ff1c3 team participated in this event and got 21th place. These pwn challenges are so damm hard, I did only solve 2 challenges. This is the write-up for babybs challenge with the intentded way ( I used this way during the CTF event ). Attachment: babybs.tar.gz Check the files: At the first time, I had thought the OS booting had to take a long time so I had been waiting for it. But then when read the description , I decied to analyze the babybs.bin file with IDA. This i ...

Last week, we - m1cr0$oft 0ff1c3 team participated in this event and got 11th place. I’ve solved all Pwn challenges. But now I only show the solution for the “Swix” challenge. ( I feel this is only the “real” pwn challegne ). Attachemnt: Swix.zip We are provided the source code of this binray: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495969798991001011021031 ...

This year, I’ve played for m1cr0$oft 0ff1c3 team. We were in 24th place. zerodayAttachment Not like a normal Linux kernel exploit challenge. This challenge doesn’t provide any vulnerable driver. Then, I did check run.sh again carefully. 1234567891011#!/bin/shqemu-system-x86_64 \ -m 128M \ -nographic \ -kernel "./bzImage" \ -append "console=ttyS0 loglevel=3 oops=panic panic=-1 pti=on" \ -no-reboot \ -cpu qemu64,+smep,+smap \ -smp 2 \ -initrd "./i ...

Write up BFSMatrix Offsensive Con 2023The original tweet Attachment 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485struct matrix{ int rows; // number of rows in the matrix int cols; // number of columns in the matrix uint8_t* data; // 1-d backing data (rows x cols size) char name[MAX_MATRIX_NAME]; // name of the matrix struct matri ...

Zer0pts CTF 2023 writeupaush Attachment 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465#include <fcntl.h>#include <stdlib.h>#include <string.h>#include <unistd.h>#define LEN_USER 0x10#define LEN_PASS 0x20int setup(char *passbuf, size_t passlen, char *userbuf, size_t userlen) { int ret, fd; // TODO: change it to password/username file if ((fd = open("/dev/urandom", O_RDONLY)) == -1) ...

Write up UIUCTF 2023Năm nay mình chơi với team m1cr0$oft 0ff1c3. Anh em tryhard overnight 2 đêm cuối cùng được top 22 🐸. Mình giải được 4 bài, 3 bài pwn và 1 bài rev. Hơi tiếc là còn 2 bài pwn cũng thú vị nhưng mình không kịp giải ra 😭. Bài rev mình làm ra chỉ là baby-brute-force nên mình xin không viết write up nữa, dưới đây là write up các bài pwn. Chainmail Attachment: Chainmail.zip 123456789101112131415161718192021222324252627282930#include <stdio.h>#include <stdlib.h>#include ...

Write up Google CTF 2023Giải năm này tuy hay nhưng cũng có vẻ dễ thở hơn so với năm ngoái. Năm nay mình chơi với team Green Onions, mình giải được 5 bài pwn và 1 bài rev ( so với năm ngoái là 0 bài 🐸 ). ZERMATT1Roblox made lua packing popular, since we'd like to keep hanging out with the cool kids, he's our take on it. Attachment: ZERMATT.zip Đề đưa một file LUA script bị làm rối. Không nghĩ nhiều, mình thử debug LUA bằng gdb rồi tìm flag trong memory, lúc đầu không nghĩ nó thành côn ...

Write up PWN Nahamcon CTF 2023 2 ngày tryhard cùng team m1cr0$oft 0ff1c3 Giải năm nay có 7 bài pwn, dưới đây là write up 3 bài All Patched Up, Web Applicaton Firewall và Limitations All Patched UpAttachment: all_patched_uplibc-2.31.so 12345678int __cdecl main(int argc, const char **argv, const char **envp){ char buf[512]; // [rsp+0h] [rbp-200h] BYREF write(1, &unk_402004, 2uLL); read(0, buf, 0x400uLL); return 0;} Một bài ROP đơn giản, tuy nhiên không có gadget nào để control ...

Open House (DEF CON CTF Qualifier 2023)File challenge: open-house Analyze 32bit ELF with PIE, no RELRO and No canary. Reversing12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879int __cdecl main(int argc, const char **argv, const char **envp){ char s[16]; // [esp+20h] [ebp-18h] BYREF int v5; // [esp+30h] [ebp-8h] v5 = 0; setvbuf(stdout, 0, 2, 0); signal(14, (__sighandler_t)sub_1260); alar ...

HackTheBox - Cyber Apocalypse 2023 1 tuần tryhard cùng CLB 🐸 Dưới đây sẽ là write-up vài câu pwn mức độ medium và hard trong giải này. Void Chương trình đơn giản là read data vào buffer rồi kết thúc. Không có hàm nào để in data ra. Cách làm mình suy nghĩ đầu tiên là ghi đè một byte của read@got từ 0x80 -> 0x8c , khi gọi lại read@plt ta tới được opcode syscall với rax=1 (vì hàm read trước đó trả về 1).Payload: 1234# ....padding ....p64(rsi_r15_ret)+p64(e.got.read)+p6 ...