Кубок CTF

Мы в составе команды МФТИ pwn is 0x12c bucks поиграли в полуфинале Кубка CTF в формате attack-defense. В принципе всё прошло достаточно гладко, если не считать потери пакетов в сети игры до 20% и неработающего wireguard. Даже удалось удержать SLA всех сервисов на уровне 99%+. Это оказалось очень просто, если действовать по принципу "не трогай то, что работает". Вместо этого мы активно трогали трафик и банили все пакеты с сомнительными сигнатурами в духе aboba. На последнем часу мы оправдали название команды и вскрыли сервис с бинарной уязвимостью, за счёт чего даже чуть-чуть поднялись в рейтинге

Загадка

Что это такое?

curl -fL get-docker.sh

UPD. Пояснение

Эта команда вытаскивает с подозрительного домена get-docker.sh какой-то скрипт

Байки и мемы

Пока идёт сессия и возможности активно участвовать в CTF нет, попробуем разбавить канал разными весёлыми байками и мемами, которые случались с нами за время игры в CTF и не только

Redis MONITOR

На одном из недавних CTF был таск, суть которого заключалась в эксплуатации RCE в старом redis. Предусмотренное решение подразумевало эксплуатацию известной CVE с возможностью эскейпа из lua sandbox в функции redis EVAL. Естественно, прямоты рук герою этой истории для эксплуатации не хватило, но в голову пришла замечательная идея использовать тот факт, что все команды ломают 1 инстанс redis... Простым гугл запросом была найдена команда redis MONITOR, которая в реальном времени показывает исполняемые команды redis ВСЕХ подключённых клиентов. Ну дальше payload для эксплуатации CVE и извлечения флага был получен за 5 минут в стиле художественного фильма сп*здили

assert

Представьте, что вы использовали assert в своей программе на C/C++ для проверки размера входных данных буфера, чтобы он не переполнился. Но сработав, assert переполнил свой собственный буфер... Зачем представлять, когда можно посмотреть на CVE-2025-0395

Загадка

Что может сделать с системой процесс, который может использовать только системные вызовы open, lseek, write?

UPD. Как такой процесс может исполнить произвольный код? (использовать все остальные системные вызовы)

OSINT

Какой-то чел активно ищет уязвимости типа dependency confusion, публикуя множество малварных npm пакетов https://www.npmjs.com/~hackthematrix. Любая любопытная информация приветствуется

Это что, ещё один пост про мипт сайт?

Да. На днях я заметил, что сайт окончательно умер (как и поделка МКИ, по ощущениям, но оно ещё открывается), поэтому у меня появилась идея написать мини-райтап. Набор различных проблем, которые можно было увидеть сонным невооруженным глазом за час, я уже постил: https://t.me/miptlovectf/49

Напомню, что развернуть себе этот вулнбокс можно напрямую из репы автора: https://github.com/st2257st2257/mipt_book/

Что же из них оказалось наиболее интересным? Барабанная дробь...

Самое простое и приятное — это открытые бдшки и им подобное. В частности, поговаривают, что на самом старте даже открытая постгря торчала в интернет. На момент, когда я смотрел, была только редиска и rabbitmq. На изучение второй у меня не хватило скиллов времени, а вот редиска в итоге позволила устроить немного бесплатных приколов.

Как можно увидеть из исходного кода (или просто посмотрев ключи через keys *), редиска нужна для брокера задач Celery (а сами задачи — это в основном рассылка писем и генерация pdf'ок). Тем не менее, напрямую ничего интересного не видно: есть какая-то метадата по выполненным таскам, редактирование которой ни к чему не приводит, да и сама инфа абсолютно бесполезная (тут мог бы быть скриншот, но увы). Приходится немного подумать, копаем дальше...

Первоначально эту штуку докрутил в свободное время @tblackcat (подписывайтесь на его канал в био!!!!!!!!!): если создать битую таску, то можно остановить выполнение задач и увидеть, как выглядят ещё не выполненные таски; отредактировав их и убрав битую задачу, брокер продолжит работу, подтянув отредактированные задачи с нашими функциями и аргументами.
???
Профит!
Вот настолько всё просто. Немного подумав над этим, я пришёл к чуть другой идее: а что если просто развернуть сайт локально, указав в конфиге редиску на mipt.site:xyz? И это выстрелило: сидя на английском, я склонил репу, вытащил сервис отправки писем, чуть-чуть причесал и развернул у себя. Так, за 20 минут у меня появилась игрушка, письма от которой вы, вероятно, получали (особенно если вы на 3 курсе).
Для интересующихся прикрепляю "эксплоит".

Что же ещё можно было сделать? Конечно, многое: клиентские атаки (хотя бы даже CSRF'ки на все действия, но на сайте нечего делать, скучно), гонки и, конечно, инжекты в rabbitmq. Это остаётся как домашнее задание читателям: на эксплоит, подкидывающий задачу помыться автору в rabbitmq, я бы посмотрел.

Вот такая вот простая, но смешная история. Мораль думайте сами.

Без негатива,
С максимальным уважением,
Храни Вас Господь.

Новый таск на борде, в котором можно поиграться с кучей в glibc и race condition - regreSSHion на очень сильных минималках с шансом попадания ~100%

rock-n-rollback

Теперь не нужно запоминать указатели и вызывать free

nc 45.12.114.80 32002

in-malloc-we-trust

Какие же глупые ошибки допускают разработчики, создавая CRUD программы. Я же уверен, что ошибок не допустил

nc 45.12.114.80 32004

https://www.youtube.com/watch?v=1stQbTuUBIE

biba-and-boba

Всех занулили... Остались только Биба и Боба

nc 45.12.114.80 32005

Опровержение

Никаких претензий к осинтерам не имеем и уважаем их

Несмотря на отсутствие постов в канале, мы всё ещё живы и активно играем в CTF. Ждём всех желающих присоединиться в чате!

Также можно порешать наши интересные тасочки на эксплуатацию уязвимостей сишных программ в linux🥹 (возможно на тасочки из категории basics скоро подъедут гайды)

P.S. Картинка для привлечения внимания

Эльбрус

Не так давно в публичном доступе появилось всё необходимое для того, чтобы самостоятельно компилировать и запускать программы для Эльбрус на своих x86 хостах. Штош, это отличный повод проверить, как на данной архитектуре выглядят и эксплуатируются классические бинарные уязвимости. Поэтому вот наша первая тасочка на эту тему:

climb-the-mountain

Достаточно ли ты силён, чтобы забраться на гору?

nc 45.12.114.80 32008

book | guide | toolchain

attachment

[T-CTF 2025, pwn] Capybattle writeup

Формулировка задания:

Сегодня пройдет финал битвы огромных робокапибар. Сражения идут врукопашную. Некоторые игроки прознали, что у фаворита CAPY-9000 встроена ЭМ-пушка, которая выключает соперника. Это запрещено правилами. Взломайте робота CAPY-9000, найдите пушку и выключите ее.

ssh t-battle-ux658nop.spbctf.org
Username: battle
Password: 273V7UVE6QCV2XuuYsAvCA

Исходники: capybattle_7571838.tar.gz

Нерегламентированная ЭМ-пушка выключается командой /bin/deactivate

Райтап: https://blog.nekoea.red/posts/tctf25-capybattle-writeup/

Материалы задания и решения: https://meowgit.nekoea.red/nihonium/tctf25_capybattle_writeup

#ctf_writeup
#pwn #linux #bpf #lpe

Райтап

В кои-то веки не таска на pwn, а райтап

SAS CTF Quals 2025

Broken Trust (500 points, 1 solve)

https://github.com/s41nt0l3xus/CTF-writeups/tree/master/sasctf-quals-2025/broken-trust

Ещё один райтап

Бессоница бывает причиной графомании...

SAS CTF Quals 2025

Trust Issues (493 points, 6 solves)

https://github.com/s41nt0l3xus/CTF-writeups/tree/master/sasctf-quals-2025/trust-issues

Бе(се)ды с ба(тю)шкой

Только что закончился bi0s CTF 2025, на котором среди прочего была таска на эксплуатацию уязвимости аллокатора в нативной библиотеке андроид приложения с последующим разгадыванием криптошарады. Таска оказалась настолько же е*ано... интересной (-22 часа), насколько следует из её описания. Спасибо уважаемому Гопатычу версии o3 за то, что хотя бы удалось сдать флаг вовремя. Стоит ли описать это приключение в райтапе?

Пик графомании

Вы не ждали!
Вы не просили!
Но автор в отпуске *бнулся!

Держите ~20 минут чтива про Андроид и PWN его нативной библиотеки с use-after-free в кастомном аллокаторе. И ещё чуть-чуть зумерских способов разгадывания криптошарад с 0iq при помощи нейробро.

Постарался изложить весь поток мыслей в таком формате, чтобы было понятно и интересно как можно большему числу людей.

craterack | bi0s CTF 2025 | 7 solves

https://github.com/s41nt0l3xus/CTF-writeups/tree/master/bi0sctf-2025/cratecrack

P. S. Там есть мемы

xpl01t3d

Только что фбшнули адского дерьмодемона на GPN CTF 2025

Даже не знаю, что забавнее...
То, что это был наш первый опыт с браузером?
То, что это была 0day???
Или то, что уязвимость нашёл GPT-o3...

Райтап?

Мем контент

Отдаём вулнресёрч на аутсорс LLM или эксплойтим 0-day уязвимости в сыром браузере

WebGL-bird | GPNCTF 2025 | 1 solve

https://github.com/s41nt0l3xus/CTF-writeups/tree/master/gpnctf-2025/WebGL-bird

P. S. Мемы на месте