]> git.somenet.org - pub/jan/ctf-seminar.git/blob - writeups/ggegenhuber/tasteless19.md
Add hxp36c3 writeup
[pub/jan/ctf-seminar.git] / writeups / ggegenhuber / tasteless19.md
1 # web-gabbr
2 This was the first challenge I looked into.
3
4 It was a website that provided some basic chatroom functionality.
5 A chatroom was identified by a randomly generated UUID. At first invocation (or when no specific chatroom is specified in the url) a new chatroom is created.
6 The username is randomly generated as well, a new user can be requested at any time.
7 Besides joining other chatrooms, the website also allows to report a chatroom to an administrator. When triggering this functionality the admin joins the room and takes some time to inspect its messages.
8
9 After getting familiar with the basic functions of the service (burp was used to intercept the traffic) and playing arround with websockets (which were used for the actual chat functionality) my safest bet was that we need to exploit the admin via XSS.
10 However I noticed that some other people that had far more knowledge about web security were working on the challenge as well. They were already closer to solving the challenge (bypassing the CSP) and I didn't want to join them and slow them down, therefore I switched to another challenge (timewarp) that was just newly added to the ctf.
11
12 # web-timewarp
13 This was the second challenge I tried to solve. I was at SBA during the ctf and teamed up with @saschauer. Besides that I was also reporting/discussing my findings/thoughts with some other people at mattermost to avoid congruent work (since it kind of happened to me at the first challenge).
14
15 The challenge description was:
16 ```
17 !!! challenge will shutdown at approx 01:30 UTC !!!
18
19 If you haven't solved it until then, we don't think you'll be able to do it.
20 ```
21
22 The day the ctf took place was the day of the daylight savings time change (03:00 --> 02:00).
23
24 The challenge webpage had two endpoints (/token and /timewarp). The first one was used to generate a token (e.g. Z2l2ZUZsYWcvRXVyb3BlL0Jlcmxpbg==.U2F0IE9jdCAyNiAxNzoxNDo1NCAyMDE5.lKr4zkB4W0V9VZBnLLyT5ucqp0lCZxMpWEmZRPoZpKlmMHuXcBOg7Aeu6wJClpwYLNJCw_NmzBP6uVDSDyARAw==).
25 The generated token can then be submitted at the second page, however it seems like a token is only valid for some seconds and expires before the second page can fully validate it.
26
27 The `.` inside the token was used as delimiter, so the token consisted of 3 parts:
28 `Z2l2ZUZsYWcvRXVyb3BlL0Jlcmxpbg==`
29 `.`
30 `U2F0IE9jdCAyNiAxNzoxNDo1NCAyMDE5`
31 `.`
32 `lKr4zkB4W0V9VZBnLLyT5ucqp0lCZxMpWEmZRPoZpKlmMHuXcBOg7Aeu6wJClpwYLNJCw_NmzBP6uVDSDyARAw==`
33
34 When base64 decoded whe got:
35 `giveFlag/Europe/Berlin`
36 `.`
37 `Sat Oct 26 17:14:54 2019`
38 `.`
39 `94aaf8ce40785b457d5590672cbc93e6e72aa7494267132958499944fa19a4a966307b977013a0ec07aeeb0242969c182cd242c3f366cc13fab950d20f201103` (decoded in hex, since it contains non-ascii chars)
40
41 At first we just tried to set the timestamp to a time in the future, encode it again and send it to the server but all we got was an integrity error.
42 The second guess was that we also need to find out which hashing algorithm is used for the checksum (last part of the token) and which part of the message is used as input for the hashing. When solving that riddle we could manually change the time, recalculate the hash and hand in our crafted token.
43
44 After randomly trying out to identify the used checksum algorithm (when the source files of the ctf were released it turned out to be ed25519) and groping in the dark for quite some time we had some other ideas (e.g. forcing the endpoint to change its server location from `Europe/Berlin` to something else by sending requests from a foreign IP) but none of it worked out successfully.
45
46 Of course we also thought that we might just wait until the clock is reset by one hour to solve the challenge but we quickly discared that idea, since it seemed way to easy to be the actual solution.
47
48 However it actually was that easy, so all our investigations were irrelevant and handing in a previously generated token after the timechange was the solution. :)
49
50 # Retrospective
51 It was fun but also frustrating.
52 Especially the time we used to try to solve the second challenge was kind of needless, but since I was working in a group with other comrades in suffering it was not that bad at all (misery loves company :D) and we were able to laugh about it in the end. :)