writeups/chrztoph/hxp36C3CTF.md

   1 # hxp 36C3 CTF
   2
   3 ## CTF Retrospective
   4
   5 The challenges are really good made and I had a lot of fun at trying them even though I found them very hard. I would love if the CTF would last longer so you have more time to try the different challenges.
   6
   7 ## Challenge 1337 skills
   8
   9 Time: about 4h (with all the Android stuff setup maybe more) without writeup
  10
  11 ### Task description
  12
  13 ```
  14 It’s too hard to gain all 1337 h4x0r skills required by nowadays CTFs ._.!
  15 I am glad a friendly hacker told me about an App he got during a (growth) hacking course.
  16 Sadly, he didn’t wrote down any activations codes.
  17
  18 Ready for your hacking exam?
  19
  20 Connection:
  21 nc 88.198.154.132 7002
  22 ```
  23
  24 ### Overview
  25
  26 So we are given a server we can connect to and on clicking on `App` in the task description we are redirected to the website `https://play.google.com/store/apps/details?id=com.progressio.wildskills`. Our goal is to find activation codes.
  27
  28 ### Exploitation
  29
  30 After connecting to server we are asked to enter an activation code. Entering a random number results in `:(` and when entering a letter the server just closes the connection. So I tried to analyze the Android app. I downloaded the app by using https://apkcombo.com/en-at/apk-downloader/.
  31
  32 I then started the app on my AVD and was asked for an activation code. After entering some text and clicking activate the message "Ungültiger Aktivierungscode" was shown. I decompiled the app with `jadx` and searched for this string in the source code.
  33
  34 I found the text inside the function `activateApp` where the following code
  35 can be found:
  36
  37 ```
  38 Calendar instance = Calendar.getInstance();
  39 if (i == ((int) (Math.pow((double) (instance.get(3) * instance.get(1)), 2.0d) % 999983.0d))) {
  40     ...
  41 }
  42 ```
  43
  44 I created a new Java application and ran the code
  45
  46 ```
  47 Calendar instance = Calendar.getInstance();
  48 int x = ((int) (Math.pow((double) (instance.get(3) * instance.get(1)), 2.0d) % 999983.0d));
  49 System.err.println(x);
  50 ```
  51
  52 to get the activation code `76429`. The code might be different depending on the date.
  53 After entering the correct activation code the server responds with the following:
  54
  55 ```
  56 Activation code:
  57 76429
  58 activated!
  59 Sales activation code:
  60 ```
  61
  62 So we need to get a sales activation code. Entering the code also works in the app. Clicking on the the two arrows in the upper right corner opens a menu with an option `Sales`. Clicking on it opens another windows where you are asked to entern an sales activation code. Enter a wrong value shows again the same message "Ungültiger Aktivierungscode".
  63
  64 There are multiple places where this message is shown but I went with the function `courseActivation` because the title of the screen says "AKTIVIERUNGSCODE FÜR KURS EINGEBEN". From the three strings that are compared only the string `sgk258` worked.
  65
  66 The server responds with the following:
  67
  68 ```
  69 Activation code:
  70 76429
  71 activated!
  72 Sales activation code:
  73 sgk258
  74 activated!
  75 Leadership activation code:
  76 ```
  77
  78 I followed the same procedure for the leadership code as for the sales activation code and found out that the code `wmt275` works. The server now responds with:
  79
  80 ```
  81 Activation code:
  82 76429
  83 activated!
  84 Sales activation code:
  85 sgk258
  86 activated!
  87 Leadership activation code:
  88 wmt275
  89 activated
  90 Service Roadmap (SRM) activation code:
  91 ```
  92
  93 So one more time the same procedure as before but this time the code is `udh736`. The server then asks for your name where you can enter anything as seen below
  94
  95 ```
  96 Activation code:
  97 76429
  98 activated!
  99 Sales activation code:
 100 sgk258
 101 activated!
 102 Leadership activation code:
 103 wmt275
 104 activated
 105 Service Roadmap (SRM) activation code:
 106 udh736
 107 activated!
 108 Congratulations please give me your name:
 109 Chrztoph
 110    ______________________________
 111  / \                             \.
 112 |   |                            |.
 113  \_ |                            |.
 114     | Certificate of Attendance  |.
 115     |                            |.
 116     |  This is to certify that   |.
 117     |                            |.
 118     |          Chrztoph          |.
 119     |                            |.
 120     |        has attended        |.
 121     |                            |.
 122     | **The baby rev challenge** |.
 123     |                            |.
 124     |                            |.
 125     |                       hxp  |.
 126     |                            |.
 127     | -------------------------- |.
 128     |                            |.
 129     |hxp{thx_f0r_4773nd1n6_70d4y}|.
 130     |                            |.
 131     |   _________________________|___
 132     |  /                            /.
 133     \_/____________________________/.
 134 ```
 135
 136 The flag is included in the "certificate".
 137
 138 ### Conclusion
 139
 140 I really liked the challenge. It is solveable in a feasible amount of time and is a good intro into Android challenges.
 141
 142
 143
 144
 145 ## Challenge WriteupBin
 146
 147 Time: about 8h without writeup
 148
 149 ### Task description
 150
 151 ```
 152 Finally (again), a minimalistic, open-source social writeup hosting solution.
 153
 154 Connection:
 155 http://78.46.216.67:8001/
 156 ```
 157
 158 ### Overview
 159
 160 A website is given where we should get the flag from and also the source code of the service is given. It is a simple service where you can post writeups, like writeups and show them to the admin.
 161
 162 ### Exploitation
 163
 164 When entering text in the textfied for the writeup an error message is shown, that the text is too short. The writeup must contain at least 140 characters or more. As a first try I tried to enter a simple `<script>alert(1)</script>` but this doesn't work because the website immediately shows `This value seems to be invalid.` So I checked why this is happening. A JS library called Parsley (https://parsleyjs.org/) is used for form validation and I found that the `textarea` contains the following `data-parsley-pattern="[^<>]+"` which means that no `<` and `>` are allowed. So I used Postman for further exploitation of the site.
 165
 166 One thing I noticed when trying to execute a call via Postman is that there is a CSRF token needed named `c`.
 167
 168 By issuing a request to `/add.php` with the content `</code><h1>hello</h1><code>` and the required `c` it is possible to add arbitrary HTML to the website. There is no server-side validation done so by closing the first `<code>` tag and then entering any HTML we are able to add anything to the website. Unfortunately there is a CSP in place:
 169
 170 ```
 171 default-src 'none';
 172 script-src 'nonce-NzM0NTE5NTc5Y2NhZDQxMg==' https://cdnjs.cloudflare.com/ajax/libs/jquery/3.4.0/jquery.min.js https://cdnjs.cloudflare.com/ajax/libs/parsley.js/2.8.2/parsley.min.js;
 173 base-uri 'self';
 174 form-action 'self';
 175 frame-ancestors 'none';
 176 require-sri-for script style;
 177 ```
 178
 179 So there can't be done much because the CSP blocks all kind of stuff which is interesting for getting the flag.
 180
 181 After setting up the server locally I found that there is an `admin.py` script. This script starts a browser and clicks the element which matches the following selector: `input[@id="like"]` which means it will click an element like this one `<input id="like" />`.
 182
 183 It was clear that the input element is clicked for a reason but I couldn't find any further ways in exploiting this.
 184
 185 ### Conclusion
 186
 187 The challenge overall was fun even though I haven't solved it. It is also nice to see how they realized the challenge and that it is possible to set it up locally for testing.