writeups/phager/tasteless.md

   1 # Tasteless CTF
   2
   3 Paul Theodor Hager
   4 01426941
   5 pH - @phager
   6
   7 ## Retrospective
   8
   9 - Not so many challenges...
  10 - Learned quite some stuff about CSP and CSS selectors.
  11 - The "timewarp" challenge was a nice idea
  12 - "on-site" @ - SBA
  13
  14 ## Ghidra Server Setup
  15
  16 Setup a Ghidra server for the team.
  17 https://paulhagertheo.at/ghidra_03-04-2019.html
  18
  19 ## Babypad
  20
  21 Many Time Pad challenge with the flag as "key". Tried multiple tools as it seemed to be a common challenge. We came up with the idea to just collect many(!) ciphers and xor them char by char with printable asciichars. Georg was too fast for us...
  22
  23 ## Gabbr
  24
  25 Site was vulnerable to XSS but because of CSP (nonce) we couldnt trigger it. Solution was to bruteforce the nonce with css selctors char by char. Similar challenge:
  26
  27 <https://sirdarckcat.blogspot.com/2016/12/how-to-bypass-csp-nonces-with-dom-xss.html>
  28
  29 Full writeup can be found @ <https://w0y.at/writeup/2019/10/27/tasteless-2019-gabbr.html>