{"id":224,"date":"2020-05-06T14:44:18","date_gmt":"2020-05-06T12:44:18","guid":{"rendered":"https:\/\/blog.caturday-lovers.fr.nf\/?p=224"},"modified":"2020-05-06T18:38:43","modified_gmt":"2020-05-06T16:38:43","slug":"les-chatons-ont-la-reponse-fcsc-2020-flag-checker","status":"publish","type":"post","link":"https:\/\/blog.caturday-lovers.fr.nf\/?p=224","title":{"rendered":"Les chatons ont la r\u00e9ponse \u2013 FCSC 2020 \/\/ Flag Checker"},"content":{"rendered":"\n
\"\"<\/figure><\/div>\n\n\n\n\n\n\n\n

Intro<\/h2>\n\n\n\n

Dernier exercice donn\u00e9 lors du challenge, dernier exercice r\u00e9solu pour moi. De prime abord, il peut faire peur, mais finalement il n’\u00e9tait pas si compliqu\u00e9 que cela.<\/p>\n\n\n\n

Premier contact<\/h2>\n\n\n\n
\"\"
pas grand chose, pas d’info, pas de tips<\/figcaption><\/figure><\/div>\n\n\n\n

Comme \u00e0 l’accoutum\u00e9 nous allons commencer par regarder la source, et c’est cod\u00e9 sur une ligne, c’est imbuvable. Soit nous passons par un code beautifier, soit nous passons par les DevTools de notre navigateur.
C’est la seconde solution que j’ai choisie, j’ai trouv\u00e9 cela plus simple, et cela nous donne acc\u00e8s \u00e0 un code beautifier, cela pourrait peut \u00eatre se r\u00e9v\u00e9ler utile pour la suite.<\/p>\n\n\n\n

\"\"<\/figure><\/div>\n\n\n\n

Dans la colonne de gauche, nous avons la liste des fichiers utilis\u00e9s par notre page, et pour la premi\u00e8re fois, je vois l’extension \u00ab\u00a0.wasm\u00a0\u00bb. <\/p>\n\n\n\n

\"\"<\/figure><\/div>\n\n\n\n

Cela serait-il de l’assembleur pour les pages web ? Une petite recherche <\/a>sur le net nous rapporte ceci :<\/p>\n\n\n\n

WebAssembly (abbreviated Wasm<\/em>) is a binary instruction format for a stack-based virtual machine. Wasm is designed as a portable target for compilation of high-level languages like C\/C++\/Rust, enabling deployment on the web for client and server applications.<\/p><\/blockquote>\n\n\n\n

C’est presque cela, c’est bien une nouvelle syntaxe de programmation, une fois dans le code de la page, un tout nouveau langage appara\u00eet, qui semble \u00eatre un d\u00e9riv\u00e9 de l’assembleur.<\/p>\n\n\n\n

\"\"
et mer\u2026credi !<\/figcaption><\/figure><\/div>\n\n\n\n

\u00c0 la fin du code, un bloc attire mon attention :<\/p>\n\n\n\n

\"\"
serait-ce un pattern fixe pour d\u00e9coder le flag ?<\/figcaption><\/figure><\/div>\n\n\n\n

Nous retrouvons au d\u00e9but les caract\u00e8res E@P@ , qui pourraient \u00eatre FCSC, de plus la r\u00e9p\u00e9tition des \u00ab\u00a0@\u00a0\u00bb colle avec les \u00ab\u00a0C\u00a0\u00bb. On regarde rapidement, et on voit que le \u00ab\u00a0E\u00a0\u00bb dans la table ASCII est \u00e0 un caract\u00e8re d’\u00e9cart, que les quatre caract\u00e8res suivants sont \u00e0 trois d’\u00e9cart au-dessus et que le dernier caract\u00e8re est \u00e0 un caract\u00e8re d’\u00e9cart, le pattern est donc nul. Mais la fr\u00e9quence est trop grosse pour \u00eatre due au hasard.<\/p>\n\n\n\n

M\u00e9thode 1 : analyse du code en deadlisting<\/h2>\n\n\n\n

Nous savons que nous avons une cha\u00eene qui d\u00e9vie de fa\u00e7on logique, nous allons chercher dans le code une fonction qui pourrait faire l’affaire.
Dans le bloc juste au-dessus, nous trouvons une fonction tr\u00e8s int\u00e9ressante :<\/p>\n\n\n\n

\"\"
oh la belle initialisation d’un Xor<\/figcaption><\/figure><\/div>\n\n\n\n

D\u00e9sol\u00e9, cela n’a rien \u00e0 voir avec le Sherif de l’espace, pour les plus jeunes qui ne comprennent pas la r\u00e9f\u00e9rence, je vous laisse googleliser X-or<\/p>\n\n\n\n

\"\"\/
\u00e0 ne pas confondre avec X-or<\/figcaption><\/figure><\/div>\n\n\n\n

Nous allons coder rapidement une petite appli en C# pour en avoir le c\u0153ur net, j’ai volontairement transform\u00e9 la cha\u00eene de caract\u00e8res en sa repr\u00e9sentation hexad\u00e9cimale pour raccourcir le code :<\/p>\n\n\n\n

static void Main(string[] args)\n        {\n            byte[] Resultat = new byte[70];\n            string FinalFlag;\n            byte[] tableau =\n            {\n            0x45,0x40,0x50,0x40,0x78,0x34,0x66,0x31,0x67,0x37,0x66,0x36,0x61,0x62,0x3a,0x34,0x32,0x60,0x31,0x67,0x3a,0x66,0x3a,0x37,\n            0x37,0x36,0x33,0x31,0x33,0x33,0x3b,0x65,0x30,0x65,0x3b,0x30,0x33,0x60,0x36,0x36,0x36,0x31,0x60,0x62,0x65,0x65,0x30,0x3a,\n            0x33,0x33,0x66,0x67,0x37,0x33,0x32,0x3b,0x62,0x36,0x66,0x65,0x61,0x34,0x34,0x62,0x65,0x33,0x34,0x67,0x30,0x7e\n            };\n            int i;\n            for (i = 0; i < tableau.Length ;i++)\n            {\n                tableau[i] ^= 3;\n                Resultat[i] = tableau[i];\n            }\n\n            \n            FinalFlag = Encoding.UTF8.GetString(Resultat, 0, Resultat.Length);\n            Console.WriteLine(\"La clef est : {0}\", FinalFlag);\n            Console.WriteLine(\"Press Enter to quit\");\n            while (Console.ReadKey().Key != ConsoleKey.Enter) ;\n        }<\/code><\/pre>\n\n\n\n
Vous pouvez tester ce code sur ce site<\/a>, qui vous permettra de le compiler m\u00eame sans avoir d’IDE sur votre ordinateur.<\/p>\n\n\n\n
\"\"
GG les chatons, notre intuition \u00e9tait la bonne<\/figcaption><\/figure><\/div>\n\n\n\n
FCSC{7e2d4e5ba971c2d9e944502008f3f830c5552caff3900ed4018a5efb77af07d3}<\/pre>\n\n\n\n
\"\"<\/figure><\/div>\n\n\n\n
M\u00e9thode 2 : approche au shotgun, CyberChef<\/h2>\n\n\n\n
Nous savons qu’il y a une logique derri\u00e8re la cha\u00eene de base, nous l’ajoutons dans cyberchef, je suis d\u00e9\u00e7u car il ne nous trouve pas de suite ce que c’est, dans la recherche de la colonne op\u00e9ration, nous allons chercher brute et il va nous proposer ceci :<\/p>\n\n\n\n
\"\"<\/figure><\/div>\n\n\n\n
Nous avons rep\u00e9r\u00e9 qu’il y avait une logique dans l’encodage de la chaine, nous allons tester le XOR Bruteforcer :<\/p>\n\n\n\n
\"\"
Parfait !<\/figcaption><\/figure><\/div>\n\n\n\n
Mais pourquoi une cha\u00eene XOR\u00e9e une seconde fois retourne la cha\u00eene en clair ?<\/h2>\n\n\n\n
En effet mon petit chaton, pourquoi ?
C’est une propri\u00e9t\u00e9 du XOR :<\/p>\n\n\n\n
\"\"
https:\/\/fr.wikipedia.org\/wiki\/Fonction_OU_exclusif<\/a><\/figcaption><\/figure><\/div>\n\n\n\n
Pour essayer de d\u00e9grossir la chose, imaginons A et B comme nos entr\u00e9es dans la table du XOR et C son r\u00e9sultat, nous allons avoir la correspondance suivante :
A xor B = C<\/strong>
Nous savons que le XOR ne fonctionne que si A ou B est activ\u00e9 :<\/p>\n\n\n\n
\"\"<\/figure><\/div>\n\n\n\n
Nous pouvons donc d\u00e9finir que le d\u00e9chiffrement du xor est le suivant :
C xor B = A<\/strong>
Exemple :
A = 0
B = 1
A xor B = C
0 xor 1 = C<\/em> 
C = 1<\/strong><\/em>
Et nous pouvons donc prouver que l’inverse est bien ce que nous avions d\u00e9duit :
C xor B = A
1 xor 1 = A
A = 0<\/strong><\/em>
Dans notre cas nous sommes dans cette configuration :

A = flag en clair
B = module de xor
C = flag XOR\u00e9

Pour retourner sur le flag en clair, nous devons bien faire l’op\u00e9ration inverse et XORer notre flag au module.<\/p>\n\n\n\n
Bonus<\/h2>\n\n\n\n
Nous pouvons aussi trouver la clef du XOR, en nous basant sur les observations pr\u00e9c\u00e9dente, notre clef de chiffrement B est donc \u00e9gale \u00e0:
B = A xor C<\/em>
clef = \u00ab\u00a0message en clair\u00a0\u00bb xor \u00ab\u00a0message cod\u00e9\u00a0\u00bb<\/em><\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"","protected":false},"author":1,"featured_media":13,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[19],"tags":[133,132,12,63,61,131,130],"class_list":["post-224","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-kitensgotanswer","tag-algebre","tag-bool","tag-c","tag-ecsc","tag-fcsc","tag-sherif","tag-xor"],"_links":{"self":[{"href":"https:\/\/blog.caturday-lovers.fr.nf\/index.php?rest_route=\/wp\/v2\/posts\/224","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.caturday-lovers.fr.nf\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.caturday-lovers.fr.nf\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.caturday-lovers.fr.nf\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.caturday-lovers.fr.nf\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=224"}],"version-history":[{"count":4,"href":"https:\/\/blog.caturday-lovers.fr.nf\/index.php?rest_route=\/wp\/v2\/posts\/224\/revisions"}],"predecessor-version":[{"id":249,"href":"https:\/\/blog.caturday-lovers.fr.nf\/index.php?rest_route=\/wp\/v2\/posts\/224\/revisions\/249"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blog.caturday-lovers.fr.nf\/index.php?rest_route=\/wp\/v2\/media\/13"}],"wp:attachment":[{"href":"https:\/\/blog.caturday-lovers.fr.nf\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=224"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.caturday-lovers.fr.nf\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=224"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.caturday-lovers.fr.nf\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=224"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}