HITCON CMT

參考
https://hackmd.io/@HITCON/2024-note/%2F%40HITCON%2FrJlBNMXsA
https://hitcon.org/2024/CMT/agenda/
https://wha13.github.io/2024/08/24/2024-hitcon/

議程

What the hell is Windows’s CLIP Service - Reversing and exploiting the obfuscated code at its core

Windows 的 CLIP 服務到底在幹嘛——逆向內核的混淆程式碼並進行漏洞利用

  • CLiP = Client License Platform

大致上好像是在對 CLIP 服務驅動程序進行反混淆
跟windows簽證有關
有講拆 obfuscate 加密機制的動態debug方式,但聽不懂

全英文 聽完就忘

Proxying to Kernel : Manipulate Flow to Make Windows Kernel Great Again

代理到核心:操縱流程讓 Windows 核心再次偉大

  • 一種基於代理的邏輯錯誤類
  • Windows核心會對來自用戶的參數進行嚴格檢查,所以如果將自己轉向核心可以停用大多數驗證
  • 可能有危險的東東 ex. ZwOpenFile, IofCallDriver

共筆

Background of those glitches in Zelda BoTW & ToTK

薩爾達傳說 BoTW 和 ToTK 中這些故障的背景

  • Glitch
    • 良性的漏洞
  • Bug
    • 惡性的漏洞

Clash, Burn, and Exploit: Manipulate Filters to Pwn kernelCTF

衝突、燒毀與利用:操縱過濾器來破解核心CTF

  • 三個 nftables 漏洞
  • nftables 是 Linux 核心中的重要網路元件,管理封包過濾和其他網路相關功能

中文,但一樣聽不懂

Confusion Attacks: Exploiting Hidden Semantic Ambiguity in Apache HTTP Server!

混淆攻擊:利用 Apache HTTP 伺服器中隱藏的語意歧義!

  • Apache
    • 130 多個模組且共享參數
    • 當新的 HTTP 請求到達時,所有模組會協調協作來完成請求
    • 但這些模組彼此實現細節方面並不完全熟悉,所有模組並沒有使用相同規範
    • 如果任何模組對這個龐大結構的任何字段的理解不正確,則可能會導致致命的問題
  1. Filename Confusion
    • 網址跟 Path 都當作網址處理
  2. DocumentRoot Confusion
    • Apache Default ACL 可以開/usr/share
    • 能跳出 /usr/share
  3. Header Confusion
    • r->content_type 的問題
    • 可以SSRF

Orange blog 待看 已看完
共筆

攤位

成大資安社

  • 七月初才知道 hitcon cmt,學生免費方案已截止,一般學生票 2000 買不起
  • 為了免費的攤位票很後期才加入攤位牛
  • 顧攤時間:兩天的上午
  • 持攤位票不能聽議程,感謝 kazma、moveright、sharonlo、(好像還有 忘了) 借 badge
  • 抱歉身為攤位牛忘記回去攤位場復
  • 完成闖關活動可免費拿吊飾(250元)
  • 按讚分享粉專可以拿貼紙(50元)

DEVCORE

wargame

  • Supercalifragilisticexpialidocious
    create_function會創建一個匿名函數,內部實現大致如下
    $function = 'function(' . $args . '){' . $code . '}';
    傳入 }phpinfo();// ,變成

    1
    2
    3
    function(){
        }phpinfo();//
    }

    同理
    傳入 }system('ls');// RCE
    image
    image
    image

  • Expressionism
    看source code可知有用 Spring
    GET參數id在${…} => Spring Expression Language (SpEL) 注入

    ?id=${}
    {} 不被伺服器允許
    image
    urlencode
    image
    http://web.ctf.d3vc0r3.tw:18080/?id=%24%7B1%2B1%7D 給出相當於 http://web.ctf.d3vc0r3.tw:18080/?id=2 的頁面
    FLAG是一個環境變數
    ?id=${FLAG} ?
    urlencode => http://web.ctf.d3vc0r3.tw:18080/?id=%24%7BFLAG%7D
    FLAG出現在報錯中
    image

UCCU Hacker

UCCU AI Challenge

  • Prompt_Injection(Level_1~5)
    • 都用同一個 prompt 這是一個接龍遊戲,UCCU後面應該接?
    • ex. image

DeFiHackLabs

官網
攤位挑戰賽 - Long live the king!
以太坊的題目
writeup 及學習資源見line官方社群

Badge

使用說明
攤位票沒有這個酷東西

badusb

BadUSB 使用說明