[Line CTF 2023] Malcheeeeese WriteUp (Unsolved)

# [Line CTF 2023] Malcheeeeese WriteUp

 

1. 문제 화면에 들어가 문제 확인 및 첨부파일 다운로드

터미널을 통해 nc 34.85.9.81 13000 으로 접속해야 하는 듯 하다.

 

 

 

 

2. 파일 속의 challenge_server.py를 열어 분석

+ [Line 1 ~ 3]

:  'server' 모듈에서 'decrypt', 'generate_new_auth_token' 함수 import + 'BaseRequestHandler', 'TCPServer', 'ForkingMixIn' 클래스 import

 

+ [Line 5]

: 사용할 서버의 주소 설정

 

 

+ [Line 9 ~ 13]

:  ChallengeHandler 클래스  -->  'BaseRequestHandler' 클래스 상속 + 사용자 요청 처리 역할 담당

 

+ [Line 15 ~ 36]

:  handle 메소드  -->  클라이언트 요청 받아 실행

:  new_auth_token, verifier 생성 후 클라이언트에게 전송  -->  클라이언트가 보낸 'authtoken' 수령 후 'decrypt' 함수 호출 + 복호화

:  복호화 결과를 JSON 형태로 인코딩하여 클라이언트에게 전송하고, 클라이언트로부터 요청이 오지 않을 때까지 요청 처리

 

 

+ [Line 38 ~ 57]

:  'ChallengeServer' 클래스 

-->  'ForkingMixIn' 클래스, 'TCPServer' 클래스 다중상속 + 서버 구동 역할

 

 

 

 

3. 파일 속의 client.py를 열어 분석

#!/usr/bin/env python3
# crypto + misc challenge

# How to generate the authentication token
# Given as secret; key for AES, sign_key_pair for EdDSA ( sign_key, verify_key ), token, password
# key for AES, token, password were pre-shared to server.
# 1. Generate Signature for token over Ed25519 ( RFC8032 ) 
# 2. Encrypt password, token and signature with AES-256-CTR-Enc( base64enc(password || token || signature), key for AES, iv for AES )
# 3. Generate authentication token ; base64enc( iv for AES) || AES-256-CTR-Enc( base64enc(password || token || signature), key for AES, iv for AES )
# - password : 12 bytes, random bit-string
# - token : 15 bytes, random bit-string
# - signature : 64 bytes, Ed25519 signature ( RFC8032 )
# - key for AES : 32 bytes, random bit-string
# - iv for AES : 8 bytes, random bit-string
# - payload = base64enc(password || token || signature) : 124 bytes
# - authentication_token ( encrypted_payload ) = base64enc(iv) || AES-256-CTR-Enc ( payload ) : 136 bytes

# 문제 개요: 서버에서 받은 인증 토큰을 해독 + 새로운 인증 토큰을 생성

서명 생성	패스워드, 토큰, 서명 암호화
Ed25519	AES-256-CTR 모드

 

# 문제 상세: 

PW	12 바이트, 랜덤한 비트 문자열
Token	15 바이트, 랜덤한 비트 문자열
Sign	64 바이트, Ed25519 서명 (RFC8032)
AES Key	32 바이트, 랜덤한 비트 문자열
AES IF	8 바이트, 랜덤한 비트 문자열
payload	124 바이트
인증 토큰	136 바이트

 

 

+ [Line 18 ~ 26] 

:  client_secret.py 파일, common_secret.py 파일에서 SIGN_KEY_PAIR_HEX, AES_KEY_HEX, TOKEN_HEX, PASSWORD_HEX 호출

 

+ [Line 27 ~ 50]

:  token을 sign_key_pair로 서명 ( ed25519 알고리즘 사용 )

:  password, token, signature를 이용하여 payload 생성 

-->  AES-CTR 알고리즘을 사용해 payload를 암호화한 후 encrypted_payload 생성

 

+ [Line 51]

:  PREVIOUS_ENCRYPTED_PWD_HEX 출력

-->  encrypted_payload의 처음 16바이트만 추출하여 16진수 문자열로 변환하여 출력

 

 

 

 

4. 파일 속의 server.py를 열어 분석

+ [Line 7 ~ 10]

:  sys, os 모듈( = 시스템 관련 기능 제공 라이브러리 ) 임포트하여 사용

: 아래의 파일로부터 각 값을 가져옴

파일명	가져오는 값
server_secret.py	FLAG 값
common_secret.py	AES_KEY_HEX, TOKEN_HEX, PASSWORD_HEX 값

 

+ [Line 12 ~ 16]

• base64 모듈: 문자열 및 바이트 디코딩 & 인코딩 기능 제공
• Crypto.PublicKey.ECC 모듈: 타원 곡선 암호화를 사용하는 공개키 암호화 구현 기능 제공
• Crypto.Signature.eddsa 모듈: Ed25519 서명 알고리즘 구현 기능 제공
• Crypto.Cipher.AES 모듈: AES 대칭키 암호화 알고리즘 구현 기능 제공
• Crypto.Random.get_random_bytes 모듈: 암호화용 무작위 바이트 생성 기능 제공

 

+ [Line 18]

: ENCRYPTED_PAYLOAD_SIZE 변수 크기 = 136 = 암호화된 페이로드 크기

 

+ [Line 19]

: PREVIOUS_ENCRYPTED_PWD 변수 값 = 암호화된 비밀번호

 

+ [Line 20 ~ 21]

: AES_IV_HEX 변수 값 =  AES 암호에서의 초기화 벡터(IV)

: previous_aes_iv 변수  -->  AES_IV_HEX 값의 바이트 표현

 

+ [Line 22 ~ 29]

: AES_KEY_HEX, PASSWORD_HEX 변수에 "common_secret.py" 파일에서 가져온 값을 사용하여 bytes 형태로 저장

: previous_iv_b64 변수에 "previous_aes_iv" 변수 값을 base64 인코딩한 값 저장

 

+ [Line 30 ~ 31]

: replay_attack_filter_for_iv 변수는 previous_iv_b64 변수 값을 리스트로 저장

-->  IV를 필터링하여 리플레이 공격 방지에 사용

: replay_attack_filter_for_sig 변수를 빈 리스트로 초기화

-->  서명을 필터링하여 리플레이 공격 방지에 사용

 

+ [Line 32 ~ 33]

: acceptable_token 변수를 빈 리스트로 초기화

: acceptable_password 변수에 "cheeeeese" 값을 bytes 형태로 저장

 

 

+ [Line 40 ~ 65]

: 새로운 인증 토큰을 생성하는 함수 generate_new_auth_token() 정의

--> AES 알고리즘을 통해 암호화된 인증 토큰과 EdDSA 검증자를 반환값으로 가짐

 

: 이후 아래의 코드에 구현된 함수를 따라 암호화 페이로드를 복호화 후 페이로드의 진위 검증 과정을 거침

# Input : b64password : base64 encoded password
# Output:
# - Is password verification successful? ( True / False )
# - raw passowrd length
# - Error Code ( 0, 1, 2 )
# - Error Message
def verify_password(b64password):
    try:
        password = base64.b64decode(b64password)
    except:
        return False, -1, 1, "Base64 decoding error"

    if password in acceptable_password:
        return True, len(password), 0, "Your password is correct!"
    return False, len(password), 2, "Your password is incorrect."

# Input : b64token_signature : base64 encoded token+signature, verifier, verify_counter
# Output:
# - Is signature verification successful? ( True / False )
# - Error Code ( 0, 1, 2, 3, 4 )
# - Error Message
def verify_signature(b64token_signature, verifier, verify_counter):
    b64token = b64token_signature[:20]
    b64signature = b64token_signature[20:]

    if verify_counter > 1:
        return False, 1, "Err1-Verification limit Error"

    if b64signature in replay_attack_filter_for_sig:
        return False, 2, "Err2-Deactived Token"
    
    try:
        token = base64.b64decode(b64token)
        signature = base64.b64decode(b64signature)
    except:
        return False, 3, "Err3-Base64 decoding error"
    
    try:
        verifier.verify(token, signature)
        if token in acceptable_token:
            return True, 0, "verification is successful"
    except ValueError:
        pass

    return False, 4, "Err4-verification is failed"

def decrypt(hex_ciphertext, verifier, verify_counter):

    flag = ""

    # Length check
    ciphertext = bytes.fromhex(hex_ciphertext)
    if len(ciphertext)!=ENCRYPTED_PAYLOAD_SIZE:
        ret = {
            "is_iv_verified" : False,
            "is_pwd_verified" : False,
            "pwd_len" : -1,
            "pwd_error_number" : -1,
            "pwd_error_reason": "",
            "is_sig_verified" : False,
            "sig_error_number" : -1,
            "sig_verification_reason": "authentication token size MUST be 136 bytes",
            "flag" : ""
        }
        return ret
    
    iv_b64 = ciphertext[:12]
    ciphertext = ciphertext[12:]

    # iv reuse detection
    if iv_b64 in replay_attack_filter_for_iv:
        ret = {
            "is_iv_verified" : False,
            "is_pwd_verified" : False,
            "pwd_len" : -1,
            "pwd_error_number" : -1,
            "pwd_error_reason": "",
            "is_sig_verified" : False,
            "sig_error_number" : -1,
            "sig_verification_reason": "iv reuse detected",
            "flag" : ""
        }
        return ret
    

    cipher = AES.new(aes_key, AES.MODE_CTR, nonce=base64.b64decode(iv_b64))
    pt_b64 = cipher.decrypt(ciphertext)

    # password authentication
    is_pwd_verified, pwd_len, pwd_error_number, pwd_error_reason = verify_password(pt_b64[:16])

    # authentication using EdDSA
    is_sig_verified, sig_error_number, sig_error_reason = verify_signature(pt_b64[16:], verifier, verify_counter)

    if True==is_pwd_verified and True==is_sig_verified:
        flag = FLAG
    
    ret = {
        "is_iv_verified" : True,
        "is_pwd_verified" : is_pwd_verified,
        "pwd_len" : pwd_len,
        "pwd_error_number" : pwd_error_number,
        "pwd_error_reason": pwd_error_reason,
        "is_sig_verified" : is_sig_verified,
        "sig_error_number" : sig_error_number,
        "sig_error_reason": sig_error_reason,
        "flag" : flag
    }

    return ret

 

 

 

 

+ 코드 분석까지는 마무리하였지만 터미널에서 문제 상에 나타나 있는 IP인 nc 34.85.9.81 13000 으로 접속하는 과정에서 문제가 생겨 결국 문제를 해결하지는 못하였다.