JustCTF 2022 to kolejna, trzecia już edycja turnieju Capture The Flag typu „jeopardy” [0], organizowanego przez polski zespół justCatTheFish, którego członkami są autorzy tego artykułu. Poza atrakcyjnymi nagrodami do zdobycia (łącznie $5700 USD oraz 9 licencji Binary Ninja) uczestnicy mogli cieszyć się dość unikalnymi zadaniami, związanymi m.in z siecią blockchain Solana czy wykorzystywaniem błędów w programach binarnych, a także mieli okazję odkryć nieopisaną jeszcze technikę eksfiltracji danych przy użyciu arkuszy stylów CSS. W artykule tym opisujemy rozwiązania dwóch zadań: League of Lamports oraz Monsters...
Zagadnienia poruszane w tym artykule:
- Opisy zadań;
- League of Lamports (Solana/Blockchain pwn);
- Istotne pojęcia;
- Przykładowa implementacja smart kontraktu;
- Środowisko zadania;
- Dziurawy smart kontrakt portfela;
- Analiza;
- Zadanie Monsters (RE z elementami pwn);
- Jak przechowujemy ciągi znaków?
- Zapisywanie notatek;
- Mechanika marzeń;
- Proof of Concept: możliwa eksploitacja błędów ze stringami
- Rozwiązania zadań.
Artykuł pochodzi z magazynu Programista nr 104 (5/2022). Magazyn jest z przełomu września i października 2022 roku. Szczegółowy spis treści wydania nr 104: https://programistamag.pl/programista-5-2022-104/
Autorami artykułu są: Dominik 'disconnect3d' Czarnota, Tacet, Michał 'embe221ed' Bochnak.
