En construction (Web) - 404CTF2022

Principe:
Identifier que le HTTP status code 2xx sert à passer un message encodé en ASCII par blocs de 9 bits (et non 8 bits)

Infos (cf menu latéral):
🚩 Flaggué! +999 points gagnés — 💾 Téléchargez les fichiers du challenge
404CTF{Dr0l3_D3_m0Y3N_d3_f41r3_P4sS3r_d3S_d0nN33s_n0N?}

Le challenge

Un site web est utilisé pour diffuser un message secret: retrouvez-le!

Le site

Un coup d'oeil au `robots.txt` ne donne rien

Page d'admin

Mais celle-ci semble être là juste pour nous troller

Faire défiler les pages

Au vu des URLs `/page/1` et `/page/2` on peut requêter les N premières pages

Toutes les pages semblent répondre pareil, mais regardez bien: la page 48 manque! Il se passe un truc pour cette page…

Jamais 2 cent 4

En allant voir la page 48, on s'aperçoit que le serveur répond une `HTTP 204` (No Content), d'où l'absence de body dans la réponse

Je relance le même genre de requêtes sur toutes 300 premières pages, et j'observe plusieurs pages sans réponse mais aucun pattern ne se détache

En allant voir la page `/page/404` (car je me dis: peut-être que le numéro de page et le HTTP response code ont un lien), je reçois une `HTTP 240 UNKNOWN`

HTTP 204 n'est pas définit par la spécification HTTP. C'est un code custom du site, et un bon indice pour dire "il y a un truc avec les response code HTTP"

Les HTTP response codes

Je relance alors le même scan, mais je récupère cette fois les headers (`curl -I`): les response code HTTP varient d'une requête à l'autre

Décoder

Collectant les HTTP response codes, j'essaie alors de trouver la clef de leur déchiffrement: est-ce un code ASCII (à 200 près)? non

Le -200 est là car les codes HTTP "success" sont de la forme 2xx, donc, seul le xx peut être arbitrairement choisi pour passer un message

Via un shell script, je dump alors un bon millier de pages, et je trouve une répétition: les mêmes codes reviennent en boucle

J'observe alors qu'aucun `8` ni `9` n'apparait dans les codes: on dirait que le `xx` dans `2xx` est peut-être une valeur octale

Décodage

J'ai cherché des dizaines de variantes de codes possibles… la première fut une analyse de fréquence, pour voir si 1 code = 1 lettre, mais la répartition est mauvaise

Substituer certains codes par un espace donnait des mots bien trop longs quelque soit le code remplacé, donc la substitution monoalphabétique ne semblait pas être la bonne solution

Dans le doute, j'ai cherché à faire apparaitre des mots par endroits et à faire les remplacements correspondants, mais cela ne mena nulle part

J'ai aussi tenté un `base64 -d` mais là encore, rien

Ne sachant pas si le premier caractère de mon base64 était le bon, j'ai aussi essayé des variantes en partant du 2e, 3e, etc code: rien

Pour des pages d'index négatives, on récupère aussi les mêmes codes, donc, il n'y a probablement pas de lien entre l'index de page et le code HTTP

Il y aurait pu avoir un lien, du type XOR

Je vérifie au passage que même avec d'immenses valeurs d'entiers, le cycle reste présent (il y aurait pu y avoir des écarts à partir d'une valeur donnée, ou un overflow, mais rien)

J'ai continué ainsi de chercher des variantes à coups de base64 en décalant chaque code de 1, 2 3 etc, générant des dizaines de fichiers pour tenter de trouver un format convenable, partant sur un peu n'importe quoi…

Et je n'ai pas flaggué…

Binaire

En fait, après la fin du flag, il s'avère que je n'étais pas passé loin.Parmi mes tests, j'avais tenté de passer de la base 8 à la base 2 histoire de voir si je trouvais un pattern en binaire, mais j'ai cherché trop loin (j'ai même pensé que le binaire pouvait être un QR code, mais impossible d'en faire un carré potable!).
Il suffisait de regrouper les valeurs binaires par 9, et d'en prendre la correspondance ASCII.

php -r '$c=explode(" ",file_get_contents("codes-list.txt"));\
$c=array_map(function ($x){ return str_pad(base_convert(((int)$x) - 200,8,2),6,"0",STR_PAD_LEFT);},$c);\
$c=implode("",$c);\
$c=str_split($c,9);\
$c=array_map(function($x){ return chr(base_convert($x,2,10));},$c);\
var_dump(implode("",$c));'

Le message secret:


					réunion Hallebarde le 26 juin à 13h. Venez nombreux.
					N'oubliez pas le mot de passe qui vous permettra d'entrer dans la salle secrète :
					404CTF{Dr0l3_D3_m0Y3N_d3_f41r3_P4sS3r_d3S_d0nN33s_n0N?}.
					Longue vie à Hallebarde

Flag: 404CTF{Dr0l3_D3_m0Y3N_d3_f41r3_P4sS3r_d3S_d0nN33s_n0N?}