TL;DR

캡처한 AES CBC 패킷의 IV를 조정해 subscriber identifier를 0xdeadbabe로 바꾸면 restricted relay가 플래그를 전달한다 원본 패킷의 첫 block이 후보 identifier를 포함한다는 가정 아래 guess XOR deadbabe 값을 IV에 XOR해 원하는 평문을 만든다

Analysis

voyager.bin은 48바이트 AES CBC 패킷으로 보이며 첫 16바이트가 IV, 이후 두 block이 ciphertext다

5e 60 38 3e 8e bb ee 04 aa 00 a3 be ad 86 7e f9
ed f4 f6 a2 fb 24 1b 9e 21 b4 92 6b 51 34 e3 d2
c8 6a 56 14 43 d3 12 ce b0 33 8c 66 48 81 49 6a

첫 16바이트 $IV_0$ 는 5e60383e8ebbee04aa00a3bead867ef9, 나머지 32바이트는 $C_1$ , $C_2$ 이다. AES CBC 복호 흐름은 $P_1 = D_K(C_1) \oplus IV,\quad P_2 = D_K(C_2) \oplus C_1$ 형태이므로 $IV$ 를 조정하면 $P_1$ 의 대응 바이트를 원하는 값으로 바꿀 수 있다.

1
#!/usr/bin/env python3
2
import sys
3
import time
4
from binascii import hexlify
5
from Crypto.Cipher import AES
6
from Crypto.Util import Counter
7
from Crypto.Random import get_random_bytes
8
from ctf_secrets import MESSAGE
9

10
KEY = get_random_bytes(16)
11
NONCE = get_random_bytes(8)
12

13
WELCOME = '''
14
     ,-.
15
    /   \
16
   :     \      ....*
17
   | . .- \-----00''
18
   : . ..' \''//
19
    \ .  .  \/
20
     \ . ' . NASA Deep Space Listening Posts
21
  , . \       \     ~ Est. 1969 ~
22
,|,. -.\       \
23
    '.|| `-...__..-
24
      | | "We're always listening to you!"
25
     |__|
26
    /||\\
27
    //||\\
28
   // || \\\
29
__//__||__\\__
30
'--------------'
31
'''
32

33
def main():
34

35
    # Print ASCII art and intro
36
    sys.stdout.write(WELCOME)
37
    sys.stdout.flush()
38
    time.sleep(0.5)
39

40
    sys.stdout.write("\nConnecting to remote station")
41
    sys.stdout.flush()
42

43
    for i in range(5):
44
        sys.stdout.write(".")
45
        sys.stdout.flush()
46
        time.sleep(0.5)
47

48
    sys.stdout.write("\n\n== BEGINNING TRANSMISSION ==\n\n")
49
    sys.stdout.flush()
50

51
    C = 0
52
    while True:
53
        ctr = Counter.new(64, prefix=NONCE, initial_value=C, little_endian=False)
54
        cipher = AES.new(KEY, AES.MODE_CTR, counter=ctr)
55
        ct = cipher.encrypt(MESSAGE)
56
        sys.stdout.write("%s\n" % hexlify(ct).decode())
57
        sys.stdout.flush()
58
        C += 1
59
        time.sleep(0.5)
60

61
if __name__ == "__main__":
62
    main()

AES CTR을 사용하지만 캡처 패킷은 CBC 구조다. 동일 이벤트에서 CTR과 CBC가 혼재되어 캡처 voyager.bin의 암호 모드는 별도 구현이라고 판단했다
MESSAGE 구성은 subscriber identifier를 추출한다

Exploit

캡처된 voyager.bin에서 IV와 두 개의 ciphertext block을 분리하고 AES CBC 복호식을 이용해 목표 평문을 만들기 위해 필요한 XOR 오프셋을 계산했다.
서비스가 첫 4바이트를 little endian 32-bit identifier로 비교한다고 판단해 수집한 identifier 후보를 리틀엔디언으로 변환하고 목표값 $0xdeadbabe$ 와 XOR해 delta를 얻었다.
delta를 IV 첫 4바이트에만 적용하고 ciphertext는 원본 그대로 유지해 무결성 검사가 없다는 점을 악용했다.
forge된 패킷을 원격 서비스에 제출해 응답을 관찰하고 success 메시지와 flag 포맷 문자열 포함 여부로 성공 여부를 판별했다.
첫 후보 실패에 대비해 후보 목록을 순회하며 동일한 delta 계산과 전송 과정을 반복하도록 설계했다.

CBC 첫 block 평문은 $P_1 = D_K(C_1) \oplus IV$ 관계를 따르므로 IV를 변경하면 앞부분 평문을 원하는 값으로 만들 수 있다.
성공 응답은 restricted relay 안내와 flag 문자열을 포함한다.

1
from pwn import *
2
import struct
3
import re
4

5
# original exploit submission
6
context.log_level = 'debug'
7

8
VOYAGER = """
9
5E 60 38 3E 8E BB EE 04 AA 00 A3 BE AD 86 7E F9
10
ED F4 F6 A2 FB 24 1B 9E 21 B4 92 6B 51 34 E3 D2
11
C8 6A 56 14 43 D3 12 CE B0 33 8C 66 48 81 49 6A
12
"""
13

14
pkt_orig = bytes.fromhex(" ".join(VOYAGER.split()))
15

16
def forge_with_guess(pkt, guess_id):
17
    iv = bytearray(pkt[:16])
18
    c = pkt[16:]
19
    delta = bytes(x ^ y for x, y in zip(struct.pack("<I", guess_id), struct.pack("<I", 0xdeadbabe)))
20
    for i in range(4):
21
        iv[i] ^= delta[i]
22
    return bytes(iv) + c
23

24
def try_send(pkt):
25
    p = remote('sunshinectf.games', 25401)
26
    p.sendafter(b"packet:\n", pkt)
27
    resp = p.recvuntil(b"cowboy.\n", timeout=5)
28
    p.close()
29
    return resp
30

31
def main():
32
    for guess in (0x13371337, 0x1337babe, 0xdeadbeef):
33
        forged = forge_with_guess(pkt_orig, guess)
34
        resp = try_send(forged)
35
        if b"relay" in resp.lower() or re.search(br"\b[a-z0-9_]{0,8}\{.*?\}", resp, re.I):
36
            print(resp.decode())
37
            return
38

39
    print(resp)
40

41
if __name__ == "__main__":
42
    main()

결과

1
[DEBUG] Received 0x31 bytes:
2
    b'== Space Relay ==\n'
3
    b'Send your subscription packet:\n'
4
[DEBUG] Sent 0x30 bytes:
5
    00000000  d7 c9 a2 f3  8e bb ee 04  aa 00 a3 be  ad 86 7e f9  │····│····│····│··~·│
6
    00000010  ed f4 f6 a2  fb 24 1b 9e  21 b4 92 6b  51 34 e3 d2  │····│·$··│!··k│Q4··│
7
    00000020  c8 6a 56 14  43 d3 12 ce  b0 33 8c 66  48 81 49 6a  │·jV·│C···│·3·f│H·Ij│
8
    00000030
9
[DEBUG] Received 0x81 bytes:
10
    b'You have reached the restricted relay... here you go.\n'
11
    b'sun{m4yb3_4_ch3ck5um_w0uld_b3_m0r3_53cur3}\n'
12
    b'See you next time space cowboy.\n'
13
[*] Closed connection to sunshinectf.games port 포트블라인드
14
You have reached the restricted relay... here you go.
15
sun{m4yb3_4_ch3ck5um_w0uld_b3_m0r3_53cur3}
16
See you next time space cowboy.

[SunshineCTF 2025] bits of space writeup

TL;DR

Analysis

Exploit