CTF on RORO's blog

Une nuit pour hacker 2026: Thread of Doom

contact@rodolpheg.xyz (0xRo) — Sun, 29 Mar 2026 00:00:00 +0000

Synthese

Challenge : Thread of Doom
Categorie : Reverse Engineering
Flag : NHK26{VirtualProtect_Overwritten}
Binaire : NHK_CrackMe_V3.exe (PE32, x86, 43520 octets)

Vue d’ensemble

Thread of Doom est un crackme Windows qui affiche une boite de dialogue avec un bouton “Demo”. Cliquer sur ce bouton affiche une erreur : “Tu n’es pas premium ! Prix : 2 BTC”. L’objectif est de comprendre les mecanismes de protection du binaire et d’extraire le flag cache.

Amazon AppSec CTF : HalCrypto

contact@rodolpheg.xyz (0xRo) — Sun, 21 Sep 2025 00:00:00 +0000

Synthese

Challenge : HalCrypto
Categorie : Securite Web
Vulnerabilite : Contournement de la validation JWT via confusion d’URL avec le symbole @
Impact : Contournement de l’authentification menant a un acces administrateur
Flag : HTB{r3d1r3c73d_70_my_s3cr37s}

Vue d’ensemble de la vulnerabilite

Diagramme du flux d’attaque

graph TD
 A[User Login + Attacker JWT] --> B[AuthMiddleware]
 B --> C[Extract JKU URL from Header]
 C --> D{Validate JKU URL<br/>lastIndexOf check}
 D -->|"URL starts with AUTH_PROVIDER<br/>string-based comparison"| E[PASSES]
 D -->|"Does not start with AUTH_PROVIDER"| R[Rejected]

 E --> F["Fetch JWKS from JKU URL"]
 F --> G["JWT Verification with<br/>attacker's public key"]
 G --> H[Auth Bypass]
 H --> I[Flag]

 subgraph "URL Confusion"
 J["Validator sees:<br/>http://127.0.0.1:1337@attacker.com/...<br/>starts with AUTH_PROVIDER ✓"]
 K["HTTP client connects to:<br/>attacker.com<br/>treats 127.0.0.1:1337 as credentials"]
 end

 D -.-> J
 F -.-> K

Analyse source-to-sink

1. Point d’entree - Authentification JWT (Source)

La vulnerabilite commence lorsque le AuthMiddleware traite les tokens JWT :

Amazon AppSec CTF : PageOneHTML

contact@rodolpheg.xyz (0xRo) — Sun, 21 Sep 2025 00:00:00 +0000

Résumé exécutif

Défi : PageOneHTML
Catégorie : Sécurité Web
Vulnérabilité : Server-Side Request Forgery (SSRF) via le protocole gopher://
Impact : Accès à un endpoint d’API interne menant à la divulgation du flag
Flags :
- Local : HTB{f4k3_fl4g_f0r_t3st1ng}
- Distant : HTB{l1bcurL_pla7h0r4_0f_pr0tocOl5}

Analyse Source-to-Sink

1. Point d’entrée - Entrée utilisateur (Source)

La vulnérabilité commence au endpoint /api/convert qui accepte du contenu markdown contrôlé par l’utilisateur :

// routes/index.js:15-28
router.post('/api/convert', async (req, res) => {
 const { markdown_content, port_images } = req.body; // User input
 
 if (markdown_content) {
 html = MDHelper.makeHtml(markdown_content); // Convert MD to HTML
 if (port_images) { // If port_images is true
 return ImageConverter.PortImages(html) // Process images
 .then(newHTML => res.json({ content: newHTML }))
 .catch(() => res.json({ content: html }));
 }
 return res.json({ content: html });
 }
 return res.status(403).send(response('Missing parameters!'));
});

2. Traitement des images - Confusion de protocole

Le module ImageConverter extrait toutes les balises <img> et traite leurs attributs src :