feat: en version babygame-02, tic-tac. Typos

Author: DanArmor

Binary Exploitation/babygame02/babygame02-ru.md

@@ -0,0 +1,62 @@
+# babygame02 #
+ 
+## Overview ##
+ 
+200 points
+ 
+Category: [Binary Exploitation](../)
+ 
+Tags : `#picoCTF 2023` `Binary Exploitation` `game`
+ 
+## Description ##
+
+Break the game and get the flag.
+Additional details will be available after launching your challenge instance. 
+ 
+## Solution ##
+
+Скачиваем предложенный экзешник игры для анализа.
+[Запускаем Гидру](https://github.com/NationalSecurityAgency/ghidra/releases)
+
+Декомпилируем. Расставляем удобные нам имена локальных переменных, чтобы код читался проще
+Замечаем функцию `win`, которая выводит флаг - ищем референс на неё и понимаем, что она нигде не вызывается.
+
+Смотрим функцию `move_player` и видим не упомянутую команду `l<символ>` которая меняет символ, представляющий игрока на поле с `@` на любой введенный. Значит, мы можем поменять один байт внутри массива чаров, представляющего карту.
+
+Замечаем, что на "карту"(массив чаров длинной 2700) игрок выставляется следующей строчкой кода по анализу Гидры(undefined имеет длину 1 байт): 
+`*(undefined *)(*playerCoordY * 0x5a + map + playerCoordY[1]) = player_tile;`
+
+Это значит, что мы можем ходить по памяти по одному байту за пределами карты, т.к. выражение в скобках - `int` и он приводится потом к указателю на однобайтовый тип данных, разыменовав который мы устанавливаем значок игрока на карту
+
+Замечаем,  что адрес возврата из `move_player` в `main` равен 080497**04**, а адрес начала функции `win` равен 080497**5d**, которые как раз различаются на один байт. А мы как раз обладаем возможностью изменить один байт в любой точки памяти из-за способа адресации, выбранного создателем игры.
+
+Значение **5d** равно символу `']'`.
+
+Запускаем удобный дебагер - я воспользовался [gdb+gef](https://github.com/hugsy/gef), ставим брейкпоинт на `move_player` и смотрим, как выглядит стек. 
+
+Смещение от начала массива, представляющего карту до первого байта адреса возврата из `move_player` в main равно 39. Это значит, что нам надо от левого верхнего угла 39 раз повторить ход влево (от левого - т.к. мы ползем вверх по стеку - в сторону уменьшения адресов)
+
+При попытке просто проехаться на 39 влево мы цепляем важное и все крашит - поэтому мы делаем шаг вверх, чтобы "загрязнять" своими похождениями мусорные байты(ход вверх сместил нас на 90 байт вверх  по стеку). 
+
+После 39 влево делаем один раз вниз (получаем минус 90 байт, которые мы прибавили ранее ходом вверх) - и попадаем на нужный байт. При установке на него его значение заменяется значком нашего игрока - поэтому предварительно выполняем команду `l]`
+
+Тестируем локально. Радуемся - все получилось - мы подменили адрес возврата на адрес начала `win` и вызвали её
+
+Запускаем дистанционно - ничего не работает.
+
+Почему-то буфер не сбрасывается, если мы приходим в самое начало функции `win` 080497**5d**, поэтому пробуем последующие адреса вида 080497**xx** (т.к. мы можем менять только один байт), пока не получится
+
+Сработало на адресе 080497**79**, а `0x79` - это символ `y`
+
+Так мы и получили нашу полезную нагрузку для этого задания и флаг
+
+------
+Последовательность ввода для получения флага: 
+```
+ly
+aaaa
+wwwww
+aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
+s
+```
+------

Binary Exploitation/babygame02/babygame02.md

@@ -15,41 +15,49 @@ Additional details will be available after launching your challenge instance.
 
 ## Solution ##
 
-Скачиваем предложенный экзешник игры для анализа
-[Запускаем Гидру](https://github.com/NationalSecurityAgency/ghidra/releases)
+Let's download **.exe**.
+[Start Ghidra](https://github.com/NationalSecurityAgency/ghidra/releases)
 
-Декомпилируем. Расставляем удобные нам имена локальных переменных, чтобы код читался проще
-Замечаем функцию `win`, которая выводит флаг - ищем референс на неё и понимаем, что она нигде не вызывается.
+Decompiling. Arrange the local variable names, so that the code is easier to read.
+Note the `win` function that outputs the flag - there is not reference to it, it is not called anywhere. 
 
-Смотрим функцию move_player и видим не упомянутую команду `l<символ>` которая меняет символ, представляющий игрока на поле с `@` на любой введенный. Значит, мы можем поменять один байт внутри массива чаров, представляющего карту.
+Inside the `move_player` function we can see a hidden command `l<symbol>` - it changes the symbol, that represents the player.
+
+So we can use it as follows:
+1. player:`@`
+2. command:`l3`
+3. player: `3`
+
+It means, that we can change one byte inside the array of chars, that represents a map.
+
+The following line is responsible for placing player character on the map:(undefined size is 1 byte): 
 
-Замечаем, что на "карту"(массив чаров длинной 2700) игрок выставляется следующей строчкой кода по анализу Гидры(undefined имеет длину 1 байт): 
 `*(undefined *)(*playerCoordY * 0x5a + map + playerCoordY[1]) = player_tile;`
 
-Это значит, что мы можем ходить по памяти по одному байту за пределами карты, т.к. выражение в скобках - `int` и он приводится потом к указателю на однобайтовый тип данных, разыменовав который мы устанавливаем значок игрока на карту
+It means, that we can travel across the memory byte by byte, because `int` value `(*playerCoordY * 0x5a + map + playerCoordY[1])` was casted to a pointer on value of size 1 byte. And we can change one byte anywhere in the stack. It's not much we can do - and the first (and it is right) thought would be about changing the return address. 
 
-Замечаем,  что адрес возврата из `move_player` в `main` равен 080497**04**, а адрес начала функции `win` равен 080497**5d**, которые как раз различаются на один байт. А мы как раз обладаем возможностью изменить один байт в любой точки памяти из-за способа адресации, выбранного создателем игры.
+We can see, that return address of `move_player` inside `main` is 080497**04** and start address of the `win` function is 080497**5d**. They differ by one byte. Now we, what we need to do.
 
-Запускаем удобный дебагер - я воспользовался [gdb+gef](https://github.com/hugsy/gef), ставим брейкпоинт на move_player и смотрим, как выглядит стек. 
+**5d** is equal to char `']'`.
 
-Смещение от начала массива, представляющего карту до первого байта адреса возврата из move_player в main равно 39. Это значит, что нам надо от левого верхнего угла 39 раз повторить ход влево (от левого - т.к. мы ползем вверх по стеку - в сторону уменьшения адресов)
+Run a debugger you're comfortable with - I was using [gdb+gef](https://github.com/hugsy/gef). Place breakpoint on `move_player` and inspect the stack. 
 
-При попытке просто проехаться на 39 влево мы цепляем важное и все крашит - поэтому мы делаем шаг вверх, чтобы "загрязнять" своими похождениями мусорные байты(ход вверх сместил нас на 90 байт вверх  по стеку). 
+Offset from the beginning of the array to the first byte of the return address from `move_player` is equal to **39**. It means, that we need to make 39 steps to the left from the top left corner.
 
-После 39 влево делаем один раз вниз (получаем минус 90 байт, которые мы прибавили ранее ходом вверх) - и попадаем на нужный байт. При установке на него его значение заменяется значком нашего игрока - поэтому предварительно выполняем команду `l]`
+But program will crush, if you do like that. So we need to move up from top left conner (because with that we will move by 90 bytes in one step, and will not overwrite something important on the stack with our player-char).
 
-Тестируем локально. Радуемся - все получилось - мы подменили адрес возврата на адрес начала `win` и вызвали её
+So we need to make one step up. Then we make 39 steps to the left. And finally - make one step down (it eliminates out +90 bytes offset from the beginning) - and it's done.
 
-Запускаем дистанционно - ничего не работает.
+Locally it will work just fune. Yay!
 
-Почему-то буфер не сбрасывается, если мы приходим в самое начало функции win 080497**5d**, поэтому пробуем последующие адреса вида 080497**xx** (т.к. мы можем менять только один байт), пока не получится
+Then you will run that remote and it will not work.
 
-Сработало на адресе 080497**79**, а `0x79` - это символ `y`
+I don't know why, but buffer will not flush, if you jump exactly to 080497**5d** - the beginning of the `win`. So we just try addresses of next instructions until it works.
 
-Так мы и получили нашу полезную нагрузку для этого задания и флаг
+It worked with 080497**79**, and `0x79` == `'y'`
 
 ------
-Последовательность ввода для получения флага: 
+So, here is the input for the task:
 ```
 ly
 aaaa

Binary Exploitation/tic-tac/tic-tac-ru.md

@@ -0,0 +1,39 @@
+# tic-tac #
+ 
+## Overview ##
+ 
+200 points
+ 
+Category: [Binary Exploitation](../)
+ 
+Tags : `#picoCTF 2023` `Binary Exploitation` `linux` `bash` `toctou`
+ 
+## Description ##
+
+Someone created a program to read text files; we think the program reads files with root privileges but apparently it only accepts to read files that are owned by the user running it.
+Additional details will be available after launching your challenge instance.
+ 
+## Solution ##
+
+Самая большая подсказка - тег задачи `toctou`, что является названием вида уязвимостей. `toctou` -> `Time-of-check to time-of-use`
+
+Файлом `flag.txt` владеет root, программой владеет тоже root, но там стоит бит `s` в правах - значит она запустится от рута - мы должны заставить её открыть `flag.txt`, при этом обойдя проверку нашего настоящего uid с uid владельца файла со стороны программы через функцию getuid.
+
+1. Подключаемся по SSH Замечаем, что проверка владения файлом со стороны программы (где getuid == uid_файла) происходит один раз, а дальше идет чтение файла
+
+2. Создаем файл, которым мы владеем - `ttt.txt` - я написал туда `123`
+
+3. Создадим символьную ссылку `my_link` и будем её бесконечно привязывать к `ttt.txt`, затем к `flag.txt` и так по кругу следующим скриптом:
+
+```bash
+while true; do ln -sf /home/ctf-player/ttt.txt /home/ctf-player/my_link; ln -sf /home/ctf-player/flag.txt /home/ctf-player/my_link; done &
+```
+
+4. Затем запускаем бесконечный цикл, который выполняет программу на `my_link` следующим скриптом:
+
+```bash
+while true; do ./txtreader my_link; done
+```
+5. После этого в определенный момент произойдет следующее: программа проверит uid юзера на совпадение с uid владельца файла, когда `my_link` -> `ttt.txt`. Затем `my_link` переподвяжится на `flag.txt`, а параллельно с этим программа `txtreader` выполнит чтение из `my_link`, тем самым мы получим флаг, т.к. мы обошли проверку uid, а файл `flag.txt` прочитается, т.к. им владеет root, под именем которого программа выполняется
+
+![Screenshot of the results](1.jpg)

Binary Exploitation/tic-tac/tic-tac.md

@@ -15,25 +15,30 @@ Additional details will be available after launching your challenge instance.
 
 ## Solution ##
 
-Самая большая подсказка - тег задачи `toctou`, что является названием вида уязвимостей. `toctou` -> `Time-of-check to time-of-use`
+The most useful hint - tag of the task `toctou`. It is a name of the vulnerability: `toctou` -> `Time-of-check to time-of-use`.
 
-Файлом `flag.txt` владеет root, программой владеет тоже root, но там стоит бит `s` в правах - значит она запустится от рута - мы должны заставить её открыть `flag.txt`, при этом обойдя проверку нашего настоящего uid с uid владельца файла со стороны программы через функцию getuid.
+The owner of the `flag.txt` is **root**, also `root` is the owner of the program.
 
-1. Подключаемся по SSH Замечаем, что проверка владения файлом со стороны программы (где getuid == uid_файла) происходит один раз, а дальше идет чтение файла
+But program have bit `s` in its permissions - it means, that it runs from **root**: we need to trick it to open `flag.txt`, avoiding uid check from the program at the same time.
 
-2. Создаем, которым мы владеем - `ttt.txt` - я написал туда `123`
+1. Connect via SSH to the instance. We can see, that there is **one** check for uid.
 
-3. Создадим символьную ссылку my_link и будем её бесконечно привязывать к `ttt.txt`, затем к `flag.txt` и так по кругу следующим скриптом:
+2. Create a file - I named it `ttt.txt` and wrote `123` inside it.
+
+3. Create a symbol link `my_link`. Let's endlessly make it point to `ttt.txt`, then to `flag.txt` in a loop with following script:
 
 ```bash
 while true; do ln -sf /home/ctf-player/ttt.txt /home/ctf-player/my_link; ln -sf /home/ctf-player/flag.txt /home/ctf-player/my_link; done &
 ```
 
-4. Затем запускаем бесконечный цикл, который выполняет программу на `my_link` следующим скриптом:
+4. Then let's endless loop, that runs `txtreader` over `my_link`:
 
 ```bash
 while true; do ./txtreader my_link; done
 ```
-5. После этого в определенный момент произойдет следующее: программа проверит uid юзера на совпадение с uid владельца файла, когда `my_link` -> `ttt.txt`. Затем `my_link` переподвяжится на `flag.txt`, а параллельно с этим программа `txtreader` выполнит чтение из `my_link`, тем самым мы получим флаг, т.к. мы обошли проверку uid, а файл `flag.txt` прочитается, т.к. им владеет root, под именем которого программа выполняется
+5. Then next events will occure: 
+    1. Program will check uid, when `my_link` -> `ttt.txt`.
+    2. `my_link` will change and point to `flag.txt`.
+    3. `txtreader` will read from `my_link` - we have already bypass uid check, so we will get the `flag.txt`.
 
 ![Screenshot of the results](1.jpg)

README.md

@@ -21,7 +21,7 @@ I will describe, how to solve some challenges, that are not presented in [this r
 * Reverse Engineering
   * **[No way out](Reverse%20Engineering/No%20way%20out/No-way-out.md)**
 * Binary Exploitation
-    * **[babygame02 (RU)](Binary%20Exploitation/babygame02/babygame02.md)**
-    * **[tic-tac (RU)](Binary%20Exploitation/tic-tac/tic-tac.md)**
+    * **[babygame02 (EN :gb:)](Binary%20Exploitation/babygame02/babygame02.md)** | **[babygame02 (RU :ru:)](Binary%20Exploitation/babygame02/babygame02-ru.md)**
+    * **[tic-tac (EN :gb:)](Binary%20Exploitation/tic-tac/tic-tac.md)** | **[tic-tac (RU :ru:)](Binary%20Exploitation/tic-tac/tic-tac-ru.md)**
 
 Full solutions to the challenges are provided in the write ups, however the actual flag values are withheld.