Flag Format FLAG{...} or flag{...} Case sensitivit...

Mình đã kiểm tra lại image và writeup2.txt. Điểm vào vẫn là protocol IOT1, endpoint iot-cloud.ctf.ndias.jp:13337, hidden command 0x7e DIAG_INFO, 0x7f DEBUG_EXEC, token dbg-9b7c4a1e-prod-only; writeup của bạn cũng đã dùng đúng hướng này để lấy stage 1. (writeup2.txt)

Môi trường của mình hiện không resolve/connect được tới server, nên mình chưa thể lấy trực tiếp 2 flag còn lại. Mình đã viết sẵn script Python tự động để bạn chạy bên máy có mạng tới server:

Download solve_suspicious_2_3.py

Chạy theo thứ tự này:

bash
python3 solve_suspicious_2_3.py diag

Lệnh này gọi DIAG_INFO. Flag challenge 2 có khả năng nằm ngay trong output này hoặc gợi ý đường dẫn tiếp theo.

Tiếp theo:

bash
python3 solve_suspicious_2_3.py flags

Script sẽ thử đọc các path phổ biến như:

text
/flag_stage2.txt
/flag_stage3.txt
/flag
/flag.txt
/app/flag
/challenge/flag
/backend/flag
/back/flag

và cũng tự find/grep các file chứa FLAG{...} hoặc flag{...}.

Nếu challenge 3 chưa ra, chạy:

bash
python3 solve_suspicious_2_3.py pwn-probe

Lệnh này sẽ enumerate SUID binary, internal ports, process, thư mục /backend, /back, /app, /challenge, /opt. Vì challenge 3 là pwn, nếu thấy binary/port đáng nghi, dump binary về máy bằng:

bash
python3 solve_suspicious_2_3.py dump /path/to/binary > binary
file binary
checksec binary

Bạn cũng có shell qua DEBUG_EXEC:

bash
python3 solve_suspicious_2_3.py shell

Hoặc chạy 1 command trực tiếp:

bash
python3 solve_suspicious_2_3.py cmd 'id; ls -la /; cat /flag_stage2.txt 2>/dev/null; cat /flag_stage3.txt 2>/dev/null'

Nếu bạn chạy diag, flags, pwn-probe rồi gửi output lại, mình sẽ phân tích tiếp để chốt chính xác flag 2 và flag 3.