전체 글

코드를 보면 6666포트를 열어 대기하고 있다가 클라이언트가 접속을 하면 클라이언트가 보낸 256바이트의 데이터를 크기가 40인 buf에 넣으면서 bof가 발생할 수 있다. 일단 어떤 프로그램으로 컴파일 시켜 실행시키고 있는지 확인하기 위해 netstat으로 6666포트를 사용하고 있는 프로세스를 보았으나 권한이 없어 보지 못했다.이제 방법은 리버스쉘을 이용하는건데리버스쉘은 간단하게 얘기해서 공격대상 서버의 쉘을 공격자의 ip, 포트에 연결을 한다고 생각하면 된다. 네트워크를 통해 공격을 해야하므로, 일반 쉘코드를 이용을 하면 쉘을 따더라도 그 연결을 지속해줄수가 없다.따라서 쉘을 따서 그 연결을 외부로 돌려주는 쉘코드가 필요하다. 리버스쉘에 필요한 쉘코드는 메타스플로잇을 이용하면 쉽게 만들 수 있다. ..

코드를 보면 buffer에 fgets함수를 통해 256바이트만큼 표준입력을 받는다.gdb를 통해 보면 buffer의 주소는 ebp-40이다.따라서 buffer+47의 ret주소의 최상위바이트이다.이 최상위 바이트가 '\xbf', '\x08'이 되면 함수가 종료된다.즉 스택이나 data, bss, dtors 섹션 등을 이용 할 수가 없다. 이제 남은 곳은 힙 부분과 memset에서 제외된 buf-40 ~ buf까지 40byte이다.근데 buf는 스택부분이라 \xbf로 주소가 시작한다.따라서 힙 부분에서 쓸만한 곳을 찾아야한다. 코드를 보면 fgets함수에서 stdin 표준스트림을 이용해서 입력을 받는다.표준 입력을 받을때는 read함수를 이용해 엔터를 칠때까지 임시입력버퍼에 저장을 해놓고 buffer에 저..

문제를 보면 우선 argv[1]의 44번째 부터 4바이트가 strcpy의 주소와 같아야 한다.buf의 크기가 ebp-40부터 시작하기 때문에 조건문을 뛰어넘으면 strcpy함수에 의해 main함수의 ret가 strcpy로 덮힌다.그리고 memset으로 strcpy의 리턴addr이 'AAAA'로 설정된다. strcpy함수는 특정 주소(&DST)에 특정 주소(&SRC)의 값들을 복사하는 역할을 한다.따라서, 무조건 strcpy함수가 실행이 되기 때문에 strcpy가 종료되고 ret하는 부분을 쉘코드, RTL등을 이용하여 쉘을 따면 된다. 나는 RTL을 이용하여 문제를 풀었다.strcpy &DST는 strcpy의 ret부분인 buf+48부분이다.그리고 RTL payload를 넣을주소가 strcpy의 &SRC에..

Python and cryptography with pycrypto Hash functionsA hash function takes a string and produces a fixed-length string based on the input. The output string is called the hash value. Ideal hash functions obey the following:It should be very difficult to guess the input string based on the output string.It should be very difficult to find 2 different input strings having the same hash output.It sh..

/* The Lord of the BOF : The Fellowship of the BOF - succubus - calling functions continuously */ #include #include #include // the inspector int check = 0; void MO(char *cmd) { if(check != 4) exit(0); printf("welcome to the MO!\n"); // olleh! system(cmd); } void YUT(void) { if(check != 3) exit(0); printf("welcome to the YUT!\n"); check = 4; } void GUL(void) { if(check != 2) exit(0); printf("wel..

문제를 보면 ret주소의 첫번째 바이트가 \x40이나 \xbf가 되지 않는다.그리고 argv[1]에서 48바이트 만을 들고온다.따라서 기존의 방법은 사용할 수가 없다.근데 이전에 문제중에 함수에서 sfp의 1바이트를 수정하여 main함수가 종료될 때 ret를 바꿀수 있었다.이 문제는 함수안에서 sfp를 수정할 수는 없지만 ret주소를 바꿀수 있기 때문에 동일한 방법으로 공격이 가능하다. 즉, sfp주소를 buf의 시작주소로 잡고 ret주소를 leave명령어가 호출되는 곳의 주소로 한다.buf의 구조는 이전에 풀었던 문제와 거의 같다. 이와 같이 작성하면 첫 leave가 호출될때 ebp가 buf+0주소로 된다.그리고 ret를 할때 다시 leave로 돌아간다. 그리고 두번째 leave에서 ebp는 buf+0..

아쉽게 4등을 했다. 캡쳐 찍어논거를 보고 대강 writeup을 쓴다. 이미 선물을 줬다고해서 받은게 없어서 뭔지 몰랐다. 근데 로그인 어쩌고 공지가 떠서 로그인할 때 패킷을 보니 플래그가 박혀있었다. 압축파일을 풀면 nonogram이 나온다. 이 노노그램을 풀면 인스타그램 모습이 나온다. 여기서 힌트가 rgb이다. 따라서 가로에 있는 숫자들을 색깔별로 더했다. rgb는 10;11;12이런식으로도 표현하고 #0A0B0C 이런식으로 표현한다. 인스타에서 해당 해시태그를 검색해보았다. 해시태그를 검색하면 밑에 FLAG가 있다. 사진파일을 binwalk로 보면 zip파일이 들어있다. BEAR일때의 스위치 상태를 차례대로 적어서 BASE64돌리면 바로 답이나온다. 반복되는 문자열을 \n으로 분류 해주고 각 문자..

펌웨어 분석을 공부하기 위해 제일 만만한 iptime공유기의 펌웨어를 분석해 보기로 했다. 우선 지금 사용중인 공유기의 정보이다.모델은 iptime의 N604R이며 펌웨어 버전은 8.88이다. 펌웨어 비교분석을 하기위해 iptime홈페이지에가서 최신버전을 보니 무려 9.91.2까지 나왔다 ;; 일단 8_88펌웨어를 다운받은 후 분석 하였다. 펌웨어를 binwalk로 살펴보았다.binwalk는 파일의 시그니처를 이용하여 어떤 data가 들어있는지 확인을 할 수 있는 도구이다. LZMA 압축데이터3개와 Squashfl파일시스템으로 구성되어 있었다. Firmware Mod Kit을 이용하여 펌웨어내에서 각종 파일을 추출했다.FMK는 펌웨어를 빌드하거나 추출하는 등 다양한 기능이 있는 분석툴이다. 추출한 디렉토..

IDAPython은 사용자가 다양한 기능에 접근할 수 있게 해주는 플러그인이다.[11.2] IDAPython 함수 IDAPython은 IDC와 완전 호환된다. 모든 IDC 함수는 IDAPython에서 사용 가능하다.[11.2.1] 유틸리티 함수ScreenEA() : IDA 화면에 있는 커서의 현재 위치 획득GetInputFileMD5() : IDA에 로드된 바이너리의 MD5 해시 값 획득 바이너리 버전 변경이 내용에 영향을 미치는지 확인할 때 유용[11.2.2] 세그먼트※IDA에서 바이너리는 여러 세그먼트(CODE, DATA, BSS, STACK, CONST, XTRN)로 나뉜다.FirstSeg() : 바이너리의 첫 번째 세그먼트 시작 주소 반환NextSeg() : 바이너리의 다음 세그먼트 시작 주소 반..

위와 같은 소스 코드를 하이라이트 하고 싶다 했을때 티스토리 글쓰기 화면에서 우측 상단의 "HTML" 을 체크하여아래의 코드를 추가합니다. 입니다.brush 뒤에 java, html, css, cpp 등을 지정하시면 됩니다. ---------------------------------------------------------------------

실행을 하고 아무거나 입력을 하면 Wrong이 뜬다.IDA로 킨 후 살펴보았다. 간단한 구조로 되어있는 것을 볼 수 있다.출력을 한 후, 2개의 함수를 거치고 eax가 1이면 Correct가 출력이 된다.두 함수를 살펴 보았다. 첫번째 함수인데 scanf를 호출한다.byte_804A020에 버퍼가 있다는 것을 확인한 후 다음 함수로 넘어갔다. 다음함수의 일부이다. byte_804A020가 첫번째 글자이므로 두번째 글자는 0x31이고, 첫번째 글자와 34를 xor하고 al을 다시 그 자리에 대입한다.세번째 글자와 32를 xor하고 al을 다시 그 자리에 대입한다.네번째 글자와 0xffffff88를 xor하고 al을 다시 그자리에 대입한다.다섯번째 글자가 0x58인지 확인을 한다.byte_804A025가 0..

실행을 하면 전형적인 랜섬웨어 처럼 key값을 가지고 복호화를 하는 것처럼 생겼다.차이점이라고 하면 원래 랜섬웨어는 모든 디렉토리를 순회하며 암호화를 하지만 이 문제의 경우에는 한개의 file만 암호화가 된 상태이다. file은 암호화가 되어있으며 복호화를 시키면 exe형식이다. 올리디버거로 스트링을 보면 파일을 읽고쓰는 부분을 금방 찾을 수 있다. ECX+5415B8에 파일을 읽어 한바이트씩 저장시킨다. 암호화를 시키는 핵심 부분이다.간단하게 되어있는데,파일에서 한바이트씩 가지고 와서 key값의 순서대로 xor시킨 후 ,그 값을 다시 0xff와 xor연산 후 다시 덮어씌운다.즉 file[i] = file[i] ^ key[i] ^ 0xff 대충 이런식이다. 암호화를 한 후 값을 다시 edx+5415b8(..