전체 글

코드게이트 끝나고 중간고사치고 한달동안 과제며 보고서며 할게 많아서 문제를 거의 못풀었다 ㄷ.ㄷ 그래도 5월에는 IoT장비 취약점을 4개 찾아서 KISA에 제보했다. 다시 밀린 문제들을 좀 풀어봐야겠다.

probcategory : Crackme 2000 Challenge주어진 바이너리들의 KEY 값을 찾는 그런 문제였다. 총 6개의 문제가 출제 되었고, 각각 다른 루틴을 가지고 있다. enlightenment 문제에서 나머지 다른 5문제의 루틴이 섞인 바이너리가 존재하기 때문에 enlightenment 문제만 푼다면 다른 5개 문제는 모두 풀 수 있다. 전체적으로 objdump, grep, 정규표현식, 약간의 리버싱만 있으면 풀 수 있는 문제였다. Solution import re import sys import os import glob import subprocess import string check_out = lambda cmd : subprocess.check_output(cmd, shell=T..

Challenge코드게이트 예선때는 101개의 바이너리를 리버싱해서 키를 찾는 문제가 있었는데 모두 같은 bit 였었고, 비교적 규칙적이여서 간단한 angr코드로도 문제를 풀 수 있었다. 이번 본선에는 300개의 바이너리를 리버싱해서 키를 찾는 문제가 나왔는데, 300개의 바이너리를 보니 32bit,64bit 가 랜덤으로 섞여있었고, 키를 찾는 루틴 전에 몇가지 패턴(socket, argv check 등)이 있었고, 이를 코드패치를 해주지 않으면 절대로 키를 체크하는 루틴에 도달할 수 없는 그러한 바이너리가 랜덤하게 300개 있었다. Solution키를 체크하는 함수 직전에 nop + 프로그램 실행 시, 첫번째 인자를 키 체크 함수의 인자로 넣는 어셈블리어를 32bit, 64bit 두 가지 경우로 짠 뒤..

후기4월 12일에 DDP에서 코드게이트 해킹방어대회 본선이 있었다.한명은 리버싱, 내가 시스템, 나머지 두명은 웹 + a 이렇게 역할을 나눠서 준비를 했다. 결과적으로 우리팀은 GoEnc, EasyCrackReturns, AEG 이렇게 3문제를 풀어서 2등을 했다.EasyCrackReturns는 300개 바이너리를 손수 코드패치 할 수는 없어서, 오프셋을 정확히 찾아서 검증하는 함수의 첫번째 인자값으로 argv[1]값을 주고, 나머지는 nop으로 채우는 어셈블리어를 작성해서 자동으로 코드패치를 하고 난 뒤, angr을 이용해서 풀었다. 아마 더 빠른 방법이 있을거 같다.AEG문제는 z3의 BitVec을 이용하면 값을 찾을 수 있었고, 그 다음은 쉘코드앞에 무한루프를 넣어보고 무한루프가 걸리길래 실행하다보..

probcategory : pwn score : 130Challengestrcpy로 원하는 문자열을 충분히 복사를 할 수 있고, canary가 없기 때문에 바로 원하는 값들을 스택에 덮을 수 있다.대신 입력받은 값들을 검증을 하는데 printable한 값들만 입력을 할 수 있다.mmap을 통해서 적당히 printable한 주소부분에 라이브러리를 올려놓기 때문에, 그 부분에서 printable한 가젯들을 이용해서 쉘을 실행시킬 수 있었다.Find printable addrprintalbe한 주소에 있는 함수들, 값, rop가젯들을 따로 뽑아서 시간을 좀 절약했다. 원샷가젯 비슷한 걸 찾아서 함수의 주소들은 필요가 없었다. from pwn import * #ROPgadget --binary libc.so >..

probcategory : pwn score : 255Challenge1. Allocate - heap에 calloc을 이용해 동적할당을 해주며 index로 관리된다. mmap으로 생성되는 랜덤한 주소에 테이블에 힙주소가 저장된다. 2. Fill - 힙 주소가 저장된 테이블에 index를 이용해 접근한 뒤, 그 주소에 데이터를 쓴다. 3. Free - 입력한 index에 있는 heap chunk를 free한다. 4. Dump - 입력한 index에 있는 heap chunk를 size만큼 출력한다. 5. Exit - 종료 Vulnerabilities Fill 함수에서 해당 하는 heap chunk의 크기를 체크하지 않고, 힙에 데이터를 쓴다. 따라서 heap overflow가 발생할 수 있고, 할당된 힙의..

보호되어 있는 글입니다.

memocategory : pwn score : 300 Challenge 바이너리를 분석해보니, 얼마전 seccon의 tinypad문제와 좀 비슷했는데, 오히려 문제를 푸는 조건은 더 좋았다. bss영역에 주소를 저장해놓는 배열, 크기를 저장해놓는 배열, 등이 있고, 이를 참조해서 데이터를 관리한다. 즉, 이 영역의 값을 원하는 값으로 바꾸기만하면 해당 주소의 값을 읽고, 그 주소에 쓸 수도 있다. Vulnerabilities 취약한 부분은 비교적 눈에 잘 띄게끔 되어있다. 크기가 0x20이 넘으면 0x20만큼 malloc하게 되는데, read함수의 크기에는 0x20이 아닌 처음입력한 값을 그대로 사용한다. 따라서 heap overflow가 발생할 수 있다. 현재 chunk 뒤에 할당이 해제되있는 chu..

hiddensccategory : pwn score : 200 Challenge바이너리 자체는 간단한 기능을 수행한다. [a]lloc, [j]ump : a sz? 32 free? y ye [a]lloc, [j]ump : a sz? 111111111111111111111111111111111111 FAIL [a]lloc, [j]ump : j sz? 99999999999 실행을 하게되면 "a"로 malloc을 이용해서 원하는 크기만큼 할당할 수 있고, 만약 할당할 수 없는 크기면 FAIL이 출력된다. "j"로 원하는 주소에 점프를 할 수 있다. 이 문제에서는 sc가 저장되있는 주소에 점프를 해서 쉘을 획득하는 것이 목적이다. Vulnerabilities간단히 설명하면 mmap으로 크게 할당을 받으면 다음 세..

이 문제를 대회 중에는 풀다가 3->4로 레벨업 하는 순간에 레이스컨디션을 이용해서 다른 쓰레드로 플래그를 읽는거에 집중했었는데대회 끝나고 바이너리를 다시보니 플래그 읽는 함수이후에 레벨이 증가하기때문에 애초에 불가능한 방법이였다.ㄷㄷ 다른곳을 좀 더 봤어야했는데, 그 당시에는 단순하게 생각한 것 같다. 문제를 살펴보면, 이 함수에서 만약 boss의 hp가 0이하이면서, 레벨이 3이상이면 flag가 출력이 되게끔 되있다.로컬문제이므로 seed를 맞춘다음에 레벨을 4까지 올리는것은 쉽다.그 다음이 문제인데 정상적인 방법으로 boss의 hp를 음수로 만들수가 없다. 이 부분에서 보면 i가 4이하일때는 signed로 boss의 hp를 깍고,5이상이면 unsigned로 boss의 hp를 깍는다. 이건 스킬들의 ..

CERT-IS팀 풀이 보고서 동아리 이름으로 대학부 예선에 등록해서 5명이 모여서 같이했다.대학부에도 잘하는 팀들이 많아서 긴장 했었는데, 결과적으로 2등 했다.우리집에서 모여서 했는데 중간중간에 떠들고 논다고 대회 동안 지루하진 않았다. hunting문제는 쫌 아쉬웠다. 이 문제에 시간을 좀 많이 쓴거같다. 아마 sleep(1)이 포함된 스킬을 이용해서 마지막 보스를 때려잡으면, 공유변수가 셋될때 레이스컨디션으로 다른 쓰레드에서 플래그를 읽는거 같은데익스는 제대로 짠거같은데 어떤 문제인지 플래그가 안읽혔다. PNGParser도 웹의 탈을쓴? 힙 문제였는데, 팀원이 eip변조까지 했는데 시간부족으로 못풀어서 아쉬웠다. 다른 pwn문제는 제대로 못봐서 시간날때 풀어봐야겠다. 본선대비해서 빨리푸는 연습을 좀..

ida로 바이너리를 분석하다 보면 보통 구조체는 ida에서 정의해주지 않습니다.따라서 구조체 분석이 끝난이후에는 사용자가 구조체를 직접 정의해주면 분석하기가 훨씬 편합니다. 저 같은 경우에는 두가지 방법을 주로 이용하는데,2016 seccon에 나왔던 chat문제를 예시로 설명하겠습니다. 이 함수는 tweet message를 만들어서 보내는 함수입니다.보면 0x98만큼 힙에 할당을 하는데, 분석을 해보면 count 8bytename 8bytemessage 128byteheap_addr 8byte이렇게 총 0x98바이트 구조체인것을 금방 알 수 있습니다. v5[18], (__int64)(v5+2) 이런식으로 되어있으면 위와 같이 간단할 때는 알아볼 수 있어도복잡한 바이너리 에서는 보기가 불편합니다. 따라서..