System/System 문제풀이

part2를 대회 끝나기 1시간전에 풀어서 바이너리만 추출하고 fedora docker에서 jemalloc 라이브러리 추출하고 시간내에 못 풀것같아서 잤던 문제다. heap overflow가 발생하는건 대회때 봐뒀기 때문에 서버도 아직 열려있어서 writeup을 보기전에 다시 풀어보았다. 우선 이 문제를 풀기위해서는 jemalloc libc가 필요한데, fedora에서 쉽게 받을 수 있다. 따라서 docker로 fedora 최신버전을 킨 다음에 yum install jemalloc 을 통해 libc를 받고 그냥 jemalloc libc를 추출한 다음에 LD_PRELOAD를 통해 ubuntu에서도 실행시킬 수 있다. (ubuntu에서도 받는 방법이 있을거 같은데 방법을 찾지 못했다.) 첫번째 밑줄 그은 m..

이 문제는 한달 전 크리스마스CTF에 나왔던 문제였다. 당시에 아마 시간이 부족했는지 후반에 문제가 나왔는지 기억은 안나는데, 아마 푼팀이 한팀도 없었던 걸로 기억한다. 킵 해뒀다가 생각나서 풀어보았다. 대략 실행시키면 위와 같이 이름을 쓰게되고 여러가지 기능이 있다. 간단히 설명을 하면 처음에 500원을 주는데 물고기를 마리당 200원에 판다. 물고기를 사서 먹이를 줘서 키운다음에 다시팔면 돈을 벌 수 있다. 이렇게 해서 돈을 9999999보다 많이 벌게 되면 힙영역을 100바이트 overwrite 할 수있는 setBowlName 함수를 실행할 수 있게된다. 여기서 문제는 돈을 9999999만큼 벌려면 물고기를 사서 키우고 팔고를 계속 반복해야하는데 메뉴선택은 100번으로 제한되어 있다. 따라서 다른 ..

보호 기법은 위와 같다. 나는 fake size chunk 할당, fastbin control을 이용해서 ret부분을 가젯으로 덮어씌워 문제를 풀었다. 우선 함수들을 살펴보자 ADD함수인데, strcpy를 사용해서 데이터를 임시버퍼에서 복사한다.만약 다음 heap chunk의 size부분 바로 앞까지 데이터를 채워놓으면 edit함수를 통해 1byte overwrite할 수 있다.이 때, 다음 chunk의 크기를 한바이트 바꿀수 있게되고, 크기가 변조된 청크를 free malloc 하는 과정을 통해 그 뒤에 있는 heap chunk의 fd를 overwrite 할 수 있다.read함수를 이용하기 때문에 null값을 포함한 데이터를 입력할 수 있다. EDIT함수에서는 패드의 값을 수정할 수 있는데,strcpy..

저번 holyshield대회 때 못 푼 review 문제를 풀어보았다. 우선 취약한 부분은 비교적 쉽게 찾을 수 있다. fuck+44와 fuck+48에는 보이드함수가 존재한다. 밑줄부분에서 fuck+30부분에 최대 100바이트를 쓸 수 있다. 따라서 보이드함수 부분을 overwrite 할 수 있다. 이 보이드함수들은 언제 호출 되는지 살펴 보았다. admin page가 존재한다. 이 함수 내에서, 보이스 함수가 실행된다. 근데 이 admin page에 접속하기 위해서는 일반적인 입력으로는 들어오지못한다. 보면 입력이 0xFFFFFFF5가 되어야하는데 일반적인 입력으로는 이 값을 입력할 수 가없다. 근데 항상 입력을 하면 atoi같은 함수를 거치는데 당연이 atoi함수 인 줄 알았는데, 알고보니 조금의 트..

use after free bug문제이다. 대회 때 못풀어서, 학교 셤 끝나고 다시 풀어보았다. 빨리 review문제도 풀어야겠다. from pwn import * local = False if local : s = process('./diary') print util.proc.pidof(s) pause() else : s = remote('kimtae.xyz', 9989) def command(token, *args) : s.recvuntil(token) for i in args : i = str(i) s.sendline(i) fast = lambda token, *args : command(token, *args) def solver() : log.success('login...') fast(':',..

이 문제는 예~~전에 거의 똑같은 문제를 푼적이 있어서 접근은 쉬웠다. (http://blog.kimtae.xyz/129) argv[0]에 flag의 주소를 넣으면 stacksmasing 로그에 플래그가 출력되는 유형이다. 따라서 argv까지 거리만 잘재서 플래그주소로 덮으면 되는데 getaline 함수에서 \x00을 입력못받기 때문에 주소를 pack해서 넣지 못한다. 따라서 주소를 넣기전에 주소의 4바이트는 \x00으로 만들어 준 뒤, 플래그 주소 3바이트를 덮으면 원하는 주소를 넣을 수 있다. from pwn import * local = False if local : s = remote('localhost', 9909) pause() else : s = remote('checker.pwn.secco..

pwnablekr의 alloca랑 비슷한 문제였다. 값을 음수로 주게되면 입력buf의 주소를 조절할 수 있다. rop로 printf("~~%s~~%s~~~", got, got) 호출해서 got를 릭한다음 libc주어졌으니 실제주소구하고 printf 호출 뒤 다시 main으로 트리거해서 system("/bin/sh") 호출되게했다. from pwn import * local = False if local : s = process('./cheer_msg') print util.proc.pidof(s) pause() else : s = remote('cheermsg.pwn.seccon.jp', 30527) elf = ELF('cheer_msg') libc = ELF('libc') pop3ret = 0x8048..

1등으로 품! --------------------------------------------------------------------------------------------------------------------- 실행을 시키면 무한루프를 돌면서 입력값을 받고, 입력한 값을 출력할 때 fsb취약점이 있는것을 확인할 수 있다. 문제에도 적혀있다시피 fsb버그를 횟수제한없이 할 수 있기때문에 문제를 푸는 방법은 다양하다.나는 문제에 주어진 조건을 이용해서 간단한 방법으로 풀었다. 이 부분이 무한루프를 돌면서 입력값을 받고 출력을 해주는 부분이다. while문 안에서 호출되는 함수들을 살펴보면 위의 함수가 있다.입력을 받고 출력을 해주면서 fsb버그가 발생하는 것을 알 수 있고, 아래의 if(res..

이 문제는 바이너리가 주어지지 않고 nc 주소와 포트만 제공된다. fsb가 발생한다는 것은 몇번 간단한 입력만으로도 알 수 있다. 100점짜리 문제처럼 플래그가 박혀있지 않혀있다고 생각하지 않고쉘을 따거나 파일을 읽어야 겠다고 방향을 정하고 시작을 했다. 우선 구조를 보기위해 스택전체를 덤프를 했다. from pwn import * import sys context.log_level = "warn" def solver() : fd = open(sys.argv[1], 'w') p = log.progress('index ') idx = 1 while True : try : s = remote('9a958a70ea8697789e52027dc12d7fe98cad7833.ctf.site', 35000) s.rec..

바이너리 자체는 reversing 250점 문제와 똑같다. 키를 맞추고 나면 memcpy함수가 실행된다. 입력값의 1~100번째 값은 키를 맞추는데 사용됬고, 101번째 부터는 ebp-20h 에 복사가 된다. 따라서 입력한 값 100 + 0x20 + 8 = 140번째에 넣는 값은 rbp+8, 즉 리턴되는 주소이다. system('/bin/sh')를 사용하기 위해서는 실제주소를 알아야하기 때문에 릭하는 과정이 필요하다. 나는 rop페이로드를 짜서 printf의 주소를 알아낸 후, libc의 오프셋주소를 이용해서 실제 system주소와 /bin/sh 문자열 주소를 알아냈다. 그리고 두번째 실행할 때, system('/bin/sh')가 실행되도록 페이로드를 구성한 후 보냈고 쉘이 따졌다.aslr이 꺼져있다고 ..

문제파일에는 elf헤더의 5번째 byte가 2로 되있다.32bit 바이너리인데 2로 되있기 때문에 1로 수정을 하고 분석을 했다.문제환경이 14.04.5라고 명시되어있었다.따라서 14.04.5의 libc를 sig파일로 저장해서 ida에 적용시켜서 보았다. main함수에 입력을 받는 문자열이 있지만 실제로는 fake이다.init_array에서 두번째로 실행되는 함수안을 들여다보면 sleep을 걸고 chroot, 권한, 접근가능한지 확인을 한다.그리고 그 바로밑에 real_input이라고 내가 바꿔논 함수안에서 실질적인 입력을 받는다. ida에서 c를 누르면 분석하지 못했던 것들이 분석되서 위와 같은 코드가 나온다.여기서 입력을 받는데 최대길이가 89이다.그리고 아래쪽으로 단어조건이 5개가 있다. 그 단어조..

힙 청크를 이용한 문제였다. 32bit에 대해서 문서만 봐서 64bit는 뭐 어떻게 해야할지 몰랐는데 하고 나서보니 비슷했다. 크게 add, free, modify 함수가 있고, 코드자체는 비교적 간단해서 말로 설명을 하자면 최대 32byte까지 malloc을 5번 할 수 있고, 또한 원하는 힙을 free 시킬 수 있다. 여기서 modify함수가 중요한데 한번 malloc 된 힙주소를 32byte까지 수정할 수 있다. malloc되는 heap의 크기가 작기 때문에 fastbin으로 관리가 된다. 이 문제에서는 free를 하고 난 이후, modify를 통해 다음 malloc이 발생할 때 fastbin에 들어가는 fd를 내가 원하는 주소로 수정할 수 있따. 이글에 쓰어진 공격은 malloc -> free -..