System

헥스레이 결과를 토대로 문제를 살펴보면 위 그림에서 첫번째 mprotect함수가 실행되고 두번째 mprotect함수가 실행되기 전에 사용자가 원하는 주소의 한바이트를 바꿀 수 있는 취약점이 있다. 이를 이용해서 공격을 해야하는데 한바이트만 바꿔서는 딱히 방법이없다.그리고 aslr이 적용되어 있기때문에 고정된 주소를 이용해서 공격을 해야한다. 우선 첫번째로 함수가 바로 끝나지 않게 트리거를 시켜줄 주소를 정해서 바이트를 수정한 뒤, 적당한 주소에 쉘코드를 넣고, 다 넣은후에는 다시 쉘코드가 있는 주소를 call할 수있게끔 바이트를 수정하면 쉘코드를 실행할 수 있다. 0x400860에 add rsp, 0x48 이 있는데 rsp에는 입력한 값이 저장이 된다.따라서 오퍼랜드 값을 작게 바꿔주면 rip를 조정 할..

문제는 3개의 입력을 받는 함수와, 출력을 해주는 함수, 그리고 끝내는 함수 이렇게 5개로 이루어져있다. time_format과 time과 time_zone을 입력하고 print를 하면, system("/bin/date -d @%d +'%s'", (unsigned int)time_addr, time_format) 이 실행이 되고,'TZ'라는 환경변수에는 time_zone에 입력한 문자열이 들어간다. 여기서 나는 처음에 time_zone에 '/bin/sh'를 넣고, time_format에 `$TZ`이런식으로 환경변수를 넣어 쉘을 실행시키려고 했다.하지만 time_format을 입력할 때 필터링이 걸려있어서 넣을수가 없었다. 그런데 코드 중간중간데 getenv("DEBUG")가 있으면 자꾸 주소를 출력해주는..

문제는 우선 처음에 serial키를 맞춰야지 메뉴가 나오면서 시작된다. 따라서 serial을 우선 맞춘다음 취약점을 알아내야한다. ascii값으로 57보다 작은값이 12글자이면 오른쪽 화살표로 이동해서 값이 유효한지 확인을 한다. IDA에서 봤지만 연산과정이 복잡한건진 몰라도 핵스레이가 제대로 해석하지 못한다. 따라서 핸드레이(직접 손으로)를 통해서 serial키를 알아내야한다. 과정이 복잡한거 같지만 비슷한 과정을 반복하기 때문에 금방 serial키를 알아낼 수 있다. 1. - a == (AAAA ^ ((44204 ^ 43947 ^ 4080) + ((3855 >> 8) | (3855 11)))) 3. - c == (CCCC ^ ((4080 ^ b ^ a) + ( (b > 13)))) 4. - (((((..

이런 문제이다.직접 서버의 몇개의 명령어를 popen을 통해 실행 시킬 수 있고,user의 정보를 삽입, 수정, 확인 할 수 있다. 문제를 풀때는 insert, modify, show 쪽을 뒤져서 공격을 하려고 삽질을 많이 했다.특히 64bit고 중간에 헷갈리게 많이 해놔서 찾는데 오래 걸렸다....취약점은 명령어 중에 ifconfig를 실행하면 입력을 한번 더 받는다.이상하다. ifconfig는 보통 옵션없이 많이 쓰기 때문에 ida로 살펴 보았다. 빨간색 네모부분이 명령어를 실행 시키는 부분인데check함수에 들어가보면 여러가지 ascii문자들이 필터링 되어있다.근데 $,(,),등이 빠져있다.strcat을 이용해 ifconfig+입력한 문자열을 실행시키기 때문에ifconfig$(sh)이렇게 입력을 하..

문제 자체는 간단한 fsb문제인데, no RELRO이다. fini_array를 overwrite할 수 있다. 원하는 정보를 얻은 후 다시 main함수로 트리거할 때 fini_array 배열을 사용하면 된다. 정적분석과 동적분석을 해보면 스택의 구조는 위 그림과 같다. 나는 저기서 fsboffset 264,267부분을 이용해서 공격을 했다. fsb offset이 264인 부분을 leak한 후, -24를 하면 ebp값을 알아낼 수 있고, 267인 부분을 leak하면 실제 __libc_start_main으로 돌아가는 ret 주소를 알아 낼 수 있다. libc가 주어지므로 offset을 바로 gdb로 확인하여, system함수와 '/bin/sh/주소를 알아 낼 수 있었다. 위 과정을 통해 필요한 주소값들을 알아..

GDB에서는 fork/exec() 이후에도 프로그램을 계속 디버깅 할 수 있는 기능을 제공한다. (GNU/Linux, HP-UX only) 기본적으로는 fork() 이후에는 parent process 만이 계속 디버깅되며 child에 breakpoint를 설정하면 SIGTRAP을 받고 종료되어 버린다. 이를 해결하기 위한 전통적인 방법은 child에 sleep을 걸고 ps 명령 등으로 child의 pid를 알아낸 후에 attach 하는 방식이 사용되었다. 하지만 Linux (커널 2.5.60 이상) 에서는 다음과 같이 GDB에서 직접 처리할 수 있다. set follow-fork-mode child 위와 같이 설정하면 fork() 후에 child process를 디버깅 상태로 만들고 parent는 계속 ..

문제에는 NX말고는 다른 보호기법은 딱히 안걸려있다. 문제 자체도 name입력, 서버상의 랜덤번호 6개를 맞추는 식으로 되어있다. 취약점은 서버의 랜덤번호 6개를 맞추면 이동하는곳에 있다. 보면 printf 함수를 호출하는데 name을 입력받은 버퍼의 주소를 그대로 인자로 넣어주고있다. 따라서 여기서 FSB취약점이 발생한다. 일단 FSB공격을 하기위해 서버의 랜덤번호를 맞추야 하는데 스택의 구조를 잘 살펴보면 name의 길이를 100으로 채우면 뒤에 4바이트에 seed값이 있기 때문에 seed값을 leak할 수 있다. 이러한 스택프레임 구조를 가진다. 먼저 seed값을 leak한 뒤, 그 값을 이용해 랜덤번호를 먼저 맞추고 난 뒤 fsb취약점을 이용해 libc의 주소를 leak하고, exit의 got를 ..

문제는 name을 입력하고 음악과 아티스트를 add, view, modify 하는 프로그램이다. 파일은 32bit 리눅스 실행파일이고, canary와 nx가 적용되어있다. main함수를 보면 memset을 통해 esp + 1C에다가 0x44C * 4만큼 0으로 초기화 해주고 있다. 그리고 바로 뒤에 canary가 들어가는 구조이다. esp를 0xfffffff0와 and연산하므로 일단 ret까지의 dummy가 8 + (0~16) + 4 만큼 필요하다. 그리고 name을 입력하는데 전역변수에 입력을 하기 때문에 원하는 문자열을 입력해서 사용할 수 있다. 이제 취약점이 있는 함수를 살펴보겠다. 여기서 구조체의 구조를 알 수있다. 이러한 구조로 되어있고 크기는 44바이트지만 music과 artist는 21바이트..

문제는 disk를 정하고 그 disk에 값을 write, read, modify하는 기능은 간단한 프로그램이다. 보호기법으로는 NX와 PIE가 적용되어있다... PIE는 라이브러리에 적용되는 aslr이라고 생각하면 된다. 보통 __libc_start_main으로 돌아가는 ret주소를 이용해 offset을 알아낸 후 익스플로잇을 한다. 함수프롤로그 부분과, disk의 해당하는 주소에 구조체를 만드는것을 볼 수 있다. write함수에서 구조체의 구조를 알 수 있다. flag(4), &data(4), description(10), empty(2), datasize(4) 이런 구조로 되어있다. ebp-0c에는 선택되어 있는 disk구조체의 주소가 저장되어있다. 위의 정보들을 종합하여보면 대충 이러한 스택프레임 ..

/* The Lord of the BOF : The Fellowship of the BOF - titan - Remote BOF on Fedora Core 4 - hint : ? - port : TCP 8888 */ #include #include #include #include static char buffer[40]; static void (*ftn)(); void print() { printf("nothing here\n"); fflush(stdout); } int main() { char buf[48]; ftn = print; printf("titan : What a tragic mistake.\n"); printf("you : "); fflush(stdout); // give me a food ..

/* The Lord of the BOF : The Fellowship of the BOF - enigma - Remote BOF on Fedora Core 4 - hint : ? - port : TCP 7777 */ #include #include #include #include int vuln(int canary,char *ptr) { char buffer[256]; int *ret; // stack overflow!! strcpy(buffer,ptr); // overflow protected if(canary != 0x31337) { printf("who broke my canary?!"); exit(1); } // preventing RTL ret = &canary - 1; if((*ret & 0..

코드를 보면 fc4의 첫 문제라 그런지 간단하다. hint에 ret sleding을 이용하라고 나와있으니 이를 이용했다.우선 main함수의 ebp뒤쪽을 찾아보았다. 여러번 실행시켜 보았는데 생각보다 변하지 않는 값들이 많다.제일 먼저 나오는 0x00795898을 사용하여 심볼릭 링크를 걸어 시도해보았다.근데 계속 세그먼트폴트가 발생하였다. strace를 이용해 보면 실제 인자와 gdb에서 보았던 인자가 달랐다. execl을 보니 인자로 ebp를 참조하지 않고 다른 레지스터를 참조하는 것이 보였다.따라서 gdb로 보는 것보다 strace를 이용해서 ret갯수를 한개씩 늘려가며 적당한 이름의 인자를 찾아보았다. ret를 7번 sleding하였을때 3글자의 인자가 나왔다.파일로 저장하여 xxd를 이용하여 헥스..