ST1Tch

pwnablekr의 alloca랑 비슷한 문제였다. 값을 음수로 주게되면 입력buf의 주소를 조절할 수 있다. rop로 printf("~~%s~~%s~~~", got, got) 호출해서 got를 릭한다음 libc주어졌으니 실제주소구하고 printf 호출 뒤 다시 main으로 트리거해서 system("/bin/sh") 호출되게했다. from pwn import * local = False if local : s = process('./cheer_msg') print util.proc.pidof(s) pause() else : s = remote('cheermsg.pwn.seccon.jp', 30527) elf = ELF('cheer_msg') libc = ELF('libc') pop3ret = 0x8048..

1등으로 품! --------------------------------------------------------------------------------------------------------------------- 실행을 시키면 무한루프를 돌면서 입력값을 받고, 입력한 값을 출력할 때 fsb취약점이 있는것을 확인할 수 있다. 문제에도 적혀있다시피 fsb버그를 횟수제한없이 할 수 있기때문에 문제를 푸는 방법은 다양하다.나는 문제에 주어진 조건을 이용해서 간단한 방법으로 풀었다. 이 부분이 무한루프를 돌면서 입력값을 받고 출력을 해주는 부분이다. while문 안에서 호출되는 함수들을 살펴보면 위의 함수가 있다.입력을 받고 출력을 해주면서 fsb버그가 발생하는 것을 알 수 있고, 아래의 if(res..

sudo apt-get install libgmp3-devsudo apt-get install libmpfr-devsudo apt-get install libmpc-dev 위의 설치 후 sudo pip install gmpysudo pip install gmpy2

이 문제는 바이너리가 주어지지 않고 nc 주소와 포트만 제공된다. fsb가 발생한다는 것은 몇번 간단한 입력만으로도 알 수 있다. 100점짜리 문제처럼 플래그가 박혀있지 않혀있다고 생각하지 않고쉘을 따거나 파일을 읽어야 겠다고 방향을 정하고 시작을 했다. 우선 구조를 보기위해 스택전체를 덤프를 했다. from pwn import * import sys context.log_level = "warn" def solver() : fd = open(sys.argv[1], 'w') p = log.progress('index ') idx = 1 while True : try : s = remote('9a958a70ea8697789e52027dc12d7fe98cad7833.ctf.site', 35000) s.rec..

바이너리 자체는 reversing 250점 문제와 똑같다. 키를 맞추고 나면 memcpy함수가 실행된다. 입력값의 1~100번째 값은 키를 맞추는데 사용됬고, 101번째 부터는 ebp-20h 에 복사가 된다. 따라서 입력한 값 100 + 0x20 + 8 = 140번째에 넣는 값은 rbp+8, 즉 리턴되는 주소이다. system('/bin/sh')를 사용하기 위해서는 실제주소를 알아야하기 때문에 릭하는 과정이 필요하다. 나는 rop페이로드를 짜서 printf의 주소를 알아낸 후, libc의 오프셋주소를 이용해서 실제 system주소와 /bin/sh 문자열 주소를 알아냈다. 그리고 두번째 실행할 때, system('/bin/sh')가 실행되도록 페이로드를 구성한 후 보냈고 쉘이 따졌다.aslr이 꺼져있다고 ..

문제바이너리는 pwn의 Fuckzing exploit문제와 완전히 똑같다.afl fuzzer의 컴파일러로 컴파일 된 리눅스 바이너리이다. 실행을 시키면 libget_flag.so 가 없다고 실행이 되지 않는다. ldd명령어로 보면 libget_flag.so 를 찾을 수 없다고 적혀있다. libget_flag.so파일을 임시로 만들고 그 공유라이브러리안에 get_flag함수를 위의 구조에맞게 대충 만들어주면 된다. 나는 대충 이런 코드를 so파일로 만들었다. gcc -fpic -shared get_flag.c -o libget_flag.so를 이용해서 so파일을 만든 후/usr/lib/x86_64-linux-gun/ 디렉토리에 임시로 복사해놓으면 에러가 발생하지 않는다. 그래프뷰를 보면 엄청 복잡해보이지만..

프로그램이 너무 복잡하다.내가 분석한결과는 위에처럼 함수가 구성되어있다.무언가를 print를 해주는 비슷한 함수가 2개 있고,input을 받는 함수, 그리고 너무커서 분석도 잘안되는 nodap함수, main함수 이렇게 크게 나눠진다. 함수마다 대충 구조가 위에 처럼 생겨먹었다일단 위의 그래프는 신경안쓰고 생각을 해봤다.crackme문제이기 때문에 입력이 맞으면 플래그를 출력해줄것이라고 예상을 했다. 입력을 하는 함수안에 분명히 힌트가 있을 것이고답은 괄호안에있다고 했는데 print함수 2개에는 괄호가 없다.따라서 input함수에서 제대로 정답을 맞추면 nodap함수에서 플래그를 출력해준다고 예상을했다. user_input함수 안을 보면 위와 같이 특정변수들이 아스키값에대해서 비교연산을 계속 하고 있는것을..

문제파일에는 elf헤더의 5번째 byte가 2로 되있다.32bit 바이너리인데 2로 되있기 때문에 1로 수정을 하고 분석을 했다.문제환경이 14.04.5라고 명시되어있었다.따라서 14.04.5의 libc를 sig파일로 저장해서 ida에 적용시켜서 보았다. main함수에 입력을 받는 문자열이 있지만 실제로는 fake이다.init_array에서 두번째로 실행되는 함수안을 들여다보면 sleep을 걸고 chroot, 권한, 접근가능한지 확인을 한다.그리고 그 바로밑에 real_input이라고 내가 바꿔논 함수안에서 실질적인 입력을 받는다. ida에서 c를 누르면 분석하지 못했던 것들이 분석되서 위와 같은 코드가 나온다.여기서 입력을 받는데 최대길이가 89이다.그리고 아래쪽으로 단어조건이 5개가 있다. 그 단어조..

힙 청크를 이용한 문제였다. 32bit에 대해서 문서만 봐서 64bit는 뭐 어떻게 해야할지 몰랐는데 하고 나서보니 비슷했다. 크게 add, free, modify 함수가 있고, 코드자체는 비교적 간단해서 말로 설명을 하자면 최대 32byte까지 malloc을 5번 할 수 있고, 또한 원하는 힙을 free 시킬 수 있다. 여기서 modify함수가 중요한데 한번 malloc 된 힙주소를 32byte까지 수정할 수 있다. malloc되는 heap의 크기가 작기 때문에 fastbin으로 관리가 된다. 이 문제에서는 free를 하고 난 이후, modify를 통해 다음 malloc이 발생할 때 fastbin에 들어가는 fd를 내가 원하는 주소로 수정할 수 있따. 이글에 쓰어진 공격은 malloc -> free -..

먼저 보호기법을 살펴보면 비교적 간단하게 되어있다. 함수의 프롤로그 부분 함수의 에필로그 부분 그런데 정적분석을 하다보면 함수마다 프롤로그 에필로그 부분에 같은 코드가 계속 반복되어 있는 것을 확인 할 수 있다. 연결리스트로 연결되어 있는듯한 모습을 하고 있는데, 대략 이런식으로 연결리스트가 구성된다고 생각하면 된다. 에필로그 부분에서는 프롤로그 부분에서 힙에 저장한 ret주소가 현재도 같은지 확인을 하고 같으면 이전 함수의 구조체 주소+8에 0xDEADCD80을 다시 저장을 한다. 즉, 이 문제는 보호기법에서 canary가 없는 대신, 힙에 간단한 연결리스트를 만들고 ret값을 저장하여 ret부분이 overwrite됬는지 매 함수마다 확인을 한다고 생각하면 된다. 이 부분은 인텔에서 발표한 CET보호기..

크게 두 개의 함수가 존재한다.한개는 유저 구조체를 init하는 함수이고,한개는 이상한? 게임을 진행하고 기존의 점수보다 높으면 이름을 수정할 수 있는 그런 함수이다. 위 함수에서 이름이 저장되는 heap주소가, user_info 구조체의 힙주소보다 낮은주소에 위치한다는 것을 기억해야한닷코드를 보고 대충의 구조체를 알아낼 수 있따. score는 이상한 게임을 하는 함수를 보면 처음 4바이트에 저장되는것을 알 수 있다. 이상한 게임을 진행하는 함수의 마지막 부분인데, 여기서 취약점이 발생한다.만약 현재 score보다 높은점수를 게임을 통해 획득하면, 이름을 바꿀 수 있게되는데,malloc을 통해 기존의 name의 길이보다 더 큰 크기의 메모리를 할당 받을 수 있다.user_info 자체의 힙영역의 주소는 ..

ㅇㅅㅇ 이런 메시지가 출력된다. 이 부분에서 에러메시지가 출력이 되고 바로 위 호출되는 함수를 보거나, 문자열을 찾아보면 파일을 오픈하는 함수가 있는데 존재하지 않을경우 위의 메시지가 출력된다. 위의 경로에 flag.txt라는 파일이 있어야 하고 나는 경로를 만들고 txt파일에 A를 채워 넣어서 다시 실행을 시켜보았다. 이제는 키가 틀렸단다. ida로 보면 바로 위의 함수부분의 결과에 따라 분기하는 것을 알 수 있다. 이제 올리디버거로 저부분을 브레이크를 잡아서 레지스터들을 살펴보았는데ECX레지스터에 내가 입력한 문자열의 주소가 들어가는것을 확인할 수 있었다. 해당 함수로 들어가면 문자열을 ECX에 다시 저장하고 ESI부분과 4바이트씩 비교하는 부분이 나온다.ESI부분에 있는 값이 key임을 알 수있다...