Jastes

basic_rop_x64

2022.12.06

basic_rop_x64 WriteUp 문제 풀이 NX와 Partial RELRO가 걸려있네요 다행인 점은 Canary가 없기에 그 부분은 생략해도 된다.. 닉값할거니까 ROP로 풀어야겠네요 코드를 보시면 이전 내용이랑 유사한 방법이네요 read()함수에 bof가 발생하니까요 그럼 실제로 어떤 식으로 메모리를 할당되었는지도 확인해봅시다. buf에선 0x40이지만 read에선 0x400이나 받기에 bof가 발생합니다. 다만 보호기법을 고려해서 NX이므로 외부 쉘 코드 실행 X, 그렇다고 여기서 system같은 함수도 코드에 존재 X이므로 Return Overwrite Programming을 해야겠네요(다행이 Lazy Binding이니까...) 그럼 해당 함수를 받기위해 해당 lib인 libc.so.6에 대..

🌇│System_Study/📕│Dreamhack_Hacking

Background: PIE

2022.11.28

서론 ASLR이 적용되면 바이너리가 실행될 때마다 스택, 힙, 공유 라이브러리 등이 무작위 주소에 매핑되므로, 공격자가 이 영역들을 공격에 활용하기 어렵습니다. 그러나 지난 코스의 실습 addr을 떠올려 보면, 다른 영역의 주소는 계속 변화하는데 main함수의 주소는 매번 같았습니다. Mitigation: NX & ASLR 시스템 보안은 지난 수년간 발전해온 공격 기법과 보호 기법의 발전 양상을 보시면.. 어떤 보호 기법이 등장하면 우회 기술도 등장합니다.. 이렇게 어떤 공격이 올지 모르기에 시스템 개발자들 dystopia050119.tistory.com 이런 특징을 이용해 공격자는 고정된 주소의 코드 가젯을 활용한 ROP를 수행할 수 있습니다. Position-Independent Executable(..

🌇│System_Study/🔒│H4C_5기

[빡공팟 5기]시스템 해킹 트랙 W9

2022.11.20

보호되어 있는 글입니다.

🌇│System_Study/🪙│Pwnable.kr

[Rookiss]brain fuck

2022.11.20

brain fuck_WriteUp 보시면.. 내가 C로 개발한 멍청한 애뮬레이션 프로그램을 만들었어요.. [] 명령이 아직 구현하진 않았지만 나머지 기능은 정상적으로 작동하는 듯? 버그를 찾아서 셸을 얻어보아요.. 라고 하네요(지가 만든거를?) 파일을 받아서 열어보니까.. 실행파일이고 리버싱 할 부분이 너무 많아서 IDA 사용! 참고로 저는 리버싱 늅늅이라서 드럽게 못하거든요 그래서 길어지면.. 흐규 ㅠ 위 코드를 살펴보면 우리 드림이 문제랑 비슷하네요 친숙해 파일 불러오고 반복문에서 do_brainfuck을 진행하는데 나머지는 형식적인 내용이고 이 부분이 핵심! 보시면 포인터의 위치 가감 부분을 통해 흐름을 제어하는 것이구나.. 또한 . 을 통해 해당 주소의 있는 값을 출력하는거구나(말을 약간 해깔리게..

🌇│System_Study/🪙│Pwnable.kr

[Rookiss]loveletter

2022.11.20

loveletter_WriteUp 보시면.. 마지막.. 중요한건 사랑..이야? -최지원 시련 당하셨을까요? 보니까 문제 이름이랑 결과랑 유사하던데 생각하면서 합시다. 파일을 받아서 열어보니까.. 실행파일이고 리버싱 할 부분이 너무 많아서 IDA 사용! 보시면.. 256(0x100)의 memset도 하였고(UAF X).. s 변수에 0x100만큼 fgets로 입력을 받기에 bof가 안되겠네요 그 이후 18번째 protect에 인자를 전달합니다. 또한 21번부터 25번까지 각 인자를 지닌 메모리를 적재하여 idx에 적재합니다 그리고 memcpy에서 prolog와 epilog는 각각 확인해봅시다. 해당 문자열을 반환하는군요! 또한 마지막으로 prolog와 protect 그리고 epilog를 전부 puts로 치..

🌇│System_Study/🪙│Pwnable.kr

[Rookiss]echo1

2022.11.20

echo1_WriteUp 보시면.. echo service를 하고 있으며, 해당 다운로드 해서 확인해보라고 알려줍니다. 파일을 받아서 열어보니까.. 실행파일이고 리버싱 할 부분이 너무 많아서 IDA 사용! 참고로 echo는 그냥 return이라고 생각하시면 될 거 같습니다. 참고로 저는 리버싱 늅늅이라서 드럽게 못하거든요 그래서 길어지면.. 흐규 ㅠ 위 코드를 살펴보면 15번 줄에서 이름을 물어보며 저장을 v7에 저장합니다. 그리고 입력을 두 반복문을 통해 echo를 한다고 하는데 막상 실행하거나 아님 func을 보시면 정작 되는건 24번의 BOF echo뿐입니다. 보시면 s는 할당을 0x20만큼했으나 입력은 0x80까지 하는 모습을 보여줍니다. 그러므로 bof가 발생하게 되는거겠죠? 위에 보시면 Par..

🌇│System_Study/🪙│Pwnable.kr

[Toddle]fd

2022.11.19

fd_WriteUp 보시면.. 엄마! 리눅스 파일 디스크립터(fd)에 대하여 알아보고 싶어요~ 라고 하네요(패드립..) ssh로 연결해서 하는건데 파일 받아서 하는게 좋겠죠? 그래서 받는 방식이 SCP로써.. 리눅스 scp 사용법 - 제타위키 다음 문자열 포함... zetawiki.com 위 명령어나 이미지를 보시고 하시면 됩니다.. (참고로 파일 전체를 받는게.. 잘 안되서 따로 따로 했는데 ㅠ) 해당 C file을 살펴보면.. 6번째를 보시면 인자에서 2개 이상으로 안 넣으면 에러를 토하고.. 그러므로 argv에 하나만 넣습니다(어짜피 argv[1]은 path이기 때문이죠) len에서 read의 함수를 입력할 거기에 read의 fd는 0이여야 입력을 받습니다. 여기서 fd(atoi로 ascii to ..

🌇│System_Study/🪙│Pwnable.kr

[Toddle]passcode

2022.11.19

passcode_WriteUp 보시면.. 엄마가 패스 기반의 로그인 시스템을 만들라고 해서 컴파일 할때는 문제가 없었어요 물론 컴파일하는데 오류가 좀 뜨는데 그걸 누가 신경쓰겠어요.. 라고 합니다. 파일을 받아서 열어보니까.. 위 코드를 살펴보면 정수를 입력받는데 주소의 명시(&)가 되지 않았습니다. 그럼 입력받았을 때 입력값이 아닌 해당 위치의 값이 읽어드린다는 사실을 알 수 있습니다. 보호기법을 보니까.. 하 RTL과 같은 공격기법을 해야할거 같습니다. 또한 NX가 걸려있기에 외부의 정보는 못 불러오겠군요 Exploit design 그럼 welcome과 login은 한 번 살펴봅시다. (참고로 위치한 주소는 아래에서 확인함) C코드가 있으니까 보면서 인자를 확인하면 name이라는 0x70 passco..

전체 글

basic_rop_x64

Background: PIE

[빡공팟 5기]시스템 해킹 트랙 W9

[Rookiss]brain fuck

[Rookiss]loveletter

[Rookiss]echo1

[Toddle]fd

[Toddle]passcode

티스토리툴바