Jastes

[Toddle]collision

2022.11.19

collision_WriteUp 보시면.. 이번엔 아빠가 MD5 hash을 이용해서 충돌된 하루를 만들었어? 나도 이런걸 원해요! 라는 거 같은데.. 뭔.. 해당 C file을 살펴보면.. hashcode에 0x21DD09EC로 저장되어 있으며, 핵심은 check_password입니다. 나머지는 인자를 2개.. 즉 1이상 넣으시고 첫 인자를 넣었을때 길이가 20줄..로 맞춰야합니다. 그리고 check_password에 변조된 인자와 위 hashcode와 비교합니다. 즉, 인자값이 20이여야하며, hashcode와 check_password의 함수를 거친 값이 같아야합니다. Exploit design 위 코드를 살펴보면, IP(argv[1]의 인자값)을 받아서 5개로 쪼개서 똑같은 값을 5번 int(4by..

🌇│System_Study/🪙│Pwnable.kr

[Toddle] flag

2022.11.19

fd_WriteUp 보시면.. 파파(아빠?)가 선물을 보장해서 가져왔어요! 열어볼까요? 라고 합니다. 밑에 이것은 작업을 되돌리는 거고 너가 필요한건 이진수라고 합니다... 파일을 받아서 열어보니까.. 바이너리 형식으로 그냥 열면 막 깨져서 나오겠죠 그럼 이걸 복원해봅시다. 이건 그럼.. 리버싱 문제이겠군요(잘 못하는데 ㅠ) 일단 hex로 바로 확인해봅시다. ELF(리눅스 실행)이 두개가 중복되며 밑에 UPX!라고 하는게 존재합니다. 그럼 압축이 되었구나.. 라고 느낌이 오는군요 그럼 UPX가 무엇인지 알아볼까요? UPX(Ultimate Packer for eXecutables)로써 여러 OS에서 수많은 파일 포맷을 지원하는 오픈 소스 실행 파일 압축 프로그램입니다. GitHub - upx/upx: UP..

🌇│System_Study/🪙│Pwnable.kr

[Toddle]bof

2022.11.19

bof_WriteUp 나나가 말햇어요 bof가 얼마나 일반적인 소프트웨어 취약점이라고요 맞나요? 라는데.. 아무래도 보안 취약점 첫 실습이 bof인 것을 보면 저도 공감합니다.(모든게 여기서 시작..) 보시면 저런식으로 다운로드 받으면 됩니다. 보호기법이.. bof만 쓰라고 하시는군요.. 코드를 보시면 func의 키 값을 미리 넣고 8번 라인의.. 조건문에서 비교합니다. 근데 앞에서 gets에서 포멧 설정과 크기를 명시하지 않았기 때문에 bof가 발생합니다. Memory Corruption: Stack Buffer Overflow 스택 버퍼 오버플로우(Stack Buffer Overflow) 세계 최초의 웜이라고 불리는 모리스 윔도 이 공격을 통해 전파됨 보안 공부를 모르는 개발자도 알만큼 유명하고 역사..

🌇│System_Study/🔒│H4C_5기

[빡공팟 5기]시스템 해킹 트랙 W8

2022.11.13

보호되어 있는 글입니다.

🌇│System_Study/📕│Dreamhack_Hacking

Overwrite _rtld_global

2022.11.13

Overwrite _rtld_global 프로그램에서 리턴 명령어를 수행하면 lib와 로더에서 다양한 함수 호출! HTML 삽입 미리보기할 수 없는 소스 모든 보호기법이 적용된 모습 아무래도 로더를 우회하여 실행해봐야겠네요 exploit 설계 lib 및 loder base addr 계산 예제에서 제공한 stdout 주소를 통해 lib_base를 구하고 "/lib64/ld-linux-x86-64.so.2"가 맵핑된 로더의 베이스 주소를 알아봅시다. 라이브러리와 로더가 맵핑된 주소의 간격은 일정하기 때문에 디버깅을 통해 간격을 알아내고 오프셋을 계산해 알아봅시다. _rtld_global 구조체 계산 로더의 베이스 주소를 알아냈다면, rtld_global 구조체의 심볼 주소를 더해 해당 구조체의 주소를 알아내..

🌇│System_Study/📕│Dreamhack_Hacking

rtld

2022.11.13

참고로 rtld는 return to LD library 라고 추측하시는 분이 있으시더라고요 저도 어느정도 그러지 않을까?(여기 로되리안처럼 ㅎ) rtld HTML 삽입 미리보기할 수 없는 소스 stdout이 출력되니까 lib_base를 구하며, 임의 주소 쓰기 취약점이 존재합니다. get_shell()함수가 있으므로.. stdout이 출력되니까 lib_base를 구하며, 임의 주소 쓰기 취약점(전에 했던)이 존재 get_shell() 함수가 있으므로 NX도 우회되고 나머지 취약점은 인자로 하니까 ㅇㅋ 즉, 임의 주소 쓰기 취약점을 이용 dl_rtld_lock_recursive를 get_shell()로 덮어 쉘을 따면 셸을 획득할 수 있겠습니다. 아니면 Partial RELRO니까 GOT Overwrite..

🌇│System_Study/📕│Dreamhack_Hacking

Background: _rtld_global

2022.11.13

_rtld_global 리눅스 프로그램을 실행하면 프로그램에 명시된 코드의 결과값이 우리에게 출력됩니다. 프로그램이 실행되어 프로세스로 등록 시 프로그램에 명시된 코드뿐만 아닌 프로그램에서 사용되는 변수 관리를 위한 여역을 할당하는 등의 다양한 코드가 로더에 의해 실행됩니다. 프로세스가 등록되거나 종료 시 쓰이는 변수와 영역을 알 수 있다면 다양한 방식의 공격 기법 개발! 그러므로 저희 보안쪽에선 이런 구조와 구동을 이해해야합니다 같이 알아봅시다. HTML 삽입 미리보기할 수 없는 소스 __GI_exit 앞서 예제 코드를 보시면 별다른 코드를 실행X 프로그램을 종료합니다. 종료시에 우리가 모르는 많은 코드들이 내부적으로 실행되는데, 한번 살펴봅시다. 일단 main 함수 내 리턴하는 명령어에 브포를 설정 ..

🌇│System_Study/📕│Dreamhack_Hacking

send_sig

2022.11.13

send_sig 음.. 내 뭐 setvbuf 부분과 5-7까지는 1번째 인자 1이니까 write인듯 싶네요 그리고 11번째 코드가 signal을 write해서 read을 1024byte만큼 하는 걸로 보입니다. 또한 v3가 이제 buf인 듯 싶기에 v3[8]이구나.. 이를 이용해 NX가 걸려 있으므로 SROP를 합시다(Partial RELRO 우회) 여기서 전 문제처럼 gadget이 없기에.. 일단 execve의 함수나 binsh같은 문자열이 있는지 확인을 해봅시다. PIE가 안 걸려있으므로 사용이 쉽게 가능합니다. 해서 bss 영역으로 read 해서 할 필요가 없어요 편해졌네요 나이스 익스 설계 sigreturn 호출 SROP를 하기 위해 sigreturn 시스콜을 호출해야죠 그리고 앞에서 대충 sig..

전체 글

[Toddle]collision

[Toddle] flag

[Toddle]bof

[빡공팟 5기]시스템 해킹 트랙 W8

Overwrite _rtld_global

rtld

Background: _rtld_global

send_sig

티스토리툴바