'🌇│System_Study' 카테고리의 글 목록 (3 Page)

__environ

2022.11.13

Exploit Tech: __environ 프로그램에서 리턴 명령어를 수행하면 lib와 인자에서 다양한 함수 호출! HTML 삽입 미리보기할 수 없는 소스 프로세스는 환경 변수 정보를 저장하고, 필요할 때마다 불러와 사용합니다. 이번엔 lib 함수에서 참조하는 환경 변수 포인터와 관련된 공격을 실습합시다. /etc/passwd 파일의 내용을 읽고 스택 버퍼에 저장하는군요 메인 함수에서는 stdout 라이브러리 주소를 출력하고, 반복해 임의 주소에 있는 값을 읽을 수 있는 취약점이 존재합니다. 환경 변수 모든 보호기법이 존재하기에 모든 OS가 사용하는 환경변수(environment ariable)는 매번 변할 수 있는 동적인 값들의 모임으로, 시스템의 정보를 갖고 있는 변수입니다. 이는 사용자가 직접 추가..

🌇│System_Study/📕│Dreamhack_Hacking

Background: SigReturn-Oriented Programming

2022.11.13

들어가며.. 바이너리 보호 기법 개념 자체가 없을 때에는 셸코드를 통해 다양한 시스템 콜을 호출해 임의 명령어를 실행하였습니다. 이 기법을 이용한 위헙이 계속되자 셸코드의 실행 방지를 위한 NX 등장 그러나 얼마가지 않아 셸코들르 실행하지 않고 lib 함수를 호출해 보호기법을 우회하는 RTL! 프로그램의 콛를 재활용해 임의 함수를 연속해 호출할 수 있는 ROP도 등장하였습니다. 서로 다른 프로그램에서 같은 종류의 취약점이 있다해도 공격 대상의 보호 기법 또는 실행 코드에 따라 공격하는 방법이 다르기에 이를 고려하여 계속 보호기법이 추가됩니다 이번엔 2014년 발표한 SROP를 알아보기 위해 시그널(Signal)을 알아봅시다. Signal [리눅스 / 유닉스 ] 시그널이란? 시그널(SIGNAL) 종류, 상..

🌇│System_Study/📕│Dreamhack_Hacking

Master Canary

2022.11.13

Master Canary 마스터 카나리를 스택 버퍼와 확인하는 법! HTML 삽입 미리보기할 수 없는 소스 위 코드가 핵심인듯 싶으며, 보시면.. 1번 옵션으로 쓰레드를 생성/2번은 size를 입력 해당 입력 size만큼 입력을 받네요 즉, bof가 발생되겠죠? 마지막은 read 함수로 1024바이트만큼 입력 받기 Master canary를 이용할 것이기에(Partial RELRO, Canary)를 우회가 가능합니다. 또한 위에 get_shell()의 함수가 존재하므로 NX도 우회가 가능합니다. 마스터 카나리는 로더에서 할당한 TLS 영역에 존재하고, 해당 페이지는 RW-로 존재합니다. 해당 영역을 이해하기 위해서는 아래 링크에 대하여 자세히 알 필요가 있습니다. 대충 시나리오를 설계하자면.. 1번으로 ..

🌇│System_Study/📕│Dreamhack_Hacking

Exploit Tech: Master Canary

2022.11.13

Master Canary 마스터 카나리를 스택 버퍼와 확인하는 법! HTML 삽입 미리보기할 수 없는 소스 마스터 카나리는 로더에서 할당한 TLS 영역에 존재하고, 해당 페이지는 RW-로 존재합니다. 해당 영역을 이해하기 위해서는 아래 링크에 대하여 자세히 알 필요가 있습니다. Background: Master Canary Stack Smashing Protector(SSP)는 BOF로부터 ret 보호 기법으로써, 스택 버퍼가 존재하는 함수 내부에서 임의로 생성된 값을 버퍼 마지막에 삽입합니다. SSP 보호 기법을 배울 때 스택 카나리의 값이 위치한 dystopia050119.tistory.com 마스터 카나리는 main 함수가 호출전에 랜덤의 카나리를 쓰레드마다 전역 변수로 사용되는 TLS에 저장 이는..

🌇│System_Study/📕│Dreamhack_Hacking

Background: Master Canary

2022.11.10

Stack Smashing Protector(SSP)는 BOF로부터 ret 보호 기법으로써, 스택 버퍼가 존재하는 함수 내부에서 임의로 생성된 값을 버퍼 마지막에 삽입합니다. SSP 보호 기법을 배울 때 스택 카나리의 값이 위치한 Thread Local Storage(TLS)에 대하 자세히 봅시다. Thread Local Storage 스레드의 저장 공간 ELF 바이너리를 살펴보면, 각 목적을 가진 섹션에서 데이터를 관리합니다. 코드를 실행(.text), 초기화 X 전역 변수(.data) 등이 있겠습니다. 이와 달리 TLS 영역은 스레드의 전역 변수를 저장하기 위한 공간으로, 로더(Loader)에 의해 할당됨 로더에서 TLS 여역을 할당하고 초기화하는 함수인 init_tls 함수입니다. 코드를 살펴보면,..

🌇│System_Study/🔒│H4C_5기

[빡공팟 5기]시스템 해킹 트랙 W7

2022.11.06

보호되어 있는 글입니다.

🌇│System_Study/📕│Dreamhack_Hacking

seccomp

2022.11.06

seccomp 문제 풀이 보호기법은 준수할 정도로 NX와 Canary.., Partial RELRO가 있는 모습 ASLR은 당연히 기본으로 되어 있겠네요.. ㅠ 전이랑 보호기법이 넘 ㅠ 이번엔 filter_list가 아닌 strict모드라서 read, write,exit..정도의 시스템 콜만 가능합니다. 아키텍처가 64니까 콜번호가 초과하지 않으면 호출이니까.. 0x400..을 맞추고 seccomp을 우회하는 건 잘 안될 듯 싶네요 그래서 방법을 찾던 도중 SECCOMP_MODE_STRICT에 집중 구글링한결과 Linux seccomp Linux의 Process Sandboxing 기법인 seccomp을 분석한다. ssup2.github.io seccomp(2) - Linux manual page sec..

🌇│System_Study/📕│Dreamhack_Hacking

Bypass SECCOMP-1

2022.11.06

Bypass SECCOMP-1 문제 풀이 보호기법은 준수할 정도로 NX와 PIE, FULL ELRO가 있는 모습 ASLR은 당연히 기본으로 되어 있겠네요.. ㅠ 우리가 배웠던 sendbox가 있는 모습 seccomp가 친히 걸려있는군요 읽기, 쓰기, 실행 권한이 있는 페이지를 할당하고 이용자로부터 입력된 값을 사용한다.. sendbox의 함수에 allow의 리스트를 기반한다면 execve와 open, write가 안되네요.. 절망적인데? Exploit 설계 같은 기능을 하는 시스템 콜이 있는지 확인해야합니다. 시스템 콜에 대한 정보는 아래 링크에 Linux System Call Table for x86 64 · Ryan A. Chapman Linux 4.7 (pulled from github.com/to..

🌇│System_Study/📕│Dreamhack_Hacking

tcache_dup2

2022.11.06

tcache_dup2 문제 풀이 이전이랑 보호기법도 똑같고 코드만 살짝 바뀐 모습으로 이전과 같이 실행하면 무한루프에 빠지기에 함수를 통해 p64 데이터 전송 과정에서 전송한 데이터와 다른 데이터가 찍히는 문제가 있었네요 실행해보면서 많이 막혔는데 그 부분만 수동으로 바꿔서 하면 될 듯 합니다. Exploit 설계 다른 부분도 마찬가지고 추가적인 인자를 입력하여 확인하는 부분과 modify가 추가된 모습입니다. 하지만 그러한 부분은 idx가 8을 초과하면 안된다.. 설명은 이전 내용에서 무지 많이 했으므로 여기선 이전 코드를 활용해서 작성해볼까요? 공격기법의 접근 방식도 유사하므로.. Exploit 위에서 다 설명했으니 추가적인 부분만 간단히 설명하고 넘어가겠습니다. 이 부분은 DFB의 부분의 기본이므로..

🌇│System_Study/📕│Dreamhack_Hacking

sint

2022.11.06

sint 문제 풀이 이젠 여기선 기본적인 보호기법이 걸려있습니다 NX와 Partial RELRO이죠.. 보시면.. Type Error를 유발하라고 하는데.. 38번 라인의 검사에서 0은 검사를 안하는 부분을 확인 즉, 입력 한도를 넘을 수 있을 수 있기에 payload의 입력이 자유로워진다! 즉, 0을 넣고 bof를 일으켜서 get_shell을 하는거죠 또한 signal이 무슨 함수일까 검색해보니까.. Segment fault 즉 구문 오류 나면 get_shell을 실행하네요 그럼 이번에는 pwn를 사용하지 않고 할 수 있겠네요? Exploit 설계 esp가 0x104로 잡혀있네요.. 256byte로 할당됬는데 그럼 0x100이여야하는데 최적화 단계에서 0x104로 되었으므로 sfp와 ret 부분만 채워..

티스토리툴바