'🌇│System_Study' 카테고리의 글 목록 (4 Page)

tcache_dup

2022.11.06

tcache_dup 문제 풀이 NX와 Partial RELRO 그리고 Canary라니.. 코드를 살펴보고 취약점을 유추해야겠습니다 제목에서 보듯이 아마 DFB겠다만.. 코드를 보시면.. delete함수 부분을 보면, ptr[idx]을 해제 후 ptr 포인터를 초기화를 하지 않으므로 DFB 취약점이 존재합니다 또한 get_shell이 있기에 NX은 걱정 없네요 취약점을 그럼 다시 한 번 생각해본다면 GOT overwrite도 가능해보입니다. 그러기에 청크를 할당 후 두 번 해제 double free에서 그 내용을 조작 그리고 printf의 got 주소를 넣고 후에 get_shell의 주소를 넣어 overwrite.. Exploit 설계 힙 할당 후 Double free를 합니다. 여기서 청크의 next의 ..

🌇│System_Study/📕│Dreamhack_Hacking

validator

2022.11.06

validator 문제 풀이 보호기법이 거의 없다고 할 정도네요..? 참고로 이번 문제는 바이너리만 주어서 이렇게 IDA를 사용했습니당 기본적으론 위와 같이 형성되어 있습니다 emeset을 한 후 validate 함수를 실행하네요 그 인자로는 s와 128을 주고요 각 반복문마다 조건문이 있네요 주석으로 DREAMHACK이라고 알려주네요.. 리버싱 못하는데 감사합니다 ㅠㅠ 우선 인자로 넘긴 배열이 DREAMHACK!으로 시작하며, 위에 함수에서 j = 11부터 j < 0x128만큼 s의 각 문자가 없어지나요? 먼저 입력 값에 대해 DREAMHACK! 문자열과 한 바이트씩 비교하고, 9 개의 문자 중 동일하지 않은 문자가 있다면 exit 함수를 통해 프로그램을 종료합니다. 위 조건을 만족하면 사용자가 입력한..

🌇│System_Study/📕│Dreamhack_Hacking

cmd_center

2022.11.06

cmd_center 문제 풀이 어짜피 cmd_injection이라서 보호기법은 의미가 없을 거 같은데.. system 함수를 통해 명령어를 실행하므로 command injection이 발생할 가능성이 농후합니다. 또한 read(0, center_name, 100)의 부분에서 BOF가 발생하므로 이를 이용하여 cmd_ip값을 조작해봅시다! Exploit 설계 우린 center_name과 cmd_ip의 offset만 구해서 넣고 cmd injection하면 되겠죠 보시면 offset = 0x20만큼 차이가 나는군요 Exploit 위에서 다 설명했으니 추가적인 부분만 간단히 설명하고 넘어가겠습니다. 이 문제도 exploit.py를 굳이 사용할 필요가 없군요 A*0x20에 ifconfig(ip찾는 명령어);/b..

🌇│System_Study/📕│Dreamhack_Hacking

uaf_overwr

2022.11.06

uaf_overwrite 문제 풀이 모든 보호 기법이 적용되어 있네요.. 와우 Dangling Pointer는 유효하지 않은 메모리 영역을 가리키는 포인터로써.. 코드가 상큼하네요 Dangling Pointer가 있다고 꼭 위험한 부분은 아니지만 경우에 따라 달라지므로 여기선 위험하겠죠 Human이랑 Robot은 구조체로 각 구조체 변수와 크기 동적 할당 해제를 할 수 있습니다 human_func함수와 robot_func 함수를 살펴보면, 구조체 변수를 위한 메모리 영역을 할당 시, 초기화 X memset()하라는 이야기구나! 라는 걸 한참 뒤에 알겠됬습니다 저는 할당해제하면 알아서 초기화 되는줄 알았는데.. 그럼 Human 구조체와 Robot 구조체의 크기는 같으므로, 한 구조체를 해제 다른 구조체를 ..

🌇│System_Study/📕│Dreamhack_Hacking

Tcache Poisoning

2022.11.06

위 내용은 필수로 숙지를 해야지만 이 문제를 이해할 수 있으며, 설계 및 기본이 됩답니다. Tcache Poisoning 문제 풀이 Full RELRO와 NX가 걸려있는 모습입니다. 즉, hook overwrite 공격을 고려할 법 하군요 Tcache Poisoning을 활용으로 tcache를 조작해 임의 주소에 청크를 할당시키는 공격 기법입니다. 중복시킨 방법으로 앞에서 사용한 달링포인터도 위 방식의 활용이라고 할 수 있습니다.따라서 공격자는 중복으로 연결된(FIFO 형식의 더블 연결 리스트형식..그래서 공부하라고 했을까요?) frist /bin 등이 위와 같은 형식의 청크가 위와 같은 형식이라고 할 수 있습니다.따라서 중복으로 연결된 청크를 재할당 시, 그 청크는 할당된 청크이면서 동시에 해제된 청크..

🌇│System_Study/📕│Dreamhack_Hacking

Background: RELRO

2022.10.31

RELRO(RELocation Read-Only) 등장배경 - ELF는 GOT를 활용해 반복되는 lib의 함수의 호출 비용 ↓ - GOT의 값을 채우는 방식은 여러가지 그중에 우린 Lazy Binding으로 취약점 우회 : 함수가 처음 호출될 때 함수의 주소를 구하고, 이를 GOT적는 방식 - Lazy binding 하는 바이너리는 실행 중 계속 업데이트를 해야해 GOT에 쓰기 ○ : RTL, Chain RTL, ROP로 이어짐 또한 ELF의 데이터 세그먼트에는 프로세스의 초기화 및 종료와 관련된 .init_array .fini_array 로써, 이 영역들은 프로세스의 시작과 종료에 실행할 함수들의 주소 저장 여기에 공격자가 임의로 값을 쓸 수 있다면, 프로세스의 실행 흐름이 조작될 수 있습니다. 이를 ..

🌇│System_Study/📕│Dreamhack_Hacking

basic_exploitation_003

2022.10.30

basic_exploitation_003 문제 풀이 또 x86..이네요 이거 이젠 익숙해지겠네 좋다 NX와 Partial RELRO.. 그러나 FSB로 풀어야하는 문제니까 C코드를 보시면 head_buf가 적절하게 ret부분에 get_shell()주소로 변경하면 될 거 같은데.. sprintf 는 길이를 따로 지정하지 않기 때문에 bof가 발생한다. BOF문제이지만.. 입력할 수 있는 글짜 수가 read로 0x80으로 제한 되어 있습니다 저희는 0x90을 넘겨야하는데.. Exploit 설계 ret 주소를 파악하고 %Nc로 ret에 get_shell()주소를 입력하면 끝나겠네요 Exploit stack_buf의 주소는 sprintf로 되니까 위와 같이 확인도 됩니다 heap_buf의 주소는 read에서 확..

🌇│System_Study/📕│Dreamhack_Hacking

hook

2022.10.30

hook 문제 풀이 이번에도 hook overwirte의 문제로 이전 문제에서 봤던 형식과는 약간 다르네요 아무래도 one_gadget처럼은 못하는 듯 싶네요 PIE가 존재하지 않고 RELRO가 FULL.. 상당히 힘들겠네요 PIE가 적용 X인것을 봤을 때 code 영역에서 주소를 활용할 듯? 근데 one_gadget으로 해도 될 거 같긴한데 이름에 따라서 해봅시다 log의 타입의 포인터 하나와 size_t 타입의 변수 선언이 되어있습니다. 그리고 stdout.. 주소를 출력하는데 밑에 ptr이 더블포인터인점을 미루어보았을 땐.. 위에 봤던 더블포인터 ptr부분에서 배열으로 적용되므로 ptr[0]에 들어간 값을 참조하는 값에 ptr[1]을 대입한 모습인 것 같습니다 즉, **ptr = ptr[1]인 느낌..

🌇│System_Study/📕│Dreamhack_Hacking

fho

2022.10.30

fho 문제 풀이 모든 보호 기법이 적용되어 있네요.. 와우 들어가기 전에 알아두면 좋은 용어 키워드 Hooking: 어떤 함수, 프로그램, 라이브러리를 실행하려 할 때 이를 가로채서 다른 코드가 실행되게 하는 기법. 디버깅, 모니터링, 트레이싱에 사용될 수 있으며, 공격자에 의해 키로깅이나 루트킷 제작에 사용될 수 있음. Hook Overwrite: 바이너리에 존재하는 훅을 덮어써서 특정 함수를 호출할 때, 악의적인 코드가 실행되게 하는 공격 기법. 메모리 관리와 관련된 malloc, free, realloc등의 함수가 라이브러리에 쓰기 가능한 훅 포인터를 가지고 있어서 공격에 사용될 수 있음. Full RELRO를 우회하는 데 사용될 수 있음. one_gadget: 실행하면 셸이 획득되는 코드 뭉치...

🌇│System_Study/📕│Dreamhack_Hacking

basic_rop_x86

2022.10.30

basic_rop_x86 문제 풀이 NX와 Partial RELRO가 걸려있네요 그리고 코드를 접근해보면 Canary는 적용되어 있지 않네요 다행이예요 코드를 보시면 이전 내용이랑 유사한 방법이네요 read()함수에 bof가 발생하니까요 그럼 실제로 어떤 식으로 메모리를 할당되었는지도 확인해봅시다. 실제로는 0x44로 잡혀있네요 Exploit 설계 그럼 저희는 이전에 했던 거처럼 system()함수의 주소를 알아내어 최종적으로 system("/bin/sh") 호출! 그러기 위해 read()함수와 write()를 사용할 것입니다. 실제 주소를 leak하는 방식은 이전에 배웠으므로 생략하겠습니다. 그 다음으로 저희는 rop chain을 이용해 overwirte 해주고 이번엔 bss 영역을 활용하여 접근할거예..

티스토리툴바