anonymous?

1. 보호기법 확인 $ checksec simplerop NX 걸려있다. Stack에 읽기만 가능하고 쉘코드 등을 올려서 실행할 수 없다. 따라서 쓰기 권한의 영역을 찾아서 그 섹션에 쉘코드를 넣고, mprotect 함수로 mprotect(writableArea, len(shellcode), 7)로 실행권한을 주면 쉘코드가 실행될 수 있다. 2. IDA – pseudo code 확인 V4 변수 크기는 20 바이트인데 100 바이트를 입력받아서 overflow 취약점 존재 3. v4 에서 return address 까지 거리 Bp 1 : main 함수 첫 번째 명령어 -> return address Bp 2 : read 함수 호출 전 -> v4 시작 주소 Read 함수 호출 전 eax를 넣으므로 eax 값..

SYSTEM HACKING/CTF, etc 2019. 8. 15. 18:02

1. 보호기법 확인 $ checksec pwn2 2. IDA - pseudo code s 변수(0x27 = 39 byte)에 입력받아서 select_func 함수의 src 매개변수로 받는다. strncpy는 딱 31 바이트만 src를 dest로 복사한다. (dest 크기는 0x2a = 42 바이트) 이때 dest + SFP는 0x2a - 0xc = 30 바이트이다. 따라서 입력받는 길이는 31 바이트인데 dest + SFP의 크기는 30 바이트이므로 1 바이트 overflow가 발생한다. 이 1 바이트 overflow는 return address의 하위 1 바이트를 덮을 수 있다. 따라서 return address의 하위 1 바이트 변조로 흐름을 바꿀 수 있다. 이것을 off-by-one stack bu..

SYSTEM HACKING/CTF, etc 2019. 8. 14. 20:47

1. IDA - pseudo code 확인 print_flag 함수가 보인다. 2. pwn1 실행 Gets 3 개 중에서 처음 2개는 IDA에서 strcmp로 주어진 것을 입력하면 다음으로 넘어갈 수 있고, 마지막 세 번째는 v5 변수의 값이 0xdea110c8 이어야 print_flag 함수로 flag를 출력해준다. 따라서 마지막 gets 함수로 v5 변수의 값을 0xdea110c8으로 변조할 수 있는 방법을 찾아야 한다. 아니면 세 번째 gets 함수 전에 v5를 변조할 방법을 찾아야 한다. 3. debugging 마지막 gets 함수 call 전 bp를 잡고 인자로 push eax를 넣으니까 eax를 출력해보면 s 변수의 시작주소가 0xffffd53d임을 알 수 있다. 실제로 0xffffd53d를 ..

SYSTEM HACKING/CTF, etc 2019. 8. 14. 20:23

1. IDA로 pseudo code 확인 reduced_shell 에 메뉴가 있고, 각 메뉴에서 선택하면 해당 명령어를 실행한다. gets 함수로 s 변수로 입력받는다. 이것으로 payload를 전달하면 될 듯하다. pwn4 실행파일을 실행해보면 명령어 실행결과가 출력된다. 그리고 exit 또는 5를 입력하면 종료된다. 2. 보호기법 확인 NX 만 걸려있다. 따라서 stack에서 쉘코드 실행을 못할테니 RTL을 생각했다. 3. s 에서 return address 거리 일단 IDA로 보면 ebp-1Ch을 했으므로 s의 크기는 0x1C = 28 바이트이다. reduced_shell 첫 번째 명령어에서 bp1, gets 함수 call 명령어에서 bp2를 잡아서 거리를 구해보자. gets 함수 호출 전 push..

SYSTEM HACKING/CTF, etc 2019. 8. 10. 23:11

1. 보호기법, 파일 유형 확인 32-bit 파일이며 보호기법 없다. 2. IDA로 pseudo code 확인 및 분석 - read(0, &name, 0x32u) : read 함수로 사용자로부터 딱 50 바이트만 입력받는다. - gets(&s) : gets 함수로 s 변수에 입력받은 문자열 저장 -> overflow 취약점 발생 read 함수는 딱 주어진 50 바이트만 입력받으니 여기로 name 변수에 shellcode를 저장하고, gets 함수로는 payload를 전달해서 return address에 &name 을 저장하면 ret 명령어로 해당 주소로 리턴 시 쉘코드를 실행할 수 있다. 이것이 return to shellcode 기법이다. (ret2sc = RETurn TO ShellCode) pseu..

SYSTEM HACKING/CTF, etc 2019. 8. 10. 12:35

1. IDA로 pseudo code 확인 - echo 함수에서 gets 함수로 s 변수에 저장된 문자열을 출력 -> overflow 발생시켜 return address 덮을 수 있음 - s 변수의 주소 출력 -> 이 출력된 변수를 따로 다른 변수에 저장해서 return address를 이 주소로 덮는다. - s 변수 + SFP에는 NOP + shellcode + NOP 으로 채운다. 2. 보호기법 확인 신경쓸만한 보호기법 X 3. s 변수에서 return address 까지 거리 bp 1 : echo 함수 첫 번째 명령어 - return address 값 가지고 있는 최상위 stack 주소 bp 2 : gets 함수 호출 명령어(gets 함수 호출 전) - gets 함수 호출 전 인자 구성 시 push ..

SYSTEM HACKING/CTF, etc 2019. 8. 10. 01:03