RoyTravel

[바이너리 확인] [보호기법 확인] [코드 확인] 0x1f 바이트 크기의 버퍼 s에 gets 함수를 통해 입력을 받고 s의 주소 값을 select_func 함수의 인자로 넘겨준다. v3은 함수 two의 주소 값이 할당되어 있고, 버퍼 dest의 경우 0x1e 바이트 크기가 할당되어 있다. 인자로 받은 버퍼 s에 있는 값을 버퍼 dest의 주소에 0x1f 크기 만큼 복사한다. 일단..시간이 자야할거같아서 자고옴...

WarGame/HackCTF 2019.06.23 05:41

[바이너리 확인] [보호기법 확인] [코드 확인] 선뜻 코드로만 이해하기에는 조금 시간이 걸릴듯하여 바이너리를 실행해보았다. 입력을 받아 버퍼에 저장을 하며, 한 줄에 16바이트가 될 때 마다 라인개행(0xA)이 들어가는 일종의 Hex Viewer 프로그램과 비슷해보인다. 코드를 확인할 경우 버퍼 s의 크기는 0x88 바이트인 것을 확인할 수 있고 32bit이므로 4바이트씩 할당되므로 메모리 구조는 다음과 같다. | s(0x88) | sfp(0x04) | ret(0x04) | 따라서 버퍼 s에 셸코드를 담고 리턴 어드레스를, 해당 프로그램에서 출력해주는 버퍼 s의 시작주소로 덮어주면 셸을 획득할 수 있을 것이다. [익스플로잇 코드] [결과]

WarGame/HackCTF 2019.06.23 03:59

[바이너리 확인] [보호기법 확인] [코드 확인] 버퍼의 크기가 0x6d30 인 것을 확인할 수 있고, 버퍼의 주소를 출력해주는 것을 알 수 있다. 버퍼의 주소는 매번 가변적이므로 고정 값을 입력할 수 없다. 따라서 셸을 획득하기 위해서는 셸코드를 버퍼에 넣고 서버로부터 출력되는 버퍼의 주소를 받아서 해당 값을 리턴 어드레스로 덮어 쓰면 될 것이다. [익스플로잇 코드] [결과] [주의사항] 셸코드에서 한참 삽질 했습니다. 48 바이트 셸코드 안됩니다. 25 바이트 셸코드 안됩니다. 23 바이트 셸코드 됩니다. 왜 그렇죠? 답글좀요 ㅜㅜ

WarGame/HackCTF 2019.06.23 03:06

[바이너리 확인] [보호기법 확인] [코드 확인] 배열 변수 s에 0x10c 바이트가 할당되어 있고 해당 변수에 입력을 받은 뒤, 출력하는 매우 간단한 프로그램이다. 보호기법 중 카나리가 설정되어 있지 않기 때문에 메모리 구조는 다음과 같다. | s(0x10c) | v5(0x04) | sfp | ret | 따라서 배열 변수 s에 임의의 값을 담고 리턴 어드레스까지 오버플로우 시키면 될 것이다. 리턴 어드레스로 덮어쓰는 방법으로는 배열 변수 s에 셸코드를 담고 버퍼의 시작주소를 덮거나 셸을 띄우는 함수가 있다면 해당 함수의 주소를 덮어쓰면 될 것이다. 확인 결과, callMeMaybe라는 함수에서 셸을 띄우는 것을 확인할 수 있고 리턴 어드레스를 해당 주소 0x400606으로 덮어씌우면 될 것이다. [익스..

WarGame/HackCTF 2019.06.23 01:24

[바이너리 확인] [보호기법 확인] [코드 확인] read를 통해 name 변수에 0x32 바이트만큼 받고 gets 함수를 통해 버퍼를 읽어들인다. name 변수의 경우 bss 영역에 존재하고, 버퍼 s의 경우 스택에 쌓이게 된다. 따라서 bss 영역의 name 변수에 셸코드를 넣은 뒤, 버퍼 s에 오버플로우를 일으켜 리턴 어드레스를 bss 영역의 name 값이 시작되는 곳으로 변조하면 될 것이다. 버퍼 s의 크기는 0x14 바이트 이므로 메모리 구조는 다음과 같아진다. | s(0x14) | sfp(0x04) | ret(0x04) | 페이로드 구성은 다음과 같다. | A*0x14 | A*0x04 | 0x0804A060(bss) | [익스플로잇 코드] [결과]

WarGame/HackCTF 2019.06.22 23:37

[바이너리 확인] [보호기법 확인] [코드 확인] 코드는 위와 같이 간단하다. 포인터 변수 v5에 sup 함수의 주소 값을 담고, fgets 함수를 통해 버퍼 s에 0x85 바이트 만큼 입력을 받은 뒤, sup 함수가 실행되는 구조이다. 함수 목록을 확인한 결과, shell 함수를 확인할 수 있었고 /bin/dash를 실행시킨다. 이를 통해 셸을 띄우는 shell 함수의 주소 값으로 변조할 것이고 아마 sup 함수를 대신 실행될 것으로 예상된다. [바이너리 실행] 바이너리를 실행하여 AAAA를 입력한 결과 문자열 "하 아 아 아 아 아 아 아 아 앙"을 확인할 수 있고 해당 문자열을 출력하는 함수가 sup일 것이며 이를 확인한 결과는 다음과 같다. sup 함수 내부에서 puts 함수가 실행되기 이전 pu..

WarGame/HackCTF 2019.06.22 22:56

[바이너리 확인] [보호기법 확인] [코드 확인] v5 변수의 값이 0xDEADBEEF로 되면 셸을 획득할 수 있다. v5 변수의 초기값은 0x4030201이고 이를 0xDEADBEEF로 변경하면 될 것이다. ebp-0x34 위치에 있는 변수 s에 0x2D 바이트만큼 읽어들이며, v5 변수는 ebp-0x0C에 있다. 메모리 구조는 다음과 같다. 따라서 fgets를 통해 버퍼 s에, 0x28바이트(ebp-0x34 ~ ebp-0x0c)를 임의의 값으로 채워주고, 0x28바이트 이후 0x04 바이트를 0xDEADBEEF를 써주면 셸을 획득할 수 있다. [결과]

WarGame/HackCTF 2019.06.22 21:57

[바이너리 확인] [보호기법 확인] [코드 확인] 1. 18세 이상인지 묻는 부분에서 최대 16바이트를 입력할 수 있으며 확인의 경우 첫 바이트만 한다. 2. src 변수에 0x84 바이트의 크기를 할당하고, 0x80 바이트의 Name을 입력받는다. 그리고 난 뒤, usr 변수에 복사 한다. 3. 입력받은 Name 값이 들어있는 src 변수를 출력하고, 0x601160 번지에 있는 포맷스트링을 이용하여 usr 변수에 담긴 값을 출력한다. 0x601160번지를 확인한 결과, 0x601168의 주소 값이 할당돼 있고 0x601168번지의 경우 "%s\n"로 초기화가 진행된다. bss 영역을 확인한 결과, usr 변수로부터 0x80 바이트 만큼 떨어진 곳이 0x601160 번지이다. 다시 코드로 돌아가서, r..

WarGame/PwnableXYZ 2019.06.22 04:40