Sechack

알람이 10초다... 너무 적게준거 아닌가... 손퍼징... 크흠... vuln함수이다. 솔직히 여기만 봤을때는 5분컷 할줄 알았다. fsb인데 입력할 공간도 넉넉하고 while문에서 돌아가고 있다. 평범하게 주소 덮으면 되는줄 알았다. libc는 간단하게 main함수의 ret부분을 leak하면 된다. Full relro이다. 바이너리 이름은 좀 길어서 format으로 바꿔주고 풀었다. Dockerfile도 같이 주길래 봤더니 ubuntu 18.04여서 해당 환경에서 진행했다. Full relro를 보자마자 __free_hook, __malloc_hook을 덮을 생각을 했다. 하지만 바이너리 내에서 힙 관련 함수를 사용하지 않는다. 그러나 좌절하지 않고 heap chunks명령어를 쳐봤더니 청크가 있다...

앞에 3문제는 그냥 기초적인 rop라서 딱히 적을게 없는데 이문제는 함수의 특성을 제대로 고려하지 못해서 많은시간 삽질한 문제라서 풀이 남깁니다... int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { __int64 v3; // rdx __int64 v4; // rdx int v5; // ST0C_4 signed int v6; // [rsp-160h] [rbp-160h] __int64 v7; // [rsp-158h] [rbp-158h] __int64 v8; // [rsp-150h] [rbp-150h] const char *v9; // [rsp-148h] [rbp-148h] __int64 (__fastcall **v10..

키야 ~~~~~~ 처음으로 퍼블먹어본 문제이다. 첫 퍼블과 동시에 처음으로 CTF에서 처음으로 포너블 올클해봤다. 쾌감... 일단 이문제 취약점은 off by one이다. 이거 알아내기까지 은근 삽질 많이했다. main을 보니까 메뉴를 선택해서 해당 역할을 수행하는것같다. 실행해보자. 대충 이렇습니다. 이제 각자 메뉴가 어떤일을 하는지 분석해봅시다. 먼저 1번 메뉴이다. 여기서 off by one이 터진다. 하지만 캐치해내기까지 꽤 걸렸다. 이부분은 이따가 3번 메뉴를 보면 off by one이 어떻게 익스플로잇과 연계되는지 알 수 있다. 저거 캐치한뒤에는 거의 10분안에 플래그 얻은것같다. 저기서 눈여겨봐야하는 부분이 qword_6020C0[i] 이부분과 qword_602120[i] = 32LL; 이부..

처음에 숫자를 입력받는다. 그리고 입력받은 숫자를 기반으로 다음 입력때 사용할 스택 주소를 연산하는것 같았다. 그리고 연산된 주소에다가 0x78만큼 입력받는다. 연산하는 부분을 어셈으로 보면 덧셈, 뺄셈, 곱셈, 시프트 연산 등을 하는걸 볼 수 있다. 우리는 연산된 주소와 ret까지의 offset이 0x78을 넘지 않도록 만들면 된다. 저걸 다 분석할수도 있지만 귀찮아서 그냥 -1넣어봤다. 그리고 gdb로 보니까 ret까지의 offset이 0x28이 나오는것이다. 그래서 그냥 -1넣고 진행하였다. 옆에보면 pop rax, rdi, rsi. rdx, syscall 전부 가젯을 제공해주는걸 알 수 있다. 따라서 저걸 사용해서 sysrop해서 /bin/sh기록하고 execve호출하면 되는것이다. 보니까 bss..

처음으로 풀어본 CTF힙문제이다. 고득점 문제여서 풀고나서 매우 뿌듯했다. 프로그램은 매우 간단했다. 원하는 사이즈로 청크를 할당받을 수 있고 해제할 수 있다. add함수는 전역변수에 우리가 입력한 사이즈만큼 malloc을 한다. view함수는 전역변수에 들어있는 값을 출력해주고 있었다. delete 함수는 전역변수를 free해준다, PS: The challenge uses the good old Ubuntu 18.04 libc ;) 문제에서도 이렇게 힌트를 주면서 double free가 그냥 된다는것을 알려주고 있다. 실제로 double free에 대한 검증이 없는 libc였다. 근데 full relro가 걸려있었다. 역시 호락호락하게 풀리게 주진 않는다... got overwrite가 불가능하니 fr..

로되리안때문에 반나절을 날리다가 결국 플래그를 못얻은 문제이다. fd만 맞춰주면 되는건데... 흑... main의 디스어셈 결과를 보니까 init_seccomp함수로 seccomp를 설정하고 pwn dis shit를 출력하고 rbp-0x10에 0x200만큼 입력받는다. BOF가 터지는것이다. seccomp-tools로 본 결과 open. read. write를 이용해서 플래그를 읽어와야 할것 같다. 먼저 puts의 got를 출력해서 libc를 leak한 다음 다시 main으로 가서 open, read, write call chain을 구성하면 될것이다. open함수는 fd를 3부터 할당하니까 /pwn/flag.txt를 읽으면 fd가 3이 될것이다. (그런줄 알았다... 로컬에서 그렇길래 굳건히 믿었다....

바이너리가 굉장히 심플합니다. nasm으로 구현된것 같네요. vuln함수를 보면 rsp에 입력을 받으니까 ret를 조작할 수 있습니다. 위에 보니까 가젯들도 전부 제공해주고 있습니다. 한가지 문제점은 bss섹션이 존재하지 않고 .text섹션밖에 없어서 /bin/sh문자열을 저장할곳이 없습니다. 결국 스택을 이용해야 합니다. execve system call은 /bin/sh문자열 자체가 아닌 /bin/sh문자열이 저장된 메모리 주소를 필요로 합니다. sysrop를 진행할 가젯은 위에서 보시다시피 충분히 존재합니다. 스택에 /bin/sh문자열을 넣고 인자로 전달하려면 stack leak이 필요합니다. 하지만 leak할 방법이 없는것 같습니다. vuln함수에 입력받는 부분을 보면 mov rsi, rsp 즉 r..

main에서 myFun함수를 호출한다. 저 함수가 핵심기능이다. 하지만 디컴파일 해보려고 하면 에러가 뜨면서 디컴파일이 되지 않는다. 어쩔 수 없이 어셈블리어 수준에서 분석해야 한다. 옆에 보이는 win함수가 어셈 분석결과 fopen, fgets, printf를 이용해서 플래그를 출력해주는 함수였다. 저것도 마찬가지로 디컴파일이 되지 않는다. win함수이다. 주석부분만 봐도 flag.txt를 읽어서 출력해주는 함수임을 알 수 있다. myFun함수이다. name과 password를 입력받는다. ebp-0x20에 입력받는데 입력하는 크기는 0x150이어서 BOF가 터지는것을 알 수 있다. 그리고 ebp-0xc의 값을 0x0DEADBEEF와 체크해서 각각 분기한다. 하지만 자세히 보면 출력하는 문자열만 다를뿐..

처음에 디컴파일 결과보고 쫄았던 문제이다. 70줄이나 되었던... 원래같으면 포기하고 다른문제 풀었을탠데 한번 자신을 믿어보기로 하고 분석해봤다. 위에서도 말했지만 디컴파일 결과가 타 문제보다 길어서 쫄았다. 하지만 핵심만 파악하면 간단하게 익스플로잇 할 수 있는 문제였다. 위에 부분은 조금 잘렸는데 변수 선언부분이다. 근데 대회때 볼때는 디컴파일 결과 70줄이었는데 왜 지금은 67줄이지... 디컴파일 결과도 상황에 따라서 바뀌나보다. 보호기법은 카나리, NX, PIE가 걸려있다. 어차피 이 문제에서는 의미없으므로 신경쓰지 않아도 된다. 위에 코드를 분석하면서 프로그램을 한번 실행해보았다. 대충 실행해보니까 사용자가 입력한 길이만큼 리스트 만들고 원하는 함수주소 입력하면 우리가 만들었던 리스트 인자로 주..

main함수와 _read함수, 그리고 _start함수 3개만 덩그러니 있었다. gdb로 어셈블리어를 보니까 rbp-0x8에 입력받는데 0x200만큼 입력이 가능했다. 즉 sfp와 ret을 덮는게 가능하다. (gdb로 다시한번 더 본 이유는 IDA에서는 rbp-fd라고 출력이 되어서 정확한 확인을 위해 gdb로 한번더 보았다.) 근데 지금보니까 fd = dword ptr -8이라는게 상단에 보인다. 역시 static이다. 보호기법을 보니 NX가 해제되어 있었다. 이말은 즉 쉘코드 삽입이 가능하다는 말이다. 처음에는 syscall로 call chain을 구성해보자는 생각을 했으나 가젯이 너무나도 없었다. pop rax만 있어도 sigreturn을 사용해서 익스플로잇 했을텐데 rax를 조작해줄수 있는 가젯마저..