본문 바로가기

분류 전체보기264

[HackCTF] (Pwnable) babyfsb 풀이 printf(buf) 부분에서 fsb 가 발생한다. buf 값의 입력가능 범위는 SFP 전까지이다. 리턴주소 ( __libc_start_main + 2XX ) 을 leak 하면서, 카나리 부분을 덮은 뒤, ___stack_chk_fail@got 을 main 함수로 덮는다. 2라운드 에서는, leak 한 주소를 바탕으로 ___stack_chk_fail@got 을 원샷 함수로 덮거나, printf@got 을 system 으로 덮은 다음, 카나리 부분을 덮은 뒤, buf 에 "/bin/sh" 를 입력해서 printf(buf) -> system("/bin/sh") 실행 일단 rsp + 6번째가 buf 의 값을 나타낸다. 프로그램을 실행하고, __stack_chk_fail@got 을 보면, 아직 호출된 적이 없기.. 2021. 5. 14.
[CTF] DawgCTF 2021 writeup 연구동아리 waylab 시간에 푼 CTF 이다. 기억나는 문제 writeup 조금만 올려보겠습니다. BBomb Phase 5 숫자 4개를 입력받고, 차이가 10을 넘지 않는 수열의 합이 8084가 되어야한다. 이 숫자들은 func5 함수에서 검증하는데, 대충 이 함수에서 1이 나오는 숫자들이 있는데 이 숫자 4개다. 문제에서 주어진 rockyou.txt 파일에서 해당하는 행에 있는 단어들을 _ 로 구분해서 제출하면 된다. BBomb Phase 7 5번이랑 비슷한데, 수열에서 차이나는 범위는 제한이 없지만, 각 자리의 숫자를 로테이션 한 값들이 모드 func5 함수를 만족해야한다. 마찬가지로 rockyou.txt 에서 해당 행에 있는 단어들을 _ 으로 구분해서 제출하면 된다. cookin the ramen.. 2021. 5. 9.
[HackCTF] (Pwnable) Unexploitable_4 풀이 마지막시리즈다. 보호기법은 NX 가 꺼져있다. bss 에 쉘코드를 적어서 리턴하면 될텐데, dummy+sfp+ret 합쳐서 0x20 byte 여서 ret 넘어서 입력받을 수 있는 데이터는 13byte밖에 되지 않는다. 13byte 짜리 쉘코드는 찾아봤는데 없는 것같다. 그래서 23byte 쉘코드를 스택피보팅으로 나눠서 입력해보자. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 from pwn import * # r=process("./Unexploitable_4") r=remote("ctf.j0n9hyun.xyz", 3039) context.log_level='debug' bss=0x601000+0x800 .. 2021. 5. 3.
[HackCTF] (Pwnable) Unexploitable_3 풀이 보호기법은 2와 마찬가지로 NX 정도 걸려있다. main 함수에서 0x90 만큼 오버플로우가 발생한다. gift 함수에는 fwrite 함수가 있는데, 밑부분을 보면, mov rcx, [rdi] 가젯이 있는데, 이걸로 fwrite 의 4번째 인자를 조작할 수 있다. fwrite(fgets@got, 1, 6, 0x601050 (stdout in bss)) 이렇게 호출하면 되는데, rdi, rsi, rdx 레지스터는 __libc_csu_init 가젯으로 맞추면 된다. pop rdi 가젯으로 rdi 에 bss 주소 넣기 mov rcx, [rdi] 가젯으로 rcx 에 stdout 이 들어가게 된다. 이제 csu 가젯으로 rdi, rsi, rdx 가젯을 세팅하고, fwrite 로 leak 을 한다. 다시 main .. 2021. 5. 3.

티스토리툴바