ky.agile

from pwn import *elf = ELF("./binary_name")for symbol, address in elf.symbols.items(): print(f"{symbol}: {hex(address)}")

소스코드 분석 & 보호기법 확인__int64 __fastcall main(int a1, char **a2, char **a3){ char s[128]; // [rsp+0h] [rbp-80h] BYREF memset(s, 0, 0x10uLL); read(0, s, 0x400uLL); sub_400580((__int64)s, 0x80uLL); return 0LL;}buffer에 사용자의 입력을 받고,이것이 sub_400580()를 통과하면 프로그램은 정상 종료된다.__int64 __fastcall sub_400580(__int64 a1, unsigned __int64 a2){ unsigned int i; // [rsp+1Ch] [rbp-4h] int j; // [rsp+1Ch] [rbp-4h] ..

소스코드 & 보호기법 확인#include #include #include #include void init() { setvbuf(stdin, 0, 2, 0); setvbuf(stdout, 0, 2, 0);}int main(){ char cmd_ip[256] = "ifconfig"; int dummy; char center_name[24]; init(); printf("Center name: "); read(0, center_name, 100); if( !strncmp(cmd_ip, "ifconfig", 8)) { system(cmd_ip); } else { printf("Something is wrong!\n"); } exit(0);}center_name 변수에 이것의 크기보다 큰 100바이트를 읽어..

소스코드 & 보호기법 확인#include #include #include #include void alarm_handler(){ puts("TIME OUT"); exit(-1);}void initialize(){ setvbuf(stdin, NULL, _IONBF, 0); setvbuf(stdout, NULL, _IONBF, 0); signal(SIGALRM, alarm_handler); alarm(30);}void get_shell(){ system("/bin/sh");}int main(){ char buf[256]; int size; initialize(); signal(SIGSEGV, get_shell); printf("Size: ");..

소스코드 분석 & 보호기법 확인#include #include #include #include char *ptr[7];void initialize() { setvbuf(stdin, NULL, _IONBF, 0); setvbuf(stdout, NULL, _IONBF, 0);}void create_heap(int idx) { size_t size; if (idx >= 7) exit(0); printf("Size: "); scanf("%ld", &size); ptr[idx] = malloc(size); if (!ptr[idx]) exit(0); printf("Data: "); read(0, ptr[idx], size-1);}void..

# 소스코드 분석 & 보호기법 확인// gcc -o tcache_dup tcache_dup.c -no-pie#include #include #include #include char *ptr[10];void alarm_handler() { exit(-1);}void initialize() { setvbuf(stdin, NULL, _IONBF, 0); setvbuf(stdout, NULL, _IONBF, 0); signal(SIGALRM, alarm_handler); alarm(60);}int create(int cnt) { int size; if (cnt > 10) { return -1; } printf("Size: "); scanf("%d..

중복으로 연결된 청크를 재할당하면,그 청크는 할당된 청크이면서, 동시에 해제된 청크임할당된 청크에서 데이터를 저장하는 부분 = 해제된 청크에서 fd와 bk 값 있는 부분-> 할당된 청크에 임의의 값을 write함으로써 해제된 청크의 fd와 bk를 조작할 수 있음-> free list에 임의 주소에 있는 chunk를 추가할 수 있음 다만 다시 free하기 위해선 mitigation 우회를 위해 tcache에 있는 chunk의 key field를 조작해야 함

보호기법 확인PIE 없음NX 적용됨 -> 셸코드를 실행하기 어려움FULL RELRO 적용됨 -> GOT 오버라이트 공격 수행하기 어려움 => hook overwrite 고려.소스코드 분석// Name: tcache_poison.c// Compile: gcc -o tcache_poison tcache_poison.c -no-pie -Wl,-z,relro,-z,now#include #include #include int main() { void *chunk = NULL; unsigned int size; int idx; setvbuf(stdin, 0, 2, 0); setvbuf(stdout, 0, 2, 0); while (1) { printf("1. Allocate\n"); printf..

소스코드// Name: uaf_overwrite.c// Compile: gcc -o uaf_overwrite uaf_overwrite.c#include #include #include #include struct Human { char name[16]; int weight; long age;};struct Robot { char name[16]; int weight; void (*fptr)();};struct Human *human;struct Robot *robot;char *custom[10];int c_idx;void print_name() { printf("Name: %s\n", robot->name); }void menu() { printf("1. Human\n"); printf(..

소스 코드 분석 & checksec // Name: fsb_overwrite.c// Compile: gcc -o fsb_overwrite fsb_overwrite.c#include #include #include void get_string(char *buf, size_t size) { ssize_t i = read(0, buf, size); if (i == -1) { perror("read"); exit(1); } if (i 0 && buf[i - 1] == '\n') i--; buf[i] = 0; }}int changeme;int main() { char buf[0x20]; setbuf(stdout, NULL); while (1) { get_string(b..