ky.agile

보호기법 확인PIE 없음NX 적용됨 -> 셸코드를 실행하기 어려움FULL RELRO 적용됨 -> GOT 오버라이트 공격 수행하기 어려움 => hook overwrite 고려.소스코드 분석// Name: tcache_poison.c// Compile: gcc -o tcache_poison tcache_poison.c -no-pie -Wl,-z,relro,-z,now#include #include #include int main() { void *chunk = NULL; unsigned int size; int idx; setvbuf(stdin, 0, 2, 0); setvbuf(stdout, 0, 2, 0); while (1) { printf("1. Allocate\n"); printf..

소스코드// Name: uaf_overwrite.c// Compile: gcc -o uaf_overwrite uaf_overwrite.c#include #include #include #include struct Human { char name[16]; int weight; long age;};struct Robot { char name[16]; int weight; void (*fptr)();};struct Human *human;struct Robot *robot;char *custom[10];int c_idx;void print_name() { printf("Name: %s\n", robot->name); }void menu() { printf("1. Human\n"); printf(..

소스 코드 분석 & checksec // Name: fsb_overwrite.c// Compile: gcc -o fsb_overwrite fsb_overwrite.c#include #include #include void get_string(char *buf, size_t size) { ssize_t i = read(0, buf, size); if (i == -1) { perror("read"); exit(1); } if (i 0 && buf[i - 1] == '\n') i--; buf[i] = 0; }}int changeme;int main() { char buf[0x20]; setbuf(stdout, NULL); while (1) { get_string(b..

보호되어 있는 글입니다.

>> 소스코드 >> 메모리 구조 higher.. --stack-- Return addressold EBP [ebp]push ecx [ebp - 4]? [ebp - 8]? [ebp - 12]idx값 [ebp - 16] -- stack-- namecommand lower.. Q. idx의 주소는 어떻게 알았는가?A.소스 코드를 보면 idx는 scanf()의 두번째 argument로 입력되므로,어셈블리에서 scanf()가 호출되기 전 부분을 보고, 그 순간에 stack에 push되는 걸 보자.   0x08048723 :    lea    eax, [ebp-0x10]    0x08048726 :    push   eax    0x08048727 :    push   0x8048832    0x0804872c :..

>> 소스 코드 upload 과정에서는 filename에 ".."가 들어가는지 점검한다. 그러나 download 과정에서는 filename에 ".."가 들어가는지 확인하지 않는다.  >> exploit 소스코드를 보면,업로드되어있는 파일을 읽기 위해서는/read에 "name" parameter를 전달해야 한다. 실제로 업로드&read 테스트를 해봐도,http://host3.dreamhack.games:21074/read?name=mytitle로 접속하게 됨을 확인할 수 있다. 즉, http://host3.dreamhack.games:21074/read?name=☆로 접속함으로써, ☆ 파일을 읽는 것이다. 그러므로, 만약 공격자가 상위 디렉토리의 flag.py를 읽고 싶다면,☆ 자리에 ../flag.py를..

>> 소스코드 분석  # list.phpline 26~32의 php에 의해,현재 위치 아래의 uploads 폴더 내 파일들(중 .., ., index.html는 제외)의 list가 출력된다. # upload.php※ move_uploaded_file(A, B): 파일 A가 php의 HTTP POST 방식으로 업로드 되었는지 확인한 뒤 B로 옮김 이용자는 http://host1.dreamhack.games:[PORT]/uploads/[FILENAME] URL을 통해 파일에 접근 가능   >> exploit # 공격자는 뭘 할수 있는가? 어떤 파일이든 서버에 올릴 수 있다. # 그 파일로 뭘 수행해야 하는가? 이 파일이 실행됨으로써,서버가 "cat /flag.txt" 명령어를 실행하고 그 결과를 브라우저에 ..

>> 소스코드※ subprocess.check_output: 서브 프로세스를 실행하고, 출력 문자열을 파이썬 로직에서 변수에 담아 사용 >> exploit 우선 form에 적용되어 있는 pattern 제한을 삭제해준다.(필터링이 서버가 아니라 클라이언트 단에서 일어나므로 삭제가 가능한 것.) 그 뒤 command injection

>> 소스코드const express = require('express');const app = express();const mongoose = require('mongoose');mongoose.connect('mongodb://localhost/main', { useNewUrlParser: true, useUnifiedTopology: true });const db = mongoose.connection;// flag is in db, {'uid': 'admin', 'upw': 'DH{32alphanumeric}'}const BAN = ['admin', 'dh', 'admi'];filter = function(data){ const dump = JSON.stringify(data).toLower..

#!/usr/bin/python3from flask import Flask, request, render_template, gimport sqlite3import osimport binasciiapp = Flask(__name__)app.secret_key = os.urandom(32)try: FLAG = open('./flag.txt', 'r').read()except: FLAG = '[**FLAG**]'DATABASE = "database.db"if os.path.exists(DATABASE) == False: db = sqlite3.connect(DATABASE) db.execute('create table users(userid char(100), userpassword ch..