제리의 블로그

TUCTF 2018 PWN Lisa 요약1-byte overflow(?) 문제이다. RET 를 1-byte 만 변조할 수 있다. strcmp(input, password); 를 만족하면 FLAG 가 주어지는 방식인데 input 은 사용자의 입력을 받는 부분이고 password(share) 는 우리가 알 수 없는 값이다. RET 를 main+0xD5 로 덮어주면 read 함수를 실행하기 바로 직전이 되는데 32 bit 바이너리의 cdecl 함수 호출 규약에 따라 스택 영역에 fd, buf, nbytes 를 공격자의 입맛대로 넣어주기만 하면 원하는 공간에 덮을 수 있다. password 의 주소는 바이너리에서 친절하게 주어졌기 때문에 password 를 덮어씌워 input 값과 똑같이만 만들면 된다. fro..

TUCTF 2018 PWN Canary 요약이번 문제는 전역변수가 0 으로 초기화 된다는 점을 이용하여 canary 를 0 으로 맞추고 RET address 를 코드영역의 system("/bin/cat ./flag"); 로 돌리면 되는 문제이다. checkCanary() 함수를 보면 *(_DWORD *)(a1 + 40) 과 cans[*(_DWORD *)(a1 + 44)] 가 같은지 다른지에 따라 stack smash check 를 한다. a1 의 구역은 스택의 영역이고 cans 의 영역은 전역변수의 영역(.bss) 이다. 전역변수 cans[0] 에는 "/dev/urandom" 값이 저장되어 예측이 불가능하다. 그런데 cans 는 배열이므로 cans[1] 이상은 아직 0 으로 초기화되어있는 상태이다. 따라..

Nihwk CTF 2018 pwn6 주최 측의 치명적인 실수로 문제가 오픈된 사건이 있었던 것 같은데 대회 공정성이 없어지면서 종료 시점 또한 없는 듯 합니다. writeup을 써도 된다기에 이렇게 올립니다. Pwn #6 神奇魔法麵包 2100 你可以解開神奇魔法麵包拿到shell嗎？ Please shell it https://nihwkpwn.herokuapp.com/중국어는 번역기 돌려도 모르겠지만 퍼너블인 것은 맞으니까 쉘을 따면 됩니다. nc 0.tcp.ngrok.io 15076 Download: https://nihwkpwn.herokuapp.com/pwnfile Sometimes, the port will be outdated, please wait for refresh접속 정보와 바이너리가 주어집니..

#read #leakinitDescription일단 실행취약점 파악exploit.pyFLAGDescription서버 바이너리에는 정상적으로 플래그가 있습니다 nc 121.170.91.17 9901 init일단 실행# ./init Do you want to do? [R]ead [W]rite [E]xit >>> 메뉴를보니읽고 쓰고가 가능해보임취약점 파악 44 printf("length: ", &v5); // [R]ead 45 __isoc99_scanf("%d", &len); 46 v3 = &buf; 47 read(0, &buf, len); 48 } 49 if ( v5 != 'W' ) 50 break; 51 printf("length: ", &v5); // [W]rite 52 __isoc99_scanf("%d..