| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | ||||||
| 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| 9 | 10 | 11 | 12 | 13 | 14 | 15 |
| 16 | 17 | 18 | 19 | 20 | 21 | 22 |
| 23 | 24 | 25 | 26 | 27 | 28 |
- toddler
- pwnable
- rev
- writeup
- CTF
- practicalmalwareanalysis
- ASM
- BOF
- Rookiss
- Leak
- picoCTF
- PMA
- string
- 2018
- Bottle
- CANARY
- TUCTF
- Toddler's Bottle
- shellcraft
- anti
- pwnable.kr
- Reverse
- pico
- reversing
- Bug
- pwn
- FSB
- Read
- format
- shellcode
- Today
- Total
목록anti (6)
제리의 블로그
TUCTF 2018 PWN shella-hard 요약안티 디스어셈블링(?) 기법이 적용된 바이너리였다. 심볼 중에 giveShell 이라는 사용자 정의 함수가 있었다.BOF 를 통해서 RET 를 덮는 방식으로 giveShell 을 불러봤으나 쉘을 따지지 않았다.giveShell 을 자세히 보니 코드가 깨져있는것처럼 보였고살짝만 바꿔주면 execve("/bin/sh", 0, 0); 가 보인다.해당 주소로 리턴시켜주면 된다. .text:08048458 public giveShell .text:08048458 giveShell proc near .text:08048458 push ebp ; path .text:08048459 mov ebp, esp .text:0804845B nop .text:0804845B ..
Lab16-01.exe if ( *(_BYTE *)(__readfsdword(0x30) + 2) ) del_file(); if ( *(_DWORD *)(*(_DWORD *)(__readfsdword(0x30) + 0x18) + 0x10) ) del_file(); if ( *(_DWORD *)(__readfsdword(0x30) + 0x68) == 0x70 ) del_file(); 이 프로그램은 3가지 안티디버깅 기법이 적용된 Lab09 실습 프로그램입니다.디버깅 중이라는 것이 판명되면 악성코드 스스로 삭제하게 됩니다. (sub_401000) 첫번째는 BeingDebugged 플래그 .text:00403554 mov eax, large fs:30h .text:0040355A mov bl, [eax+2] ...
Lab15-01.exeLab15-01.exe 파일을 그냥 더블클릭해보면커맨드 창이 순식간에 떳다 사라진다. 그래서 아래와같이 실행시켜보았다.C:\ProgramData\chocolatey\lib\pmalabs\tools\Practical Malware Analysis Labs\Bina ryCollection\Chapter_15L>Lab15-01.exe Son, I am disappoint.뭔가 조건이 맞지 않은 모양이군요.문자열이 나왔으니 함 찾아볼까요 .data:00403010 0000000A C Good Job! .data:0040301C 00000016 C Son, I am disappoint.실패 문자열뿐만이 아니라 성공 문자열까지 나온 것을 확인할 수 있습니다. .text:00401047 xor ..
PMA Lab15-03.exe 안티디스어셈블리
Lab15-03.exe retaddr = 0x40148C;main() 함수 .text:0x40100C 를 보면 위와같은 주소가 저장되는 모습을 볼 수 있습니다. .text:0040148C push ebp .text:0040148D mov ebp, esp .text:0040148F push ebx .text:00401490 push esi .text:00401491 push edi .text:00401492 xor eax, eax .text:00401494 jz short near ptr loc_401496+1그래서 40148C를 확인해보니 xor; jz+1; 형태의 안티디스어셈블리를 확인할 수 있습니다.악성코드의 주요코드가 숨겨져있을거라고 예상이 됩니다.. 40148C의 코드는 call 이나 jmp 명령..
PMA Lab16-02.exe 안티디버깅
Lab16-02.exe 질문1. 커맨드라인에서 Lab16-02.exe를 실행할 때 어떤 일이 발생하는가? C:\ProgramData\chocolatey\lib\pmalabs\tools\Practical Malware Analysis Labs\Bina ryCollection\Chapter_16L>Lab16-02.exe usage: Lab16-02.exe 2. Lab16-02.exe를 실행할 때 어떤 일이 일어나는지 보고 커맨드라인의 파라미터를 추측해라. C:\ProgramData\chocolatey\lib\pmalabs\tools\Practical Malware Analysis Labs\Bina ryCollection\Chapter_16L>Lab16-02.exe p@ss Incorrect password,..
Lab15-02.exe다음은 strings한 결과입니다.ShellExecuteA SHELL32.dll WS2_32.dll InternetCloseHandle InternetReadFile InternetOpenUrlA InternetOpenA WININET.dll fclose fwrite fopen malloc strstr printf MSVCRT.dll _exit _XcptFilter exit __p___initenv __getmainargs _initterm __setusermatherr _adjust_fdiv __p__commode __p__fmode __set_app_type _except_handler3 _controlfp _strdup not enough name internet unable ..