system/writeup 썸네일형 리스트형 x-mas ctf 2019 deadfile 2019 x-mas ctf deadfilebinary info[*] '/home/krrr/pwn/x-mas/dead_file/deadfile' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled메뉴형 heap challenge이다. line CODE JT JF K ================================= 0000: 0x20 0x00 0x00 0x00000004 A = arch 0001: 0x15 0x00 0x0d 0xc000003e if (A != ARCH_X86_64) goto 0015 0002: 0x20 0x00 0x00 0x00000000 A = sys_number 0.. 더보기 pwnable.tw criticalheap 보호되어 있는 글입니다. 더보기 pwnable.tw printable 보호되어 있는 글입니다. 더보기 2019 d3ctf lonely_observer 2019 d3ctf lonely_observerpipe https://12bme.tistory.com/226d3ctf writeup https://www.anquanke.com/post/id/193939#h3-9pipe를 이용한 IPC를 구현한 바이너리이다.총 2개의 바이너리 mimic32, mimic64와 IPC 통신을 진행한다.간단하게 lonely_observer 바이너리에서 각각의 thread로 입력, 출력을 받고 이를 출력해준다.요로코롬 thread를 만들어서 각각의 바이너리를 관리한다.그리고 밑에서 buf에 입력을 받아 mimic32, mimic64에 전달해준다.근데 문제는 main_thread에서 memcmp로 mimic32, mimic64의 출력값을 비교한다.출력값이 같지 않으면 handle.. 더보기 2019 d3ctf babyrop 2019 d3ctf babyrop쉬운 custom vm 문제다.custom stack을 이용하여 연산들을 쭉쭉 하는데 stack에 존재하는 변수에 custom stack을 만들어서 연산을 쭉쭉 한다.딱 봐도 ret 덮을 수 있을 것 같죠?!opcode 분석들만 해주고 바로 onegadget으로 쉘따면 됩니다.00000000 custom_stack struc ; (sizeof=0x14, mappedto_6) 00000000 stack dq ? 00000008 stack_50 dq ? 00000010 length dd ? ; base 2 00000014 custom_stack ends커스텀 스택은 요로코롬 생겼고이런식으로 opcode들을 쭉쭉 분석해주면 된다.from pwn import * #contex.. 더보기 2019 d3ctf ezfile 2019 d3ctf ezfile취약점은 총 2개이다. ( + oob bug)먼저, deleteNote에서 UAF가 발생한다.glibc 2.27 이므로, 이를 이용하여 tcache dup 공격을 진행할 수 있다.그리고 encryptNote에서 stack overflow가 발생한다.0x60 크기의 seed에 0x68만큼 입력받아 ret overwrite가 가능하다.특이한 점은, 마지막 함수 doSomeThing에서 seed, index를 인자로 받기 때문에, rdi, rsi 조작이 가능하다는 점이다.exploitexploit의 대략적인 과정은 다음과 같다.tcache dup -> chunk overlappingunsortedbin free -> partial overwrite(1/16) -> stdin->f.. 더보기 2019 holyshield babyheap 2019 holyshield babyheapmalloc mmaped large chunkoob double free ld.so arealeak libc && overwrite _rtld_global + 3840(dl_fini)shellfrom pwn import * #context.log_level= 'debug' e = ELF('babyheap') #s = process(e.path, env={'LD_PRELOAD': './libc.so.6'}) s = process(e.path) l = ELF('/lib/x86_64-linux-gnu/libc.so.6', checksec=False) #l = ELF('libc.so.6', checksec=False) ru = lambda x: s.recvu.. 더보기 2018 0ctf final baby 2018 0ctf final babydouble fetch 취약점이 발생하는 모듈이 존재한다.리눅스 커널에서의 race condition이라고 생각하면 된다.user-space binary보다 double fetch 취약점이 리눅스 커널상에서 많이 발생하는 이유는 context switch의 유무 차이인 것 같다.일단 모듈은 굉장히 작으며, 간단하게 살펴보면 다음과 같다.flag의 주소를 출력해준다.난잡한 조건문을 거친 뒤 *input == flag라면 flag를 출력해준다.즉, input에 얻은 flag의 주소를 넣어줘야 한다.여기서 __chk_range_not_ok 함수를 살펴보자.첫 번째 인자와 두 번째 인자를 __CFADD__를 통해 더하는데, 만약 첫 번째 인자에 커널 주소, 즉 flag의 주소.. 더보기 이전 1 2 3 4 ··· 13 다음