본문 바로가기

write-up

[HDCon 2013] 5번 문제 write up 처음에 문제를 보자마자, 뭐이리 쉽지 했는데, 그냥 그냥 쉽지는 않았다.버퍼를 왕창 주길래 NX가 없구나 했는데, 그건 아니었던것 같아서 바로 ROP로 전환했다. 근데 문제는, system의 주소값을 모른다는것(offset을 모르는것)과 ROP가 가능한 크기가 유동적이라는것이다.ROP가 가능한 크기가 랜덤이기 때문에, 시스템 주소값을 맞췄더라도 결과가 안나올수도 있고,페이로드의 크기가 커지면 커질수록, 성공률도 줄어든다.그러므로, 페이로드를 작게 만드는게 중요했으나..... 그냥, 계속 반복해서 돌리기로 했다. system의 주소값을 모르는건 크게 문제가 되지 않았다. 어짜피 fork로 되어있으므로, system 주소값은 변하지 않는다.그러므로, puts라던지, recv라던지, 이미 있는 주소값을 구해오.. 더보기
[HDCon 2013] 4번 문제 write up 아주 간단한 문제였다. 우선, 그림판에서 대충 jpg 파일을 만든후, 문제에서 주어진 파일과 비교를 한다.가장 기초중의 기초인 xor을 해보자, 4바이트의 키로 xor을 하고있는것을 알 수 있었다. """ >>> hex(0xBB ^ 0xFF) '0x44' >>> hex(0xCE ^ 0xD8) '0x16' >>> hex(0xDA ^ 0xFF) '0x25' >>> hex(0xE6 ^ 0xE0) '0x6' >>> hex(0x44 ^ 0x00) '0x44' >>> hex(0x06 ^ 0x10) '0x16' 0x44162506 0x06251644 """ f = open('secret.jpg','rb') f2 = open('new.jpg','w') data = f.read() i=0 while i 1; if ( v.. 더보기
[HDCon 2013] 3번 문제 write up (2번 문제는 생략하도록 한다. 그냥 네이트온 대화가 오간것을 찾으면 된다.) virtual host 문제였다. 서버가 virtual host일때, HTTP 헤더의 'Host' 헤더에 따라서 폴더의 경로가 바뀔수 있다.이번에 처음 안 사실이고, 신기했다. 그래서, 기본적으로는 host가 kisa로 되어있으며, Host를 localhost로 변경할경우 다른 폴더가 나타난다. import httplib,urllib; import time from socket import * """ s = socket(AF_INET,SOCK_STREAM) s.connect(('118.107.172.213',8888)) s.send("GET /2013_06_04_blog_backup_.zip HTTP/1.1\r\n") s.se.. 더보기
[HDCon 2013] 1번 문제 write up 1번 문제는 sql injection 문제였다. injection 위치는 limit 부분이었다. limit 부분에 인젝션이 가능할때는 union 인젝션만 가능하다고 알고 있었고, 이게 맞는듯 하다.그래서 '(', select, from 등이 필터링이 되어있다는걸 알았을때는 멘붕이었고, 내가 잘못 알고 있나 해서 검색을 엄청나게 했다.하지만, 이 문제는 좀 다른 방향으로 접근해야 했다.문제파일의 확장자는 'do' 였다. do 확장자에 대해 검색해보면, do 확장자에서 jsp를 불러온다는걸 알수있다.그래서 students.do 대신 students.jsp로 요청을 하면 ,select의 필터링이 풀린다. (즉, do에서 필터링을 하고있었다는걸 알수있다.)그 후에는 간단한 union 인젝션이다. import h.. 더보기
[BOF원정대/Fedora4] cruel -> enigma 0x080485e0 : mov 0x804985c,%eax 0x080485e5 : sub $0x4,%esp 0x080485e8 : push %eax 0x080485e9 : push $0x400 0x080485ee : lea 0xfffffc00(%ebp),%eax 0x080485f4 : push %eax 0x080485f5 : call 0x80483ec ... (gdb) x/x 0x804985c 0x804985c : 0x00236740 (gdb) x/10x 0x00236740 0x236740 : 0xfbad2098 0xb7fe1000 0xb7fe1000 0xb7fe1000 0x236750 : 0xb7fe1000 0xb7fe1000 0xb7fe1000 0xb7fe1000 0x236760 : 0xb7fe2000.. 더보기
[Secuinside 2013] 127.0.0.1, write up 공격 순서는, ssh key 덮어씌우기 -> 버퍼오버플로우 이다. 로컬에서만 접속할수 있는 데몬이기때문에, 로컬의 쉘이 필요하다.로컬 쉘을 얻을수 있는 방법으로는, ssh key를 서버에 올려놓으면, 비밀번호 없이 접근할 수 있다. $ ssh-keygen -t rsa로, public key와 private key를 만든후, private key 는 ~/.ssh/id_rsa 로 옮겨놓고,public_key는 이름을 authorized_keys로 바꾸고 ftp를 이용해 서버로 업로드한다. 그래서 ftp로 접속을 한다. (annonymous로 접속하면 된다.)그리고, active 모드로 변경한다. (서버는 대부분의 포트가 막혀있기때문에, passive 모드가 안먹힌다.)그리고, /home/secu_ftpd/a.. 더보기
[Secuinside 2013] PE time IDA로 열어본다. ... GetWindowTextA(::hWnd, &String, 128); SetWindowTextA(hWnd, &String); v16 = 5; do { String -= v16; String ^= 3u; --v16; } while ( v16 ); v17 = 4; do { v23 -= v17; v23 ^= 4u; --v17; } while ( v17 ); v18 = 3; do { v24 -= v18; v24 ^= 5u; --v18; } while ( v18 ); v19 = 2; do { v25 -= v19; v25 ^= 6u; --v19; } while ( v19 ); v20 = strcmp(&String, "C;@R"); if ( v20 ) v20 = -(v20 >> chr((((.. 더보기
[Secuinside 2013] Secure Web, write up 300점 치고는 너무 쉬운 문제였다. 그냥 php 쉘파일 업로드해서 확인하면 된다. 아래와 같은 파일을 업로드한다. ... 그 후에, ./uploads/[ip encoding]/파일이름로 접근하면 끝. 더보기
[Secuinside 2013] givemeshell, write up 파일디스크립터 문제이다. 쉘에서, $ ls > file 으로 할때, file에 명령어의 결과가 저장된다는것은 다들 알것이다. 사실 이건 $ ls 1>file 을 생략한 버전이다. 1번은 stdout을 의미한다. (쉘 화면에 출력되는것)그외에 0번은 stdin이고, 2번은 stderr 이다. 문제를 보면, 5글자까지 system으로 실행을 시켜준다.하지만, fork로 되어있기때문에, 출력 결과값이 우리에게 돌아오지는 않는다.우리의 소켓번호는 4번으로 일정하다. (fork이기 때문에) 그렇다면, ls>&4 를 치게되면, 그 결과값을 4번 디스크립터인, 연결되어있는 소켓에 쏴준다.그러면 그 결과가 클라이언트에게 날아가게 된다. 대충 느낌이 왔으니, 이제 쉘을 실행한다. 쉘은 원래 0번 디스크립트인 stdin을.. 더보기
[Secuinside 2013] Bigfile of secret, write up http 헤더중 range에 관한 문제이다. Range의 bytes=x-y로 범위를 조작해주면, 응답페이지중 x번째부터 y번째까지의 바이트만을 출력해준다. import httplib,urllib; conn = httplib.HTTPConnection("119.70.231.180",80) conn.connect() conn.putrequest('GET','/secret_memo.txt') conn.putheader('Connection','keep-alive') conn.putheader('Range','bytes=100000000-100005000') conn.endheaders() response = conn.getresponse() data = response.read() print data 더보기