Be myself :: 'Wargame' 카테고리의 글 목록 (3 Page)

달력

32024  이전 다음

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31

'Wargame'에 해당되는 글 34건

  1. 2014.11.13 webhacking.kr 23 6
  2. 2014.10.17 codegate 2014 4stone
  3. 2014.10.13 bashshock~~!!
  4. 2014.09.27 [pwnable.kr]brain_fuck
  5. 2014.09.26 [pwnable.kr]input
  6. 2014.09.25 문제 서버 파일 다운로드(ssh)방법
  7. 2014.09.24 exploit-exercise ssh 접속방법
  8. 2014.09.21 wargame.kr 올클
  9. 2014.08.22 Fc3 dark_eyes
  10. 2014.07.25 Suninatas all clear 3

webhacking.kr 23

Wargame 2014. 11. 13. 16:09

풀고나서 다른 풀이들을 보려고 검색하니까 대부분 풀이가 너무 판박이처럼 똑같아서 내가 푼 방식을 써둔다.

문제는 간단하다. 저기에 질의를 보내면 필터링에 걸러지지 않으면 다음과 같이 뜬다.

하지만 <script> 나 alert는 필터링 되어 있어 입력하기가 쉽지 않다.

이를 우회하기 위해 어떤 방법을 써야할까?

php에서는 ereg, eregi,split  등과 같은 c언어에 기반을 둔 posix함수들이 사용되는데 이러한 함수들은 %00 즉 NULL이 오면 뒤에는 인식을 하지 않아 우회가 가능하다.

이를 이용해 웹쉘을 올리거나 하는 파일업로드 공격으로 이어지기도 한다. 즉 출제의도는 이러한 함수들을 우회할 수 있는지 묻는 것이다.

따라서 다음과 같은 쿼리를 url의 파라미터로 직접  보내면 문제가 해결된다.

%00<script>alert(1);</script>

Posix관련 함수 취약점에 블로그 : http://hackability.kr/entry/PHP-%EB%AC%B8%EC%9E%90%EC%97%B4-%ED%95%84%ED%84%B0%EB%A7%81-%ED%95%A8%EC%88%98ereg-eregi-%EC%B7%A8%EC%95%BD%EC%A0%90%EC%9D%84-%EC%9D%B4%EC%9A%A9%ED%95%9C-%EC%9A%B0%ED%9A%8C

'Wargame' 카테고리의 다른 글

[pwnable.kr]unexploitable  (0) 2014.12.02
[pwnable.kr] tiny  (0) 2014.11.15
codegate 2014 4stone  (0) 2014.10.17
bashshock~~!!  (0) 2014.10.13
[pwnable.kr]brain_fuck  (0) 2014.09.27
Posted by flack3r
|

codegate 2014 4stone

Wargame 2014. 10. 17. 12:43


이 문제를 풀면서 got와 Plt사이의 관계에 대해 확실히 알게 되었다. 처음 GOT를 참고 할 때 _dl_runtime_resolve () 함수가 호출되지 않았기 때문에 GOT는 PLT의 다음주소를 가르키고 있다. 그 후 _dl_runtime_resolve()함수에 의해 라이브러리의 base주소를 얻어 오고 그 다음 오프셋을 더해 해당하는 함수의 주소 값을 받아 온다. 따라서 해당 라이브러리의 image base를 조작할 수 있다면 호출되는 함수의 주소 값 또한 변조되어 우리가 원하는 함수나 쉘을 실행 시킬수 있게 되는 것이다.
일단 문제를 보자.

게임에서 이기면 argv[1]에서 값을 가져와 이 값이 0x804 혹은 0xB로 시작이 되지 않으면 argv[1]에 해당하는 주소값에 4바이트 입력 값을 쓰는 문제이다. 일단 GOT 주소나 ret를 변조 할 수 없기 때문에 GOT의 함수 주소를 불러 올 때 사용되는 _dl_runtime_resolve ()함수에서 라이브러리의 base주소를 변조해서 쉘을 떨어뜨리는 방향으로 가자.


Dl_runtime_resolve함수의 전체이다. 여기서 _dl_fixup함수가 호출 된 이후를 보자.

호출된 직후 레지터터 상태를 보면 eax에 이미 exit함수의 주소가 찍혀있는 것을 볼 수 있다. 그렇다면 _dl_fixup함수를 살펴 보자.

위에 보이듯이 0x40071000에서 값을 받아 와서 거기에 0x2d1a만큼 더한 곳의 주소 값을 eax에 넣고 있다. 즉 호출되는 exit함수의 주소 값이 저렇게 결정된다는 것이다.
그렇다면 우린 0x40071000의 주소에 우리가 원하는 쉘코드 주소 – 0x2d1a 의 값을 써주면 쉘이 떨어 진다.

'Wargame' 카테고리의 다른 글

[pwnable.kr] tiny  (0) 2014.11.15
webhacking.kr 23  (6) 2014.11.13
bashshock~~!!  (0) 2014.10.13
[pwnable.kr]brain_fuck  (0) 2014.09.27
[pwnable.kr]input  (0) 2014.09.26
Posted by flack3r
|

bashshock~~!!

2014. 10. 13. 15:46

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.

[pwnable.kr]brain_fuck

2014. 9. 27. 11:33

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.

[pwnable.kr]input

2014. 9. 26. 17:42

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.

SSH로 파일 다운받기

파일다운로드 받는 방법은 다음과 같다.

scp -P 포트 아이디@주소:원격지경로 다운받을경로

적용해보면

scp -P 1022 fermata@192.168.0.51:/home/fermata/archive.tar /Users/Fermata/Desktop

정도가 되겠다.


Read more at http://thefermata.net/707#seLM71BPyqhgc7mq.99

'Wargame' 카테고리의 다른 글

[pwnable.kr]brain_fuck  (0) 2014.09.27
[pwnable.kr]input  (0) 2014.09.26
exploit-exercise ssh 접속방법  (0) 2014.09.24
wargame.kr 올클  (0) 2014.09.21
Fc3 dark_eyes  (0) 2014.08.22
Posted by flack3r
|

원문 : http://bbolmin.tistory.com/110

* ssh 원격 방법


Getting root

In case you need root access to change stuff (such as key mappings, etc), you can do the following:

Log in as the "nebula" user account with the password "nebula" (both without quotes), followed by "sudo -s" with the password "nebula". You'll then have root privileges in order to change whatever needs to be changed.



# ssh-keygen -t rsa -f /etc/ssh/ssh_host_rsa_key

# ssh-keygen -t dsa -f /etc/ssh/ssh_host_dsa_key



'Wargame' 카테고리의 다른 글

[pwnable.kr]input  (0) 2014.09.26
문제 서버 파일 다운로드(ssh)방법  (0) 2014.09.25
wargame.kr 올클  (0) 2014.09.21
Fc3 dark_eyes  (0) 2014.08.22
Suninatas all clear  (3) 2014.07.25
Posted by flack3r
|

wargame.kr 올클

Wargame 2014. 9. 21. 10:34



Thanks to Hide  :)

'Wargame' 카테고리의 다른 글

문제 서버 파일 다운로드(ssh)방법  (0) 2014.09.25
exploit-exercise ssh 접속방법  (0) 2014.09.24
Fc3 dark_eyes  (0) 2014.08.22
Suninatas all clear  (3) 2014.07.25
워게임 현황  (0) 2014.07.01
Posted by flack3r
|

Fc3 dark_eyes

Wargame 2014. 8. 22. 22:53

문제파악

Fake ebp가 먹히지 않는다. 일단 문제를 풀기 전에 https://research.hackerschool.org:8080/Datas/Research_Lecture/FC%203,4,5%20stack%20overflow.txt 여기서 bof의 기법들을 알고 오자. 보고 왔는가? 그렇다면 이 문제는 간단한 ret sleding문제임을 알 수 있을 것이다.

Ebp를 조절하는 대신 esp를 조절해 execv의 인자들을 스택상에 맞춰 주는 기법이다. Execv는 첫 번째 인자에 실행할 파일의 경로가 담긴 주소 값이 들어간다. 두 번째 인자는 argv[]가 들어가는데 null을 넣어줘도 된다. 그렇다는 것은 익스플로잇으로 스택을 구성 할 때 첫 번째 인자가 될 만한 곳을 스택에서 찾아서 그 부분의 값으로 쉘을 주는 프로그램을 ln 링크걸면 실행된다는 것이다. 자 다음과 같이 따라와 보자.

문제풀이

일단 A를 버퍼에 264개 넣었을 때 스택의 모습이다. 스택을 보면 우리가 구성할 인자 부분이 저렇게 보기 좋게 구성되어 있다. 첫 번째 인자부분의 값을 살펴보자.

ㅎㅎ 값도 작고 좋다. 심볼릭 링크의 이름을 \x3c\xed\x83으로 지정하면 된다.(null 까지 읽히므로) 자 그럼 ret를 3번 sleding하고 execv의 주소를 넣으면 쉘이 떨어질 것이다. ^^

페이로드 구성 = "A"*268 + "ret"*3 + &execv

자 다음과 같이 프로그램을 만들고 심볼릭 링크를 걸자.

자 이제 공격!!

아힝흥행~! 깔끔하다.

'Wargame' 카테고리의 다른 글

exploit-exercise ssh 접속방법  (0) 2014.09.24
wargame.kr 올클  (0) 2014.09.21
Suninatas all clear  (3) 2014.07.25
워게임 현황  (0) 2014.07.01
CodeEngn 베이직 올클  (0) 2014.05.14
Posted by flack3r
|

Suninatas all clear

Wargame 2014. 7. 25. 11:12

All clear 기념샷~

'Wargame' 카테고리의 다른 글

wargame.kr 올클  (0) 2014.09.21
Fc3 dark_eyes  (0) 2014.08.22
워게임 현황  (0) 2014.07.01
CodeEngn 베이직 올클  (0) 2014.05.14
워게임 사이트  (0) 2014.05.05
Posted by flack3r
|