김머성 블로그

ROP 개념

그동안은 쉬운 문제만 풀었지만 오늘부터는 다양한 개념들을 배우고 좀 더 어려운 문제에 도전해볼 생각이다. ROP란? (Return Orient Programming) 프로그램 내에 있는 가젯(프로그램 조각)들을 연결하여 원하는 결과를 도출해내는 공격 기법이다. 이 기법은 NX, ASLR등 방어기법이 적용되어있는 바이너리를 공격할 때 효과적이다.

ImagePrc

write-up 몇개 쓰니까 정성이 안들어간다. 귀차너.. 부산컴 너무느려.. 실행하면 이런 화면이 나오고 흰 배경에 마우스로 그림을 그릴 수 있다. check버튼을 누르면 wrong 이라는 메세지 박스가 뜬다. 맞는 그림을 그려줘야하는것 같다. 우선 ollydbg로 열어보자 체크 버튼을 눌렀을 때 Wrong이라는 메세지 박스가 떴으므로 우선 참조문자열 목록부터 쭉 살펴보자 (마우스 오른쪽버튼을 누르는 동시에 s를 누르고 찾아서 클릭하면 좀 멋있어보인다.) Wrong 과 Check, Button등 수상한 문자열을 많이 찾았다. 모두 비슷한 위치에서 참조되었으므로 해당 루틴으로 직접 가서 살펴보자 Wrong을 참조한 함수이다. 메세지 박스 api를 호출하고있고 4013AA에서 점프해왔다는걸 알 수 있다. ..

[toddler's bottle] shellshock

shellshock라는 아주 유명했던 취약점에 대해서 다루는 문제이다. 문제 자체는 아주 간단하므로 해당 취약점에 대해서 조사한 부분을 위주로 쓰겠다. 솔직히 존내 귀찮아서 걍 pdf 하나 긁어다 붙이면 끝이긴 한데 그러면 공부가 안되잖아 ㅇㅈ? 쉽게 설명해서 쉘스크립트 함수 선언문 파싱 에러다 env라는 명령어는 환경변수를 인자로 삼아서 프로그램을 실행 시킬때 사용하는데 env x='() = { 함수 어쩌구 }; 공격문' 실행프로그램 원래 이건 저 함수를 실행프로그램에 전달하는 의미의 쉘스크립트 구문이다. 그런데 이렇게 사이에 공격문을 넣어서 선언하면 따옴표 안은 함수 선언문이기때문에 공격문은 실행이 되지 않거나 에러가 떠야 정상인데 저거 파싱을 못해서 그냥 그대로 실행되버리는 버그 이다. 난 오늘 처..

[toddler's bottle] cmd2

모르겠다. 지금 생각으론 delete_env 함수랑 argv[1] 출력해주는 부분이 수상하긴 한데 그 부분 뜯을라면 넘 오래걸린다. 지금 밤 10시야 ㅜㅜ 인간적으로 저거 / 막아놓는게 진짜 개오바다. 내장 명령어 중에서 쓸만한거 있는지 다 찾아보고 있는데 exec말곤 딱히 없는데다가 그거 마저도 인자줘야되서 실행 못함; 그거 외엔 쉘코드를 환경변수에 올려놓고 리턴주소 변조하려는 생각까진 해봤는데 보다시피 프로그램에 딱히 흐름을 바꿀만한 위치가 없다. 솔직히 걍 정답 보고싶다...

[toddler's bottle] cmd1 풀이

#include #include int filter(char* cmd){ int r=0; r += strstr(cmd, "flag")!=0; r += strstr(cmd, "sh")!=0; r += strstr(cmd, "tmp")!=0; return r;}int main(int argc, char* argv[], char** envp){ putenv("PATH=/thankyouverymuch"); if(filter(argv[1])) return 0; system( argv[1] ); return 0;} 처음엔 저기서 설정한 환경변수가 죽을 때 까지 그대론 줄 알았는데 프로그램 실행이 끝나고 나면 원래대로 돌아오는거였다. 즉, 기본실행경로 환경변수를 이상한걸로 조작해놓고 할걸 하라는 뜻이었다. 사실 별로..

Easy_CrackMe 풀이

reversing.kr 1번 문제 초기화면 시작하자마자 401xxx 주소이므로 따로 엔트리포인트를 찾을 필요가 없다. 문자열 검색을 해보면 이렇게 매우 의미 심장한 단어들이 나온다. 해당 번지로 점프해서 트레이싱 해보자 수상한 문자열과 GetDlgItemTextA api를 사용하는 루틴을 찾았다. 401080에 bp를 걸고 천천히 따라가보자. 우선 입력값으로 1234를 주고 실행시켜보았다. 보면 ESP-4 부터 내가 입력한 1234의 아스키코드가 들어가있고 4010B0명령어에서 ESP+5에 해당하는 글자, 즉 2번째 글자와 61(a)를 비교하고있다. 같지 않으면 401135로 점프한다는데 401135를 살짝 살펴보자 따라서 2번째 글자는 a로 확정이다. 그 다음은 문자열 5y와 ECX에 담긴 값을 가지고..