[LOB] troll -> vampire
2021. 2. 12. 18:42
Study/System Hacking
이번에는 vampire로 가는 패스워드를 알아보자. 일단 troll에 로그인한다. 파일 목록을 살펴보면 vampire.c 파일이 있는 것을 볼 수 있다. cat명령으로 출력시켜보자. 코드를 순차적으로 보면 인자의 개수에는 제한이 없고, ret에 덮을 주소는 스택 영역의 주소여야 하며, argv[1][46], 즉 return address의 상위 2번째 바이트가 \xff가 아니어야 한다. 이로 봤을 때 argv[2]에 쉘코드를 삽입하고, ret 영역에 argv[2]의 주소를 덮어씌우면 될 것 같다. 이때 return address의 상위 2번째 바이트가 \xff가 아니어야 한다는 것은 더 낮은 메모리 주소를 가져야 한다는 뜻이다. 스택의 특성상 낮은 메모리 주소를 가지려면 스택프레임의 크키가 커져야 한다...
[lazenca] Protection Tech / ASLR & Canaries
2021. 2. 12. 17:18
Study/System Hacking
ASLR(Address Space Layout Randomization)이란? 메모리 손상 취약점 공격을 방지 하기 위한 기술 스택, 힙, 라이브러리 등의 주소를 랜덤한 영역에 배치하여, 공격에 필요한 Target address를 예측하기 어렵게 만든다. 프로그램이 실행 될 때 마다 각 주소들이 변경된다. 예를 들어 Return-to-libc 공격을 하기 위해서는 공유 라이브러리에서 사용하려는 함수의 주소를 알아야 하는데 이러한 주소 값들이 프로그램이 호출 될때 마다 바뀐다면 공격이 어려워진다(불가능하지는 않음). - Set ASLR cmd echo 0 > /proc/sys/kernel/randomize_va_space option 0 : ASLR 해제 1 : 랜덤 스택 & 랜덤 라이브러리 설정 2 : ..
[dreamhack] Linux Exploitation & Mitigation Part 2 / ASLR & PLT, GOT Section
2021. 2. 12. 15:32
Study/System Hacking
- ASLR Address Space Layout Randomization(ASLR)은 라이브러리, 힙, 스택 영역 등의 주소를 바이너리가 실행될 때마다 랜덤하게 바꿔 RTL과 같이 정해진 주소를 이용한 공격을 막기 위한 보호 기법이다. Ubuntu 16.04에서는 /proc/sys/kernel/randomize_va_space 파일의 값을 확인하면 서버의 ASLR 설정 여부를 알 수 있다. 설정 파일의 값으로는 0, 1, 2가 있고, 각 값은 아래와 같은 의미를 갖는다. 0 : ASLR을 적용하지 않음 1 : 스택, 힙 메모리를 랜덤화 2 : 스택, 힙, 라이브러리 메모리를 랜덤화 만약 해당 파일의 값이 2가 아니라면, 루트 권한으로 다음 명령어를 실행하여 ASLR 보호 기법을 적용할 수 있다. # c..
[LOB] orge -> troll
2021. 2. 9. 17:48
Study/System Hacking
오늘은 troll로 가는 패스워드를 알아보자. orge에 로그인 후 현재 위치의 파일 목록을 출력했다. 이번엔 troll.c 파일이 있다. troll.c 파일을 출력시켜보자. here is changed 주석을 보면 이번엔 인자의 개수를 2개로 제한하는 것을 알 수 있다. 즉 argv[2]를 이용할 수 없다는 뜻이다. 맨 마지막에 one more! 주석에는 argv[1]의 값을 0으로 초기화 해주는 것을 볼 수 있다. 이렇게 되면 쉘코드를 argv[1], arg[2]에 넣을 수 없다. 하지만 아직 초기화 되지 않은 공간이 존재한다. argv[0]에 쉘코드를 넣어서 공격해보자. argv[0]은 파일명이다. 그렇기 때문에 파일명을 쉘코드로 바꾼다면 ret를 argv[0]의 주소로 덮어서 쉘을 실행시킬 수 있..
[LOB] darkelf -> orge
2021. 2. 9. 16:44
Study/System Hacking
orge의 패스워드를 알아내보자! darkelf에 로그인하고 ls 명령어로 현재 위치에서 파일 목록을 출력했다. orge.c 파일이 보인다. 이 파일도 출력해보자. here is changed!라는 주석이 추가됐다. 코드를 보면 argv[0]의 길이가 77이어야 하는 것 같다. 즉 파일을 실행시킬 때 파일명의 길이를 77로 맞춰야 한다. 그 외에는 달라진 점이 없다. 실행 파일명의 길이를 77로 맞추고 지난번처럼 argv[2]를 이용해서 공격해보자. python으로 파일명의 길이를 77로 맞추고 argv[2]에 \x90를 넣어서 실행시켰다. 아래와 같이 core파일이 생성됐다. core 파일을 열어서 argv[2] 주소를 찾아봤다. 아래쪽에서 \x90이 반복되는 것을 확인했다. 이중에서 임의의 주소를 골..
[LOB] wolfman -> darkelf
2021. 2. 9. 15:58
Study/System Hacking
이번에는 darkelf로 가기 위한 패스워드를 구해보자. 일단 wolfman에 지난 시간에 구한 패스워드로 로그인했다. 로그인한 후에는 ls명령으로 파일 리스트를 확인했다. 이번에는 darkelf.c 파일이 있는 것을 볼 수 있다. 해당 파일을 출력해보면 아래와 같다. 코드를 잘 살펴보면 check the length of argument라는 부분이 추가된 것을 알 수 있다. 이 부분 때문에 argv[1]의 크기가 48바이트를 넘으면 안 된다. 즉 ret 영역 뒤에 쉘코드를 삽입할 수 없다. argv[1]에 쉘코드를 넣을 수 없으니 argv[2]에 입력해서 공격해보자. 공격에 앞서 argv[2]의 주소를 알아내야 한다. 일단 gdb를 실행시키자. main에서 적당한 부분에 브레이크 포인트를 걸어보겠다. ..
[WEB]: XSS game 05
2021. 2. 8. 22:17
Study/Web Hacking
[Mission] [해결방법] 처음 시작화면이다. URL창과 화면 로고, 그리고 sing up 링크 외에는 별다른게 없다. sign up 링크를 눌러봤다. 그랬더니 signup 페이지에 next라는 URL 파라미터가 전달됐다. 이 next가 어떻게 사용되는지 알기 위해 소스코드를 확인해봤다. 확인해보니 Next 링크의 주소로 활용되고 있었다. next 변수를 잘 활용하면 pop up 창을 띄울 수 있을 것 같다. next 파라미터에 confirm" onclick="alert();을 전달해봤다. 하지만 원하는 결과를 얻진 못 했다. 이외의 공격 방법이 떠오르지 않아서 hint를 확인해봤는데 4번째 힌트에서 도움을 받았다. 드래그 된 부분을 보니까 a 태그 href에 javascript:doSomething..
[LOB] orc -> wolfman
2021. 2. 3. 02:09
Study/System Hacking
orc에서 wolfman으로 가는 password를 획득하자! ls 명령어로 디렉토리를 확인해보면 wolfman과 wolfman.c 파일이 있다. 그 중 wolfman.c 파일을 열어보자. 파일 내용을 보면 이전 orc.c와 달라진 부분이 한 군데 있다. buffer hunter 코드가 추가되었다. 이번 문제에서는 환경변수와 buffer를 이용한 공격은 할 수 없다. 이번엔 ret 영역 뒤에 쉘코드를 넣어 공격해보겠다. 문제를 풀기 전에 wolfman 파일을 복사해두자. wolfman1의 main을 gdb로 덤프하자. 이번에도 에 b를 걸어보겠다. 임의의 값을 인자로 전달하고 실행한 후, $esp 메모리를 살펴보면 sfp와 ret 영역을 찾을 수 있다. 이 ebp와 esp의 값이 같아지는 후이기 때문에 ..
[LOB] goblin -> orc
2021. 2. 2. 23:43
Study/System Hacking
이번에는 goblin에서 orc로 가는 password를 획득해보자. goblin에는 orc와 orc.c 파일이 있다. 이중 orc.c 파일을 열어봤다. orc.c 파일에 //egghunter 부분이 생겼다. 환경변수 메모리를 초기화 시켜주는 코드다. 이 코드 때문에 환경변수를 이용한 공격은 못 할 것 같다. 그 다음 if 문을 보니 argv[1]의 48번째 문자가 \xbf여야 하는 것 같다. main의 지역변수가 buffer[40]와 i이고, buffer[40]가 i위에 있는 것으로 보아 메모리 구조는 buffer(40)+sfp(4)+ret(4)이다. ret까지 덮으려면 총 48바이트 코드가 필요한데 buffer로 복사되는 argv[1]의 48번째 문자가 \xbf여야 하기 때문에 return addre..