![]()
페이지의 소스코드이다. Playlist Playlist "All the songs on my playlist were legally downloaded" title name date time will not go home without youmaroon52008/02/26351i love youtaeyeon2010/12/13322what makes you beautifulone direction2011/11/29318why so serious?shinee2013/04/29340you will never knowariana grande2014/09/02334text me merry christmasstraight no chaser2014/11/17241when you hold me tightyael may..
![]()
먼저 4번 write up 이다. 다음과 같은 쿼리를 통해서 pw를 맞추어야 하는 것 같다. Error based 라는 점을 알아내서 비밀번호 길이를 얻어냈다. 비밀번호는 13자이다. 이를 이용해서 password를 전부 때려 맞추겠다. password를 알아냈다. 일단은 이게 맞는지는 모르겠지만 풀었다고 하니 맞는 것 같다. 3번 write up 이다. 몇가지 테스트 결과 benchmark , sleep, #이 막혀있다는 것을 알 수 있었다. 그런데 #은 --으로도 대체가 가능하니까 상관없는데 문제는 sleep 계열이다. 다 막혀서 heavy query를 사용해주기로 했다. 이렇게 pw길이는 12라는 것을 알아냈고 브루트포싱 하면 된다. 아래코드를 작성했다. timeout 을 이용해서 진행하였다. 저 ..
![]()
Level 1 매우 간단한 XSS 문제이다. alert을 띄우는 것이 목표인데, 아무런 검증을 하지 않아서 를 해주면 '1'이 알림창으로 뜬다. Level 2 이번에는 태그가 필터링 되어서 OnClick 핸들러를 이용했다. 버튼을 만들어서 핸들러를 달아주었다. 눌러 Level 3 코드를 보고 취약점을 찾을 수 있었다. SQL Injection 비슷하게 작동하는 것 같다. 인자로 1.jpg"' OnClick="alert('1')"/> 를 주어서 html 변수가 만드는 img 에 OnClick 핸들러를 넣어주었다. Level 4 startTimer 에 들어가는 변수인 timer의 내용을 우리 마음대로 주무를 수 있다. 그래서 화면에 나와있는 것 같이 인자를 구성해서 보냈다. 그런데 ; 를 쓸 때 sql in..
atoi 함수는 문자열을 만나면 지금까지 읽은 숫자를 반환하고 종료한다. 그러나 몇가지 제어 문자는 그냥 무시를 하는데 그 문자들은 다음과 같다. 아스키 코드(16진수) 아스키 코드 (10진수) 문자 0x9 9 가로 탭 0xa 10 개행 0xb 11 수직 탭 0xc 12 뉴 페이지 0xd 13 케리지 리턴 0x20 32 공백 0x2b 43 + 0x2d 45 - 단 -는 뒷 숫자가 -로 인식되기 때문에 주의해야 한다. 포너블 할 때 쓸일이 있을지도 모른다.
pwnable.kr 루키 문제부터 그로스테스크 문제까지 풀어보기(과연.. 할 수 있을까?) heap exploit 더 공부 ( house of force, house of orange 등.. orange는 꼭 해보고 싶다.) libc 2.27에서 malloc 분석하기 (tcache까지 같이) 마스터 오브 소드 5 mos5.so 파일 분석하기 ( 인생 목표 )
![]()
이번에는 치킨을 먹었다. 1등과 2등 상품의 격차가 엄청나기 때문에 1등을 하고 싶었다. 그래서 라업을 정리해본다. 자세히는 아니고 시나리오 위주로.. start double free가 가능한 것을 이용하여 미리 bss영역에 fake chunk를 만들어 둔 뒤에, 전역변수 값을 autumn으로 바꾸면 flag를 준다. Calculator 숫자를 할당해 줄때에는 0x60만큼 할당을 받지만 , modify 함수에서 0x100만큼 쓸 수 있다. 오버플로를 사용해서 다음 청크의 사이즈를 바꾸고, free를 하면 , main_arena 주소를 얻을 수 있다(free 해도 show 해줌). 그리고 기본적으로 UAF가 되기 때문에 fastbin attack을 이용해 malloc_hook에 one gadget을 넣어주..
![]()
이번 가을 CTF용으로 만든 문제다. 개요 일단은 기본적으로 보호기법은 PIE 빼고 다 걸어놨다. PIE는 디버깅 하는 사람들을 위한 배려이기도 하고, 가젯을 주기 위함이다. 사실 Relro는 Partial만 주려고 했는데, 이론상 언인텐디드가 나올 수도 있을 것 같아서 걸었다. 맨날 풀때기같은 초록색만 덕지덕지 칠해진 것을 보다가 빨간색을 보니 기분이 좋다. seccomp whitelist 이다. mprotect이용해 orw 하는것을 유도. 친절하게 바이너리에 힌트도 있다. calloc 으로 rop하는 것을 저 lazyhouse 문제에서 배웠기 때문이다. 본 문제는 기본적으로는 calloc 의 취약점을 이용하여 푸는 문제이다. Calloc 의 내부 과정을 보면 이런 과정이 있는데 [1]에서는 rbp에 ..
![]()
할 것도 없어서 HackCTF의 adult_fsb를 풀던 중, pwntool에서 제공하는 fmt로는 64비트에서 잘 안먹는거 같아서 하나 만들었다. 여러개의 주소를 덮어쓸 수 있으며, 페이로드 길이는 overwrite 하나당 72byte이다. got overwirte 같은 경우에는 4byte만 덮으면 되니, 48byte까지 줄일 수 있을 것이다. 사용방법은 pl=fsb64(8,**{str(free_hook) : one , str(initial) : 0x0068736162}) 이렇게 쓰시면 된다.
