Mineta's Space

Wargame/pwnable.xyz 검색 결과

해당 글 51건

pwnable.xyz / note v5

함수가 전부 inline으로 처리되어 있어서 여기에 간단하게 정리를 해 봤다. void __cdecl make_note() { Note *note; // rax Note *last; // rdx note = (Note *)malloc(0x40uLL); last = head; if ( head ) { note->id = (signed int)(find_latest_id() + 1); while ( last->next ) last = last->next; last->next = note; } else { note->id = 0LL; head = note; } note->size = 0x28LL; _printf_chk(1, "Input note: "); read_input(note->note, note->si..

Wargame/pwnable.xyz 2020. 6. 13. 03:23

pwnable.xyz / AdultVM 3

AdultVM 2 문제에서 kernel RCE를 할 수 있음을 확인했다. 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 def handle_kernel_interrupt(uc, intno, data): if intno == 0x70: rax = uc.reg_read(UC_X86_REG_RAX) if rax == 0: rdi = uc.reg_read(UC_X86_REG_RDI) rsi = uc.reg_read(UC_X86_REG_RSI) rdx = uc.reg_read(UC_X86_REG_RDX) uc.mem_protect(rdi, rsi, rdx) elif rax == 7: rdi = uc.reg_read(UC_X86_REG_RDI) rsi = uc.reg_read(UC..

Wargame/pwnable.xyz 2020. 6. 12. 00:29

pwnable.xyz / AdultVM 2

kernel에는 0xFFFFFFFF81005000에 플래그가 로드되어 있다. 이걸 읽으면 된다. seg000:FFFFFFFF810000DD sys_write proc near ; CODE XREF: seg000:FFFFFFFF810000B0↑j seg000:FFFFFFFF810000DD ; DATA XREF: seg000:jpt_FFFFFFFF810000B0↓o seg000:FFFFFFFF810000DD mov rax, 0FFFFFFFFFFFFFFFFh seg000:FFFFFFFF810000E4 cmp rdi, 1 seg000:FFFFFFFF810000E8 jnz short locret_FFFFFFFF81000105 seg000:FFFFFFFF810000EA mov r13, 800000000000h se..

Wargame/pwnable.xyz 2020. 6. 11. 01:42

pwnable.xyz / AdultVM

userland와 kernel의 IDA Database 파일이다. (분석용) start.py를 로컬에서 python3으로 돌리려면 Queue를 queue로 고쳐주고, 각종 메모리 데이터를 str가 아닌 bytes 형식으로 바꿔줘야 한다. 또 sys.stdin.read를 sys.stdin.buffer.read로 바꿔야 한다. 첫 번째 챌린지의 목표는 user space에서 AAR (Arbitary Address Read) 을 하는 것이다. 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 def start_userland(): with open("/home/ctf/userland..

Wargame/pwnable.xyz 2020. 5. 31. 01:28

pwnable.xyz / note v4

fastbin dup에 UAF 등 온갖 버그는 다 터지는데 leak이 불가능해서 좀 짜증난다. 노트를 충분히 많이 만들고 CurrentNote를 0x71 쯤으로 설정한 뒤 fastbin corrupt으로 해당 위치에 0x70 크기 Data chunk를 만든다. 0x6022C0에 FirstNote 구조체가 있기 때문에 Data를 수정해서 FirstNote.Data 포인터를 움직일 수 있다. 함수 got로 옮기고 FirstNote의 Data를 수정해서 win을 덮어씌우면 끝. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47..

Wargame/pwnable.xyz 2020. 5. 30. 17:15

pwnable.xyz / fishing

pthread를 쓰긴 하는데 자세한 내용은 알 필요가 없고 대충 눈치로 어떤 게 어떤 동작을 하는지만 알면 된다. 이 바이너리에서 사용하는 구조체는 이렇게 생겼다. if ( fishing ) { puts("You're group is already fishing, wait until they come back"); } else if ( group_size.on_boat name); puts("We are trying to save them"); remove_person(last); if ( pthread_cond_wait(&cond, &mutex) ) err("Fatal"); puts("\nOk we are coming back. Btw they died..."); --group_size.on_boat;..

Wargame/pwnable.xyz 2020. 5. 30. 04:22

pwnable.xyz / BabyVM

이런 타입 (VM pwn) 문제를 처음 풀어보는 거라 시간이 좀 걸렸다. 문제는 꽤 재미있다. (특히 어셈블리 코드 쓰는 부분..) 이 문제에서는 사용자가 AMD64 어셈블리 코드를 unicorn engine 위에서 직접 실행할 수 있는데, 사용할 수 있는 syscall 주소는 read, write, open으로 제한되어 있다. 설명을 시작하기 전 먼저 File 구조체가 어떻게 생겼는지 짚어보기로 한다. fd는 syscall의 리턴값 대신 전역변수 open_files를 통해 관리되고, path는 파일 경로, content는 파일 내용, size는 크기를 나타낸다. 파일 I/O 함수는 고정된 함수를 쓰지 않고 ops vtable 필드의 fops_read, fops_write로 사용한다. 파일 구조체를 초기..

Wargame/pwnable.xyz 2020. 5. 22. 21:34

pwnable.xyz / knum

pwnable.xyz에서 가장 적은 solve 수를 자랑하는 문제다. 바이너리도 구조가 단순한 편이 아니라 취약점 찾는 게 좀 힘들었다. 바이너리가 strip 되어 있기 때문에 먼저 이름을 다 붙여준다. 또 여기서는 스택을 (거의) 사용하지 않고, malloc으로 char 배열을 쓰거나 어떤 구조체를 위한 공간을 할당한다. (위 그림 전역변수 타입 참고) 분석에 사용한 구조체는 아래 2가지가 있다. show_hiscore에서 익숙한 버그가 눈에 들어온다. void __fastcall show_hiscore() { int i; // [rsp+Ch] [rbp-4h] putchar(10); puts("Hall of fame - All time best knum players"); puts("##########..

Wargame/pwnable.xyz 2020. 5. 22. 16:44

pwnable.xyz / PvE

이 바이너리에서는 2개의 구조체를 사용한다. attack 문제와 비슷한 버그가 있다. void __fastcall pve() { signed __int64 r; // [rsp+8h] [rbp-18h] if ( hero->level quest = &quests[rand() % 4]; } else { print_quests(); printf("Pick a quest: "); r = read_int(); if ( r quest = &quests[r]; } play_quest(hero->quest); } hero의 레벨이 5 이상이면 퀘스트를 직접 선택할 수 있다. r을 음수로 설정해서 OOB read를 할 수 있고, hero->quest 포인터를 비교적 자유롭게 움직일 수 있다. 이 버그를 찾고 나서 어떻게 ..

Wargame/pwnable.xyz 2020. 5. 12. 03:23

pwnable.xyz / note v3

make_note에 버그가 있다. printf("Size: "); size = readint(); note = (note *)malloc(size + 0x10); title = (char *)malloc(0x20uLL); if ( !note || !title ) { puts("Error"); exit(1); } printf("Title: "); read(0, title, 0x20uLL); note->title = title; printf("Note: "); note->note_size = read(0, note->note, size); notes[i] = note; readint는 내부에서 read로 문자열을 입력받고 strtoull 함수를 사용한다. size에 -1을 넣으면 read의 인자로 들어가는 ..

Wargame/pwnable.xyz 2020. 5. 11. 16:47