Wargame 검색 결과

해당 글 76

pwnable.xyz / PvE

이 바이너리에서는 2개의 구조체를 사용한다. attack 문제와 비슷한 버그가 있다. void __fastcall pve() { signed __int64 r; // [rsp+8h] [rbp-18h] if ( hero->level quest = &quests[rand() % 4]; } else { print_quests(); printf("Pick a quest: "); r = read_int(); if ( r quest = &quests[r]; } play_quest(hero->quest); } hero의 레벨이 5 이상이면 퀘스트를 직접 선택할 수 있다. r을 음수로 설정해서 OOB read를 할 수 있고, hero->quest 포인터를 비교적 자유롭게 움직일 수 있다. 이 버그를 찾고 나서 어떻게 ..
Wargame/pwnable.xyz 2020. 5. 12. 03:23

pwnable.xyz / note v3

make_note에 버그가 있다. printf("Size: "); size = readint(); note = (note *)malloc(size + 0x10); title = (char *)malloc(0x20uLL); if ( !note || !title ) { puts("Error"); exit(1); } printf("Title: "); read(0, title, 0x20uLL); note->title = title; printf("Note: "); note->note_size = read(0, note->note, size); notes[i] = note; readint는 내부에서 read로 문자열을 입력받고 strtoull 함수를 사용한다. size에 -1을 넣으면 read의 인자로 들어가는 ..
Wargame/pwnable.xyz 2020. 5. 11. 16:47

pwnable.xyz / world

void __fastcall read_line(char *buf) { char *s; // [rsp+8h] [rbp-18h] char c; // [rsp+1Fh] [rbp-1h] s = buf; while ( read(0, &c, 1uLL) != -1 && c && c != '\n' ) *s++ = c; } read_line은 buf가 스택 주소를 가리킬 경우 BOF를 유발한다. (길이 제한 X) void __fastcall do_seed(uint64_t seed) { unsigned int s; // [rsp+1Ch] [rbp-4h] s = (unsigned __int8)(seed >> (8 * (rand() & 7u))); srand(s); } do_seed 함수는 인자로 seed를 결정해 srand..
Wargame/pwnable.xyz 2020. 5. 11. 02:58

pwnable.xyz / child

어른과 아동을 나타내는 구조체에는 들어가는 정보는 같은데 순서가 다르다. adult와 child의 age와 job 필드 위치가 다르다. person = town[idx]; if ( person ) { type = person->adult.type; if ( type == CHILD ) { ++person->child.age; } else if ( type == ADULT ) { ++person->adult.age; } } age_up의 일부이다. person 객체의 age를 1 증가시킨다. person = town[idx]; if ( person ) { type = person->adult.type; if ( type == CHILD ) { __printf_chk(1, "Name: "); read(0, ..
Wargame/pwnable.xyz 2020. 5. 6. 02:24

pwnable.xyz / Car shop

doubly linked list로 구현되어 있다. name은 0x10 크기의 chunk를 가리킨다. if ( idx >= 0 && (unsigned int)idx name = (char *)malloc(0x10uLL); e->name_size = snprintf(e->name, 0x10uLL, "%s", makes[idx]); e->next = NULL; e->prev = NULL; if ( Head ) { for ( last = Head; last->next; last = last->next ) ; last->next = e; e->prev = last; } else { Head = e; } } buy 함수이다. Head가 NULL이면 Head에 새로 만든 노드를 넣고, NULL이 아니면 리스트의 가..
Wargame/pwnable.xyz 2020. 5. 6. 00:45

pwnable.xyz / notebook

이 바이너리에서 사용하는 note 구조체다. 존재 이유가 명확하지 않은 get_size 필드가 있다는 게 눈에 걸린다. 한 줄을 입력받기 위해 readline이라는 함수를 사용하는데 뭔가 이상한 점이 있다. void __fastcall readline(char *buf, int size, char delim) { char d; // [rsp+0h] [rbp-20h] char c; // [rsp+13h] [rbp-Dh] int i; // [rsp+14h] [rbp-Ch] unsigned __int64 __canary; // [rsp+18h] [rbp-8h] d = delim; __canary = __readfsqword(0x28u); for ( i = 0; i note = (char *)malloc(siz..
Wargame/pwnable.xyz 2020. 5. 3. 01:28

pwnable.xyz / nin

복잡해 보이지만 쉬운 UAF 문제다. 우선 다음과 같은 구조체를 정의한다. name은 이름을 가리키는 포인터를 나타내고, answer_func는 함수 포인터이다. obj_chat = NULL; while ( 1 ) { memset(buf, 0, 0xFFuLL); printf("@you> "); read(0, buf, 0xFFuLL); buf_copy = strdup(buf); if ( !obj_chat ) obj_chat = invite_reznor(); obj_chat->answer_func(obj_chat, buf); free(buf_copy); } do_chat 함수는 이렇게 생겼다. answer_func 함수 포인터를 사용하는 부분이 눈에 걸린다. obj_chat가 0이면 invite_reznor..
Wargame/pwnable.xyz 2020. 5. 2. 02:20