Mineta's Space

Wargame 검색 결과

해당 글 76건

pwnable.xyz / Hero Factory

.bss:0000000000602200 public myHeroPower .bss:0000000000602200 ; char myHeroPower[20] .bss:0000000000602200 myHeroPower db 14h dup(?) ; DATA XREF: zeroHero+E↑o .bss:0000000000602200 ; printHero+2C↑o ... .bss:0000000000602214 ; char myHeroName[100] .bss:0000000000602214 myHeroName db 64h dup(?) ; DATA XREF: zeroHero+22↑o .bss:0000000000602214 ; printHero+18↑o ... .bss:0000000000602278 isHero dd ?..

Wargame/pwnable.xyz 2020. 5. 1. 21:28

pwnable.xyz / note v2

if ( count note ) note->note = (char *)malloc(size); printf("title: "); read(0, note, 0x20uLL); printf("note: "); read(0, note->note, size - 1); book[count++] = note; } else { puts("Limit reached."); } make_note는 이렇게 생겼다. note = get_note(); if ( note ) { free(note->note); book[count--] = 0LL; } delete_note는 이렇게 생겼다. 삭제할 노트를 선택할 때 노트에 index로 접근하는데, 정작 book은 스택처럼 동작하기 때문에 UAF가 발생한다. (심지어 --count 가..

Wargame/pwnable.xyz 2020. 5. 1. 18:35

pwnable.xyz / executioner v2

+ 문제를 풀고 나서 알게 된 건데 바이너리에 win이라는 함수가 있었다. (...) executioner랑 다른 점이 두 가지가 있다. printf("POW: "); if ( (unsigned int)_isoc99_scanf("%u %u", &x, &y) != 2 || !x || !y ) { puts("error"); exit(1); } getchar(); if ( y + x != n ) { puts("POW failed"); exit(1); } puts("Loading challenge... "); sleep(x * y); x와 y로 0을 못 넣게 조건이 추가되었다. n이 짝수인 경우에 x를 2147483648, y를 n-2147483648로 하면 x*y는 0이 되어서 쉽게 통과할 수 있다. read..

Wargame/pwnable.xyz 2020. 4. 10. 22:16

pwnable.xyz / badayum

간단한 canary & code address leak 문제다. 입력받는 문자열은 rbp-0x70 에 들어가는데, 입력할 수 있는 길이의 최대값은 180이므로 (dayadaya 20개 + delimiter 19개) ret를 덮어씌우는 데 충분하다. 입력 길이 제한이 랜덤이므로 주어진 문자열을 보고 타이밍을 잘 맞춰야 한다. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 ..

Wargame/pwnable.xyz 2020. 4. 10. 19:03

pwnable.xyz / password

약간의 게싱이 필요한 듯 하다. read(0, buf, nbytes); buf[(signed int)(strlen(buf) - 1)] = 0; 한 줄을 입력받는 readline 함수는 위와 같이 생겼다. 마지막에 \n이 들어오는 것을 가정해서 만든 것인데, 입력을 fgets가 아닌 read로 받는다는 점에서 문제가 발생한다. 만약 buf의 첫 번째 글자가 NULL이라면 strlen(buf); 는 0이 되고, 해당 문장은 buf[-1] = 0; 이 되므로 OOB write를 할 수 있는 버그가 생기게 된다. printf("Password: "); readline(password, 0x20); a3 = 0LL; ptr = b64decode(flag, 0x20uLL, &a3); if ( b64cmp(ptr, ..

Wargame/pwnable.xyz 2020. 4. 10. 18:21

pwnable.xyz / executioner

void __cdecl solve_pow() { unsigned int n; // [rsp+8h] [rbp-18h] int x; // [rsp+Ch] [rbp-14h] int y; // [rsp+10h] [rbp-10h] int fd; // [rsp+14h] [rbp-Ch] unsigned __int64 __canary; // [rsp+18h] [rbp-8h] __canary = __readfsqword(0x28u); fd = open("/dev/urandom", 0); if ( fd == -1 ) { puts("Can't open /dev/urandom"); exit(1); } n = 0; read(fd, &n, 4uLL); close(fd); x = 0; y = 0; printf("POW: x + y..

Wargame/pwnable.xyz 2020. 4. 9. 07:51

pwnable.xyz / Punch it

main에서 먼저 motd_select_character 함수를 실행한다. printf("\n\tLet's play a punching game? [Y/n] : "); if ( getchar() == 'n' ) exit(1); getchar(); printf("Name: "); read(0, buf, 0x2CuLL); printf("Select your character: \n\t1. Goku\n\t2. Saitama\n\t3. Naruto\n\t4. Toriko\n> "); switch ( getchar() ) { case 49: choose_goku(); break; case 50: choose_saitama(); break; case 51: choose_naruto(); break; case 52:..

Wargame/pwnable.xyz 2020. 4. 9. 05:57

pwnable.xyz / catalog

이번에도 쉬운 문제다.. 이 바이너리는 아래와 같은 구조체를 사용한다. 당연히 catalog의 print_func를 어떤 방법으로 수정하는게 목표일 것이다. void __cdecl write_name() { int i; // [rsp+4h] [rbp-Ch] catalog *catalog; // [rsp+8h] [rbp-8h] catalog = (catalog *)malloc(0x30uLL); for ( i = 0; ::catalog[i]; ++i ) ; ::catalog[i] = catalog; catalog->print_func = print_name; catalog->size = 32LL; edit_name(catalog); catalog->size = strlen(catalog->name); } v..

Wargame/pwnable.xyz 2020. 4. 8. 12:56

pwnable.xyz / PvP

iape와 비슷하지만 PIE가 아니다. 아래의 두 가지 포인트만 알고 있으면 된다. 1. save_it 함수를 통해 x를 dest가 가리키는 위치에 쓸 수 있다. 2. append로 dest를 overwrite 할 수 있다. 함수의 GOT를 overwrite 할 수 있는데, x 문자열을 늘리면서 중간에 NULL 바이트를 넣을 수가 없다는 문제가 있다. libc로 연결되지 않은 함수의 got는 plt+6를 가리켜서 앞 3바이트 외에는 모두 NULL이므로, save it을 하기 전까지 한 번도 실행되지 않은 함수를 찾아 win의 앞 3바이트를 써 주면, 해당 함수를 실행할 때 win을 실행할 수 있다. 그런데.. 마땅한 함수가 없어서 어쩔 수 없이 exit를 선택하게 되었다. exit@got를 win의 주소..

Wargame/pwnable.xyz 2020. 4. 8. 10:09

pwnable.xyz / bookmark

너무 쉬운데 왜 100점인지 모르겠다. .bss:0000000000202200 ; char protocol[256] .bss:0000000000202200 protocol db 100h dup(?) ; DATA XREF: create_url+1E↑o .bss:0000000000202200 ; create_url+3B↑o ... .bss:0000000000202300 uuid dq ? ; DATA XREF: init_login+39↑o .bss:0000000000202300 ; main+7F↑r .bss:0000000000202308 auth dd ? ; DATA XREF: main+8C↑w .bss:0000000000202308 ; main:loc_DFF↑r 0x100 크기의 protocol이 있고, 뒤..

Wargame/pwnable.xyz 2020. 4. 8. 09:16