이번문제도 전문제와는 크게 다른게 없는거같은데 로컬익스가아닌 원격으로 익스를 해야하는 것 같다! 먼저 소스코드 확인하고 저번과 같이 구해야하는 요소들을 나열해봅시다.ROP를 위해서 1.system2. printf@plt3. printf@got4. strcpy@plt5. ppr6. "/bin/sh"7. .bss 앗 이걸 왜구하냐고요?? rop하는 방법은 바로 plt에 덮기, bss에 넣었다가 한번에 호출해서 덮기가있는데 바로 덮으면 나눠서 덮어서그런지 exploit이 안되더라고요.. 그래서 4번과 다르게 이번에는 bss에 넣어서 호출하였습니다. 그럼 하나씩 구해보죠!일단 버퍼크기 확인하고, 1.system 2. printf@plt 3. printf@got 4. strcpy@plt 5. ppr 6. "/bi..

rop문제이다. lob풀면서 Rop도 해야겠다고 생각해서 ropasaurusrex로 풀어보려고하였지만, 롸업을 봐도 잘 이해가 가지않았다. 하지만 이번 문제는 가젯을 직접 주어줘서그런지 풀이를 보니 점점 rop에 대한 이해도가 높아지는 것 같았다. 먼저 소스코드를 보자 힌트가 got overwriting이므로 got을 덮어쓰라는 것 같다.이 힌트를 참고해서 문제를 풀어봐야겠다. rop를 사용하려면 우리가 구해야하는 주소들이 있다.1.system2.printf@plt3.printf@got4.strcpy@plt5. pop pop ret6. "/bin/sh" 이렇게 6개가있다. 하나하나 순서대로 구해봅시다! 1.system 2. printf@plt 3. printf@got 4. strcpy@plt 5. ppr..

이번문제는 LOB20에서 못풀었던 리모트어택이다.LOB와 비슷한 유형으로 출제되었다면 못풀고 넘어갔겠지만, 다른 간단한 방법이 있어서 풀 수 있게 되었다. 먼저 소스코드를 살펴봅니다. ret에 bp를 걸어주고. sys함수 내로 들어가게되면 do_system을 호출하는 함수가 있습니다. 이를 따라서 do_system을 들어가봅니다.https://github.com/david942j/one_gadget위 사이트를 들어가보면 do_system내에는 원샷가젯이 있다고 한다. 바로 위에있는 파란색 부분이다 이부분으로 ret를 돌려주면 바로 shell획득이 가능하다. exploit코드는 dummy+ret 하면 끝이다 여기서 dummy값 계산할때는 다음과같다. 스택을 총 518할당하니까 10진수로 바꾸면 1304이다..

개인적으로 드는 생각인데 현재까지는 LOB뒷부분보다는 FC앞부분이 훨씬 쉬운 느낌이다. LOB20번째를 풀려다가 소켓통신부분은 우분투 설정도 그렇고 뭔가 안맞는부분이 많은거같아서 도움을 받기로하고 FC부터 푸는중이다 :) 그럼 문제를 살펴보자.--소스코드-- EBP를 변조해서 푸는거는 더이상 어려워 진거 같습니다.하지만 문제에서 RETsleding이라고 알려줬으니 이부분을 이용하면 그래도 쉽게 풀 수 있을거라고 예상합니다. 어셈블리를 보고 RETsleding을 위해서 리턴부분에 bp를 걸어주고, 리턴까지 덮어주기위해서 덤프값을 272byte넣어줍니다. esp위치를 보면 fafe부분을 execve로 덮어주고, 0083부분을 심볼릭링크를 걸어주면 될 것 같습니다. 그럼 페이로드는 dump[268] + ret..

첫번째 페도라 문제입니다. lob15번? 정도를 풀다가 fake ebp에서 멘탈이 나가서 이문제를 풀어봤지만 이문제도 fake ebp라고해서... 체념하고 풀었습니다. 이문제 처음에는 상당히 어렵게 다가와서 (http://lclang.tistory.com/23)님의 블로그를 많이 참조하여 이해했습니다. FC는 로그인창이 딱히 별게 없어서 소스코드와 함께 띄우도록 하겠습니다:) 얼핏보면 진짜 간단하게 exploit이 가능할거라고 예상하지만 보호기법때문에 힘들어보입니다.스택에 shellcode를 넣어도 실행권한이 없고, 주소가바뀌어서 거의 불가능합니다. GOT함수를 조작하기위해 함수의 위치를 발견합시다! 함수의 위치를 발견했으면 함수속으로 들어가봅시다! got앞부분인 0x00000001로 심볼릭 링크를 걸어..