먼저 코드부터 확인해보면 다음과 같습니다. 프로그램상 실행하면서 인자값으로 데이터를 전달받기때문에 값은 인자로 넘겨주면될 것 같습니다. 조건1 : 인자1개이상 넣어주기조건2 : 길이 20byte로 맞추기조건3 : hashcode와 함수를 통과한 넣어준 값일치하게하기 함수를 보면 인자로 받은 값을을 4byte씩 끊는 것을 볼 수 있습니다. 이렇게 총 5번을 나눠서ㅁㅁㅁㅁ/ㅁㅁㅁㅁ/ㅁㅁㅁㅁ/ㅁㅁㅁㅁ/ㅁㅁㅁㅁ이렇게 만들고 이거를 배열로 가정하였을때[0] + [1] + [2] + [3] + [4] = hashcode가 되어야합니다. 그럼 hashcode를 5로 나누면 될 것 같습니다.이대로 exploirt코드 작성해서 익스해주면?? 왜 안되지...라고 생각했는데 프로그래머계산기는 나머지를 버릴수밖에 없어서 21..

앗..드뎌 올클이다!

드뎌 LOB마지막 문제입니다! 이번문제 진짜삽질 많이했어요...후...이게 그냥 익스였으면 삽질 조금만하고 풀 수 있었겠지만..원격으로 익스하는거라 리버스쉘 찾는데 삽질..로컬이아닌 외부 서버 리눅스로 하면서 삽질...ip부분이 lob의 ip인지 제 우분투ip인지 삽질..이렇게저렇게 하긴했는데 많이 연습해야 할 것 같네요 ㅎㅎ 소스코드를 봅시다! 윗부분은 거의다 서버여는 코드같고 아랫부분만 bof가 일어나는 부분이군요 저부분을 그냥 익스한다면 인자값이 들어가는위치 찾아서하면 간단하겠지만,소켓통신으로 서버를 열기때문에 무작위로 대입해줘야할 것 같습니다!파이썬 코드는 http://blog.c2w2m2.com/22 코드를 많이 참고하였습니다! 리버스 쉘코드는 아래 링크를 참고해주세요!http://shell-s..

이번문제도 전문제와는 크게 다른게 없는거같은데 로컬익스가아닌 원격으로 익스를 해야하는 것 같다! 먼저 소스코드 확인하고 저번과 같이 구해야하는 요소들을 나열해봅시다.ROP를 위해서 1.system2. printf@plt3. printf@got4. strcpy@plt5. ppr6. "/bin/sh"7. .bss 앗 이걸 왜구하냐고요?? rop하는 방법은 바로 plt에 덮기, bss에 넣었다가 한번에 호출해서 덮기가있는데 바로 덮으면 나눠서 덮어서그런지 exploit이 안되더라고요.. 그래서 4번과 다르게 이번에는 bss에 넣어서 호출하였습니다. 그럼 하나씩 구해보죠!일단 버퍼크기 확인하고, 1.system 2. printf@plt 3. printf@got 4. strcpy@plt 5. ppr 6. "/bi..

rop문제이다. lob풀면서 Rop도 해야겠다고 생각해서 ropasaurusrex로 풀어보려고하였지만, 롸업을 봐도 잘 이해가 가지않았다. 하지만 이번 문제는 가젯을 직접 주어줘서그런지 풀이를 보니 점점 rop에 대한 이해도가 높아지는 것 같았다. 먼저 소스코드를 보자 힌트가 got overwriting이므로 got을 덮어쓰라는 것 같다.이 힌트를 참고해서 문제를 풀어봐야겠다. rop를 사용하려면 우리가 구해야하는 주소들이 있다.1.system2.printf@plt3.printf@got4.strcpy@plt5. pop pop ret6. "/bin/sh" 이렇게 6개가있다. 하나하나 순서대로 구해봅시다! 1.system 2. printf@plt 3. printf@got 4. strcpy@plt 5. ppr..

이번문제는 LOB20에서 못풀었던 리모트어택이다.LOB와 비슷한 유형으로 출제되었다면 못풀고 넘어갔겠지만, 다른 간단한 방법이 있어서 풀 수 있게 되었다. 먼저 소스코드를 살펴봅니다. ret에 bp를 걸어주고. sys함수 내로 들어가게되면 do_system을 호출하는 함수가 있습니다. 이를 따라서 do_system을 들어가봅니다.https://github.com/david942j/one_gadget위 사이트를 들어가보면 do_system내에는 원샷가젯이 있다고 한다. 바로 위에있는 파란색 부분이다 이부분으로 ret를 돌려주면 바로 shell획득이 가능하다. exploit코드는 dummy+ret 하면 끝이다 여기서 dummy값 계산할때는 다음과같다. 스택을 총 518할당하니까 10진수로 바꾸면 1304이다..