LOS11번째문제 darknight입니다. 이전과 달라진 점들은 ascii까지 필터링이 먹었다는 것입니다.이것 또한 구글링을 해보니 ascii -> ord로 가능하다는 사실을 습득! ㅎ 아래는 페이로드입니다. 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950import requestsimport string num_alpha = string.digits + string.ascii_letterspassword = "" #find length passwdresetURL = "http://los.eagle-jump.org/darkknight_f76e2eebfeeeec2b7699a9ae976f574..

LOS 11번 문제 golem입니다. 이전것들과 달라진 점들을보면 or 하고 and는 원래 필터링이 먹혔었고, substr이 필터링이 먹었군요..구글링을 해보니 substr = mid 로 가능하다고 합니다.and가 필터링을 먹는 경우는 and = %26%26 페이로드 입니다. 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849import requestsimport string num_alpha = string.digits + string.ascii_letterspassword = "" #find length passwdresetURL = "http://los.eagle-jump.org/golem_..

첫번째 페도라 문제입니다. lob15번? 정도를 풀다가 fake ebp에서 멘탈이 나가서 이문제를 풀어봤지만 이문제도 fake ebp라고해서... 체념하고 풀었습니다. 이문제 처음에는 상당히 어렵게 다가와서 (http://lclang.tistory.com/23)님의 블로그를 많이 참조하여 이해했습니다. FC는 로그인창이 딱히 별게 없어서 소스코드와 함께 띄우도록 하겠습니다:) 얼핏보면 진짜 간단하게 exploit이 가능할거라고 예상하지만 보호기법때문에 힘들어보입니다.스택에 shellcode를 넣어도 실행권한이 없고, 주소가바뀌어서 거의 불가능합니다. GOT함수를 조작하기위해 함수의 위치를 발견합시다! 함수의 위치를 발견했으면 함수속으로 들어가봅시다! got앞부분인 0x00000001로 심볼릭 링크를 걸어..

이번에는 darkknight입니다. 먼저 로그인을하고, 소스코드를 봐봅시다! 이번에는 소스는 간단해보입니다.그런데 char buffer은 40byte의 버퍼를 가지고있는데strncpy는 41개를 넣으니 여기서 취약점이 발생할거 같네요. 메인에 bp를 걸고 살펴보려고하였으나.. 취약점이 main에서 나오는 것이 아니라 함수 내에서 발생하므로 함수 내부를 살펴보아야 할 것 같습니다. problem_child()함수 내에 끝나는 부분에 bp를 걸고, 스택 바로뒤에있는 리턴부분이 0xbffffaa4쪽으로 가면 스택부분이 실행되므로, 스택부분에 쉘코드를 넣어주고, 리턴값 1byte 를 바꾸어주면 될 것 같습니다. success.!

이번문제는 처음에 만났을때 한 30분 정도 고민을하다가 이거는 신박한방법으로 풀어야겠다고 생각을해서 다른분들의 블로그를 참고해보았다. 로그인과 소스코드를 분석해보자. 위 소스를 봐도 감이 안와서 검색을해보니 공유라이브러리를 사용하면 풀을 수 있다고 하셨다. tmp라는 파일을 touch해주고, 공유라이브러리를 제작한다. 그후 위의 라이브러리를 LD_PRELOAD에 등록시킨다. 메인함수의 어셈을 보고 main+166에 bp를 걸어줍니다. 다음과 같이 expliot해준다! ./golem `python -c 'print "A"*44 + "\x34\xf5\xff\bf"'` passwd : cup of coffee 공유 라이브러리는 아직 어렵게 느껴진다 다시한번 조금더 깊게 보아야겠다.