본문 바로가기

Tried. Failed. Logged.

728x90

🏴CTF84

TryHackMe - Pickle Rick Writeup 개요미국 인기 애니 릭앤 모티 패러디 CTF 문제이다. 웃기게도 이번 문제에는 스토리가 존재하는데, 피클(?)로 변한 릭이 다시 사람으로 돌아오려면 3가지의 어떤 재료가 필요한데 문제 풀이자인 우리가(작중의 모티가 되어서) CTF 문제를 풀면서 재료들을 찾는 것이 목적이다. Question 1. What is the first ingredient that Rick needs?nmap 명령어로 릭의 컴퓨터에 열려있는 서비스들을 스캐닝하면 다음과 같이 2개가 나온다. (ssh와 http)$ sudo nmap -sS -sV -T4 -p 1-100 10.10.232.9922/tcp open ssh OpenSSH 7.2p2 Ubuntu 4ubuntu2.6 (Ubuntu Linux; protocol 2.. 2023. 5. 20.

DreamHack - Mitigation: Stack Canary 실습 문제(카나리 값 구하기) https://learn.dreamhack.io/112#p2477 로그인 | Dreamhack dreamhack.io 우선 a를 8개 이하로 입력할 경우 아무런 문제는 없어 보인다. 만일 a를 9개를 입력하게 된다면 뒷부분에 tTc(xU8라는 이상한 값이 붙는다. 메모리를 눈으로 확인하면 카나리 영역에는 저런 식으로 값이 저장돼있는 것이다. 왜 a를 8개를 입력하면 카나리 값이 출력이 되지 않는가? 그 이유는 카나리에 문자 끝 부분에는 \x00인 즉 NULL을 가지고 있기 때문에 printf 출력을 하면 문자의 끝으로 인식이 되어 카나리 값이 함께 출력되지 않은 것이다. 그러므로 카나리를 유추하기 위해서는 \x00 부분을 다른 문자로 덮어 씌어서 나머지 7바이트를 가져오고 \x00을 그 앞에다 붙이면 진.. 2023. 5. 1.

DreamHack - Return to Shellcode 풀이 r2s.c // Name: r2s.c // Compile: gcc -o r2s r2s.c -zexecstack #include #include void init() { setvbuf(stdin, 0, 2, 0); setvbuf(stdout, 0, 2, 0); } int main() { char buf[0x50]; init(); printf("Address of the buf: %p\n", buf); printf("Distance between buf and $rbp: %ld\n", (char*)__builtin_frame_address(0) - buf); printf("[1] Leak the canary\n"); printf("Input: "); fflush(stdout); read(0, buf, 0x1.. 2023. 5. 1.

DreamHack - Quiz: x86 Assembly 1 문제 end로 점프하면 프로그램이 종료된다고 가정하자. 프로그램이 종료됐을 때, 0x400000 부터 0x400019까지의 데이터를 대응되는 아스키 문자로 변환하면 어느 문자열이 나오는가? [Register] rcx = 0 rdx = 0 rsi = 0x400000 ======================= [Memory] 0x400000 | 0x67 0x55 0x5c 0x53 0x5f 0x5d 0x55 0x10 0x400008 | 0x44 0x5f 0x10 0x51 0x43 0x43 0x55 0x5d 0x400010 | 0x52 0x5c 0x49 0x10 0x47 0x5f 0x42 0x5c 0x400018 | 0x54 0x11 0x00 0x00 0x00 0x00 0x00 0x00 =============.. 2023. 5. 1.

DreamHack - Return Address Overwrite rao.c // Name: rao.c // Compile: gcc -o rao rao.c -fno-stack-protector -no-pie #include #include void init() { setvbuf(stdin, 0, 2, 0); setvbuf(stdout, 0, 2, 0); } void get_shell() { char *cmd = "/bin/sh"; char *args[] = {cmd, NULL}; execve(cmd, args, NULL); } int main() { char buf[0x28]; init(); printf("Input: "); scanf("%s", buf); return 0; } 버퍼의 사이즈는 0x28(40 bytes)이며, get_shell() 함수로 return 하.. 2023. 4. 30.

DreamHack - basic_exploitation_000 풀이 basic_exploitation_000.c #include #include #include #include void alarm_handler() { puts("TIME OUT"); exit(-1); } void initialize() { setvbuf(stdin, NULL, _IONBF, 0); setvbuf(stdout, NULL, _IONBF, 0); signal(SIGALRM, alarm_handler); alarm(30); } int main(int argc, char *argv[]) { char buf[0x80]; initialize(); printf("buf = (%p)\n", buf); scanf("%141s", buf); return 0; } 사용자로부터 141 바이트 크기의 문자열을 입.. 2023. 4. 26.

DreamHack - basic_exploitation_001 풀이 checksec으로 파일 보호 기법들 확인 NX(No-eXecute) 보호 기법이 활성화되어 있으므로, 쉘 코드는 실행되지 않지만, Stack Canary가 활성화되지 않은 것으로 보아 Return Address Overwrite에 취약하다는 것을 알 수 있다. basic_exploitation_001.c 분석 #include #include #include #include void alarm_handler() { puts("TIME OUT"); exit(-1); } void initialize() { setvbuf(stdin, NULL, _IONBF, 0); setvbuf(stdout, NULL, _IONBF, 0); signal(SIGALRM, alarm_handler); alarm(30); } vo.. 2023. 4. 25.

DreamHack - login-1 풀이 관리자 레벨 유저 아이디 찾기 http://host3.dreamhack.games:20947/user/1 = MAXRESETCOUNT: 이렇게 작성했으면 이런 취약점은 없었을 것. 서버 에러 500을 이용 신규 계정을 만들게 되면 resetCount 영역에는 NULL이 생기게 되면서 아래의 resetCount = resetCount + 1 구문에서 오류가 발생한다. 결국 리셋 카운트는 증가 못한 채 서버 측 에러(500)가 발생한다. updateSQL = "UPDATE user set resetCount = resetCount+1 where idx = ?" cur.execute(updateSQL, (str(user['idx']))) msg = f"Wrong BackupCode ! Left Count : .. 2023. 3. 27.

DreamHack - node-serialize (nodejs 직렬화 취약점) 풀이 node-serialize 취약점 예시 var serialize = require('node-serialize'); var x = { rce : function(){ require('child_process').exec('echo serialize exploited!', function(error, stdout, stderr) { console.log(stdout) }); }(), } serialize.serialize(x); var y = '{"username": "guest", "country": "Korea", "exec": "_$$ND_FUNC$$_function(){ require(\'child_process\').exec(\'echo unserialize exploited!\', functio.. 2023. 3. 27.

TryHackMe - Simple CTF (2) Writeup 6번 질문. 획득한 세부 정보로 어디에서 로그인할 수 있나요?획득한 계정으로 다른 서비스 어디에 로그인이 가능하냐는 질문 같았다. 우선 알고 있는 계정은 mitch:secret이었으며 웹 서버의 SSH에도 로그인 가능한지 확인해 본다. nmap으로 웹 서버의 ssh 포트 번호를 찾아준다. (result: 2222/tcp) ssh 로그인 단계에서 웹 사이트 관리자인 mitch 계정을 똑같이 입력하니 로그인이 성공했다. 6번 정답은 "ssh" 7번 질문. 사용자의 플래그는 무엇입니까? 찾는 건 간단하다.쉘에 들어가자마자 ls를 치면 user.txt란 파일이 하나 있는데 그 내용물이 바로 플래그이다. 7번 정답은 "G00d j0b, keep up!" 8번 질문. 홈 디렉터리에 다른 사용자가 있나요?.. 2023. 3. 18.

FTZ - level 9 hint 다음은 /usr/bin/bof의 소스이다. #include #include #include main(){ char buf2[10]; char buf[10]; printf("It can be overflow : "); fgets(buf,40,stdin); if ( strncmp(buf2, "go", 2) == 0 ) { printf("Good Skill!\n"); setreuid( 3010, 3010 ); system("/bin/bash"); } } 이를 이용하여 level10의 권한을 얻어라. 버퍼 오버플로우에 관한 문제이다. fgets 함수로 사용자로부터 최대 40바이트 크기의 입력을 받고 있다. 문제는 buf2와 buf 변수의 사이즈는 10 밖에 안되기 때문에 버퍼가 오버플로우 돼서 프로그램.. 2023. 3. 15.

FTZ - level 8 with ChatGPT 오랜만에 FTZ를 풀어보기로 했다. 최근에 ChatGPT에 재미가 들려서 내가 많이 무지한 시스템 해킹에 관련한 질문들을 하면 챗봇 인공지능이 이해하기 쉬운 답변을 해줬는데 그 과정에 시스템 해킹에 흥미가 달아올라 다시 이어서 풀어보기로 한 것이다. 아무튼 level8에 로그인하여 힌트를 살펴보니 level9의 shadow 파일이 어딘가에 숨겨져 있다는 것과 사이즈는 2700이란 내용이다. shadow 파일이란? shadow 파일은 사용자 계정의 패스워드가 단방향 암호화인 해시 함수를 통해 암호화한 상태로 저장이 되는 아주 중요히 다뤄야 하는 파일이다. /etc/shadow 파일에 저장된다. 일반적으로 루트 권한만 열람이 가능하며, 일반 유저는 열어볼 수 없다. 사용자가 로그인을 할 때는 쉐도우 파일을 .. 2023. 3. 15.

이전 1 2 3 4 5 6 7 다음

728x90

티스토리툴바