github.com/andrewbae Mommy! I think I know how to make shellcodes ssh asm@pwnable.kr -p2222 (pw: guest) #include <stdio.h> #include <string.h> #include <stdlib.h> #include <sys/mman.h> #include <seccomp.h> #include <sys/prctl.h> #include <fcntl.h> #include <unistd.h> #define LENGTH 128 void sandbox(){ scmp_filter_ctx ctx = seccomp_init(SCMP_ACT_KILL); if (ctx == NULL) { printf("seccomp error\n"); exit(0); }

github.com/andrewbae Daddy bought me a system command shell. but he put some filters to prevent me from playing with it without his permission... but I wanna play anytime I want! ssh cmd2@pwnable.kr -p2222 (pw:flag of cmd1) cmd2@pwnable:~$ cat ./cmd2.c #include <stdio.h> #include <string.h> int filter(char* cmd){…

github.com/andrewbae Mommy told me to make a passcode based login system. My initial C code was compiled without any error! Well, there was some compiler warning, but who cares about that? ssh passcode@pwnable.kr -p2222 (pw:guest) passcode@pwnable:~$ cat ./passcode.c #include <stdio.h> #include <stdlib.h> void login(){ int passcode1; int passcode2; printf("enter passcode1…

The simple “eXclusive OR” cryptography challenge — ReadMe.txt ========== ReversingKr KeygenMe Find the Name when the Serial is 5B134977135E7D13 This is cryptography logic and produce a result to %ecx Basically, it’s XOR cryptogram. .text:00401000 var_130 = byte ptr -130h .text:00401000 var_12F = byte ptr -12Fh .text:00401000 var_12E = byte ptr -12Eh .text:00401038…

github.com/andrewbae 1. Introduction Before you want to learn about ROP(Return Oriented Programming), you have to learn about RTL(Return To Libc) chaining and GOT(Global Offset Table), PLT(Procedure Linkage Table) concepts first. The ROP exploit methodology is similar to RTL chaining, but ROP is a higher concept of that. ROP is not a fragmentary…

RTL(Return To Libc)은 NX/DEP 가 활성화 되어있는 프로그램을 공략할 때 주로 사용되는 기법이다. Instruction 을 stack 영역 내에서 실행 할 수 없기 때문에 mapping 된 외부 라이브러리(주로 /lib32/libc.so.6)의 함수를 이용하여 쉘을 실행시키거나 privilege …

Introduction RTS(Return To Shellcode) 는 실행 권한을 가진 stack 영역에 적재되어있는 shellcode 를 IP(Instruction Pointer) 가 실행하도록 유도하는 공격 방식이다. 2004 년 이후로 출현한 NX bit(No-eXecute) 때문에 RTS 처럼 스택 위에서 instructio …

pwner 의 기본기인, shellcode 를 작성해보자. 일단 execve 함수를 이용하여 shell 을 실행시키는 코드를 작성해보자 #include <stdio.h> #include <stdlib.h> /* $ gcc -m32 -g --static ./sc.c -o ./sc $ ./sc $ …

문제 조건은 다음과 같다 main() 함수의 RET 영역은 strcpy@plt 이어야 한다 strcpy@plt 의 RET 영역은 overflow 가 일어난 뒤 34 line memset() 에서 “AAAA” 로 overwrite 된다. 2 번째 호출되는 strcpy() 를 사용하여 RET(strcpy@plt) 영역을 overwrite 해보자. DEP 가 걸려 있지 않아 shellcode 를 stack 내에서 직접 실행할 수 있다. DUMMY * 44 | RET(main->strcpy@plt)| “AAAA”(RET of strcpy@plt) | dest(address of “AAAA”)| src -> | address of NOP slide | \x90 * 30 + shellcode payload 는 이런 형태로 구성하면 될 것 같다.