문제 링크 https://dreamhack.io/wargame/challenges/1042 문제 설명 Description Solved by two people together, but one monitor, one keyboard, each. Might be better if done alone! FYI flag length = 33 timeou...

문제 링크 https://dreamhack.io/wargame/challenges/1029 문제 설명 :( Dahun is sad 문제 분석 main 함수 초반에 srand() 함수를 호출해 시드값을 설정하는데, 2바이트 정수로 설정하므로 브루트포싱을 통해 시드를 때려맞출 수 있다. 시드 값이 일치할 때 rand() 함수로...

익스플로잇에 성공하였으나, 문제점이 있다. 환경이 변화하는 경우(Windows 업데이트 등) KERNEL32.dll의 WinExec 함수 오프셋이 변경되어 익스플로잇에 실패할 수 있다. 어떤 환경에서든 성공할 수 있도록 Universal한 셸코드를 작성해야 한다. DLL은 자신이 어떤 함수들을 Expor...

익스플로잇 셸코드 작성을 완료했으니, 익스플로잇을 해보자. Access Violation이 발생했을 당시의 레지스터 상태 esp 레지스터가 0x16f30c로 되어 있다. ASLR이 적용되지 않으므로 스택 주소는 언제나 동일하다. 혹시 스택 오프셋이 일부 변하는 경우를 생각하여 NOP Sled와 함께 셸코드를 입...

취약점을 확인했으니, 셸코드를 작성해보자. Shellcode - 32bit Linux와 달리 Windows는 사용자가 직접 시스템 콜을 호출하는 것이 어려우므로, KERNEL32.dll의 WinExec 함수를 이용하여 cmd를 실행하는 셸코드를 작성하는 것을 목표로 한다. WinExec 함수를 호출하려면, KERNEL32.dll 라이브러리가...

취약한 프로그램을 이용하여 Windows Userland에서의 Stack Buffer Overflow Exploit을 실습해보자. 취약 프로그램은 여기서 다운로드받을 수 있다. 취약 파일 생성 코드 import os if os.path.exists("exploit.m3u"): os.remove("exploit.m3u") with open("ex...

문제 링크 https://dreamhack.io/wargame/challenges/513 문제 설명 드림핵 회원 수가 22,222명을 달성했어요!! 드림이는 기념으로 2의 상징을 공부해보기로 했어요. 그게 바로 벙커링이래요!! 아 그게 아니라 버퍼링… 이라구요? Arch: amd64-64-little RELRO: Full RELRO St...

문제 링크 https://dreamhack.io/wargame/challenges/198 문제 설명 이제 막 자료구조를 배운 드림이는 단일 linked list로 사람의 개인정보를 저장하는 프로그램을 만들었어요. 그리고 자랑을 하고싶어서 자신이 만든 프로그램을 서버에서 돌려서 누구나 사용해볼 수 있도록 했습니다. 그런데 코드에 오타가 있네요…? 드림...

문제 링크 https://dreamhack.io/wargame/challenges/216 문제 설명 루트 권한으로 실행되는 서비스를 찾았습니다. 그러나, 큐브안에 갇혀서 빠져나올 수가 없습니다. 큐브를 탈출하고 플래그를 획득하세요! 문제 분석 함수 초기에 chroot("/home/cube/cube_box")가 호출되어 루트 디렉터리가 “/ho...

문제 링크 https://dreamhack.io/wargame/challenges/456 문제 설명 I know there’s been some trust issues on “baby” CTF chals, but this really is a NullNull(colloquially “spacious”, “easy” in KR) pwnable chal...