wpi-ctf

최고등수

최종등수

역시 1인팀은 유지력이 떨어진다,,,

bash-jail 1,2 는 pwnable.kr cmd 1,2 랑 비슷하게 풀린다. 그냥 cat 이랑 ? 와일드카드, command 써주면 다 풀린다.

ezpz또 그냥 leak해주는 주소랑 똑같이 보내주면 되는거라 아무 문제 없고,,,

문제는 forker 시리즈였다..

forker1은 jmp rsp 가젯 만들어주고 했는데 나중에 하고 나니까 aslr이 없단다. 쨋든 jmp rsp 랑 shellcraft 써서 reverse shell 따주면 되는데

내 익스에서 보면 findpeersh 가 주석처리 되있듯이 이거 쓰면 \x0a 써서 페이로드가 끊긴다. 그래서 connect, dup, sh 순으로 만들어서 보내주면 된다.

forker2는 canary leak 문제인데, leak하는데 오래걸리면서, 30분주기로 초기화 되는거 같다. 이거때문에 얼마나 오래걸렸는지,,,

fork 된 바이너리라 기본적으로는 canary가 안바뀌는데, 30분주기로 껏다 키는거 같다..

forker3은 canary leak 후에 pie 를 leak 해야하는데, 이는 ret을 건들여서 1바이트씩 넣어보고, 제대로된 플로우를 타면, 그주소가 맞다 식으로

blind느낌나게 하면 됬다. 근데 이문제는 릭만 28분 걸리고 2분만에 미리 짜논 익스로 공격해야했었다ㅋㅋ 초기화를 좀 풀어주지,,

웹으로 vault 도 풀었는데 이건 flask 에서 sqlite sqli는 좀 다른가 해서 flask sqlite ctf ( 이렇게 뒤에 ctf 붙이면 쪼금더 잘나온다 ) 로 검색하니까

https://github.com/iagox86/stripe-ctf/blob/master/level03/secretvault.py

ㅋㅋㅋㅋ..ㅋ.ㅋㅋ.ㅋ.ㅋ.ㅋ...ㅋ.ㅋㅋ... 그냥 소스가 나와서 이거보고 했다