머리정리하는곳
c2w2m2
도메인 구입
도메인 1300원하길래 샀다ㅋㅋ 사고나니까 내가 막차인건지 3000원으로 올랐다. 후후,,, 시험운을 여기다 썼다. c2w2m2.com 개꿀~~ 일단은 템플릿으로 메워두고, 나중에 천천히 만들어야겠다. 덤으로 이블로그도 blog.c2w2m2.com 으로 들어올수 있다(grin) 덤으로 지금 apache, nginx없이 nodejs로만 서버를 돌려보려고 한다. 이번에 도메인 사면서 서버도 밀었는데, nodejs만으로 한번 하다가, 정 php가 필요해지면 그때 깔아야지. vhost 써서 계속해서 하위도메인 나누면 데니까 은근히 편하다(grin)
Breakout 진행정도
지금 libc addr, heap addr leak은 이미 했고, memo할때 저장되는 ptr을 내맘대로 컨트롤 할수있어서 임의쓰기가 가능해야하지만,, secure_read하나때문에 완전히 막혔다. libc를 수정할수도없고 힙만 수정가능한데, 힙을 수정해서 libc를 받는다고해도 수정이 되는것도 아니고,,, 이게 답이 없다. 어캐해야하지,,,
Kidding 후기
나는 리버스쉘코드 ( socket + connect )를 44바이트까지 줄이고(사실 더줄일수 있었다리,,,), mprotect콜하고,(이거 콜할때도 진짜 최소한의 가젯만 씀), 스택주소는 ecx에 있는거가지고 끌어쓰고, 이거가지고 aslr 우회하려하는데, mprotect 페이징 단위 안맞아서 은 가젯 하나 욱여넣어서 확률 높이고 그럼에도 aslr 때문에 200번가량 트라이 한거 같은데 저런 괴사기 가젯도 있다니,,,
Fastbin duplicate without unsorted bin
제목 그대로 unsorted bin 을 통해서 하는 libc leak 없이 진행될수 있는 fastbin duplicate다. 간단하게 got에도 libc 주소가 0x7f~~꼴로 들어가니까 이걸 써서 할수도 있는데, 지금 해볼건 조금 다른거다. 다음같은 조건이 있을경우 써먹을 수 있다. 1. bss영역에 heap pointer가 존재할것.2. view메뉴가 있을것 ( 상황에 따라 생략 가능 )3. bss에 stdin, stdout 중 하나가 있을것4. Heap edit가 가능할것 이 4가지만 있으면 간단하게 fastbin duplicate가 가능하다. bss에는 보통 stdin, stdout이 있는데, 이건 libc영역에 존재하는것이라, 0x7f~~꼴의 주소를 가지게 된다. 이를 이용해서 이부분에 fake..
wpi-ctf
최고등수 최종등수 역시 1인팀은 유지력이 떨어진다,,, bash-jail 1,2 는 pwnable.kr cmd 1,2 랑 비슷하게 풀린다. 그냥 cat 이랑 ? 와일드카드, command 써주면 다 풀린다. ezpz또 그냥 leak해주는 주소랑 똑같이 보내주면 되는거라 아무 문제 없고,,, 문제는 forker 시리즈였다.. forker1은 jmp rsp 가젯 만들어주고 했는데 나중에 하고 나니까 aslr이 없단다. 쨋든 jmp rsp 랑 shellcraft 써서 reverse shell 따주면 되는데 내 익스에서 보면 findpeersh 가 주석처리 되있듯이 이거 쓰면 \x0a 써서 페이로드가 끊긴다. 그래서 connect, dup, sh 순으로 만들어서 보내주면 된다. forker2는 canary le..
Fd redirection
리버스쉘 따기 귀찮을때, system을 쓸때면 cat flag 1>&4 같은거 하자 ls같은것도 문제없이 된다
strncmp
왜인지는 모르겠는데 비교중에 비교값이 맞으면 rdx에 값을 세팅해주는거 같다. 혹시라도 pop rdx없으면 이거라도 써먹자ㅠㅠ
XCTF
윽 학교만 아니였으면 1인팀으로 더 높게 가능했는데 ㅠㅠ 60등대라 아쉽다.