Sqix

이번에도 BOF 문제입니다. 마찬가지로 소스코드를 복사해서 tmp에 생성하고 디버깅을 해 보도록 합시다. 우선 main함수를 리버싱해 보겠습니다. 0x08048390 :push %ebp0x08048391 :mov %esp,%ebp0x08048393 :sub $0x108,%esp0x08048399 :and $0xfffffff0,%esp0x0804839c :mov $0x0,%eax0x080483a1 :sub %eax,%esp 스택 프레임을 생성하고, 스택 공간을 264byte 만큼 확보(char str[256] + dummy 8 bytes)하고, 플래그들을 정리해 줍니다. 0x080483a3 :sub $0x8,%esp0x080483a6 :push $0xc150x080483ab :push $0xc150x080..

공군 정보보호병 면접을 보았습니다. 보안 동향에 대해 알아야 할 것 같아서 최근 가장 핫했던 멜트다운 & 스펙터 / AMDFLAW / 블루본 / KRACK에 대해서 준비했고 프로젝트 관련한 내용을 제출하였으니, WLAN의 MAC을 이용한 위치추적 솔루션 및 WIPS / WIPS Toolkit을 개발하는 프로젝트를 수행했던 것을 되새겼습니다. 또한, 국가의 역사 및 한미동맹에 대한 것은 군대에서 꽤나 중대한 것이기도 해서 많은 생각을 해 보았습니다. 대기하다 제 순서가 되어 입장했고, 면접관님들이 질문을 하셨습니다. 물어보셨던 것은 역시 프로젝트 관련하여 팀워크, 프로젝트 기술 스택, 프로젝트 결과에 대한 것들, 그리고 CTF에 관련된 내용들, 한미동맹에 대한 본인의 가치관, 최신 보안 기술(Krack, ..

심하게 FSB 냄새가 나는 문제입니다. str을 printf에 직접 넣었기 때문에 이로 인해 FSB가 발생할 수 있습니다. 일단 디버깅을 위해 같은 코드를 작성하여 tmp에 넣고 진행하겠습니다. 우선 실행 흐름을 파악하기 위해 어셈블리 코드를 정적분석해 봅시다. 0x08048394 :push %ebp0x08048395 :mov %esp,%ebp0x08048397 :sub $0x108,%esp0x0804839d :and $0xfffffff0,%esp0x080483a0 :mov $0x0,%eax0x080483a5 :sub %eax,%esp 스택프레임을 생성하고, 264byte (str[256], dummy 8)의 공간을 확보하고, align을 맞춰 주고 flag를 initialize합니다. 0x080483a..

==============================================hint 두 명의 사용자가 대화방을 이용해 비밀스러운 대화를 나누고 있다.그 대화방은 공유 메모리를 이용해 만들어졌으며,key_t의 값은 7530이다. 이를 이용해 두 사람의 대화를 도청해서level11의 권한을 얻어라. - 레벨을 완료하셨다면 소스를 지우고 나가주세요. ============================================== program이라는 디렉토리가 있습니다. 읽기 권한과 실행 권한이 있습니다. 그런데 권한이 root입니다. cd도 먹히지 않습니다. $ find / -perm +6000 -user level11 2> /dev/null로 level11의 setuid가 걸린 파일을 찾아봤지만,..

============================================hint 다음은 /usr/bin/bof의 소스 코드이다. #include #include #include main(){ char buf2[10]; char buf[10]; printf("It can be overflow : "); fgets(buf,40,stdin); if ( strncmp(buf2, "go", 2) == 0 ) { printf("Good Skill!\n"); setreuid( 3010, 3010 ); system("/bin/bash"); } } 이를 이용하여 level10의 권한을 얻어라.============================================ /home/level9/tmp에 동일한 소..

===================================================$ cat hint level9의 shadow 파일이 서버 어딘가에 숨어있다.그 파일에 대해 알려진 것은 용량이 "2700"이라는 것 뿐이다.=================================================== Shadow 파일 용량이 2700이라고 하니, 아마 2700바이트를 의미하는 것 같습니다. 그 전에 Shadow 파일이 무엇인지에 대해서 자세히 알아보는 것이 좋을 것 같습니다. 리눅스 시스템은 단방향으로 암호화한 패스워드를 포함해서 계정 유효 기간 등의 정보를 /etc/passwd에 보관합니다. 이 파일은 수정할 수는 없지만, 이전에는 이 정보를 아무나 볼 수 있었습니다. 따라서 보..

hint /bin/level7 명령을 실행하면 패스워드 입력을 요청한다 1. 패스워드는 가까운곳에..2. 상상력을 총동원하라.3. 2진수를 10진수로 바꿀 수 있는가?4. 계산기 설정을 공학용으로 바꾸어라. 일단 objdump, gdb 전부 못 켜게 permission을 710으로 해 놨네요. rwx--x--- 그런데 파일 혹은 디렉토리가 없다고 나타나고, 바로 종료됩니다. 당황스럽네요. 아무것도 주어지지 않고 브루트 포싱으로 풀어야 하나.. 아무래도 저 파일이 없으면 문제를 못 풀 것 같은데, /bin 디렉토리에는 root 권한으로만 r/w 권한을 사용할 수 있기 때문에 다른 방법을 찾아야 할 것 같습니다. 정리하면, level7은 디버깅도 안 되고, odjdump 역시 사용할 수 없고, 비밀번호를 입..

Level6에 접속하여 들어갑니다. =================================================hint - 인포샵 bbs의 텔넷 접속 메뉴에서 많이 사용되던 해킹 방법이다. 메뉴 텔넷 접속 서비스 1 . 하이텔 2. 나우누리 3. 천리안================================================= 위와 같이 1,2,3 어떤 메뉴를 들어가더라도, Connection Refused라는 텔넷 에러 메세지와 함께 연결이 종료됩니다. 혹시나 해서 저 메뉴 입력 상태에서 bash 쉘의 명령어들을 쳐 보았지만 바로 프로그램이 종료됩니다. input 화이트리스트 검사를 하는지 테스트를 하기 위해서 AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA..

힌트는 다음과 같습니다. /usr/bin/level5 프로그램은 /tmp 디렉토리에 level5.tmp라는 이름의 임시 파일을 생성한다. 이를 이용하여 level6의 권한을 얻어라. 일단 level5 파일이 어떤 것인지 확인해 보았습니다 level6 권한으로 setuid가 걸려 있고, level5 권한에서는 실행만 가능합니다. 디버깅은 불가능한 상태입니다. GDB가 안 붙네요.(permission denied) tmp 파일을 이용한 취약점 공격은 주로 race-condition이라고 하니, race-condition에 대해서 미리 공부를 해야 할 필요가 있습니다. Race Condition은 임시 파일이 존재할 시, 이를 삭제하는 과정에서의 시간차로 발생하는 취약점입니다. 임시 파일이 만약 존재하면, 다..

힌트는 "누군가 /etc/xinetd.d/에 백도어를 심어놓았다.!" 입니다. 디렉토리에 들어가 보니 level4 권한을 달고 있는 backdoor가 있네요. file 명령어로 backdoor를 확인하여 보니, ASCII text (일반 텍스트 문서)라고 합니다. cat하여 보니 다음과 같은 설정이 나오네요. level5의 권한을 가지고 있고, /home/level4/tmp/backdoor에 실행 서버가 있다고 합니다. 사실 이건 xinetd(internet daemon) 디렉토리이고, 이 파일은 finger 서비스의 정보입니다. 즉, finger 서비스를 실행하면 level5권한으로 /home/level4/tmp/backdoor 파일을 실행한다는 것입니다. 하지만 아무것도 없네요. 여기다 backdoo..