만두만두

bandit27 -> bandit28There is a git repository at ssh://bandit27-git@localhost/home/bandit27-git/repo. The password for the user bandit27-git is the same as for the user bandit27.bandit27@bandit:/tmp/TTT$ git clone ssh://bandit27-git@localhost/home/bandit27-git/repo Cloning into 'repo'... Could not create directory '/home/bandit27/.ssh'. The authenticity of host 'localhost (127.0.0.1)' can't be e..

bandit19 -> bandit20To gain access to the next level, you should use the setuid binary in the homedirectory. Execute it without arguments to find out how to use it. The password for this level can be found in the usual place (/etc/bandit_pass), after you have used the setuid binary.bandit19@bandit:~$ ls -al bandit20-do -rwsr-x--- 1 bandit20 bandit19 7296 Oct 16 14:00 bandit20-do ​ bandit19@bandi..

bandit13 -> bandit14The password for the next level is stored in /etc/bandit_pass/bandit14 and can only be read by user bandit14. For this level, you don’t get the next password, but you get a private SSH key that can be used to log into the next level. Note: localhost is a hostname that refers to the machine you are working onbandit13@bandit:~$ ssh -i sshkey.private bandit14@localhost Could not..

bandit뭔가 이러저러한 이유로 다시 해볼까하는 생각에 시작하게 되었다. 확실히 과거 아무것도 모르던 시절보다, 풀면서 느끼는 점도 다르고, 심지어 새로 배우는 점도 있다..! bandit0 -> bandit1> cat readme boJ9jbbUNNfktd78OOpsqOltutMc3MY1단순히 파일 읽기임. bandit1 -> bandit2> cat ./- CV1DtqXWVFXTvM2F0k09SHz0YwRINYA9역시 파일 읽기이나, - 는 /dev/stdin, /dev/stdout, /dev/stderr 로도 사용될 수 있기 때문에, kernel이 혼동하지 않도록 ./ 상대경로를 붙여서 읽도록 한다. bandit2 -> bandit3> cat spaces\ in\ this\ filename UmHa..

IndexSummaryAnalysisExploitPayloadCommentSummarytcache (libc-2.27.so)use_after_freeoverwrite __free_hookAnalysisch4rli3kop@ubuntu:~/ctf/codegate2019/god-the-reum$ checksec god-the-reum [*] '/home/ch4rli3kop/ctf/codegate2019/god-the-reum/god-the-reum' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabledThere are Full Relro and PIE in this binary file.====== ..

IndexSummaryAnalysisPayloadSummarycode obfuscation(xor)code patchfind pathAnalysism444ndu@ubuntu:~/codegate2019/king$ checksec KingMaker [*] '/home/m444ndu/codegate2019/king/KingMaker' Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x400000)보안기법을 살펴보았지만, 퍼너블 문제라기보단 그냥 리버싱 문제에 가까운 것 같아 딱히 도움이 되지는 않습니당.m444ndu@ubuntu:~/codegate2019/king$ ./KingMaker _ __..

IndexSummaryAnalysisExploitSolve.pyCommentSummarybypass seccompget ppid from /proc/self/statusoverwrite /proc/$ppid/memFull Relro and no return --> running function ret controlAnalysis[*] '/home/m444ndu/hassan_kuality/ch4rli3kop/round1/tea/tea' Arch: amd64-64-little RELRO: Full RELRO Stack: No canary found NX: NX enabled PIE: PIE enabled카나리빼고 다 걸려 있숩니다. PIE와 Full Relro에서부터 극횸의 향기가 홀홀 풍기는 군여.main..

IndexSummaryAnalysisExploitSolve.pyCommentSummaryBOF -> SROPBypass syscalls in the blacklistAnalysis우선 문제는 아래 5개의 파일을 제공합니다.-rw-r--r-- 1 m444ndu chp747 47 Jan 18 06:39 blacklist.conf -rwxrw-rw- 1 m444ndu chp747 14680 Jan 18 06:25 giftshop -rwxrw-rw- 1 m444ndu chp747 180296 Jan 18 06:25 ptrace_64 -rw-r--r-- 1 m444ndu chp747 15767 Jan 18 06:25 ptrace_64.cpp -rwxr-xr-x 1 m444ndu chp747 143 Jan 20 0..

IndexSummaryAnalysisExploitSolveCommentSummaryImproper Input ValidationROPAnalysis이제 어느정도 짬이 생겨서 그런지 어셈코드는 금방 해석해낼 수 있게되었습니다. 본 문제 역시 앞서 있었던 문제들과 마찬가지로 짱짱한 DIsassembler를 구현하여 디컴파일해줍시당. 이전 버전보다 jmp나 call시 주소 값을 표기해 줄 수 있도록 했습니다.전역변수 0x59000 저장된 diary 개수 0x59003 1번 diary 주소 0x59006 2번 diary 주소 0x59009 3번 diary 주소 ... ​ 자주 사용되는 용도 bp-0x9 = diary_addr bp-0x6 = buffer/index/allocated address 저장 bp-0x..

IndexSummaryAnalysisDecompile in CVulnerabilityExploitCommentSummaryVMNo Boundary CheckAnalysis다행스럽게도 VM 환경은 저번 문제와 동일하기 때문에 Disassembler는 그대로 쓰면 됩니다. 물논 분석할 코드의 양이 꽤나 늘어났지만 시간많은 백수는 늘 그렇듯 해낼 수 있습니다. 0 : sub r12, #0x3 5 : mov3 r2, #0x6 a : mov3 r1, r12 c : mov3 r0, #0x4 11 : syscall 0 # return 373 : mov3 r0, #0xc2c 378 : call [r13+ #0x328] # call print_content(0xc2c) "you can't sell..." 37d : mo..