만두만두

64bit ELF 파일과 해당 실행파일에서 사용되는 라이브러리가 주어졌다. 먼저 실행파일을 분석해보면, 선택지 리스트를 출력하고 선택된 작업을 수행하는, 반복 구조임을 알 수 있다. 보호 기법은 Canary와 NX(no execute)가 걸려있다. - 메모리 보호 기법 확인 IDA로 확인해보면, 역시 while 문으로 반복 구조를 가지고 있고, switch-case문으로 선택된 작업을수행하는 것을 알 수 있다. 사용되는 함수도 몇 개 없지만, 특히 눈에 띄는 함수는 read() 함수와 puts() 함수이다. read() 함수는 사용자의 입력이 이루어 질 수 있는 함수인 만큼 Buffer overflow와같은 취약점이 발생할 수 있고, puts() 함수는 널문자(‘\x00’)를 만나기 전까지의 값들을 출력..

문제를 보면 링크주소 하나와 tar.gz 파일 하나가 있다. 주어진 링크로 접속하면 username을 입력하는 칸과 password를 입력하는 칸이 있다. 왠지 주어진 파일에서 username과 password를 찾아 제출하는 형태인 것 같다. 문제의 파일이다. 그런데 용량이 커서 알집으로 압축이 제대로 풀리지가 않는다. (약 16GB정도 된다.) 기존에 존재하는 리눅스 os들의 용량이 그보다 적어서 고생 끝에 우분투에서 파일 압축해제를 했다. (tar -xzvf best_router.gz) 긴 시간이 지난 후 이미징된 파일을 하나 얻을 수 있었다. 이미징 파일을 FTK imager로 분석해보았다. FAT32형식으로 포맷된 파티션과 ext4로 포맷된 파티션이 보인다. username과 password를 ..

문제의 파일을 살펴보자. 위와 같은 .pcap 파일을 얻을 수 있다. 와이어샤크를 실행하여 패킷파일을 읽게 해보면, 정상적인 패킷 캡처 파일임을 알 수 있다.일단 패킷을 살펴보자. 총 3885개의 패킷이 있고 TCP , HTTP 두가지 종류의 프로토콜을 이용하여 통신이 이뤄지고 있음을 확인할 수 있었다.와이어샤크의 conversation 기능을 사용하여 패킷들을 살펴보았다. TCP 탭에서 TCP 로 이루어진 통신들을 볼 수 있는데, 이 통신들의 내용을 Follow Stream을 이용하여 살펴보았다. ( 위에서 HTTP 프로토콜을 사용한 흔적이 여기서 보이지 않는 것은 HTTP, TELNET, FTP, SMTP, SSH 등의 프로토콜들이 모두 TCP/IP 중 TCP 프로토콜 위에 만들어진 네트워크 프로토콜..