ugonfor.

보안 위주로 가볍게 작성하였습니다 :)

Writeup/Wargame_Writeup

그림그리는 문제였다.... 난 왜 이런문제를 한참동안 생각한걸까 문제는 그림을 그려서 Check을 하면, 맞는 지 여부가 나오는 문제였다. 한참동안은 문제에서 correct같은 문자가 나올거라 생각을 했는 데, string을 보아도 아무것도 없어서 MessageBox를 출력하기 전쯤을 유심히 살펴보았다. 다음은 MessageBox를 출력하는 것이 있는 부분이 있는 Main함수의 수도코드이다. int __stdcall main_(HWND hWnd, UINT Msg, WPARAM wParam, LPARAM lParam) { HDC v4; // eax int result; // eax HGDIOBJ v6; // eax HDC v7; // esi void *Prc; // esi HRSRC src; // eax ..

2020. 2. 5.

Writeup/Wargame_Writeup

여기서 보면, 함수가 특별한 점이 있는 데, 함수의 주소를 0xC39000C6으로 바꾸는 것과, 0x6E8로 바꾸어 버리는 부분이다. 그런데 0xC39000c6의 경우 어셈블리 코드로는 eax가 가리키는 곳을 0x90[nop]로 바꾸고 ret하는 것이다. 그리고 저 hmmm___가 0x6e8로 바꾸는 부분은 이후에 hmmm함수가 실행되거나 하지 않기에 신경쓸 필요 없을거 같다. 아마도, 바꾼거를 가리기 위해서 만들어주는 부분인듯 그래프로 보면 이렇게 되어있는 데, 이부분에서 0x401071을 nop로 바꾸어 버리면 될거같다. 즉 hmmm함수를 바꾸기 전에 eax를 0x401071로 바꾸어놓으면 될거로 보인다. 여기서 보면 input을 eax에 넣어주기 때문에, call hmmm__ 하나만 잘 확인하면 될..

2020. 2. 4.

Etc/Life

SSG_세미나 CyKor에서 SSG랑 같이 세미나를 진행했는 데, 사용한 세미나 자료입니당 FLARE-ON 2019 중 인상깊었던 4개를 뽑아서 발표했어용 DNSChess, Snake, Wopr, reloaderd를 발표했습니다... 힘들었던 것.... 리버싱.. 입.. 문... 자료: 자료_SSG_세미나_구글 드라이브 연결

2020. 1. 31.

Writeup/Wargame_Writeup

메인함수 flag_함수 위 처럼 두 함수가 있어서, fp부분을 top_secret이 아니라 flag로 바꿔주면 될듯하다. 그런데 gdb로 까본 결과, fp가 놀랍게도 포인터라서 주소가 쓰여있는 줄 알았는 데 그런게 아니라 4가 쓰여있었다. 파일 포인터는 주소가 쓰여있는 게 아니라 불러와진 순서? 정도만 쓰여있는 듯. rip를 flag함수로 옮겨보기도 하였는 데 리턴값이 5인 것을 보고 알았음 ㅇㅇ... 하여튼 그래서 어떻게 할지 고민을 하다가, flag가 init함수에 xreference를 두고있어서 올라가보니 처음 start함수가 libc_start_main을 할 때, init함수를 메인함수보다 먼저 호출을 하는 데, 그때 이미 flag가 파일 포인터로 열리게 된다. 즉 flag의 파일 포인터는 3 #..

2020. 1. 23.

Writeup/Wargame_Writeup

system 함수를 puts함수처럼 사용한다는 점이 재밌는 문제였다. 처음에 libcbase를 사용하지 않고, 적절히 stdin등을 이용해서 rop만으로 풀려고했는데 도저히 안되서 다시 생각해보니, system함수를 sh:1:xxxxx이런 식으로 이용해서 libc 주소를 leak하더라... from pwn import* #p = process("./Unexploitable_2") p = remote("ctf.j0n9hyun.xyz",3029) e = ELF('./Unexploitable_2') poprdiret = 0x400773 gift = 0x40067f got = 0x601018 pay = "a" * 0x18 #0x18 pay += p64(poprdiret) #0x20 pay += p64(got) ..

2020. 1. 23.

Writeup/CTF_Writeup

CFF explorer를 통해서 Entry point를 보니까, UPX packing이 되어 있길래 신나게 풀고 IDA로 뜯어 보았다. 그리고 string을 보았는 데 Flag에 대한 이야기가 있길래 따라가 보았는 데, 위와 같은 그래프가 있었다. 그런데 INS{https://www.youtube.com/watch?v=oGJr5N2lgsQ} 는 Flag가 아니었고, 아무리 찾아봐도 다른 단서를 찾지 못했다. 이 문제의 핵심은 UPX packing이었다. UPX packing을 푸는 과정에 메모리를 변화시키는 부분을 넣어서 언패킹되었을 때, FLAG가 바뀌는 것이었다... 즉, 언패킹을 하지 않고 풀어야 한다. 이 부분에 대해서 수상함을 느껴야 한다... 원래 패킹된 파일들은 다음 사진처럼 처음부터 끝까지..

2020. 1. 21.

Writeup/Wargame_Writeup

머리가 나쁘면 손과 시간이 고생한다는 것을 뼈저리게 느끼게 해준 문제... #이상한게 왜 디버거로 볼때는 이상한 값이라도, 키를 체크하는 과정을 통과하고 flag를 출력해주는 데, 그냥 실행해 보면 가끔씩만 되는걸까... 처음에는 멍청하게 프로세스를 켜서 brute force를 할려고 했는 데, 그냥 그 알고리즘을 가져와서 돌리는 게 백배 천배 빠르다는 것을 시간을 많이 할애한 후에 알게됨 ㅋㅋ.. 딱봐도 뭔가 이상함. 문제에서 의도한 값인거 같긴 한데, flare-on.com이 아님 게다가 딱봐도 수상해 보이는 값이 전혀 다른 곳에 있음.... 이때 쯤 새로 들은 힌트: 1. relocation table이 있을 것이다. pe 재배치에 대해서 열심히 찾아보았다. 나뭇잎을 찾아서 보기도 하였다... 근데..

2020. 1. 21.

Writeup/Wargame_Writeup

IDA로 nes파일 로드하는 게 없다. nesldr 라는 파일만 git에 있으나, 작동하지 않음 한참동안 고민하다가 binary ninja도 사용해보고 ghidra도 사용해보고 hopper disassemble...까진 안감^^.... 아마 nes.ldw파일이 .dll로 loader형식이 바뀌면서 인식을 못하는 듯... ida 6.x를 설치하면 될 것 같기도 함 Solution 준비물: iNES loader for IDA 7.x (Thanks to @hhro hhro ) lab313ru/inesldr NES emulator [Mesen.exe] 풀이 먼저 문제의 목적이 무엇인지 알아야 함. snake.nes를 열어서 플레이 해보면, 이 문제는 단순한 지렁이 게임이다. 사과를 먹으면 꼬리가 길어진다. 아마..

2020. 1. 21.