Nebula level04문제입니다 당신은 " token " 파일을 읽어야합니다. 그러나 코드가 파일 읽기를 제한하고 있다 우회할 수 있는 방법을 찾아라 일단 flag04의 홈디렉토리로 가보도록 하겠습니다 flag04 실행파일과 token 파일이 존재합니다. flag04파일을 여러번 실행시켜보았습니다. 아마도 파일을 읽어들이는 실행파일로 보입니다. token을 읽어드리려고 했지만 권한에 제한이 걸려있습니다 인자로 token 문자열이 들어가 있으면 해당 실행파일을 종료시킵니다 ( strstr 함수 ) 어떻게하면 token파일을 인자로 넣을 수 있을 지 생각해봅시다 token파일을 다른이름으로 저장하던지 링크파일을 생성하면 된다 cp 명령어와 하드링..

해당 소스코드는 flag02의 소스코드입니다 asprintf( &buffer, "/bin/echo %s is cool" , getenv("USER") ); getenv함수는 해당 이름에 해당하는 환경변수의 값을 가져오는 함수입니다 USER라는 이름으로 level02가 환경변수에 저장되어있어서 level02 가 %s 에 들어가게 됩니다 asprintf함수에 의해서 buffer라는 변수에 "/bin/echo level02 is cool" 이라는 변수가 저장됩니다 그리고 system함수에 의해서 ehco 명령어가 실행된다. 아래는 /home/flag02/flag02의 실행화면이다 어떻게 flag02의 권한을 가질 수 있을까? 이번 문제는 system()함수의 취약점을 이..

Nebula level01번 문제입니다 /home/flag01/flag01 실행파일을 실행한 결과입니다 "echo" 명령어의 결과와 같습니다. 원래 명령어는 $echo 만 쓰는거 아닌가? 라고 하실 수 있습니다. 하지만 리눅스에서 명령어의 동작원리는 환경변수에 PATH 에 저장된 경로에서 " echo " 라는 명령어에 대한 정보가 있는 파일을 검색한 후 존재하면 그 파일을 실행시켜주는 원리입니다 환경변수 PATH란 무엇인가? ㅡ 그림 1.3 을 보시죠 명령어 " env " 는 환경변수의 리스트를 출력해주는 역할을 합니다 환경변수중에서 PATH 가 보입니다. " : " 를 경계로 각 디렉토리에서 입력된 명령어들을 검색합니다 그러면 echo라는 파일..

FTZ level20번 문제는 포맷 스트링 버그문제입니다 ( level11번에서도 풀었엇죠? )힌트를 봐보시면 포맷스트링 취약점이 보입니다[ 그림1 ] 포맷스트링 취약점이 있는 것을 알았고, 이제 포맷스트링 공격에 필요한 것은 무엇일까요?2가지 : RET(리턴 어드레스) , 쉘 생성코드 주소 level11번문제에서는 " nm " 명령어를 통해서 소멸자의 주소를 알아냈습니다.하지만 이번에는 " nm " 명령어로 볼 수 없게 막아놧네요. 하짐 또다른 방법이 있습니다 [level20@ftz level20]$ objdump -h attackme[ 그림2 ] 18 .dtors 라는 것이 보일겁니다. 해당 라인에 나와있는 주소값은 " __DTOR_LIST__ " 의 주소입니다 어디서 많이 본거 같죠? " __DTO..

level19번 문제입니다 이번 문제는 에그쉘을 이용해 쉘을 실행시키는 방법과 RTL기법을 활용해서 문제를 풀어보도록 하겠습니다 먼저 힌트파일을 보겠습니다. 다른 문제들과 다르게 소스파일에 setreuid() 함수가 없습니다 따라서 이전 문제처럼 쉘 생성코드만 작성하고 실행시킨다고 level20계정의 권한을 얻을 수 없습니다 setreuid()함수를 실행할 수 있는 코드를 직접 만들어야 합니다 이제 해당 파일의 스택구조를 살펴보겠습니다 gdb분석 결과 Procedure prelude 과정에서 sub $0x28,$esp 부분이 보이실겁니다 40byte만큼 지역변수 공간을 할당해주었습니다. 따라서 스택구조는 다음과 같습니다 buffer SFP RET 환경변수 등등...

level18의 힌트파일을 보면 " File Descriptor " 개념이 나옵니다. 소스파일을 읽기 어렵게 만들어놓은 함정입니다 switch문만 제대로 파악하면 문제는 풀리지만 나머지 소스에 대해서 설명해 드리겠습니다 그럼 힌트파일을 열어보도록 하겠습니다 소스가 엄청 깁니다 천천히 따라서 읽어보세요 #include #include #include #include void shellout(void); int main() { char string[100]; int check; int x = 0; int count = 0; fd_set fds; // fd_set 타입의 fds 변수선언 ( 파일디스크립터의 집합 or 소켓 구조체 ) printf("Enter your command: ");..