md5_calculator 에서 관건인게

base64 encoded string 을 받아서 decode하고 md5를 하게 되는데..

decode해서 받는 배열의 크기가 512byte 밖에 안되고, base64_encodestring같은 경우에는 최대 1024byte를 받는데

이걸 decode했을 때 길이가 512byte보다는 길기때문에 overflow가 발생함.

또 분석해보면

my_hash를 통해서 srand(time())과 rand()로 더하기 빼기를 하면서 계산을 하는데, canary도 같이 넣어서 계산하게 된다.

이거 역분석 하면 canary 우회 가능함 <-- 여기부터 집가서 해야지

commit_creds(prepare_kernel_cred(0));  

https://wikidocs.net/418

allocator 클래스

Visual Studio 2015

다른 버전

template <class Type>
class allocator

라이브러리 함수를 실행하게되면 PLT영역에서 GOT로 점프하고 함수를 실행하게 되는데,

GOT는 어떻게 값을 넣어주는지 알아보자. ( 함수가 처음 실행 됐을 때 실행됌, 두 번째 실행부터 바로 GOT주소로 JMP함 )

먼저 알아둘게 있다.

FUNC::PLT + 0 은 jmp FUNC::GOT 로 점프,

FUNC::PLT + 6 은 push DATA,

FUNC::PLT + 11 에서 jmp를 하게되면 거기서 pushl, jmp가 있는 PLT시작부분으로 분기하게된다.

PLT시작부분에서 pushl로 GOT+4 주소를 스택에 넣고, jmp되는 부분에 GOT+8 주소를 넣게되는데,

GOT + 8 이 _dl_runtime_resolve 의 주소가 된다.

_dl_runtime_resolve를 분석해보면

_dl_fixup 이란 함수를 실행 edi, esi에 각각 함수의 offset값과 .strtab의 주소값이 들어간다.

예를 들어 puts함수를 실행하려면 먼저 puts함수의 puts 문자열을 얻어야한다. ( windows 에서 GetProcAddress와 같은 방식임 )

문자열을 얻기위해서는 _dl_finxup 실행 후 edi에 puts의 offset값, esi에 .strtab의 주소값이 들어가고, .strtab 주소 + puts::offset을 더해주면 된다.

그리고 eax에는 문자열 주소를 넣어주고, _dl_lookup_symbol_x라는 함수를 실행하게 된다.

_dl_lookup_symbol_x함수에서는 .syntab과 lib의 주소를 얻고 _dl_fixup함수에서 얻은 puts의 offset, .strtab주소를 이용해서

정확한 함수주소를 얻고 GOT에 쓴 뒤에 puts함수를 실행하게 된다.

호출 순서

_dl_runtime_resolve -> _dl_fixupup -> _dl_lookup_symbol_x -> Function

이번에도 아주 쉽게 MISC문제 하나를 들고 왔습니다!

HINT를 드리자면 이중압축이라는 점.

만약 키값을 얻으셨다면 

nekoplus.iptime.org에 가입하셔서 한번 인증해보세요ㅋㅋ

Nyan!.zip

이번에 심심해서 만들어 본건데..

처음에는 인라인 어셈으로 짜볼까 했지만

휴가 때 너무 머리쓰는건 아니라 생각해서 쉽게쉽게 만들어 봤습니다~

Crack Me_.zip

키값을 얻으셨다면 nekoplus.iptime.org에 가입하셔서 한번쯤 인증해보는 것도.. 나쁘진 않은 것 같네요.

문제 이름은 Would you Crack Me? 입니다.

Template : 형판, 견본

라는 뜻을 가졌는데, C++에서 Template의 의미는 견본이라고 하는게 맞는 것같다.

템플릿 이게

template<typename T>

class neko{

private:

T num;

public:

void Setnum(T n)

{

num = n;

}

T print()

{

return num;

}

}

이런식으로 임시변수를 만든다고도 할 수 있는데, 사용할 때는

neko<int>::num = 12;

이렇게 사용해야한다. 많이 유용할듯