분류 전체보기
-
-
-
insomnihack CTF 2018 sapeloshopPwnable/CTF 2018. 1. 23. 02:02
문제를 처음 잡을때 엄청 어려울줄 알았는데 그렇게 어려운편은 아니였다.대회당시에는 NULL값이 들어가면 malloc인자에 들어가는 사이즈크기가 증가를 안 해서 포기하고 다른 문제를 풀러갔는데 대회 끝나고 write up을 보니 %00을 이용하여서 풀수있었다.. 취약점은 sub함수에서 전역 포인터에 NULL값으로 덮지않고 free를 해주고 한번더 free를 하기위해서는 전역 포인터 옆에 숫자가 1이상이 되어야하는데 그 문제는 inc함수에서 0인지 확인을 하지 않고 +1를 해주기때문에 fastbin dup 취약점이생긴다. 익스는 함수를 안 써서 그런지 엄청 더럽다.. from pwn import * #p=process(["./sapeloshop"],env={'LD_PRELOAD':'./libc-2.23.so..
-
-
Codegate 2017 Final building_ownerPwnable/CTF 2018. 1. 21. 20:12
이 문제에서는 type confusion취약점이 있는데 manage함수 부분을보면 edit, change둘중 change부분을 보면 원래 company type라면 저 함수를 써서 restaurant type로 바꾼다면 두 type끼리 size가 안 맞아서 오버플로우가 되는것을 이용하여서 name 포인터 부분으로 heap 릭을하고 main_arena leak + 공격을 할수있다. string 객체는 "A"*17 을 넣으면 0x21사이즈로 할당이되고 25개를 넣으면 0x21사이즈를 free하고 0x31사이즈로 할당을 하는 특징을 이용하여서 main arena 릭을 할수있다. 123456789101112131415161718192021222324252627apart {string name 0int64_t f..
-
-
-