'DreamHack/SystemHacking' 카테고리의 글 목록 (2 Page)

[DreamHack System Hacking] Linux Library exploit > _rtld_global

2022. 9. 20. 20:52 DreamHack/SystemHacking

라이브러리 코드를 분석하면서 어떤 방식으로 프로세스를 종료하는지 알아보자. _rtld_global 실습 예제 // Name: rtld.c // Compile: gcc -o rtld rtld.c int main() { return 0; } 다음의 코드는 종료하는 과정을 알아보기 위한 예제 코드이다. _rtld_global __Gl_exit 앞서 컴파일 한 예제 코드는 별다른 코드를 실행하지 않고 프로그램을 종료한다. 디버깅을 통해 더 자세히 알아보자. main 함수 내에 리턴하는 명령어에 브레이크 포인트를 설정한다. step into (si)를 통해 다음 코드를 확인한다. 디버깅 결과를 확인해보면, main 함수 내에서 리턴 명령어를 실행했을 때 스택 최상단에 있는 __libc_start_main+231 ..

[DreamHack System Hacking] master_canary

2022. 9. 19. 22:05 DreamHack/SystemHacking

문제 코드는 다음과 같다. // gcc -o master master.c -pthread #include #include #include #include #include char *global_buffer; void alarm_handler() { puts("TIME OUT"); exit(-1); } void initialize() { setvbuf(stdin, NULL, _IONBF, 0); setvbuf(stdout, NULL, _IONBF, 0); signal(SIGALRM, alarm_handler); alarm(60); } void get_shell() { system("/bin/sh"); } void *thread_routine() { char buf[256]; global_buffer = b..

[DreamHack System Hacking] Master Canary - (2)

2022. 9. 19. 21:54 DreamHack/SystemHacking

문제 코드 // Name: mc_thread.c // Compile: gcc -o mc_thread mc_thread.c -pthread -no-pie #include #include #include #include void giveshell() { execve("/bin/sh", 0, 0); } void init() { setvbuf(stdin, 0, 2, 0); setvbuf(stdout, 0, 2, 0); } int read_bytes (char *buf, int len) { int idx = 0; int read_len = 0; for (idx = 0; idx < len; idx++) { int ret; ret = read(0, buf+idx, 1); if (ret < 0) { return rea..

[DreamHack System Hacking] Master Canary - (1)

2022. 9. 19. 18:44 DreamHack/SystemHacking

실습 예제 코드는 다음과 같다. // Name: mc_thread.c // Compile: gcc -o mc_thread mc_thread.c -pthread -no-pie #include #include #include #include void giveshell() { execve("/bin/sh", 0, 0); } void init() { setvbuf(stdin, 0, 2, 0); setvbuf(stdout, 0, 2, 0); } void thread_routine() { char buf[256]; int size = 0; printf("Size: "); scanf("%d", &size); printf("Data: "); read(0, buf, size); } int main() { pthread_..

[DreamHack System Hacking] Master Canary

2022. 9. 19. 17:06 DreamHack/SystemHacking

Thread Local Storage Thread Local Storage (TLS)는 명칭 그대로 스레드의 저장 공간을 의미한다. ELF 바이너리를 살펴보면, 각각의 목적을 가진 섹션에서 데이터를 관리한다. 코드를 실행하기 위한 .text, 초기화되지 않은 전역 변수를 위한 .data등을 예시로 들 수 있다. TLS 영역은 이와 달리 스레드의 전역 변수를 저장하기 위한 공간으로, 로더(Loader)에 의해 할당된다. 다음은 로더에서 TLS 영역을 할당하고 초기화하는 함수인 init_tls의 코드이다. static void * init_tls (void) { /* Construct the static TLS block and the dtv for the initial thread. For some pla..

[System Hacking] 2주차 dreamhack stage 12 - (5)

2022. 5. 1. 22:46 DreamHack/SystemHacking

[혼자실습] Double Free Bug tcache_dup 주어진 c코드는 다음과 같다 // gcc -o tcache_dup tcache_dup.c -no-pie #include #include #include #include char *ptr[10]; void alarm_handler() { exit(-1); } void initialize() { setvbuf(stdin, NULL, _IONBF, 0); setvbuf(stdout, NULL, _IONBF, 0); signal(SIGALRM, alarm_handler); alarm(60); } int create(int cnt) { int size; if(cnt > 10) { return -1; } printf("Size: "); scanf("%d"..

[System Hacking] 2주차 dreamhack stage 12 - (4)

2022. 5. 1. 20:24 DreamHack/SystemHacking

[혼자실습] Double Free Bug Tcache_dup2 주어진 c 코드는 다음과 같다. #include #include #include #include char *ptr[7]; void initialize() { setvbuf(stdin, NULL, _IONBF, 0); setvbuf(stdout, NULL, _IONBF, 0); } void create_heap(int idx) { size_t size; if( idx >= 7 ) exit(0); printf("Size: "); scanf("%ld", &size); ptr[idx] = malloc(size); if(!ptr[idx]) exit(0); printf("Data: "); read(0, ptr[idx], size-1); } void mo..

[System Hacking] 2주차 dreamhack stage 12 - (3)

2022. 4. 30. 19:40 DreamHack/SystemHacking

Tcache Poisoning 주어진 c 코드는 다음과 같다. // Name: tcache_poison.c // Compile: gcc -o tcache_poison tcache_poison.c -no-pie -Wl,-z,relro,-z,now #include #include #include int main() { void *chunk = NULL; unsigned int size; int idx; setvbuf(stdin, 0, 2, 0); setvbuf(stdout, 0, 2, 0); while (1) { printf("1. Allocate\n"); printf("2. Free\n"); printf("3. Print\n"); printf("4. Edit\n"); scanf("%d", &idx); sw..

티스토리툴바