Release: https://github.com/h0meb0dy/CTF/blob/main/Whitehat%20Contest%202023/Fall%20in%20love/for_user.zip I'm in fall in love to work. Analysis $ file fallinlove fallinlove: Rich Text Format data, version 1, ANSI, code page 1252, default middle east language ID 1025 RTF 파일이 주어집니다. rtfobj 툴을 이용하여 분석할 수 있습니다. rtfobj fallinlove CVE-2017-0199는 악성 OLE object가 삽입된 파일을 열면 원격 서버에서 악성 파일을 다운받아서 원격 코드 실행..

Release: https://github.com/h0meb0dy/CTF/blob/main/Whitehat%20Contest%202023/clip%20board/for_user.zip If you have something to save, save it. nc 43.201.64.101 8888 Mitigation Analysis Out of bound 세 가지 메뉴에 공통된 OOB 취약점이 존재합니다. Index를 입력받고 최댓값인 9보다 크지 않은지 검사하는데, 음수인지 검사하는 과정이 없습니다. 메모리 구조를 보면 chunk_list, check_chunk_list, chunk_size_list가 모두 인접해 있어서, OOB를 이용하여 값들을 조작할 수 있습니다. Exploit Tcache dup I..

Door To Other RealmS Mitigation Analysis 1. Choose a door.에서 realm을 door의 값과 같게 맞추면 AAW가 가능합니다. door_의 값을 바꿀 수 있는 유일한 방법입니다. 3. Enter the door.에서 realm이 door의 주소이면 door_의 초깃값인 0을 넣어서 random value를 제거할 수 있지만, 그렇게 하면 door의 값이 0이 되어 2. Open the door.를 사용할 수 없게 됩니다. Exploit door가 아니라 door + 1에 0을 넣어서 random value를 1바이트만 남길 수 있습니다. 남은 1바이트는 brute force로 맞출 수 있습니다. AAW로는 한 번에 4바이트만 쓸 수 있기 때문에 GOT를 한 번..

Can you get authentication from this server?Download : http://pwnable.kr/bin/loginRunning at : nc pwnable.kr 9003AttachmentBugauth()에 들어오는 input의 길이는 최대 0xc이다. 그런데 이 input을 ebp-0x8에 위치한 v4의 위치에 복사한다.따라서 ebp에 저장된 값을 원하는 값으로 덮어쓸 수 있다.auth()의 ebp에 저장된 값은 auth()가 return된 후에 진행되는 main()의 ebp가 된다.main()의 return address는 ebp+0x4에 위치하기 때문에, 이를 이용하여 실행 흐름을 조작할 수 있다.Exploitcorrect()에서 system("/bin/sh")을 호..

We made a simple MD5 calculator as a network service.Find a bug and exploit it to get a shell.Download : http://pwnable.kr/bin/hashhint : this service shares the same machine with pwnable.kr web serviceRunning at : nc pwnable.kr 9002AttachmentBugg_buf에는 0x400바이트까지 입력할 수 있는데, 최대로 입력할 경우 base64 decode하면 0x300바이트가 된다. 하지만 decode한 문자열을 저장하는 v3의 size는 0x200이므로 stack buffer overflow가 발생할 수 있다.ExploitL..