전체 글 (68) 썸네일형 리스트형 [Crescendo] Prefetch Problem 02 압축 파일에 관한 문제이므로 사용한 압축프로그램을 찾아본다. 한개는 설치파일이고 한개는 실행파일이다.BANDIZIP64.EXE-8FD1AC3A.pf[실행파일 명]-[파일경로에 대한 해쉬].pf 사용한 Tool은 PrefetchForensics 사용했고 열어보면 1,2 번문제가 한번에 풀린다.3번문제는 윈도우기본게임인데 경로를 보면서 찾아보면 나온다. Answer : WORKDOCUMENT.ZIP_4_CHESS.EXE_SOLITAIRE.EXE [Lord of the BOF] gate ID : gatePW : gate 주석에도 보이듯 simple BOF 문제이다. set disassembly-flavor intel 명령어를 사용하여 인텔 아키텍처 어셈블리어로 출력하도록 설정 한다. intel은 Operand 읽는 순서가 목적지, 출발지 순서AT&T는 Operand 읽는 순서가 출발지, 목적지 순서 버퍼 크기 [256] + SFP[4] + RET[4] 이렇게 되겠다.사용할수 있는 공간은 총 260이 되고 마지막 4byte 공간에는 Shell Code 주소를 넣으면 되겠다. 문제는 Shell Code 주소를 넣는것인데 버퍼안에 Shell Code를 넣어서 그주소를 사용하면되는데정확한 주소는 Core 파일을 이용하여 찾는다. ulimit -c unlimited -> Core 파일 생성 활성.. [Crescendo] Prefetch Problem 01 파일을 다운 받아 압축해제를 시키면 프리패치 파일들이 많이 보인다. 문제에서는 부트 프리패치에 대해서 문제가 나왔기 때문에[ NTOSBOOT-B00DFAAD.pf ] 이 파일을 찾아서 분석하면 되겠다. [Win-7 프리패치 파일구조] Answer : 1780102_0x00000017 [Lord of SQL injection] umaru 소스코드 분석 function reset_flag(){ $new_flag = substr(md5(rand(10000000,99999999)."qwer".rand(10000000,99999999)."asdf".rand(10000000,99999999)),8,16); $chk = @mysql_fetch_array(mysql_query("select id from prob_umaru where id='{$_SESSION[los_id]}'")); if(!$chk[id]) mysql_query("insert into prob_umaru values('{$_SESSION[los_id]}','{$new_flag}')"); else mysql_query("update prob_umaru set flag='{$new_f.. [Lord of SQL injection] evil_wizard [Lord of SQL injection] hell_fire [Lord of SQL injection] dark_eyes 소스코드 분석if(preg_match('/prob|_|\.|\(\)/i', $_GET[pw])) exit("No Hack ~_~");if(preg_match('/col|if|case|when|sleep|benchmark/i', $_GET[pw])) exit("HeHe");전에 풀었던 문제랑 상당히 흡사하다. col, if, case, when 필터링이 추가되었다. if(mysql_error()) exit();echo "query : {$query} ";그리고 mysql error가 뜨면 error 내용을 보여주지않는다. ?pw=%27%20or%20(id=%27admin%27%20and(select%20length(pw)=8%20union%20select%201))%23 - length(pw)가 참일 경우.. [Lord of SQL injection] iron_golem 소스코드 분석if(preg_match('/sleep|benchmark/i', $_GET[pw])) exit("HeHe");여기서 sleep과 benchmark를 필터링 해놨는데 왜 했는지 의도에 대해서는 모르겠다.sleep은 쿼리를 초단위로 지연을 시킬수 있다.select * from [테이블 명] WHERE SLEEP(5)=0;지정한 숫자보다 3배는 더걸리는거 같다. SLEEP(duration)https://dev.mysql.com/doc/refman/5.7/en/miscellaneous-functions.html#function_sleep Sleeps (pauses) for the number of seconds given by the duration argument, then returns 0. T.. 이전 1 ··· 3 4 5 6 7 8 9 다음
