junsoo STUDY

Easy RM to MP3 Converter(BOF 실습 - mona)

이전 글에서는 windbg만 사용했는데 mona와 칼리 설치 기념으로 빠르게 다시 하겠습니다! 1. 실습 환경 OS : Windows 10 64bit Language : python 2.7.13 Tool : windbg(x86) 2. Crash 확인 metasploit-framework를 통해 패턴을 3만개 만든다. 잘 못 찾는 거 같다.. 이전 글 처럼 gdb pattern을 사용하면 offset은 26074인걸 알 수 있다. (칼리 pattern 5천개 정도는 잘 찾는다.. 3만개가 많아서 그런가..) 위 명령어를 통해 mona를 실행한다. ㅎㅎ modules 명령어를 통해 모듈의 보호 기법을 쉽게 확인할 수 있다... 감동... 역시 MSRMfilter03.dll은 Reabse와 ASLR이 fals..

Easy RM to MP3 Converter(BOF 실습)

Exploit writing tutorial part 1에서 못 했던 실습을 하겠습니다! 1. 실습 환경 OS : Windows 10 32bit Language : python 2.7.13 Target Easy RM to MP3 Converter 2. Crash 확인 payload 폴더에서 python file을 만들어 준다. A 3만개를 넣어 크래시를 내자! windbg에서 프로그램 attach 하고 exploit.py를 load하면 위 그림처럼 eip 값이 A로 덮인 걸 확인할 수 있다. 추가로 esp 위치를 확인하면 마찬가지로 A로 덮여있다. 따라서, stack에 shellcode를 넣고 eip를 컨트롤해서 shellcode에 위치 시키면 된다! 일단, eip를 컨트롤 하기 위해 offset를 구해..

windows-0x05

https://linarena.github.io/windows-0x05 windows-0x05 0x05 GS What is GS? GS는 STACK Cookie, Canary로도 불리는 메모리 보호 기법입니다. 이 GS는 BOF를 방어하기 위해 나온 기법 중 하나로, 함수가 시작될 때 STACK에 4 byte를 넣어놓고 함수가 종료될 때 이 4 byte가 linarena.github.io 위 블로그에서 알고 있었던 부분은 넘어가고 0x05부터 정리하겠습니다 ㅎㅎ SEH overwrite 할때 handler에 ppr 가젯을 넣으면 어떻게 next로 오게 되는지 확인해 보겠습니다. SEH 공부하면서 본 그림입니다. ㅇㅇ 위 그림은 SEH 구조체 입니다. 총 8byte로 _next와 _handler로 구성되어..

Exploit writing tutorial part 10

https://www.corelan.be/index.php/2010/06/16/exploit-writing-tutorial-part-10-chaining-dep-with-rop-the-rubikstm-cube/ Exploit writing tutorial part 10 : Chaining DEP with ROP – the Rubik’s[TM] Cube | Corelan Cybersecurity Research About 3 months after finishing my previous exploit writing related tutorial, I finally found some time and fresh energy to start writing a new article. In the previous..