일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | |||
5 | 6 | 7 | 8 | 9 | 10 | 11 |
12 | 13 | 14 | 15 | 16 | 17 | 18 |
19 | 20 | 21 | 22 | 23 | 24 | 25 |
26 | 27 | 28 | 29 | 30 | 31 |
- 써니나타스
- tar
- 디스크
- K-sheild Jr
- swing
- shadow
- Android
- K-shield Jr 10기
- 침해사고대응
- 모바일프로그래밍
- Interceptor
- Mobile
- ctf-d
- ZIP
- 포렌식
- SW에듀서포터즈
- upx
- Reversing
- 안티디버깅
- crack
- 파일해시생성
- 케쉴주
- disk
- John the ripper
- 리버싱핵심원리
- CodeEngn
- Autoware
- Frida
- Multimedia
- Today
- Total
목록Waregame & CTF (95)
물먹는산세베리아
먼저 col, col.c, flag 파일 이렇게 3개가 존재하는 걸 확인했다. flag를 실행시켰지만 접근이 거부되었고, 그 파일은 사용자가 col_pwn일 때만 열 수 있는 걸 확인했다. 그리고, col 파일을 보면 setuid로 인해 접근이 가능한 걸 알 수 있었다. 그러면 col 파일을 해결해야 된다는 얘기이므로 col.c 파일을 열어보았다. (vi 명령어) 주목할 부분은 들어와야 할 값은 20byte이며 hashcode와 check_password()에서 가져오는 값이 같을 때 flag가 풀린다는 것인다. check_password 함수를 보면 res에 인수로 들어온 값을 5번 붙인다는 얘기이고, 일단 hashcode는 0x21DD09EC이다. 다섯번 더해준다고 했으니까 일단 주어진 해시코드를 5..
보호되어 있는 글입니다.
* SWING CTF STUDY_REVERSING 주어진 파일을 실행하면 '정상'이 출력된다. 하지만 Immunity Debugger로 열면 '디버깅 당함'이 반복해서 출력된다. 문제에서 디버거를 탐지하는 함수 이름을 찾으라고 했으므로, 디버깅 중인지 아닌지 판별하는 flag 값을 갖고 있는 함수를 찾으면 될 것 같다. 이 함수를 실행시키면 정상인지 디버깅 당하는 중인지 결과가 출력되므로 일단 이 함수 안으로 들어갔다. 들어가서 F8을 눌러 계속 실행해보면 위 코드를 볼 수 있는데 이는 IsDebuggrPrEsent() API 코드로 PEB 주소를 구해 PEB.BeINGDeBugged 몜뻐예 접근하고 있다. 마지막 EAX+2의 값이 1일 때면 디버깅 중이고 0이면 일반 실행이므로 저 위치로 가 1인 걸 ..
보호되어 있는 글입니다.
* SWING CTF STUDY_REVERSING 패스워드로 인증하는 실행파일이 손상되어 실행이 안되는 문제가 생겼다. 패스워드가 무엇인지 분석하시오 내가 푼 것 주어진 파일 02.exe를 실행하면 제대로 작동하지 않는다. 디버거에서 열어도 마찬가지이다. 실행 자체가 안 되어 디버깅도 할 수 없으므로 동적분석 대신 정적 분석을 시도했다. HxD로 열었고, 양이 많지 않아서 쭉 봤는데 중간 쯤에 Rules, unlock code 라는 단어들이 보였다. Rules: Just find the unlock code, no patching allowed. It's very easy, so don't exspect to much. Greeting to the whole TNP, especially Folko for..
보호되어 있는 글입니다.
*SWING CTF STUDY_REVERSING 주어진 파일 06.exe를 Immunity Debbuger로 까보면 아래와 같은 경고창이 뜬다. 경고창을 보고 그냥 대수롭지 않게 넘겼는데 이걸로 패킹을 의심해볼 수 있다고 함 일단 예를 눌러주고 코드를 보면 PUSHAD라는 명령어가 보이는데 패킹된 것으로 보면 된다고 한다. UPX로 패킹된 것을 확인 했고 upx.exe 툴을 다운 받아서 언패킹했다. (디버거로 연 상태에서 하면 안됨) 디버거로 다시 열면 PUSH 명령어가 보이고 OEP는 00401360이 된다. 06.exe를 그냥 실행해보면 위와 같이 뜨는데 아무거나 넣게 되면 Wring serial!!이라는 메세지가 뜬다. 언패킹 전에는 문자열을 볼 수 없었지만 이제는 가능하므로 저 메세지가 있는 위치..
*SWING CTF STUDY_REVERSING 압축파일을 풀면 Project1.exe 파일이 보인다. 알맞은 문자열을 넣어야 할 듯 싶다. 아무거나 넣어봤더니 아무 반응이 없다. Immunity Debugger에서 문자열만 찾아봤는데 맨 밑쪽에 누가봐도 수상한 Congratulation!이 있었다. Breakpoint 걸어두고 다시 실행 문자열 찾을 때 본 숫자 넣어주니까 풀림 답:913465 suninatas.com/challenge/web09/web09.asp
*SWING CTF STUDY_REVERSING 주어진 파일을 실행해보면 ID와 PW를 입력받도록 되어있다. 저 상태에서 엔터를 누르면 who are you?라는 문구가 뜬다.(뜨자마자 사라져서 캡쳐 못함) 문제에서 원하는 ID와 PW를 입력하면 flag를 얻을 수 있음을 쉽게 생각할 수 있다. Immunity Debugger에서 깜 F8을 눌러 하나씩 실행하다보면 해당 지점에서 Input ID: 가 출력됨을 알 수 있다. 그렇다면 F7을 눌러 출력 과정을 살펴보면 된다. (일단 해당 지점에 breakpoint 걸어둠) F7을 눌러 들어가면 ID와 PW를 입력 받는 과정을 볼 수 있다. 내가 입력한 값과 파일이 갖고 있는 값을 비교해서 결괄르 보여줄 것이라고 예상되는데 일단 알 길이 없으니 한 줄씩 실행..
보호되어 있는 글입니다.