2. PWN(ポーン)とは? • 元々「own」から来ている • 「own」= 自分の物にする。ハッカースラングで「侵⼊、支配」等 • 例: I owned/pwned him. (彼をハックした) I/he/they got owned/pwned. (ハックされた!) They’re owned/pwned bad. (あの会社は完全にハックされてる) 機密情報が全部流出され、バックドア等も置かれているニュアンス • CTFではメモリ破壊系の脆弱性を悪用するバイナリ問題のジャンル 4. メモリ破壊系の脆弱性 • Buffer Overflow (Stack Overflow) • Heap Overflow(ヒープオーバーフロー) • Format String (書式⽂字列攻撃) • Use After Free (UAF) (別名:Dangling Pointer) • Write Wh
これは,CTF Advent Calendar2016の6日目の記事です. 本記事では,House of Forceというheap exploitのテクニックの解説,実践問題の解説を行ってみたいと思う. 1. House of Forceの前に House of Forceの説明をするに当って,事前に知っておくべきheap領域について復習してみよう.今回は,題材問題も32bitなので,32bitとして話を勧めていく. glibcには,heap領域を管理するためのmalloc_state構造体というものが以下のように定義されている. struct malloc_state { mutex_t mutex; int flags; mfastbinptr fastbinsY[NFASTBINS]; mchunkptr top; mchunkptr last_remainder; mchunkpt
Exploiting Dolphin
Dolphin is a Wii emulator, and a consistent source of interesting technical problems. In the interests of learning more about Dolphin, Wii, PowerPC, and exploitation, I discovered a handful of bugs, and created an ISO file that can run arbitrary code on the host, portably and reliably. This has been an interest of mine since I spent some time exploiting a partial GameCube emulator in the last Defc
これの続き。 前に書いたGOT overwriteとほぼ同じ手口なんですが、.dtorsセクションに登録されている(関数の)アドレスを書き換えて、お好きな関数を呼ぶという攻撃方法があります。.dtor overwrite とか呼ばれてます。この手口を、 NXあり ASLRあり RELROなし PIEなし という条件下で試してみます。 #include <stdio.h> #include <stdlib.h> __attribute__((destructor)) static void dtor_fn() { puts("good bye!"); } static void my_dtor_fn(void) { puts("HEHE"); } int main(int argc, char** argv) { if (argc > 1) { unsigned int* got_addr
一つ前のエントリでは、format string attackでGOTに書かれたアドレスの書き換えを行ったが、RELRO (RELocation Read-Only) と呼ばれるセキュリティ機構を完全に有効にすることでGOTを書き換えられないようにできる。 ここでは、RELROに関連するリンカオプションの動作について簡単に確認し、RELROが完全に有効な状態でもリターンアドレスの書き換えによるシェル起動は可能であることを確認してみる。 環境 Ubuntu 12.04 LTS 32bit版 $ uname -a Linux vm-ubuntu32 3.11.0-15-generic #25~precise1-Ubuntu SMP Thu Jan 30 17:42:40 UTC 2014 i686 i686 i386 GNU/Linux $ lsb_release -a No LSB modu
「ROP stager + Return-to-dl-resolveによるASLR+DEP回避」では、ASLR+DEPが有効なx86環境においてlibcバイナリに依存しない形でシェル起動を行った。 ここでは、ASLR+DEPが有効なx64環境において同様のシェル起動をやってみる。 環境 Ubuntu 12.04 LTS 64bit版 $ uname -a Linux vm-ubuntu64 3.11.0-15-generic #25~precise1-Ubuntu SMP Thu Jan 30 17:39:31 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux $ lsb_release -a No LSB modules are available. Distributor ID: Ubuntu Description: Ubuntu 12.04.4 LTS
はじめに2014.12.07~08にわたって開催されたSECCON CTF 2014の予選(英語版)にて,ROP: Impossibleというpwn問題が出題された.タイトルの通り,この問題ではROPが制限されている. ここでは,その実現手法として用いられていたIntel Pin(pintool)について,またこの問題にあった欠陥について述べる. したがって,このエントリはROP: Impossibleのネタバレを兼ねている.注意されたし. 問題の概要問題文は以下の通り.Pinによって保護された脆弱なバイナリからフラグを読み出せというものだ. ropi.pwn.seccon.jp:10000 read /flag and write the content to stdout, such as the following pseudo code. open("/flag", 0); rea
x64環境では、x86環境とは異なり関数の引数はレジスタにセットされる。 このため、ROPにおいてはpop rdi; retなどのgadgetを使い、複数のレジスタに値をセットしてから関数にジャンプする必要がある。 また、x64ではx86に存在したpushad、popad命令がなくなったため、popad命令を利用して複数のレジスタの値を一度にセットすることはできない。 しかし、sigreturnシステムコールを使うと、popad命令のようにスタックに置いた値を複数のレジスタに一度にセットすることができる。 これを利用すると任意のシステムコールを呼ぶことができ、これを連続して行う手法はSigreturn Oriented Programmingとして知られている。 ここでは、x64環境かつASLR+DEP+RELROが有効な条件下において、Sigreturn Oriented Program
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
