워게임200 4번 - flag 그냥 flag 파일 하나 주어진다. 해당 파일 실행결과 gdb exeinfo로 패킹 검사를 했더니 upx 패킹이 되어있다고 나왔다. https://github.com/upx/upx/releases Releases · upx/upx UPX - the Ultimate Packer for eXecutables. Contribute to upx/upx development by creating an account on GitHub. github.com gdb flag_de_upx set disassemble intel disassemble main x/xg 0x6c2070 // 64비트 환경 파일이니까 8바이트 출력하는 g 옵션 추가 x/s 0x496628 // 문자열 확인 2022. 1. 12. 3번 - bof gdb bof set disassemble intel b func r AAAAAAAAAAAAA 하면 overflowme와 0xdeafbeef 사이의 크기가 나온다. 2022. 1. 12. 2번 - collision 여기서 중요한 점은 res += ip[i] ip는 int* 타입이므로 4바이트씩 res에 더하게 된다. 이것만 알면 바로 풀 수 있는.... 0x21DD09EC = (0x06C5CEC8)*4 + 0x06C5CECC 2022. 1. 11. 1번 - fd c언어 strcmp는 두 스트링이 같으면 0 반환 0 -> False 1 -> True 즉, buf는 "LETMEWIN\n"과 같아야한다. 주목할 부분 1. atoi(argv[1]) 우선 atoi(argv[1]) 을 테스트해봤더니 정수를 입력하면 그대로 정수가 반환되고, 문자열을 입력하면 0이 된다. 즉, fd 파일을 실행하면서 파라미터를 주는 것에 따라 fd를 조정할 수 있음을 알 수 있다. 2. file descriptor 3. read 함수 ssize_t read(int fd, void *buf, size_t nbytes) fd에서 nbytes만큼 읽어서 buf에 저장한다. 예를 들어 fd가 test.txt라면 test.txt 파일에서 몇 바이트 읽어서 buf에 저장한다는 의미 근데 fd가 만약 s.. 2022. 1. 11. [Memory] GrrCON 2015 #25 악성코드를 설치했다는 것은 대부분 인터넷을 통해 다운받기 때문에 iehistory 플러그인을 이용한다. python vol.py -f pos1.vmss --profile="Win7SP1x86_23418" iehistory 꽤 많은 결과가 나오는데.. 주목할 부분은 다운받는 것 같아보이는 http://54.84.237.92/allsafe_update.exe 2021. 12. 14. [Memory] GrrCON 2015 #24 블랙리스트로 정의된 악성코드라 하면 밴 당하는 악성코드라는 거니까 화이트리스트로 정의된 악성코드라는 것은.. 실행이 되는 악성코드라는 것 같은데... strings 앞서구한 dmp > 3208.txt 원래 알던 기본 정상적인 실행파일들 사이에 모르는 (수상한) 실행파일이 하나 있다. allsafe_protector.exe 2021. 12. 14. 이전 1 2 3 4 5 6 ··· 34 다음
