Psalm

poker게임 하나가 주어진다. 1과 2 둘중에 하나를 입력해 임의의 플레이어 두명이 숫자가 하나씩 주어지고, 둘중 누가 이길지 결정에 내가 맞추면 점수를 획득한다내가 얻은 점수와 99와 비교해 내가 더 크면 flag를 출력해주는 함수로 이동한다.(원래 99였는데, 바로 넘어갈 수 있게 1로 패치했다)문자열을 살펴보니 플래그를 출력해주는 부분이 있었고, 따라가보니 sub_11A0함수로 이동했다. 해당 부분에서는 무한 반복문을 통해 다양한 비교구문이 있었고, 플래그를 출력해주는 변수를 보니 v75로 되어있었고, 비교문을 통해 복호화를 하는듯 보인다. 이 부분이 플래그를 출력하는 부분으로 이동하는 명령인데, jle 명령이 점프하지 않아야만 해당 함수를 호출한다. Jle 명령이 점프하지 않으려면 SF!=OF ..

main 바이너리가 하나 주어지고, 미티게이션을 살펴보면 모두 적용되어 있다.IDA로 main 함수부터 살펴보면 먼저 buffer overflow가 나는 부분이 보인다. 그 전에 get_name을 호출한다. 함수 안을 살펴보면 또 다른 취약점이 보인다. printf함수에서 format String 버그가 보인다. 모든 보호 기법이 적용되어 있기 때문에 메모리 릭을 시도해야 한다. 프로그램을 실행시키고, 포맷 스트링을 입력하면 이렇게 특정 주소가 출력된다.쉘 스크립트를 사용해 몇 개의 스택 값을 추출한다.스택 카나리는 맨 마지막 00이 붙는 특징이있다. 11번째 위치에 있는 값이 스택 카나리로 추정된다.그리고 55로 시작하는 주소 몇 개가 보인다. 바이너리 주소로 추정된다. 27번째 위치의 주소는 264로..

Jade가 인터넷에 히든 패스워드를 숨겨놨고, 그걸 찾으라고 한다. 파일을 다운받으면 덤프 파일이 주어진다.메모리 덤프파일의 프로파일을 먼저 확인했다. 그리고 pstree를 이용해 실행중인 프로세스들을 확인했다. 그랬더니 IE를 사용하고 이었고, 인터넷상에 숨겨놨다고 하니 해당 프로세스로 덤프를 떴다. 덤프를 뜨고, 인터넷과 관련된 키워드로 검색을 했더니 jade가 방문했던 흔적을 찾을 수 있었다.방문하면 password를 입력하라고 나오는데, 여기에다 password를 숨긴 것 같다.Password를 알아내기 위해 volatility의 hashdump플러그인을 사용하면 찾을 수 있다길래 해당 플러그인을 사용했다. Jade의 password는 36190865427581166c4b557937a8159e로 ..

문제를 살펴보면, Pearl은 생일 파티를 열려고 하는데 Sandeep은 연락이 되지 않아 Jade를 불러서 Sandeep과 연락할 수 있게 도와달라고 한다.그래서 Jade는 Pearl에게 메일을 보냈는데 Pearl의 PC가 고장난 상태이다. 그래서 정보들을 불러올 수 없으니 포렌식 분석을 부탁하는 시나리오이다.파일을 다운받으면 메모리 덤프 파일 하나가 주어지기 때문에 volatility로 바로 분석을 시도했다.   Windows 계열 덤프 파일이고, 문제에서 메일을 보냈다 하니까 pslist를 통해 실행되고 있던 프로세스들을 살펴봤다. thunderbird라는 이메일 프로그램을 사용중이었고, pstree로 부모 프로세스를 살펴봤다.  thunderbird프로그램 세개중 3888로된 프로세스가 부모프로세..