Security
SQL Filtering Substitution Pattern
SQL Filtering Substitution Pattern
2017.09.19이 글은 보호되어 있기 때문에 이것을 보려면 암호가 필요합니다.
[webhacking.kr] 22 : Blind SQL injection : WHERE에서 해결하기 (우선순위+LIMIT 활용)
[webhacking.kr] 22 : Blind SQL injection : WHERE에서 해결하기 (우선순위+LIMIT 활용)
2017.09.18이 글은 보호되어 있기 때문에 이것을 보려면 암호가 필요합니다.
[webhacking.kr] 21 : Blind SQL Injection : WHERE에서 해결하기 (LIMIT 대체)
[webhacking.kr] 21 : Blind SQL Injection : WHERE에서 해결하기 (LIMIT 대체)
2017.09.18이 글은 보호되어 있기 때문에 이것을 보려면 암호가 필요합니다.
[webhacking.kr] 20 : timer cookie가 설정되어 있는 경우
[webhacking.kr] 20 : timer cookie가 설정되어 있는 경우
2017.09.18이 글은 보호되어 있기 때문에 이것을 보려면 암호가 필요합니다.
[webhacking.kr] 8 : sql injection ( user-agent )
[webhacking.kr] 8 : sql injection ( user-agent )
2017.09.18이 글은 보호되어 있기 때문에 이것을 보려면 암호가 필요합니다.
[SecuInside 2017] OHCE - x64 SROP
[SecuInside 2017] OHCE - x64 SROP
2017.09.16get_userinput이 제일 소스가 길어서 거기에 취약점이 있을 것 같아 집중적으로 봤는데 정작 다른 곳에 있었음... 시간을 무지 낭비함. 풀고 나서 보니까 NX가 비활성화 되어 있었다 ㅡㅡ; 어쩐지 checksec으로 봤을 때는 disable로 뜨는데 stack에 x권한이 왜 있지? 싶었더라니... 반드시 nxtest를 사용해야겠다. SROP같다.```gdb-peda$ checksecCANARY : disabledFORTIFY : disabledNX : ENABLEDPIE : disabledRELRO : disabled $ ldd ohce not a dynamic executable start addr : 0x4000B0``` Note ) 이런 바이너리는 HexLay가 이상하게 나올 수 있으니 주..
SQLMap
SQLMap
2017.09.05이 글은 보호되어 있기 때문에 이것을 보려면 암호가 필요합니다.
[webhacking.kr] 2 : blind sql injection ( cookie )
[webhacking.kr] 2 : blind sql injection ( cookie )
2017.09.03이 글은 보호되어 있기 때문에 이것을 보려면 암호가 필요합니다.
Return to VDSO using ELF Auxiliary Vectors leck
Return to VDSO using ELF Auxiliary Vectors leck
2017.09.02http://v0ids3curity.blogspot.kr/2014/12/return-to-vdso-using-elf-auxiliary.html2016/11/21 - [System/etc] - Memory Layout, Segment / Stack layout Linux Stack Layout with Auxiliary Vectors```c0x7fffffffe0e8: 0x00007ffff7a36f45 ( main's ret )0x7fffffffe0f0: 0x0000000000000000 ( argc )0x7fffffffe0f8: 0x00007fffffffe1c8 ( **argv ) .................... 0x7fffffffe1c0: 0x0000000000000000 ( argc )0x7fff..
[CodeGate2014] angry_doraemon
[CodeGate2014] angry_doraemon
2017.08.24https://github.com/umbum/pwn/blob/master/exploit/cg_angry_doraemon.py code section ``c 0x08048C62``에 ``c execl('/bin/sh', ...)``가 있다. 5. Fist attack의 function pointer ``c buf()``를 이용해 여기를 호출하도록 하려 했는데 ``c if ( BYTE3(buf) != 8 )`` 로 검사하기 때문에 ``c 0x08``로 시작하는 code section을 호출할 수는 없다.여기는 훼이크다. 4. Throw mouse에서 read overflow가 발생하므로, 이를 이용해 ret addr을 조작할 수 있다.canary가 있기는 하지만, fork하므로 leak할 수도 있고 bf로 ..
SROP
SROP
2017.08.17분명 돼야 하는데 안된다면 `` i r``로 레지스터 모두가 정상인 상태로 설정되어 있는지 확인해본다. Sigreturn`` int`` instruction을 실행하면, kernel mode로 진입하면서 user mode context를 kernel stack에 push해놓는다.signal을 감지하는 것은 kernel mode에서 수행된다. kernel은 수신된 signal이 있는지 확인하고 nonblocked pending signal이 있으면 ``c do_signal()``를 호출한다.여기서 signal을 처리하게 되는데, 이 때 signal handler가 등록되어 있는 경우, signal handler를 실행하기 위해 user mode로 나가야한다. 일단 kernel mode에서 벗어나면 kern..
The House of Einherjar
The House of Einherjar
2017.08.16The House of Einherjarhttps://github.com/umbum/pwn/blob/master/how2heap/house_of_einherjar.c off-by-one(null) + Force 응용( huge consolidate ) + unlink check 회피.fake chunk까지 consolidate 하고 다시 ``c malloc()``하면 fake chunk가 반환되는 식. off-by-one(null)```cvictim->size's LSB = 0x00```Poison null byte와 같은 off-by-one overflow를 이용해 size LSB를 ``c 0x00``으로 만들지만, 차이가 있다.Poision null byte``c free(victim)`` 이후 of..