The Malloc Maleficarum (Bugtraq 2005) - ももいろテクノロジー
この記事は「CTF Advent Calendar 2016」24日目の記事です。 「glibc malloc exploit techniques」では主要なmalloc系exploitテクニックについて説明したが、歴史的には他にもさまざまな手法が公表されている。 ここでは、2005年にBugtraqメーリングリストにて公表されたテキスト「The Malloc Maleficarum」についてまとめてみる。 環境 Ubuntu Server 16.04.1 LTS 64bit版、GLIBC 2.23 $ uname -a Linux vm-ubuntu64 4.4.0-53-generic #74-Ubuntu SMP Fri Dec 2 15:59:10 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux $ lsb_release -a No LSB mo
Raspberry Pi 3でファイルサーバ兼iTunesサーバを作る - ももいろテクノロジー
Raspberry PiとUSB HDDで家庭用サーバを作るにあたって、設定した内容のメモ。 用意するもの Raspberry Pi 3 Model B microSDカード 32GB USB電源アダプタ、USB-microUSBケーブル(2.4A対応) HDMIディスプレイ、HDMIケーブル USBキーボード USB HDD スピーカー Raspbian Jessie Liteのダウンロード 公式サイトのダウンロードページから、Raspbianをダウンロードする。 今回GUIは不要なので、Liteを選択した。 Win32DiskImagerでmicroSDカードに書き込む 公式サイトから、Win32DiskImagerをダウンロードし、インストールする。 これを使い、RaspbianのイメージをmicroSDカードに書き込む。 Raspberry piを起動 microSDカードを入れ、
gdbに構造体定義を読み込ませて使う - ももいろテクノロジー
ヘッダファイルなどから構造体の定義などがわかっているとき、gdbにこれを読み込ませることでメモリ内容を構造体定義に合わせて表示させることができる。 これを行うには、gccでデバッグ情報付きのオブジェクトを作った後、gdbのadd-symbol-fileコマンドで読み込ませればよい。 ここでは、link.hおよび内部でインクルードされるelf.hを使って、実行時のELFセクションの内容をたどってみる。 まずはヘッダファイルをC言語ソースとみなして、デバッグ情報付きでオブジェクトファイルにする。 ここでは、コンパイルまでを行いリンクは行わないので、-cオプションをつける。 さらに、-fno-eliminate-unused-debug-typesオプションを使い、変数宣言されていない型もデバッグ情報に含めるようにする。 $ gcc -g -fno-eliminate-unused-debug-
x86 alphanumeric shellcodeを書いてみる - ももいろテクノロジー
Linux x86環境を対象に、アルファベットと数字のみからなるシェルコードを書いてみる。 このようなシェルコードはalphanumeric shellcodeと呼ばれる。 環境 Ubuntu 12.04 LTS 32bit版 $ uname -a Linux vm-ubuntu32 3.11.0-15-generic #25~precise1-Ubuntu SMP Thu Jan 30 17:42:40 UTC 2014 i686 i686 i386 GNU/Linux $ lsb_release -a No LSB modules are available. Distributor ID: Ubuntu Description: Ubuntu 12.04.4 LTS Release: 12.04 Codename: precise $ gcc --version gcc (Ubunt
Linux x64でDynamic ROPによるシェルコード実行をやってみる - ももいろテクノロジー
ASLR+DEP+FullRELROが有効な環境で、Dynamic ROP(JIT-ROP)により任意のシェルコードを実行してみる。 これは、セキュリティ・キャンプ全国大会2015の講義にて行った演習に若干の修正を加えたものである。 環境 Ubuntu Server 14.04.2 64bit版 $ uname -a Linux seccamp2015-d123 3.16.0-30-generic #40~14.04.1-Ubuntu SMP Thu Jan 15 17:43:14 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux $ lsb_release -a No LSB modules are available. Distributor ID: Ubuntu Description: Ubuntu 14.04.2 LTS Release: 14.04
format string attackによるGOT overwriteをやってみる - ももいろテクノロジー
一つ前のエントリではformat string attackによるメモリ読み出しをやってみたが、format string attackでは任意の位置のメモリ内容を書き換えることもできる。 ここでは、実際にGOT (Global Offset Table) と呼ばれるセクションに置かれるライブラリ関数のアドレスをシェルコードのアドレスに置き換え、シェルを起動させてみる。 環境 Ubuntu 12.04 LTS 32bit版 $ uname -a Linux vm-ubuntu32 3.11.0-15-generic #25~precise1-Ubuntu SMP Thu Jan 30 17:42:40 UTC 2014 i686 i686 i386 GNU/Linux $ lsb_release -a No LSB modules are available. Distributor ID
roputilsを作った - ももいろテクノロジー
https://github.com/inaz2/roputils 主にReturn-oriented Programmingを楽に行うためのツールキットを作った。 pwntoolsやzioなどのCTFフレームワークを参考にしており、機能もかなり近いものになっている。 また、CLIツールとしてchecksec.shやpattern_create.rb、pattern_offset.rb相当の機能をクローンした。 これを使うと、「x64でROP stager + Return-to-dl-resolve + __libc_csu_init gadgetsによるASLR+DEP回避をやってみる」のコードは次のように書ける。 examples/dl-resolve-x64.py from roputils import * fpath = sys.argv[1] offset = int(sys
DEFCON CTF Quals 2013に参加した - ももいろテクノロジー
http://legitbs.net/ 6/16 9:00 -- 6/18 9:00 JSTに行われたDEFCON CTF予選に参加。 相変わらずバイナリが読めないので、比較的多くのチームが解けていたWeb系問題ぐらいしかわからなかった。 バイナリ読解のノウハウが足りない…… 以下は適当な解法の説明。他にも自分が解けそうな問題はあったけど、他のチームメンバーが解いたので書きません。 ジャンル名の意味 “3dub”, web-based challenges → スリーダブ、WWWのこと “0x41414141”, exploitation → ASCII文字の 'AAAA' “\xff\xe4\xcc”, shellcode → x86の jmp esp int3、スタックの頭にjmpしてbreak “OMGACM”, guerilla programming → oh my god AC
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
