1586,

40/80

lMaxl04

http://lmaxl.tistory.com/

해킹캠프 ctf 1번, 2번 풀이.

http://www.hackerschool.org/HS_Boards/zboard.php?desc=desc&no=1568 [복사]

뭐.. 궁금해하시는분이 계셔서 올리구요
그냥 베끼지 마시고 원리를 보세용~

금방... 한 10분전에 풀고 잊기전에 올립니다 ㅎㅎ

1번문제. Faked File
우선 생각보다 ctf때 많이 못푸셨더군요 ;;;
접속해 보시면 확장자가 jpg인 파일이 있습니다. 하지만 힌트에서도 알 수 있듯이 이것은 Faked file 일 것입니다.

뭐 간단하게 cat 으로 해당 파일을 읽어봅시다.

sully@ubuntu:/tmp/max$ cat 4minute_naked.jpeg
ELF>€@@P@8      @@@@@@ø88@8@@@ ``  @@`@` TT@T@DDPåtd@@$$QåtRåtd``èè/lib64/ld-linux-x86-64.so.2GNUGNU`N£XñïXÒsäÎÔ\o°p, '__gmon_start__libc.so.6putsputchar__libc_start_mainGLIBC_2.2.5ui 9à```Hƒè{è
--------------------------중략-------------------------
(@call_gmon_startcrtstuff.c__CTOR_LIST____DTOR_LIST____JCR_LIST____do_global_dtors_auxcompleted.7382dtor_idx.7384frame_dummy__CTOR_END____FRAME_END____JCR_END____do_global_ctors_auxlevel6.c_GLOBAL_OFFSET_TABLE___init_array_end__init_array_start_DYNAMICdata_start__libc_csu_fini_start__gmon_start___Jv_RegisterClassesputs@@GLIBC_2.2.5_finiputchar@@GLIBC_2.2.5__libc_start_main@@GLIBC_2.2.5_IO_stdin_used__data_start__dso_handle__DTOR_END____libc_csu_init__bss_start_end_edatamain_init

lib??? gmon??? handle???
어디선가 많이 본 놈들입니다. 느낌상 이건 elf 파일이라는 것을 알 수 있을겁니다.
(저만 그런건가요...?)

vi로 열어보면
Ã¿Ã˜Ã¿Ã ^B^A^A^@^@^@^@^@^@^@^@^@^B^@>^@^A^@^@^@<80>^D@^@^@ ----------------------------중략-------------------------------

...뭐임...?
많은 분들이 알고계시겠지만 vi 도 hex 편집기로 변신 가능합니다.

:%!xxd

뿅!

헤더를 보면
0000000: ffd8 ffe0 0201 0100 0000 0000 0000 0000  ................
라고 되어있네요
헤더에 대해서는 검색 ㄱㄱ...

어쨋든 헤더가 ff d8 ff e0 으로 jpg헤더는 맞습니다.
그럼 뭐하누... 실제로 파일은 elf 인데...
헤더를 바꿔줍시다.

0000000: 7f45 4c46 0201 0100 0000 0000 0000 0000  .ELF............
자 바뀌었구요 hex에디터를 종료해봅시다.

:%!xxd -r

뿅!

^?ELF^B^A^A^@^@^@^@^@^@^@^@^@^B^@>^@^A^@^@^@<80>^D@^@
----------------------------중략-------------------------------

자 이제 저장하고 종료~

실행! 뿅!

이제 현아는 내꺼...

2번문제 my nmap
소스부터 보면 다음과 같습니다.

#include <stdio.h>
#include <unistd.h>

int main(int argc, char *argv[])
{
        char szCmd[1024];

        if(argc < 2){
                printf("Usage : %s IP_ADDR\n", argv[0]);
                exit(-1);
        }

        snprintf(szCmd, 1024, "nmap -p 21,22,25,80,6667,8080 %s", argv[1]);

        // run devil, run run run
        system(szCmd);
}

어디서 많이 본 것 같지 않나요...?
system 함수는 저렇게 인자 그러니까 문자열을 직접 받아서 사용할 때 취약하게 됩니다.
ftz에도 이를 이용한 문제가 있지요 (검색하면 다나와!!! 구글신님 짱!)

이를 이용해서 풀면 설리도 내꺼...

------------------------------------------------------------------------------------------
2개 풀었으니... 나머진 또 다른분이...
하루에 2개 이상 푸는건 저의 한계이기때문에...

Hit : 7608 Date : 2010/09/14 03:42


blueh4g	아... 1번 정작 실행시켜볼 생각은 안하고 elf로 바꾼담에 readelf 로 삽질만 하고 있었네요.. ㅠ_ㅠ	2010/09/14
xodnr631	부왘! 맥스님 감사합니다 ㅋ	2010/09/14
lMaxl04	ㅎㅎ 별말씀을요 기회되면 다른문제도 한번 풀어볼게요~ 언제풀지는 미지수...	2010/09/15
DeathStalker	이해 못하는건 나 바보지? 설리 이해가 왜 안되는거 같지... 혹시... szCmd 저거인가..	2010/09/16