Wargame
kernel security level1~7
1. intro 2. code 및 분석 2.1. code 생략 2.2. 분석 기초적인 kernel exploit 기법에 대해서 배울 수 있다. 3. 취약점 확인 및 공격 준비 3.1. 취약점 생략 3.2. 공격 준비 level 1~5까지는 커널 모듈에서 함수 호출 시 특정 값과 비교하며 권한 상승을 일으켜준다. level6~7에서는 모듈에서 쉘코드를 실행시켜주기에 shellcode를 작성해야하는데, 권한 상승을 일으켜주는 부분만 구현하면 쉽게 풀 수 있다. level8부터 시작이나 마찬가지인데, seccomp를 통해 실행 가능한 함수를 제한한다. 즉 prepare_kernel_cred와 같은 함수 사용이 불가능해지며 이를 어떻게 우회할 것인가가 주된 사항이다. 4. exploit 생략.
Kernel security - 명령어 사용법
서론 사실 커널 디버깅을 위해서는 사전 준비가 다소 필요하다. 하지만 pwn.college에서는 이를 위해 대부분의 사항을 준비해두어서 명령어 하나로 모두 처리할 수 있다. 처음에 다소 헤멧기에 정리해둔다. 모듈 디버깅 소스파일이 제공되지 않기에 커널 모듈을 직접 ida로 열어서 확인해야한다. 기본 명령어 기본적으로 vm 명령을 통해 모든 작업이 가능하다. hacker@vm_kernel-security-level-1-0:~$ vm usage: vm [-h] [--kaslr] [--no-kaslr] {connect,exec,start,stop,restart,logs,debug,build} ... vm: error: the following arguments are required: command virtu..
Dynamic Allocator Misuse - level 1~20
1. intro 2. code 및 분석 2.1. code 생략 2.2. 분석 heap을 할당하고 해제하는 기능들을 가지고 있으며, 일부 문제에서는 stack을 free할 수 있다. 3. 취약점 확인 및 공격 준비 3.1. 취약점 use after free, double free, tcache poisonning 3.2. 공격 준비 앞쪽 문제들은 use after free, double free와 tcache poisonning으로 풀 수 있다. 그러다가 레벨 9에서 아마 한번 막힐텐데, 일부 secret 값을 찾을 수 없어 브루트포스로 풀었다. 근데 후반에 레벨 14에서 다시 한번 유사한 문제가 나오게 되며, 이 때 secret 값을 굳이 찾을 필요가 없다(?)는 것을 깨닫게 된다. 아마 레벨 9도 동일..
file struct exploits - level 16~19
1. intro 2. code 및 분석 2.1. code 생략 2.2. 분석 new_note, write_note, open_file 등과 같은 명령어를 사용할 수 있고, 파일을 열고, 노트를 작성하는 기능을 가지고 있다. 3. 취약점 확인 및 공격 준비 3.1. 취약점 use after free, FSOP 3.2. 공격 준비 level 16~17 신박한 문제였다. open_file 및 new_note 모두 heap에 작성되며, 결국은 fwrite(note,0,470,fp) 와 같은 방식으로 작동하는데, file open 및 close 이후에 fp 변수 초기화를 하지 않기에 fp를 수정하여 내가 원하는 동작을 할 수 있게 된다. 이를 이용하면 aaw, aar이 모두 가능해지기 때문에 flag를 읽을 수 ..