1. Overview2. Background3. Vulnerability 3-1. Root Cause 3-2. Conclusion4. exploit 4-1. Kernel keyring (struct user_key_payload) 4-2. mqueue (struct posix_msg_tree_node) 4-3. Leak kernel heap address 4-4. Leak KASLR Base 4-5. Overwriting modporbe_path5. Finish 1. Overview 해당 취약점은 Linux 커널의nf_tables 시스템에서 발생하는 취약점입니다. nf_tables 및 Netfilter에 관한 더 자세한 내용은 아래에 글에서 확인할 수 있습니다.CVE-2022-..

RUST로 작성된 todo list 바이너리를 익스플로잇하는 문제다. 문제 설명에서 #![forbid(unsafe_code)]로 unsafe 코드 사용을 막았다고 겁준다. thread 'main' panicked at 'assertion failed: index  아무거나 입력하다보면 패닉이 뜰때가 많은데, 이때 나오는 에러 메시지를 보면 smallvec 이라는 라이브러리를 사용한다는 것을 알 수 있다. smallvec-1.6.0 버전이라는 것도 알 수 있는데, 구버전이다. Buffer overflow in `insert_many()` · Issue #252 · servo/rust-smallvec · GitHub Buffer overflow in `insert_many()` · Issue #252 · s..

1. Overview2. Analysis3. Vulnerabilities 3-1. Uninitialized Memory 3-2. Stack Overflow4. Exploit5. Finish 1. Overview This challenge was a pwnable challenge presented at the DEF CON CTF Qualifier 2024. Thanks to my teammate quickly finding the vulnerability, I achieved the First Blood for this challenge during the competition. Generally, this problem is considered to be of an easier difficult..

Out-Of-Bounds 취약점이 있는 바이트 스왑 함수가 있다. 1. 바이너리 영역에서 발생하는 Out Of Bounds 이므로 적당히 offset을 때려맞춰서 Heap 영역 주소를 얻는다. (Heap의 Top Chunk가 굉장히 크다는 것을 이용해서 임의의 탑 청크 내에 바이트를 스왑하고, 계속 주소를 줄이는 방식을 이용하면 경우의 수를 크게 줄일 수 있음) 2. Top Chunk의 size를 덮어서 크기를 작게 만든 후 scanf가 매우 큰 버퍼를 할당하게 만들면, Unsorted bin에 청크를 하나 넣을 수 있다. 이후 Unsorted bin의 fd에서 libc 주소를 leak 한다. 3. envrion 변수를 통해 stack 주소까지 leak 한다면 이제 ROP를 할 수 있다. 4. 이때 바이..

1. Overview 2. Component of the nf_tables 2-1. Netlink 2-2. table 2-3. chain 2-4. rule / expr 2-4-1. payload 2-4-2. set_payload 2-4-3. cmp 3. How nf_tables works 3-1. nft_regs 3-2. nft_do_chain 4. Vulnerability 5. Exploit 4-1. Preparation 4-2. Leak Kernel Data 4-3. Kernel ROP 4-3-1. __do_softirq Gadget 4-3-2. modprobe_path 6. Finish 1. Overview nf_tables는 Linux 커널의 하위 시스템 Netfilter에서 동작하는 기능입니다...

1. Overview 2. CVE-2023-4863 3. Patch Analysis 3-1. libwebp.patch 3-2. quickjs.patch 3-2-1. Disable System Module 3-2-2. Add isWebP Function 4. Exploiting QuickJS 4-1. VP8LHuffmanTablesAllocate Analysis 4-2. Make OOB Read / Write Primitive by Heap Spraying 4-3. Hijack RIP 5. Finish Full Write Up https://velog.io/@0range1337/CTF-ASIS-CTF-Final-2023-isWebP.js-Exploiting-QuickJS-by-Webp-Vulnerabili..