Note 마지막에 짝이 안맞는 '가 있으면 query가 실행되지 않는다. 짝을 맞춰주거나 주석처리 해주거나 escape 해주어야 한다. SELECT가 아니라 INSERT, UPDATE, DELETE 등이어도 injection 가능하다. 단, UPDATE내부에 sub query로 sql...

Dll injection #1 OpenProcess()로 HANDLE을 얻는다. VirtualAllocEx()로 타겟 프로세스에 injection할 dll의 path를 쓸 공간을 할당한다. WriteProcessMemory()로 step 2의 주소에 path를 쓴다. GetProcAddress()로 LoadLibraryA의 주소를 ...

So injection #1 리눅스는 윈도우의 CreateRemoteThread같은 API를 제공하지 않기 때문에, ptrace를 이용해야 한다. 2016/12/12 - [System/LINUX & UNIX] - ptrace - Linux injection ( code injection / so injection ) #2 환경변수 L...

아이디어 자체는 어렵지 않았으나 libc가 아닌 다른 library의 함수가 호출될거라는 생각을 못했기 때문에 꽤 헤맸다. recv buffer 초기화에 별로 신경을 안썼더니, send의 결과로 받은 값에 이전 send 결과로 받은 데이터가 포함되어 몇 byte 씩 틀어져 있거나 처음에 303031이 들어가 시간을 꽤 소모함. fork를 사...

if (\_\_builtin\_expect ((uintptr\_t) p > (uintptr\_t) -size, 0) * size is p’s size type(x) = uintptr\_t일 때, x + ~x = uintptr_t's MAX (111...11) 이므로 p + x = MAX이면 c p = ~x다. -x = ~x + 1이므로 p...

http://shell-storm.org/shellcode/ NOP-like NOP는 다음과 같은 방식으로도 만들 수 있다. mov %eax, %eax #1 peda #2 pwntools #3 msf x86 void main(){ \_\_asm\_\_ \_\_volatile\_\_( "xor %eax, %eax \n\t" 3...

UML 협업을 위해 UML을 그릴 때는 API(public 필드, 메소드)만 명시하는 버전이 있으면 좋다. 클래스의 모든 멤버를 명시하면 복잡하고, 결국 협업하는데 중요한건 내부 구현이 아니라 외부로 공개한 API이기 때문 UML Tool plant UML 은 source code 작성하듯이 쓰면 된...

* Integer overflow와 연계해 reference counter를 overflow시켜 0으로 만들어 강제로 free()시키는 방법으로 사용할 수도 있다. #1 free()된 영역을 참조하는 경우. 보통 free()하면 fd/bk/last_size 부분만 초기화되고 나머지 영역은 그대로 남아있기 때문에 나머지 영역에 있는 데이터를 leak할...

gdb-peda$ x/4wx &\_\_free\_hook 0xf7fd08b0 <\_\_free\_hook>: 0x00000000 gdb-peda$ patch 0xf7fd08b0 one\_gadget\_addr 32bit libc.so의 경우 다음과 같이 unsorted_bin에서 0x10 단위로 조회하면 없는 것 처럼 ...

libc.so 파일을 실행하면 버전, 컴파일 시스템 등등 정보가 출력된다. * glibc source는 하나지만, 컴파일 환경(OS, Compiler)에 따라 같은 버전의 다른 libc.so가 컴파일된다. * libc 버전에 따라 에러가 발생하는 경우는 확인했는데, 같은 버전에 시스템이 다른 경우(e.g., Debian과 Ubuntu) 에러가 발생하는...