ARM Exploitation

지난 글에 이어 Protostar의 heap2 를 다룬다. 0. glibc version check 이 포스트 시리즈는 Arm32 bit 환경에서 재구성한 protostar 문제들을 다루고 있다. 그런데 앞서 stack과 format스트링과는 사뭇 다르게, heap 문제들은 해당 바이너리 자체의 취약점보다는, 동적 링킹된...

지난 글에 이어 Protostar의 heap1 을 다룬다. 0. glibc version check 이 포스트 시리즈는 Arm32 bit 환경에서 재구성한 protostar 문제들을 다루고 있다. 그런데 앞서 stack과 format스트링과는 사뭇 다르게, heap 문제들은 해당 바이너리 자체의 취약점보다는, 동적 링킹된...

이번 글부터는 Protostar의 heap0 ~ heap3을 다룬다. 0. glibc version check 이 포스트 시리즈는 Arm32 bit 환경에서 재구성한 protostar 문제들을 다루고 있다. 그런데 앞서 stack과 format스트링과는 사뭇 다르게, heap 문제들은 해당 바이너리 자체의 취약점보다는, ...

앞서 Format String Vulnerability를 이용해서 ARM32에서 Arbitrary read와 write 및 Arbitrary execute가 가능함을 확인했다. 하지만 이는 모두 대상 주소 값을 알 수 있다는 전제 하에 가능했다. 만약 주소를 알 수 없다면 진행을 할 수 없고, 포맷 스트링 취약점을 통해 ...

지난번 글에 이어 이번에는 format4이다. 1. 소스코드 format4는 프로그램의 제어 흐름(Control Flow)를 변경하는 것이다. 본 format4 프로그램의 소스코드에서 main 함수는 vuln함수를 호출하고, vuln함수는 문자열을 fgets로 입력받은 후 printf 로 출력한다. 그리고 exit(1) ...

지난번 글에 이어 이번에는 format3이다. 1. 소스코드 format3는 format2와 거의 같다. target 값을 64가 아닌 0x01025544 로 맞추어야 한다는 점이 다르다. 그리고 포맷 스트링이 발생하는 위치가 printbuffer라는 함수를 한번 더 호출했을 때 발생한다. 그러므로 format2와는 스택...

지난번 글에 이어 이번에는 format2이다. 1. 소스코드 format2는 format1과 유사하다. 차이점은 argv 로 입력받는 것이 아니라 vuln 함수 내에 선언된 지역 변수 buffer 에 fgets() 함수를 통해 입력 받는 것이다. 이 경우 스택의 거의 시작 부분에 근접하므로 위치를 argv 의 경우보다 조...

지난번 글에 이어 이번에는 format1이다. 1. 소스코드 format1 은 format0 과 유사하지만 target 변수가 지역 변수가 아닌 전역 변수라는 점이 다르다. 전역 변수는 시작과 동시에 0으로 초기화가 된다. 하지만 vuln () 함수의 구현을 보면 target 이 0이 아니도록 하는 조건을 만족시켜야 하는...

이제부터는 Protostar의 format string bug 관련 문제를 풀이한다. 먼저 개념 이해를 위해 앞의 두 글을 읽어보길 권한다. ARM32 에서의 Format String Vulnerability (1) Arbitrary Read ARM32 에서의 Format String Vulnerability (2) Ar...

앞서 Format String Vulnerability를 이용해서 ARM32에서 arbitrary read가 가능함을 확인했다. 이번 글에서는 Arbitrary Write 에 대하여 살펴보고, 다음 글에서 Arbitrary Execution을 살펴볼 것이다. Arbitrary Write 아래와 같은 예제 코드를 컴파일해보...