y0u_bat

0x080484fd :push ebp 0x080484fe :mov ebp,esp 0x08048500 :push ebx 0x08048501 :and esp,0xfffffff0 0x08048504 :sub esp,0x30 0x08048507 :mov DWORD PTR [esp+0x18],0x206469 0x0804850f :mov eax,DWORD PTR [ebp+0x10] 0x08048512 :mov DWORD PTR [esp+0x24],eax 0x08048516 :jmp 0x804854d 0x08048518 :mov eax,DWORD PTR [esp+0x24] 0x0804851c :mov eax,DWORD PTR [eax] 0x0804851e :mov DWORD PTR [esp],eax 0x0804852..

어셈340줄 점점 늘어나네요.. (gdb) disass mainDump of assembler code for function main: 0x0804844d :push ebp 0x0804844e :mov ebp,esp 0x08048450 :and esp,0xfffffff0 0x08048453 :sub esp,0x30 0x08048456 :mov DWORD PTR [esp+0x18],0x3 0x0804845e :mov DWORD PTR [esp+0x1c],0x4 0x08048466 :mov DWORD PTR [esp+0x20],0x2 0x0804846e :mov DWORD PTR [esp+0x24],0x1 0x08048476 :mov DWORD PTR [esp+0x28],0x7 0x0804847e :mov..

0x080484ad : push ebp 0x080484ae : mov ebp,esp 0x080484b0 : and esp,0xfffffff0 0x080484b3 : sub esp,0x10 0x080484b6 : cmp DWORD PTR [ebp+0x8],0x2 0x080484ba : je 0x80484c8 0x080484bc : mov DWORD PTR [esp],0x0 0x080484c3 : call 0x8048380 0x080484c8 : mov eax,ds:0x804a030 0x080484cd : mov DWORD PTR [eax],0x64 0x080484d3 : mov eax,ds:0x804a030 0x080484d8 : mov DWORD PTR [esp+0x8],0x68 0x080484e0 : ..

gdb) set disassembly-flavor intel(gdb) disass mainDump of assembler code for function main: 0x08048461 :push ebp 0x08048462 :mov ebp,esp 0x08048464 :and esp,0xfffffff0 0x08048467 :sub esp,0x20 0x0804846a :mov DWORD PTR [esp+0x1c],0x804842d 0x08048472 :mov DWORD PTR [esp+0x4],0x3 0x0804847a :mov DWORD PTR [esp],0x5 0x08048481 :mov eax,DWORD PTR [esp+0x1c] 0x08048485 :call eax 0x08048487 :mov DWOR..

순천향대 YISF Misc 50 롸업(풀이) 이건 거져주기 문제이다. 힌트에서 다 알려줬다 힌트 1. gps 2. 위성지도 3. http://regex.info/exif.cgi 4. 위성지도의 알파벳 조합 이미지 분석사이트같다. 저기 파일 img1을 올려보았다. 그다음 위성지도를 한번 보았다. P가 보인다. 그리고 그뒤에 2번이미지 3번 4 번 ,.. . . . 11번까지 해서 알파벳을 순서대로 구한뒤 나온 알파벳 순서대로 대문자로 입력하면 풀린다. PEACEOFMIND 이렇게 나온다. 클리어

순천향대 YISF Reversing 50 롸업(풀이) , 와업 실행해보았더니 입력하는부분이 있어 입력해서 클릭 누러보았더니 fail이라고 뜨면서꺼진다. c#이라는 프로그램이라는걸 툴로 알게되고 디컴파일 해보았다. 디컴한부분에서 배열로 여러개가 써져있고 수상한 for문이 돌아가는걸 보았다.이 프로그램이 키값을 출력할건데 분명 어디서 키값을 만들어낼거다. 그런데 이부분이 가장 의심스러워서 소스를 복붙하여 코딩해보았다. 여기서 public string o 함수 인자에 저런값을 넣는걸 보아 저것두 키값과 관련된거로 생각되어적었다. 이런식으로 코딩해서 컴파일했더니 바로 켜졌다 꺼진다. 그래서 한줄씩 디버깅해보았다. 한줄씩 하다보니 s에 무엇이 들어가는지 알 수 있게 되었다. 클리어

순천향대 YISF Forensic 50 헥스에디터로 열어보니 이런문장을 볼수있었다.처음에는 디스크라는 단어를 보고 이미지 부팅파일인지 알고 확장자를 img로 바꾸고 부팅했더니 뜻대로 안됬다. 맥북을 쓰고 있어 맥북에서 더블클릭 해보았는데 저런게 뜨면서 cd인식되듯이 img파일이 인식되었다. 가계부를 한번 살펴보았다. 나는 처음에 엑셀을 실행시키는 파일이 없어미리보기를 눌러보았다. 그런데 다행이 열렸다. 그런데 저기 오른쪽 위에 저 값이 키인지 알고 인증했는데 안되었다. 그래서 먼가 숨겨져있지 않을가해서 엑셀프로그램을 설치한뒤, 찾기기능으로 한번 검색해봤는데 엑셀함수들이 있었다. 그함수들을 해석해보았다. 해석해보니 저런 값이 나왔다. 그래서 저게 키값이라고 생각되서 인증했더니인증이 되었다. 클리어

힌트로 rail fence를 받았다. 검색해보니 암호방법중 하나 였다.그리고 파일을 받았는데 기차가 4장으로 짤려있었다.그걸보고 rail key가 4라는걸 알 수 있었다. 디코더 온라인 사이를 찾아 키 4넣고 디코딩했다. 클리어

[CodeGate2014] Angry_Doraemon] 도라에몽!! 풀이 바이너리 파일을 뒤지다.버퍼오버플로우에 취약한곳을 찾았습니다. read(fd,&buf,0x6E); 에서 버퍼오버플로우가 일어납니다. 버퍼의 크기는 16-c인데요 계산해보면 10이 나오는걸 볼 수 있습니다. 한번 입력해보았습니다.보니까 스택 스매싱 뜨는걸 볼 수 있는데요. SSP 보호기법이 걸려 있는 문제이네요. 카나리를 구해줘야되는데 이 문제같은경우는 fork 때문에 카나리가 고정되어 있습니다. 여기서 카나리는 int v8가 카나리 입니다. 여기서 메모리 릭으로 카나리를 구해 줄 수 있습니다. sprintf같은경우 0x00을 만날때까지만 출력해줍니다. 그런데 카나리의 첫번째 글자는 0x00이구요. 그런데 저희가 그 널을 다른걸로 덮..

[Hand-Ray] 1. C언어 기초 간단한 c언어 코드를 짜서 컴파일 하고 gdb로 어셈으로 보겠습니다. sub esp,0x20 // esp의 0x20만큼 공간 확보mov DWORD PTR [esp+0x18],0xa // [esp+0x18] 공간에 0xa(10) 넣기 c코드로는 int a = 10;mov DWORD PTR [esp+0x1c],0x14 // [esp+1c] 공간에 0x14 넣기 c코드로는 int b = 20; 여기서 왜 변수 시작이 esp+0x18부터냐?- 컴파일러 마다 다름(컴파일러 마음임) call add 위에 mov는 add의 인자값이나 그런게 들어있습니다. mov eax,DWORD PTR [esp+0x1c] // 두번째 인자 [esp+0x1c] -> 0x14mov DWORD PTR..