0. 용어 정리

• 최초 Fuzz는 “대상 프로그램에서 사용할 임의의 문자 스트림을 생성하는 것”을 지칭하는 뜻.
• 따라서 Fuzzing은 “PUT(Program Under Test)에 Fuzz 된 입력 값을 넣고 실행하는 행위”

0-1. Fuzzing

Definition 2.1 (Fuzzing).
Fuzzing is the execution of PUT using input(s) sampled from an input space (the
“fuzz input space”) that protrudes the expected input space of the PUT

• 퍼징(Fuzzing)은 PUT의 예상 입력 공간을 벗어나는 입력 공간 (이를 “퍼즈 입력 공간”이라 한다)에서 추출한 입력을 사용하여 PUT에 대해 실행하는 것이다.
• 즉, 예상되는 데이터 입력을 벗어나는 값을 사용하여 실행하는 행위

What is Fuzzing?

• Fuzzing or fuzz testing은 프로그램 내 잠재적 취약점을 찾는데 사용되는 자동화된 SW 기술.
• Input이 있는 모든 SW는 Fuzzed 될 수 있음.

I’m very happy that our team came in 24th in this CTF and i solve 3 problems. I write about it a month after the CTF. Actually i forgot how to solve them. that’s why i need to check binary files again. but i lost binary files, could only find payload. So this post has only payload.TT

File info

Birdie (pwnable)

vulnerability

First, Check the protection. It is easy to find binary address because of NoPIE.

2SMOL (pwnable)

vulnerability

First, Check the protection. All of protection is turned off.

Not Beginner’s Stack (pwnable)

vulnerability

Let’s check the protection of the binary.

You can find that all protection is turned off.

Baby_Rudolph (pwnable)

vulnerability

There is Buffer Overflow in vuln function. It is triggered by calling read.

And Using get_arm function, we can get the sh. So it is easy bof. just overwrite retur address to get_arm.

Root Cause

NtUserSetWindowFNID()는 FNID를 설정할 때, Window가 release 됐는지 아닌지 확인하지 않음.

→ 따라서 이미 free된 Window에 FNID를 설정하여 재사용 할 수 있음.

이 취약점을 이용하여, xxSBTrackInit()에서 pSBTrack의 UAF를 발생시킬 수 있음.

information

• 2016년,리눅스 커널에서 LPE(Local Privilege Escalation)취약점이 발견되었다.
• 이 취약점은 2012년부터 존재했지만 2016년이 되어서야 취약점이 발견되었다.
• 당시 수천만대의 Linux 개인 PC와 Server, 66%의 Android device(kit-kat)에 영향을 주었다.
• 취약점은 32bit,64bit상관없이 발생하며, 4.4.1 버전 이전의 모든 리눅스 커널에서 발생한다.
  Read more »