Today's Learning

-
CTF çözdüğüm sıralarda öğrendiğim ufak tefek ama kritik bilgileri unutmamak maksadıyla burada paylaşıyorum.

Bugün neler öğrendim
  • Bir string'in boyutu değiştiğinde bellekteki adresi de değişir. 
  • Debugger ile bir fonksiyonu incelemeye başlamadan önce fonksiyonun stack frame'ini öğren. Bunu bilmek sana stack'i analiz ederken kolaylık sağlar.
  • Bir uygulama, dosya çağıracağı vakit dosyayı aramaya başlayacağı yer uygulamanın çalıştırıldığı dizindir. 
  • Bir uygulamayı analiz ederken _init_ ve _finit_ fonksiyonlarını analiz etmekte fayda var. Böylece program açıldığı ve kapandığı sırada hangi işlemler yapıldığını bilebiliriz.. 
  • Bellek taşırma zafiyetini istismar ederken şayet stack'te yeteri kadar buffer alanı yoksa, shelcode'un başına sub esp, 0xN yönergesini yerleştirerek gerekli buffer alanını tahsis edebiliriz. (N: bize gereken byte miktarının hexadecimal karşılığı)
  • Bellek taşırma zafiyetini istismar ederken şayet stack'te yeteri kadar buffer alanı yoksa ve yukarıdaki çözümü kullanmamız olanaksız ise asıl shellcode'umuzu işaretleyerek (STRING + shellcode) farklı bir parametre aracılığıyla belleğin farklı bir alanında saklayıp, ufak buffer alanımızda ise Egg Hunter Shellcode umuzu çalıştırarak zafiyeti istismar etme imkanı elde edebiliriz. (bkz: Egg Hunting Technique in Buffer Overflow)

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

DKHOS - Rev300 Çözümü

-
Resim
Aloha, geçtiğimiz günlerde yapılan Dünyayı Kurtaran Hackerın Oğlunun Sevgilisi (wut) adlı yarışmada yaptığım Rev300, Nam-ı diğer "Kambersiz Düğün Olmaz" sorusunun çözümünü paylaşmak istedim. Les go Elimizde bir exe dosyası var (ya ne olacağıdı demeyin yarışanlar bilir). Dosyayı çalıştırdığımızda bizi linux'tan aşina olduğumuz SegFault'un serseri abisi ACCESS VIOLATION hatası karşılıyor. evet immunity kullanıyorum çok mu komik. burada müslüm denen bir hıyar varmış diyip assembly koduna dalmak gibi bir gaflete düşmüyorum çünkü neden yapayım. onun yerine müslüm abiye bir "merhaba" demek için önce dosyayı temel statik analize tâbi tutup beni yönlendirecek ipucu arıyorum. Ne ucu demeden önce ben söyleyeyim yani dosya packlenmiş mi, anti analiz var mı, beklenmedik bir itlik puştluk var mı onlara bakayım hele bi dur Nothing found dediğine göre yazımızı burada sonlandırıy... Vay anasını sayın seyirciler. Entropi neydi, entropi düzensiz
Devamı

Part 1: Tersinden Tersine Mühendisliğe Giriş

-
Resim
Selamlar. Stajdı, Hacktrick'ti, okuldu falan derken uzun zamandır yazamadım kusura bakmayın. Hoş gerçi okuyucu kitlem falan da yok ama Google spider'larına ayıp olmasın diye arada yazıyorum birşeyler. Tabi birde öğrendiklerimi pekiştirmek maksadıyla yazıyorum Üniversitenizde bilgisayar ile alakalı bir bölümde okumaya başladınız. 1 veya 2. sınıftasınız. Java idi, C# idi veya başka bir dil, hepsinin de cicili bicili yapıları önünüze hazır konmuş sizin kullanmanızı bekliyor. Alem buysa kral benim diye düşünüyor olabilirsiniz. Ama durun, dahası var! İki yazıdan oluşmasını planladığım bu yazı dizisinde sizi, adını duyunca yüzünüzü buruşturduğunuz Assembly (hemide bold) gerçeğiyle yüzleştirmeyi amaçlıyorum İlk yazıda Assembly'den ziyade daha çok giriş konseptinde konuları anlatıp kazığı sivrilteceğim :P İkinci yazımda ise programlamada kullandığımız yapıların Assembly'deki karşılıklarını gösterip açıklamaya çalışacağım. Böylece Assembly'nin aslında ne kadar k
Devamı

Bir Güvenlikçi, Virüs ile Karşılaşırsa

-
Resim
5 Mayıs günü Hatay'da ki evime ulaştığımda yurtta hasret kaldığım internet bağlantıma kavuşmuştum. Tam mailimi kontrol ederekten siftahımı yapayım derken pop up şeklinde bir reklam açıldı. Pop up reklamları (temsili) Hem yüklediğim programlara dikkat etmem, hemde kullandığım sistemin Linux olması dolayısıyla bu olay beni oldukça şaşırtmıştı. Sonra aklıma Linux'ta Windows uygulamalarını çalıştırmak için kurulu olan Wine adlı uygulama geldi. Acaba bu uygulama vasıtasıyla çalıştırdığım bir dosyadan mı bulaştı diye düşündüm kendime ancak durum bu değildi. Ilk önce "Helal olsun adamlara, üşenmeyip Linux için virüs yazmışlar" dedim (tam olarak bu kelimelerle olmasa bile). Ancak aynı reklam pencerelerine Windows kurulu bilgisayarımda, hatta Android cep telefonumda bile rastlayınca olayın çok farklı olduğunu anladım. Reklam pencereleri " adbirdie.com" ve "youradexchange.com" türevi URL'ler üzerinden kullanıcıyı asıl reklama yönlendiriyordu
Devamı