Codetronik

MiniFuzz를 이용한 File Fuzzing

Codetronik 2014. 7. 17. 17:48

2014. 7. 17. 17:48

MiniFuzz는 마이크로소프트에서 제작된 파일 퍼징 툴입니다.

매우 단순한 툴이므로, ZIP/HWP/PDF 와 같이 정형화 된 파일 포맷을 가진 경우는 이 툴을 사용하여 만족할 만한 결과를 얻어낼 수 없습니다.

가장 심플한 버퍼 오버플로우 유발 예제를 가지고 퍼징 테스트를 해보겠습니다.

return 시 address를 덮어 씌우는 전형적인 BoF 예제입니다.

사용방법은 매우 간단합니다.

Browse로 타겟을 선택하고, Start Fuzzing 을 누르면 끝입니다.

퍼징 중 Access Violation을 잡아내면 로그가 남게 됩니다.

보다 자세한 사항은 로그파일에 남게 되는데, 그림의 logs 디렉토리에 로그가 남습니다.

<클릭하면 확대됩니다>

크래쉬 당시의 다양한 정보가 로그에 남게됩니다. 어느 파일을 가지고 퍼징을 했는지도 기록되는데요, 해당 샘플은 crashes 디렉토리에 있습니다.

Peach Fuzzer를 이용한 File Fuzzing #2 (0)	2014.07.22
Peach Fuzzer를 이용한 File Fuzzing #1 (0)	2014.07.18
익스플로잇 무작정 따라하기 #1 - Stack Buffer Overflow (0)	2014.05.08
[SEH Exploit] AudioCoder 0.8.29 - Memory Corruption (0)	2014.04.29
브라우저 취약점 - Shellcode의 bad char로 인한 에러 해결 (0)	2014.03.22

Codetronik 2014. 7. 1. 15:45

2014. 7. 1. 15:45

windows 용으로 포팅한 zlib입니다.

visual studio 2010 에서 테스트 하였습니다.

zconf.h 와 zlib.h 을 프로젝트에 추가한 후,

소스에 zlib.h을 include합니다.

라이브러리를 추가 종속성에 추가해 주세요.

빌드 시 아래와 같이 에러가 나는 경우, 특정 기본 라이브러리 무시에서 libcmt.lib을 입력해 주세요.

ollydbg plugin - 메모리에서 base64 참조 코드 검색하기 (0)	2016.12.03
RPC 파이프를 이용한 브라우저와의 통신 (0)	2015.05.21
콜스택 확인하기 (0)	2015.04.27
Crypto API 를 이용하여 파일 MD5 구하기 (0)	2015.04.07
Ring 3에서 Segment Descriptor의 Base Address 구하기 (0)	2014.03.18

Codetronik 2014. 6. 17. 10:47

2014. 6. 17. 10:47

ADB Shell에 연결하여 작업하다 보면 불편한 점이 한두개가 아닙니다. vi는 원활하지 않고, 데이터를 폰에 넣으려면 adb push 를 입력해야 한다던지.. 여러모로 불편한 사항이 많습니다.

그러나 SSH 서버 앱을 설치하면 PC에서 바로 Putty 등을 이용해 ADB 없이 폰에 접속할 수 있습니다.

(마치 리눅스 서버에 접속하듯이 말이죠)

우선 스토어에서 SSH 서버 앱을 다운받습니다.

Visual Studio에서 ARM-Android 라이브러리를 쉽게 빌드해보자 (0)	2014.10.17
Simple Stack Buffer Overflow in ARM (0)	2014.08.01
분기(Branch)와 코드 패칭 (Code Patching) (0)	2014.06.02
gdb를 이용한 hello world 분석 (0)	2014.05.30
안드로이드 폰에서 개발 및 디버깅 환경 세팅하기 (5)	2014.05.29