컴알못의 짱해커가 되기 위한 여행

안녕하세요, comalmot 입니다. 오늘은 Fuzzing101 Exercise 2를 풀어보도록 하겠습니다. 지난 Exercise 1이 페이스북에 올렸더니 조회수가 아주 쭉쭉..올라 기분이 너무 좋더라구요~ 기대에 부응하기 위해 Exercise 2 풀이도 준비해봤습니다...! 테스트 환경 Exercise 1을 풀 때와 같습니다. OS : Ubuntu 20.04.2 LTS RAM : 4GB HDD : 32GB VMWare Workstation 16 Pro 오늘 퍼징을 통해 발견할 취약점은 두 개입니다. CVE-2009-3895 libexif 0.6.18 버전의 exif-entry.c 파일에 있는 exif_entry_fix 함수에서 발생하는 Heap 기반 Overflow 취약점인 것으로 확인되었으며, DoS..

안녕하세요, comalmot입니다. 오늘은, github에 있는 Fuzzing101 Repo에서 제시한 가이드라인을 따라가면서 풀어보도록 하겠습니다. 우선, 이번 Exercise 1에서는 Xpdf라는 프로그램을 대상으로 퍼징을 수행하게 됩니다. 테스트 환경 OS : Ubuntu 20.04.2 LTS RAM : 4GB HDD : 32GB VMWare Workstation 16 Pro 우리가 퍼징을 통해 발견하게 될 CVE-2019-13288이 어떤 취약점인지 확인해봅시다. CVE-2019-13288 CVSS Score : 4.3 Xpdf 4.0.01에서 Parser.cc의 Parser::getObj() 는 공격자가 의도적으로 제작한 파일을 통해 "무한 재귀"를 일으킬 수 있고, 공격자는 원격으로 DoS 공..