[wolfman] wolfman -> darkelf 풀이

문제 소스 보기

Colored By Color Scripter™

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 /*         The Lord of the BOF : The Fellowship of the BOF         - darkelf          - egghunter + buffer hunter + check length of argv[1] */   #include <stdio.h> #include <stdlib.h>   extern char **environ;   main(int argc, char *argv[]) {     char buffer[40];     int i;       if(argc < 2){         printf("argv error\n");         exit(0);     }       // egghunter      for(i=0; environ[i]; i++)         memset(environ[i], 0, strlen(environ[i]));       if(argv[1][47] != '\xbf')     {         printf("stack is still your friend.\n");         exit(0);     }       // check the length of argument     if(strlen(argv[1]) > 48){         printf("argument is too long!\n");         exit(0);     }       strcpy(buffer, argv[1]);      printf("%s\n", buffer);           // buffer hunter         memset(buffer, 0, 40); } 이번단계에서는 에그헌터 + 버퍼헌터 + argv[1][47]에 \xbf사용 + argv[1]의 길이를 48로 제한하는것이다. 이번도 어렵지않게 argv[2]에 쉘코드를 넣고 실행하면 되겠다.

스택에 공간을 buffer + i = 44(0x2c)만큼 할당했다 그리고 gcc버전이 낮으므로 더미가 없다

쉘 획득 과정 페이로드

이번 단계는 전단계와 같이 25Byte 쉘코드를 argv[2]에 사용할 것이다 argv[1]에 NOP(44) + RET(4) = 48과 argv[2]에 NOP(10) + SHELLCODE(25)로 오버플로우 할것이다.

쉘코드 주소 구하기

쉘코드의 주소를 구하는데 기본 소스파일에      strcpy(buffer, argv[1]);      printf("%s\n", buffer); 이 코드 사이에 printf("[ %p ]\n", argv[2]);를 넣어 쉘코드 시작주소를 구할것이다. 쉘코드의 시작주소는 0xbffffc3f이다.

 

명령문 작성하기

이제 명령문을 작성해보자

이로써 darkelf의 권한을 얻었다.