[Darkelf] darkelf -> orge 풀이

문제 소스 보기

Colored By Color Scripter™

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 /*         The Lord of the BOF : The Fellowship of the BOF         - orge         - check argv[0] */   #include <stdio.h> #include <stdlib.h>   extern char **environ;   main(int argc, char *argv[]) {     char buffer[40];     int i;       if(argc < 2){         printf("argv error\n");         exit(0);     }       // here is changed!     if(strlen(argv[0]) != 77){                 printf("argv[0] error\n");                 exit(0);     }       // egghunter      for(i=0; environ[i]; i++)         memset(environ[i], 0, strlen(environ[i]));       if(argv[1][47] != '\xbf')     {         printf("stack is still your friend.\n");         exit(0);     }       // check the length of argument     if(strlen(argv[1]) > 48){         printf("argument is too long!\n");         exit(0);     }       strcpy(buffer, argv[1]);      printf("%s\n", buffer);           // buffer hunter         memset(buffer, 0, 40); } 이번 단계에서는 argv[0]이 77자이어야 하고 에그헌터 + 버퍼헌터 + argv[1]길이제한 + argv[1][47]에 \xbf입력 까지 조건이 많습니다. 이번은 심볼릭링크로 argv[0]의 길이를 늘리고 전단계처럼 argv[2]를 이용해 쉘코드를 넣고 실행하면 될것 같습니다

스택에 공간을 buffer + i = 44(0x2c)만큼 할당했습니다 그리고 역시 gcc 버전이 낮으므로 더미가 없습니다.

쉘 획득 과정 페이로드

이번 단계는 우선 argv[0]을 심볼릭 링크로 늘립니다. 왜 75로 하느냐 그 이유는 우리가 프로그램을 실행할때 ./ 이것도 글자수로 포함되기 때문입니다  그리고 argv[1]에 RET*12 = 48과 argv[2]에 SHELLCODE(25)로 오버플로우 할 것입니다.

쉘 코드 주소 구하기

쉘코드의 주소를 구하는데 기본 소스파일에         strcpy(buffer, argv[1]);         printf("%s\n",buffer); 이 코드 사이에 printf("[ %p ]\n",argv[2]); 를 넣어 쉘코드 시작주소를 구할 것입니다.  쉘 코드의 시작주소는 0xbffffbb7입니다.

명령문 작성하기

이제 명령문을 작성합니다.

이로써 orge의 권한을 얻었습니다.