[Orge] orge -> troll 풀이

문제 소스 보기

Colored By Color Scripter™

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 /*         The Lord of the BOF : The Fellowship of the BOF         - troll         - check argc + argv hunter */   #include <stdio.h> #include <stdlib.h>   extern char **environ;   main(int argc, char *argv[]) {         char buffer[40];         int i;           // here is changed         if(argc != 2){                 printf("argc must be two!\n");                 exit(0);         }           // egghunter         for(i=0; environ[i]; i++)                 memset(environ[i], 0, strlen(environ[i]));           if(argv[1][47] != '\xbf')         {                 printf("stack is still your friend.\n");                 exit(0);         }           // check the length of argument         if(strlen(argv[1]) > 48){                 printf("argument is too long!\n");                 exit(0);         }           strcpy(buffer, argv[1]);         printf("%s\n", buffer);           // buffer hunter         memset(buffer, 0, 40);           // one more!         memset(argv[1], 0, strlen(argv[1])); } 이번 단계에서는 인자수 제한, 에그헌터, argv[1]길이 제한 버퍼헌터, argv[1]초기화가 있습니다. 이번 단계는 argv[1]과 [2]를 사용하지 못하므로 argv[0]을 활용할 생각입니다.

스택에 공간을 buffer + i = 44(0x2c)만큼 할당합니다

쉘 획득 과정 페이로드

이번 단계는 argv[0]에 심볼릭 링크를 사용하여 쉘코드를 넣습니다. 그리고 심볼릭 링크에 \x2f가 들어가면 사용할 수 없다고 나옵니다 그래서 \x2f가 없는 쉘코드를 사용하겠습니다. 그리고 argv[0]에 SHELLCODE(25)와 argv[1]에 RET(4)*12=48로 오버플로우 할 것입니다.

쉘코드 주소 구하기

쉘코드의 주소를 구하는데 기본 소스파일에        strcpy(buffer, argv[1]);        printf("%s\n",buffer); 이 코드 사이에 printf("[ %p ]\n", argv[2]); 를 넣어 쉘코드 시작주소를 구할 것입니다. 쉘코드의 시작주소는 0xbffffbca입니다.

명령문 작성하기

이제 명령문을 작성합니다 이로써 troll의 권한을 얻었습니다.