[Troll] troll -> vampire 풀이

문제 소스 보기

Colored By Color Scripter™

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 /*         The Lord of the BOF : The Fellowship of the BOF         - vampire         - check 0xbfff */   #include <stdio.h> #include <stdlib.h>   main(int argc, char *argv[]) {     char buffer[40];       if(argc < 2){         printf("argv error\n");         exit(0);     }       if(argv[1][47] != '\xbf')     {         printf("stack is still your friend.\n");         exit(0);     }           // here is changed!         if(argv[1][46] == '\xff')         {                 printf("but it's not forever\n");                 exit(0);         }       strcpy(buffer, argv[1]);      printf("%s\n", buffer); } 이번단계는 argv[1][47]에 \xbf제한과 argv[1][46]에 \xff가 올 수 없습니다. 다행히 기존에 있던 제한들은 사라져서 편하네요 이번단계는 의외로 쉽게 끝날거 같은 기분이네요.

스택에 공간을 buffer + i = 44(0x2c)만큼 할당합니다

쉘 획득 과정 페이로드

이번 단계는 argv[2]에 쉘코드를 넣고 NOP을 아주 많이 줘서 스택이 그만큼 뒤로 밀려나게끔 할겁니다. 그래서 argv[1]에 RET(4)*12=48로 오버플로우 할 것입니다.

쉘코드 주소 구하기

쉘코드의 주소를 구하는데 기본 소스파일에        strcpy(buffer, argv[1]);        printf("%s\n",buffer); 이 코드 사이에 printf("[ %p ]\n", argv[2]); 를 넣어 쉘코드 시작주소를 구할 것입니다. 쉘코드의 시작 주소는 0xbffe75ae입니다

명령문 작성하기

이제 명령문을 작성합니다 이로써 vampire의 권한을 얻었습니다.