[Skelton] skeleton -> golem 풀이

문제 소스 보기

Colored By Color Scripter™

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 /*         The Lord of the BOF : The Fellowship of the BOF         - golem         - stack destroyer */   #include <stdio.h> #include <stdlib.h>   extern char **environ;   main(int argc, char *argv[]) {     char buffer[40];     int i;       if(argc < 2){         printf("argv error\n");         exit(0);     }       if(argv[1][47] != '\xbf')     {         printf("stack is still your friend.\n");         exit(0);     }       strcpy(buffer, argv[1]);      printf("%s\n", buffer);           // stack destroyer!         memset(buffer, 0, 44);     memset(buffer+48, 0, 0xbfffffff - (int)(buffer+48)); } 이번 단계는 스택 디스트로이어 입니다 0xbffff 아주 모든걸 다없애버립니다.

스택에 공간을 buffer + i = 44(0x2c)만큼을 할당합니다.

쉘 획득 과정 페이로드

이번엔 argv를 사용할 수 없습니다 copied argv도요. 그래서 이번단계는 LD_PRELOAD를 사용할 것입니다 스택을 사용 못하므로 스택의 아래 즉 공유 라이브러리에 쉘코드를 삽입 후 LD_PRELOAD라는 변수를 이용합니다.

먼저 공유 라이브러리를 생성합니다

LD_PRELOAD 환경변수를 등록합니다

GDB로 main+166쪽 leave지점에 bp를 걸고 한 esp-1000 ~ 1100까지 가줍니다.

저 NOP썰매 사이에 하나를 집어서 RET에 입력합니다

명령문 작성하기

이로써 golem의 권한을 얻었습니다