소스를 보면 버퍼,환경변수,매개변수,스택 초기화 같은 로직은 없는데 overflow 가능한 영역이 sfp의 1바이트 뿐이다. fake ebp 기법 전에 간단하게 개념잡으라고 낸 문제같다.
41바이트를 A로 넣고 스택영역을보면 다음과 같다. 맨마지막 41바이트째 값이 SFP의 마지막1바이트로 들어간걸 볼 수 있다. 만약 이 값을 buf시작주소-4영역으로 바꾸게 되면 leave 명령어로 인해 main함수로 복귀시 ebp가 buf-4영역으로 바뀌어있고 main함수에서 leave ret 명령어를 실행하게되면 leave 명령어로 인해 buf-4영역의 4바이트값이 제거되고 그다음 ret명령어로 인해 buf+0 영역의 값이 eip되어 해당 eip값으로 점프가 될 것이다.
그렇다면 위의 개념을 인지한채 페이로드짜서 익스하면 된다. 중간에 gdb로 구한 주소값으로 익스했더니 에러나서 코어파일 디버깅해서 정확한 주소 구한뒤 익스했다.
'Wargame > Lord Of the Bof(redhat)' 카테고리의 다른 글
| LOB bugbear -> giant (0) | 2018.01.11 |
|---|---|
| LOB darkknight -> bugbear (0) | 2018.01.10 |
| LOB skeleton -> golem (0) | 2018.01.09 |
| LOB vampire -> skeleton (0) | 2018.01.09 |
| LOB troll -> vampire (0) | 2018.01.09 |
JeonYoungSin
메모 기록용 공간