LOB darkknight -> bugbear

소스를 보면 RET의 첫바이트 영역 검증을 통해 RET를 스택내의 값으로 돌릴 수가 없다. 즉 스택내에 쉘코드를 올려봤자 실행할 수가 없다는 것이다. 그러다면 스택영역 외의 영역을 통해 익스를 해야하는데 간단한 RTL을 통해 공유라이브러리의 system함수를 사용하면 가능하다.

 

 

system함수 주소와 환경변수에 /bin/sh문자열 올린 후 주소값 구해서 RTL로 익스하면된다.