level6 darkelf

입장 ID:darkelf

입장 PW:kernel crashed

wolfman.c에서 argv[0]의 길이가 77인지 확인하네요.

파일 이름이 argv[0]입니다. 즉 파일이름의 길이를 심볼릭 링크를 통해서 77자를 맞춰주면 되는데요. 여기서 중요한건 ./home이라는 파일이 있으면 4글자가 아니라 ./도 포함되어 6글자가 됩니다.

심볼릭 링크는 ln -s 링크될파일 파일이름 이렇게 사용합니다. 

스택 구조는 아래와 같습니다.

buffer 40 | SFP 4 | RET 4

argv[2]의 주소를 구하고 리턴주소에 사용할 NOP 주소를 구합시다.

원본파일에 심볼릭 링크를 argv[0]의 길이가 77이 되도록 걸어주고 공격합니다.

payload

./`python -c 'print "A"*75'` `python -c 'print "A"*44+"&(argv[2]의 nop)"'` `python -c 'print "\x90"*200+"쉘코드"'`

다음 ID:orge

다음 PW:timewalker