Write Up

서론 - 3월 29일 20:00 ~ 23:00까지 FTZ LEVEL1 ~ 20까지 모두 풀어보았는데, 게시글 올리기엔 너무 피곤해서 하루 뒤에 쓴다 - 거의 기본적이지만, 공유메모리를 쓰는 경우와 이번 문제는 꽤 난이도가 있었음. 힌트 - 79바이트 밖에 fgets에서 읽지 못한다. - 포맷스트링버그를 이용을 해야한다. - 하루 지났는데 중간에 사진 찍어둔 게 없어서, 자세한 풀이는 생략한다. 진행과정 - 코드를 대략적으로 달아두었는데, dtors 값을 구해서 연산해야한다 - 페이로드 : 4바이트+dtors앞 주소+4바이트+dtor 뒷 주소(앞주소+2)+%8x * 3+ %환경변수 뒷주소(0xbffffed2기준 fed2) - 40[앞에 쓴 스트링 량]c + %n + %(1bfff - fed2)c + "%n..

힌트 진행과정 - 환경변수의 주소를 받게 끔 하면 된다. # REF NULL

힌트 진행과정 - 힌트의 코드에서 count가 --되는 경우는 0x08이 들어온 경우이다. 그 경우를 최대한 만들어서 deadbeef를 대입해보았다. # REF NULL

힌트 진행과정 - 전 문제와 유사하지만, shell함수가 없기 때문에 우리가 만든 환경변수로 이끌어주자. # REF NULL

힌트 진행과정 - call 함수포인터의 주소에 shell의 시작주소를 넣어주면 된다. # REF NULL

힌트 진행과정 - 앞문제랑 다른 것은 check가 포인터라는 것, check가 0xdeadbeef가 저장된 주소를 가지고 있으면 문제가 해결된다. # REF NULL

힌트 진행과정 - 앞문제랑 거의 같다. # REF NULL

힌트 진행과정 - i의 주소에 0x1234567을 넣어주고, 처리를 해야한다. 총 0x418(1048)할당을 하게되는데, i의 위치는 [ebp-12] 우리가 덮어써야할 부분은 총 1052이다. 1036을 아무값으로 채우고, 0x1234567을 넣고 나머지 12바이트를 아무거나 채우고, 환경변수의 주소로 채운다. # REF NULL

힌트 진행과정 - 11번이랑 똑같이 환경변수를 밀어넣는다. # REF NULL

힌트 진행과정 - 0x108(264바이트)만큼 할당하는 모습(sub esp, 0x108)을 확인. - 이후 EBP값, RET값이 스택에 할당 되어 있지만, RET에 환경변수에 선언한 쉘코드로 미끄러지게 들어가야 되므로, 268만큼 아무문자나 넣고 RET에 환경변수의 주소를 밀어 넣으면 따진다. # REF NULL

힌트 진행과정 - 공유메모리에서 사용하는 함수를 알아야 된다. - shmget과 shmat을 통해 뽑아낼 수 있었다. 자세한 것은 공유메모리에서 사용하는 함수에 대해 찾아보면 된다. # REF NULL

힌트 진행과정 - 우선 버퍼를 계산한다. 총 0x28(40바이트)만큼 할당 되었다. buf와 buf2를 20만큼 할당을 시도 했는데 40이 된 것은 20이 더미란 얘기다. - main+65~69부분을 보면 [ebp-24]의 주소를 eax에 넣고 strncmp하는 게 보이는데, go랑 비교하는 것이다. 즉 40 - 24인 16바이트의 값을 넣은 뒤 go를 넣으면 해결할 수 있다는 것이다. # REF NULL