1) egghunter 환경변수를 못씀

2) argv[1][47] 에 \xbf가 없으면 종료(ret 주소) -> 스택 내에 쉘코드를 써야한다는 것을 뜻합

3) buffer hunter 버퍼를 비움 -> 버퍼내에 쉘코드 쓰기불가

4) argv[1](첫번째 인자) 길이를 48로 제한

5) 인자 두개(argv[0],argv[1]) 제한  -> argv[2]를 이용한 익스플로잇 불가

6) argv[1] 를 비움

버퍼도 막히고 argv[1]도 막혔으니 심볼릭링크와 argv[0]를 이용하자

전레벨에서는 길이만 77로 맞추면 됐었으나 이번엔 쉘코드를 써야 한다

이번엔 좀 다른 쉘코드를 쓰는데 \x2f가 없는 쉘코드이다(48bytes)

\x2f는 '/' 를 의미하는데 심볼릭링크를 생성할 때 /는 경로를 의미하기 때문에 심볼릭링크 생성이 안되므로 다음 쉘코드를 쓴다

\xeb\x11\x5e\x31\xc9\xb1\x32\x80\x6c\x0e\xff\x01\x80\xe9\x01\x75\xf6\xeb\x05\xe8\xea\xff\xff\xff\x32\xc1\x51\x69\x30\x30\x74\x69\x69\x30\x63\x6a\x6f\x8a\xe4\x51\x54\x8a\xe2\x9a\xb1\x0c\xce\x81

troll.c 소스를 tro11.c로 복사해 버퍼를 출력하는 부분을 argv[0]의 주소를 출력하게 수정하고 tro11로 컴파일한다

tro11에 대한 심볼릭 링크의 파일명을 쉘코드로 하고 심볼릭링크를 실행하면 argv[0]의 주소인 bffffbb4가 나온다

같은방법으로 troll에 대한 심볼릭링크를 만들어 ret 주소를 bffffbb4로 페이로드를 짜면된다

페이로드와 Password

1) egghunter 환경변수를 못씀

2) argv[1][47] 에 \xbf가 없으면 종료(ret 주소) -> 스택 내에 쉘코드를 써야한다는 것을 뜻합

3) buffer hunter 버퍼를 비움 -> 버퍼내에 쉘코드 쓰기불가

4) argv[1](첫번째 인자) 길이를 48로 제한

5) argv[0] 길이 77이 되어야함

argv[0]은 프로그램을 호출하는 데 사용하는 명령이 저장되는데,

argv[0]의 길이가 77이 아니면 프로그램을 종료한다

프로그램의 경로를 늘려 77로 맞추는데에 두 가지 방법이 있다

./orge [전달할 인자] 이렇게 실행하면 argv[0]에 6이 들어가게 되는데, 스크립트를 써서

.////////////////////////...../////////////orge [인자]

이런식으로 '/'를 72개를 채워 77자를 맞추면 argv[0] error 분기점을 무사히 넘어가 stack is still your friend가 나온다.

또 다른 방법은 심볼릭링크를 생성해 파일명을 77자로 맞추는것이다

성공적으로 넘어가 stack is still your friend이 떴다

나머지는 전레벨과 똑같다

arge.c 소스를 argv[1]의 주소를 출력하게 바꿔서 argv[1]의 주소를 구하고

페이로드와 Password

1) egghunter 환경변수를 못씀

2) argv[1][47] 에 \xbf가 없으면 종료(ret 주소) -> 스택 내에 쉘코드를 써야한다는 것을 뜻합

3) buffer hunter 버퍼를 비움 -> 버퍼내에 쉘코드 쓰기불가

4) argv[1](첫번째 인자) 길이를 48로 제한

argv[1]의 길이를 48까지 줄 수 있게 제약이 추가되었지만 

전단계에서도 buffer[40] + sfp[4] + ret[4] 딱 48까지 인자를 전달했기 때문에 있으나마나한 제약이다,

argv[1]의 주소를 구해 전레벨의 페이로드를 그대로 갖다쓰면된다.

페이로드와 Password