FC3-2 iron_golem -> dark_eyes

개인적으로 드는 생각인데 현재까지는 LOB뒷부분보다는 FC앞부분이 훨씬 쉬운 느낌이다.

LOB20번째를 풀려다가 소켓통신부분은 우분투 설정도 그렇고 뭔가 안맞는부분이 많은거같아서 도움을 받기로하고 FC부터 푸는중이다 :)

그럼 문제를 살펴보자.

--소스코드--

EBP를 변조해서 푸는거는 더이상 어려워 진거 같습니다.

하지만 문제에서 RETsleding이라고 알려줬으니 이부분을 이용하면 그래도 쉽게 풀 수 있을거라고 예상합니다.

어셈블리를 보고

 

RETsleding을 위해서 리턴부분에 bp를 걸어주고, 리턴까지 덮어주기위해서 덤프값을 272byte넣어줍니다.

esp위치를 보면 fafe부분을 execve로 덮어주고, 0083부분을 심볼릭링크를 걸어주면 될 것 같습니다.

그럼 페이로드는 dump[268] + ret*3 + &execve로 나타내면 될 것 같습니다.

ret주소는 bp를 걸고 실행시켰을때 위에뜨는 주소가 ret주소입니다 왜냐??저희가 bp를 리턴에 걸었잖아요 ㅎㅎ

그리고 execve위치는 아래방법으로 알아냅니다.

심볼릭 링크를 걸기위해서 간단한 코딩을 해주고

컴파일후

심볼릭 링크로 등록시킵니다.(정상동작하는지도 확인)

exploit코드를 작성하고 그대로 공격하면??

(grin)

(http://blog.c2w2m2.com/30)블로그를 보고 많은 힌트를 얻었습니다!