System Hacking
TAMU CTF 2019 pwn3
먼저 파일을 실행해보자 값이 계속 바뀐다 보호기법을 확인하자 FULL RELRO와 PIE가 걸려있다. IDA로 파일을 까보자 main에서는 echo호출을 한다. echo함수에서는 s의 주소를 출력하고 gets함수를 통해 입력 받는다. 변수 s의 크기는 0x12a=298바이트이다. 위에서 보호기법을 확인할 때 NX가 걸려있지 않으므로 쉘코드를 이용하여 푼다. s에 쉘코드를 넣고 ret주소에 s의 주소를 덮어쓰면 echo 실행 이후 ret가 호출될 때 쉘코드가 실행될 것이다. echo를 disas 해주자. echo+24부분을 보면 크기가 0x12a인것을 알 수 있고 여기서 dummy가 없다는것을 알 수 있다. 메모리의 구조는 다음과 같게 될 것이다. ret[4] sfp[4] s[298] payload는 s에..
