Skeleton의 소스코드를 한번 확인해 보도록 하겠습니다.
소스코드에 걸려 있는 조건을 확인해 보도록 하겠습니다.
1. Argv갯수 제한 없음
2. 환경변수 사용 불가능
3. argv[1][47] == ‘\xbf’
4. argv[1]의 길이는 48byte
5. 버퍼 사용 불가능
6. 모든 매개변수 사용 불가능
모든 매개변수를 초기화 하는 코드가 들어간것이 매우 타격이 크네요.
매개변수도 불가능하고, 환경변수도 사용 불가능하고, 버퍼도 사용 불가능하고, RTL도 불가능하고, 그럼 무엇을 할 수 있을까요?
일단 gdb로 프로그램이 끝나기 바로전에 bp를 걸어 모든 메모리를 확인해 보겠습니다.
더 이상 확인 할 수 없을 때 까지 일단 확인해 보도록 하겠습니다.
앗! 빙고! 메모리의 끝부분에 파일의 경로가 들어가 있는것을 발견했습니다.
그럼 문제가 다 해결됫네요.
쉘코드로 이름이 되어 있는 링크파일을 작성하고 ret주소를 변경해 주면 될것 같습니다.
우선 이름이 쉘코드로 된 링크파일을 생성해주겠습니다.
파일이 생성이되었으니 이제 gdb로 파일 경로가 들어있는 메모리의 주소를 얻어 내도록 하겠습니다.
0xbfffff51부터 의도한 파일경로가 들어가 있네요.
ret주소를 0xbfffff80쯤으로 잡고 실행하도록 하겠습니다.
한번에 쉘이 얻어졌네요.
원본 파일을 대상으로 진행하도록 하겠습니다.
skeleton의 쉘을 획득 하였습니다.
Skeleton의 패스워드는 shellcoder이네요.
'HackerSchool Series > L.O.B.' 카테고리의 다른 글
[L.O.B.(Lord Of BufferOverflow)] golem -> darkknight (0) | 2016.01.23 |
---|---|
[L.O.B.(Lord Of BufferOverflow)] skeleton -> golem (0) | 2016.01.23 |
[L.O.B.(Lord Of BufferOverflow)] troll -> vampire (0) | 2016.01.22 |
[L.O.B.(Lord Of BufferOverflow)] orge -> troll (0) | 2016.01.22 |
[L.O.B.(Lord Of BufferOverflow)] darkelf -> orge (0) | 2016.01.20 |