여기서 가장 자세히 봐야할 부분은

(key^random) == 0xdeadbeef 인것같다

key와 random을 xor을 해준값이 0xdeadbeef와 같으면

플래그가 출력되는 프로그램이다.

ltrace는 공유 라이브러리에대한

호출을 보여준다 우리가 봐야할부분은

0x6b8b4567 이다.

win함수를 바꿔주면 풀릴거같다.

gdb로 win의 주소값을 얻었다.

환경변수 이용한 문제

리틀엔디안으로 modified = 0x0d0a0d0x 리틀엔디안으로

넣어주면된다.

어렵지않은문제...

modified 가 0x61626364 면 되는데

리틀엔디안으로 주면 된다.

풀이가 풀요없는 풀이..

말그대로 오버플로우

힌트를보면 전레벨과비해 소스가 많이짧습니다.

하지만 c언어에  /bin/sh나 seturuid권한상승을 해주는

그런코드가 없습니다

처음에 그냥 쉘코드넣고 해봣는데 쉘을따지는데 권한상승이 안되서

쉘코드 작성해야 되는구나 생각했습니다.

하지만 구글링을 통한 쉘코드로 문제를 풀었습니다.

쉘코드는 grep level20 /etc/passwd 를통해

상위쉘로 가는 소스를 짜실수있습니다.

쉘코드를 환경변수에 넣었습니다

buf[20] | dummy[20] | sfp[4] | ret[4]

수집은 다했으니 공격해봅시다.

다음은 마지막 20입니다. 복습의 끝이보이네요 생각보다 오래걸린것같습니다.

소스가 좀 길어졌습니다

처음보는 함수도 있어서 당황스러웠는데

해석해가면서하니 이해가 됬습니다.

while문먼저보면 while은 무한루프를 돕니다.

그리고 조건문 if에서 check==deadbeef 가 되면

shellout 함수를 실행하게 됩니다.

FD_ZERO 같은것들은 잘몰랐는데 구글링해보니 입력값을 받아온다고 그런거같습니다.

switch에는 0x08일시 count가 -- 되는것을 볼 수 있습니다.

또 0x08인데 -1을 한다는것은 마이너스가되서 스택안에서 check값을

바꿀수 있다는 뜻입니다.

스택에서 check은 string[0]의 4바이트입니다.

스택의 구조가 이렇습니다.

그러면 바로 공격해봅시다.

쉘이따졋습니다!

전에 풀엇던거랑 상당히 유사하지만

rtl 이 가능하다

하지만 환경변수로 풀겟다.

이번에도 그냥 40바이트를 주면되겟다.

환경변수에 쉘코드를 넣고

주소값을 얻은뒤

공격하면된다.

rtl은 확실하게 공부하고 다시풀어보겠다.

찜찜하지만...