힌트를보면 프로그램이 정상적으로 흘러간다면

 hello there 을 출력하게 됩니다.

main함수를보면 정수형으로 crap을 선언하고

포인터 call 과 char형 buf가 20바이트 선언되었습니다.

gdb로 프로그램을 보면 풀어오던 문제랑 별다를게없습니다.

call에 printit 주소인 0x8048500가 저장이 됩니다.

공격코드는 nop * 40 + shell주소를 넣어주면 됩니다.

공격하기 전에 shell의 주소를 알아야합니다.

objdump를 통해 알아낼수있지만 gdb로 shell의 주소를 얻었습니다.

필요한게 모두 수집되었으니 공격했더니

level17의 쉘을 얻었습니다.

힌트를보면 별다른게없다 그런데

포인터가 사용됬다.

gdb 로 깟을때 별차이도없는것같다.

level14에서 주던대로 40byte 주면 될것같다.

0xdeadbeef 의 주소는 0x80484b2 이다.

리틀엔디안 형식으로 \xb2\x84\x04\x08 을 주면된다.

그대로 공격하면 

처음에 쉘은 땃는데 권한상승이안되서 좀 놀랏다...

ㄷㄷㄷㄷㄷㄷㄷㄷㄷㄷㄷㄷㄷㄷㄷㄷㄷ

char형으로 buf를 20byte주고

fgets로 buf를 45개를 받는다

if에서 check변수값이가 0xdeadbeef면

15레벨의 쉘을 띄운다.

ebp-56 에서 deadbeef가 ebp-16 이니

56 - 16하면 40이다 .

nop으로 40바이트준뒤에 deadbeef를 리틀엔디안으로주면 된다.

.

i=0x1234567 이있는데

gdb 로 까서 구조보면서 설명하겟다

buf를 1024바이트나줫다.

또 i값이 변하면 

Warnning: Buffer Overflow!!! 를 출력한다.

그러면 gdb로 구조를 보자

buf + dummy + i + dummy + sfp + ret

1024 + 12 + 4 + 8 +4 +4

환경변수로 주소를 알아낸후에 

payload buf + 1024 dummy 12를 주고 i 주소후에 dummy값과sfp를 더해준 12로넣어전뒤

환경변수주소를 넣어주면

삽질하는시간도 잇어야하지만

시간좀줄여야겟다. 

시간이없다..

힌트를보면 별다른게없다 strcpy가 gets로 바뀐거뿐 ...

환경변수에 쉘코드를 넣어준뒤

환경변수 주소를 알아내면 

272 = nop 268 + 환경변수주소

위의 소스가 힌트입니다.

먼저 gdb로 까서 256 + 8 + 4 + 4 인것을 알았습니다.

str | dummy | sfp | ret

간단하게 환경변수로 문제를 풀었습니다.

환경변수 egg에 nop * 50과 쉘코드를 넣어줍니다.

주소를 출력해주는 코드를 작성해준뒤

쉘을따고 my-pass해주면

level12의 비밀번호를 출력합니다.