[dreamhack] pwnable.kr bof

문제에 나온 주소를 검색해 파일을 다운받는다.

 

 

아래는 bof.c 파일이다.

• main함수를 보면, func() 함수에 0xdeadbeef가 입력된다.
• 이 값이  0xcafebabe와 같으면 flag가 출력된다.
• gets 함수를 통해 입력을 받는데, 길이 제한이 없어서 overflowme[32]를 넘겨 key 값을 덮어쓸 수 있다. 즉, 오버플로 취약점을 가진 함수이다.
• key[4] 와 overflowme[32] 사이의 거리를 구하자.

 

 

 

 

gdb로 bof 를 분석하자. 

 

 

func 함수

'disas(=disassembly)  함수 이름'으로 func 함수를 디버깅한다.

 

 

 

key 부분이다.

 

 

 

main 함수

이번에는 메인 함수를 디버깅한다.

 

 

주소 1264에서 func 함수가 호출된다.

그리고나서, func 함수에서 printf 함수 호출 후 gets 함수가 호출될 것이다. (아래의 func 함수에서 확인할 수 있다.)

 

 

아까의 func 함수이다. 따라서 gets 함수의 call 위치는 1207이다.

(다른 사람들의 dbg 출력화면과 다른데 -02c가 아니라 왜 -0x30일까요?)

 

 

이제 gets 함수를 통해 입력받는 overflowme 공간의 위치를 찾아야 한다.

 

call 다음에 위치한 -0x30에 overflowme가 위치할 것이다. 

 

 

 

gets 함수를 통해 오버플로하여 입력된 key(deadbeef)를 cakebabe로 덮어야 한다.

overflowme + 쓰레기 값 + cakebabe

여기서 쓰레기 값과 cakebabe를 더한 값은 -0x30 ~ 0x34이다.

 

아래와 같이 입력해주면 된다. (A는 아무 문자로 채운 것이다.)

(python -c "print('A'*52+'\xbe\xba\xfe\xca')";cat) | nc pwnable.kr 9000

 

 

참고

[ Pwnable.kr ] - bof(buffer overflow) (velog.io)

3. 버퍼 오버플로 (bof) - Pwnable.kr 해설 (tistory.com)