[해커스쿨_FTZ] level11

ls명령어로 디렉토리 안을 살펴봅시다.

"attackme" 라는 실행파일과 hint파일이 보입니다.

cat명령어로 힌트파일의 내용을 확인했습니다.

gdb로 attackme의 실행 과정을 확인해보려 하니 권한이 없다 뜨기에 힌트로 주어진 소스코드를 /tmp디렉토리에 복사하여 attackme.c라는 파일을 만들어주었습니다.

attackme.c를 attackme라는 실행파일로 만들어줍시다.

만든 attackme실행파일을 디버거로 확인해봅시다.

main+3 에서 0x108의 공간을 할당해주는데 0x108은 10진수로 264바이트입니다.

그러나 선언해준 배열의 크기는 256바이트이므로 나머지 8바이트는 더미 값 입니다.

따라서 이 실행파일의 메모리의 구조는

| buffer: 256 byte | dummy: 8 byte | SEP: 4 byte | RET: 4 byte |

total: 272 byte

인 것을 확인할 수 있습니다.

export SHELLCODE=`python -c 'print"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x99\xb0\x0b\xcd\x80"'`

를 입력해 이름이 SHELLCODE인 환경변수를 만들어주었습니다. 

만들어진 환경변수를 한 번 확인해줍시다.

이제 환경변수의 메모리 주소 값을 얻어올 코드를 작성해야 합니다.

vi 편집기를 열어줍시다. 이름은 sss.c로 하였습니다.

이렇게 적어준 후 :wq명령어를 이용해 나와줍니다.

getenv함수는 환경변수의 값을 읽어오는 함수입니다.

gcc로 sss이름의 실행파일을 만들어줍니다.

밑에 경고가 뜨는데 무시하셔도됩니다.

./[프로그램이름] [환경변수이름] /home/level11/attackme

를 입력해 sss를 실행시켜주면 SHELLCODE의 주소가 나타나게 됩니다.

attackme를 실행시킨 후 null값으로 268바이트를 채운 후 리턴 값이 나오는 주소에 SHELLCODE의 주소를 덮어주면 끝!