소스를 보면 sfp를 세이브했다가 버퍼를 복사후 다시 복구시킨다.
sfp를 복구시키기 때문에 fake ebp같은 ebp조작은 불가능하다.
execve 함수를 이용해서 Ret sleding 기법으로 풀어보겠다.
Ret 주소는 0x080484b9 이다.
execve 함수의 주소는 0x7a5490 이다.
0x80484b9 를 자세히 보면 ASLR이 적용되어 있기 때문에 랜덤하게 바뀌는 스택이 있다.
안변하는 스택중에 0x0070eab6을 자세히 보겠다.
값이 별로다.
다음에 있는 0x0083eff4를 보면 그 다음이 NULL이어서 적당해보인다. (NULL로 함수 인자구분)
쉘을 띄우는 파일을 작성해주고 심볼링링크를 \x3c\ed\83 으로 걸어준다.
페이로드: 버퍼[280] + ret*3 + &execve
비밀번호는 because of you 이다.
'Hacking > FC3(Fedora core)' 카테고리의 다른 글
| FC3 클리어 (0) | 2015.11.09 |
|---|---|
| LOB 페도라 FC3 evil_wizard -> dark_stone (0) | 2015.11.09 |
| LOB 페도라 FC3 hell_fire -> evil_wizard (0) | 2015.11.05 |
| LOB 페도라 FC3 dark_eyes -> hell_fire (2) | 2015.10.29 |
| LOB 페도라 FC3 gate -> iron_golem (0) | 2015.10.27 |