먼저 첫부분에 시리얼 코드 받는곳이 있는데,
12자리에 4글자씩 끊어서 v5, v6, v7 에 저장해서 막 연산하는걸 볼 수 있는데 z3 돌리면
615066814080 이 나옴니다.
이제 익스해주면 데는데, Add 할때 func 포인터 덮을 수 있고, dump 하면 이거 실행 시켜 주고, 인자도 내가 맘대로 할 수 있으니까,
puts ( puts_got ) 꼴로 릭하려 했는데, 포인터상 안맞아서 got 주소가 그대로 나오기 때문에
printf (" %p %p %p " ) 식으로 포맷스트링을 강제로 만들어 릭했다.
릭 하고 나서는 그냥 system 해주면 덴다.
'Pwnable' 카테고리의 다른 글
| Pyjail (0) | 2018.03.03 |
|---|---|
| [Harekaze 2018] Flea_attack (0) | 2018.02.11 |
| [AceBear2018] easy heap (0) | 2018.01.29 |
| [Codegate] Watermelon (0) | 2018.01.24 |
| [RCTF2017] RNote (0) | 2018.01.22 |