[HackCTF] pwnable: x64 Simple_size_BOF 풀이

Mitigation

Vulnerability Analysis

바이너리 파일 실행 

1. 삐빅- 자살방지 문제입니다.
2. buf: 어떤 값
3. 입력을 받고 종료

위와 같은 순서로 진행 됨

buf 옆에 어떤 값이 무엇인지 gdb를 통해 main함수를 살펴보면

[rbp-0x6d30]영역의 주소 값임을 확인 가능하다 또한 아래 gets함수를 통해 입력을 받는 공간 역시 [rbp-0x6d30]이다

알 수 있는 사실을 정리해 보면 다음과 같다

1. [rbp-0x6d30]이 되는 이 곳의 주소를 알 수 있다
2. [rbp-0x6d30]이 되는 이 곳에 입력 값을 줄 수 있다

또한 gets함수의 경우 입력 값에 제한을 두지 않기 때문에 canary가 없는 이 바이너리 파일의 ret영역을 overwrite 가능

위의 사실을 토대로 NX disabled라는 점을 이용해 [rbp-0x6d30]이라는 buf에 shellcode를 입력하고 이 주소를 ret영역에 overwrite를 한다면 shell을 얻을 수 있을 것이다

Exploit code

Result