[Pwnkr] Input2 Write-up
이번 문제는 Input2이다.
문제는 생각보다 어렵지 않았으나
Payload짜는데서 조금 헤맸다..ㅎㅎ
코드를 보도록 하자
이 문제의 FLAG를 얻기 위해서는 5개의 Stage를 통과해야한다.
먼저 첫 번째 Stage를 보자.
우선 argc가 100이 되어야하고 넘겨지는 argv의 'A'와 'B' 번째 값이
각각 "\x00" 과 "\x20\x0a\x0d"의 값이 들어가야한다.
굉장히 간단하게 넘길 수 있다. 나는 Python을 사용했고 argv는 list형태로 넘겨야한다.
이런식으로 구성하였다.'A'와 'B'는 각각 65, 66을 의미하므로
65번째와 66번째에 값에 요구하는 값을 넣어주었다.
다음 Stage를 보도록 하자. Stage2번이다.
buf에 read를 두 번 진행하게되는데 fd를 보면 첫 번째는 0이고
두 번째 read 함수에서는 2이다. 0은 stdin을 뜻하고 2는 stderr를 의미한다.
그러므로 read의 fd인자가 0일때는 그냥 입력으로 "\x00\x0a\x00\xff"를
입력해서 if문을 우회하면 될 것이고 다음의 fd가 2인 read의 경우
file open을 통해 stderr에 "\x00\x0a\x02\xff"를 해주면 될 것이다.
stdin으로 입력을 해주고~
stderr도 입력해주면~ 간단하게 해결할 수 있다.
다음 Stage3은 환경변수에 관련된 문제이다. 이러한 환경변수의 값을
넘겨 줄 수 있는데 넘겨줄 때 dictionary 형태로 넘겨야 한다.
그러므로 다음과 같이 진행해주었다.
다음으로는 또 file open에 관련된 문제인데
./0a에서 4바이트를 읽어 buf에 저장한다. 이 때 buf 저장된 값이
"\x00\x00\x00\x00"이어야 하므로 우리는 write를 이용하면 된다.
마지막으로 Stage5이다.
sin_port를 argv['C'] 즉 argv 67번째의 값과 맞도록 진행해줘야하며
"\xde\xad\xbe\xef"를 전송해주면 해당 값을 recv하게 되면서 FLAG가 출력된다!!
이런식으로 argv[67]값을 수정해주고
sin.port를 맞춰서 진행한 뒤 "\xde\xad\xbe\xef"를 전송해준다.
그러므로 최종 Payload는 다음과 같게 된다.
참고로 우리는 권한이 없어서 해당 Payload를 작성할 수 없기 때문에
tmp 디렉토리로 가서 작성하였다.
해당 payload를 진행하게되면 FLAG를 볼 수 있게 된다? 는 아니고
flag가 없기 때문에 원하는 결과를 볼 수가 없다.
그러므로 심볼링 링크를 걸어서 flag파일을 생성해주자
짜잔~ 원하는 FLAG를 볼 수 있게 된다.