시스템 해킹

1574,

5/79

ka0r1

argv[2]의 주소를 알고 싶습니다.

http://www.hackerschool.org/HS_Boards/zboard.php?id=QNA_system&no=1942 [복사]

[wolfman@localhost wolfman]$ ls
darkelf  darkelf.c
[wolfman@localhost wolfman]$ cat darkelf.c
/*
        The Lord of the BOF : The Fellowship of the BOF
        - darkelf
        - egghunter + buffer hunter + check length of argv[1]
*/

#include <stdio.h>
#include <stdlib.h>

extern char **environ;

main(int argc, char *argv[])
{
        char buffer[40];
        int i;

        if(argc < 2){
                printf("argv error\n");
                exit(0);
        }

        // egghunter
        for(i=0; environ[i]; i++)
                memset(environ[i], 0, strlen(environ[i]));

        if(argv[1][47] != '\xbf')
        {
                printf("stack is still your friend.\n");
                exit(0);
        }

        // check the length of argument
        if(strlen(argv[1]) > 48){
                printf("argument is too long!\n");
                exit(0);
        }

        strcpy(buffer, argv[1]);
        printf("%s\n", buffer);

        // buffer hunter
        memset(buffer, 0, 40);
}
[wolfman@localhost wolfman]$

argv[1]이 48이 넘어가버리면 프로그램이 종료가 되는 프로그램이네요.
제가 문뜩 생각났는데 argv[2]의 인자로 쉘코드를 올리고
argv[1][44]~argv[1][47]로 argv[2]의 주소를 넣으면 되지 않을까?라는 아이디어가 떠올랐습니다.
그런데 공교롭게도... argv[2]의 주소를 알 수 있는 방법을 모릅니다.
gdb로 디버깅하면 알 수도 있겠는데...
어떻게 하면 알 수 있나요?

Hit : 2364 Date : 2018/09/23 04:19


ka0r1	스스로 답을 찾았습니다. (gdb) r `python -c 'print "A"47+"\xbf"` `python -c 'print "B"1000'` 그리고 x/1000x $esp 이런식으로 하면 argv[2]의 주소가 보이긴 보이네요. 클리어 완료!	2018/09/23
군인	start, main 시작 되는 부분에 bp 바로 걸고 보셔도 됩니다....	2018/10/20