목록srop (3)
validator-revenge
보호되어 있는 글입니다.
wargame/DreamHack
2022. 1. 21. 20:31
cyberpeace 3.0 ITCTF - crySYS
read함수 밖에 없는 아주 간단한 코드이다. 출력도 없어서 leak을 못했다. 먼저 bss영역에 /bin/sh를 삽입한다. 그 후 read의 got를 1byte overwrite 하여 syscall를 이용하기로 했다. 하지만 rax를 수정할 방법을 찾기가 어려웠다. read의 반환값을 이용하려고 했지만 이상하게 되지 않았다. 다행히 가젯 중에 pop rbp가 있어서 이를 이용했다. pop rbp에 0x5f를 넣고 lea rax, [rbp+buf] 쪽으로 ret을 했다. buf가 -0x50이기때문에 rax에 0xf가 들어갔다. 그 후 call에서 syscall이 실행되어 sigreturn을 진행하려 했다. 레지스터 값들도 모두 0으로 초기화 되어있길래 syscall이 잘 먹혔다 생각해서 기분이 좋았지만 ..
Notepad
2022. 1. 11. 09:00
send_sig
보호되어 있는 글입니다.
wargame/DreamHack
2022. 1. 7. 03:32