[ DoPwn ] Week1 - "Student ID" Write Up

student 실행결과

 

student 프로그램은 이름을 입력받은 뒤 인사하고 학번을 출력하는 프로그램임을 실행과정을 통해 알아낼 수 있었다. 따라서 입력된 이름을 분석하는 코드가 존재할 것임을 예측할 수 있었다.

 

우선 프로그램의 정확한 구조를 확인하기 위해 gdb로 분석을 시도했다.

 

gdb - pd main 결과

pd main을 실행한 결과이다. main함수는 위와 같이 구성되어있으며, 앞서 예측한 바와 같이 0x401205 에서 입력받은 값을 비교하는 코드가 존재함을 확인할 수 있었다.

 

우선 비교대상의 값을 알아내면 쉽게 풀 수 있을 것 같아, 비교하는 대상의 주소값에 있는 문자열을 확인하는 시도를 했다.

 

gdb - x/s 0x499602d2

 

gdb가 메모리에 접근하지 못한다는 메세지와 함께 데이터 조회에 실패했다.

조금 고민한 뒤, 직접 값을 확인하는 대신 return 되는 위치를 변경하는 방법을 사용해보기로 했다.

즉, jne에서 그냥 점프 되도록 하고, return 위치를 jne 다음으로 설정해서 다시 해당 위치로 이동시키는 방법을 사용하기로 했다.

 

코드상에서 문자열을 받고자 했던 길이는 16진수로 0x20, 즉 32 이므로, 영어 32글자 이상 입력하면 예상 문자열의 길이보다 넘칠 것이므로, 이를 이용해 이동주소를 덮어씌울 것이다.

 

print "a"*32 + "b"*8 + "\x0e\x12\x40\x00\x00\x00\x00\x00"

 

위 코드를 파이프라인으로 프로그램에 인자로서 넘겼다.

python을 활용하여 student 프로그램에 인자를 넘김

student id가 예상한 바와 같이 출력되었다. 이제 서버에 올라가있는 프로그램에 해당 코드를 실행하여 flag를 얻어낸다.

 

flag 획득

 

flag를 획득했다.

완료!