본문 바로가기

heap2

pwnable.kr unlink [Toddler's Bottle]pwnable.kr unlink unlink 파일을 보면 nx가 걸려있는 것을 볼 수 있다. 아래는 unlink.c 코드의 일부이다. gets() 에서 overflow가 발생한다.또한 unlink() 함수를 보면 값에 검증을 수행하지 않는 것을 볼 수 있다. 실제로 gets()에서 "A"를 100개 입력해보았다. 그 결과, 아래와 같이 입력한 값이 그대로 들어간다.즉, 첫번째 malloc() 한 A의 size보다 많이 입력하면, B와 C를 덮을 수 있다. 여기서 처음 든 생각은 stack leak 값을 이용하여 ret를 shell()의 주소로 덮는 것이었으나,FD에 코드 영역의 주소를 넣으면 FD->bk=BK; 부분에서 코드 영역에 write를 해야 하므로 힘들 듯하다. .. 2019. 3. 12.
pwnable.kr uaf [Toddler's Bottle] uaf uaf.cpp 코드의 일부이다. give_shell() 함수를 호출할 수 있으면 될 것으로 보인다. 아래는 main() 코드이다. 이 때, switch문의 case 2를 이용하면 uaf가 가능할 듯하다. gdb로 보면 fastbin에 들어가는 것을 볼 수 있다. 따라서 argv[1]으로 같은 크기를 주고 실행한 뒤3 -> 2 순으로 입력하여 free로 인해 반환된 메모리를 다시 할당받으면 된다.이제 해당 메모리에 덮어쓸 데이터만 결정하면 된다. 이 때, 다시 uaf.cpp 코드를 보면 give_shell()과 introduce()가 virtual 함수인 것을 볼 수 있다.free하기 이전의 힙 상태를 다시 보면 아래와 같다. vtable의 주소가 담겨 있는 것을 .. 2019. 2. 21.