YesYes

이거슨 heap overflow다.

v3, v3+1, v4, v4+1이 이해가기가 어려웠다 .일단...ㅠㅠㅠㅠ

해석을 해보자면

16, 8, 16, 8을 malloc한다.

그럼 총 48개인데 이것을 입력2개로 이으려면 

일단 v3~v4+1을 다 잇고 그다음 sub_400826주소를 넣으면 exit가 호출될떄 400826이 호출된다.

하...뭐하는건지 도저히 모르겠다...롸업공부하겠다.

입력한게 check_passcode를 들어가서 연산한다음 hashcode랑 같으면

puts(byte_8048840)을 하고 core함수로 들어간다.

이게 hashcode고

위 연산은 결국 주소를 좀 올리면서 5번 더한다는 것인데 

C0D9B0A7=3235492007 을 5로 나누면 647098401이 나온다. 그런데 *5를 하면 3235492005 밖에 나오지 않는다.

그래서 결국 마지막 값에 *2를 해준다.

그러면 이제 hashcode랑 check_passcode 리턴 값이 같아졌으니

core함수로 들어갈 수 있다.

core함수는 이런데 dlsym의 0xFFFFFFFF은 함수의 핸들값, 그리고 printf는 함수이름이다.

ASLR이 항상 있고, 우리는 바뀔떄마다 이동되는 system함수와 /bin/sh의 주소를 정확히 알아야 한다.

그래서 printf의 주소와 해당 함수와 문자열간의 차이를 알아내면 된다.

p system, p printf 를 하면 함수들이 주소를 알 수 있고 p printf-system 하면 그 차이를 알 수 있다.

그리고 find /bin/sh하면 /bin/sh의 주소도 나온다.

결국 코드는

흠....

실행창이고

이게 코드라 대충 time(0)해가지구 random이 만들어진 시간 가져와서 rand() 돌린거랑 맞나 보는건데...

도대체 random파일이 언제 만들어진지 못구하겠어서

보았다...그것을...

이런식으로 일단 C파일을 만들어 준다. 나는 aa.c로 파일을 만들었따.

그리고 이런식으로 gcc 해준다.

shared, o, fPIC 옵션들은 .so를 위한 옵션들로 이해하면 된다.

그리고 이제 우리가 짠 .so 파일을 가져와서 사용하면 된다.

CDLL로 DLL 과 같은 .so 파일을 가져와서 아래에서 random_value를 받는다.

그리고 ./random실행하고 이제 조지면 된다.

실행창이고

이것이다 spawn_shell로 권한은 따면 되는 것이고, main은 봤는데 딱히 별거 하는게 없어서 bof 하면 되지 않나..생각했다.

payload는 name에서 스택 끝까지의 길이 410h=1040 + sfp8byte 에다가 뒤에는 spawn_shell의 주소이다.

소스는 이렇다

별거 없어보이는데.;.. Hint가 Array Type이라고 한다.

그냥 뒤에 /text[]=flag 치니까 답이 보이던데 ㅠㅠㅠ

힌트는

https://hackability.kr/entry/PHP-strcmp-%EC%B7%A8%EC%95%BD%EC%A0%90%EC%9D%84-%EC%9D%B4%EC%9A%A9%ED%95%9C-%EC%9D%B8%EC%A6%9D-%EC%9A%B0%ED%9A%8C

여기사이트에 있다고 한다.

이건데

60*60*24*30*2.5=6480000 정도 입력하면 된다고 생각했는데

6480000초를 언제 기다리냐...

그래서 취약점은

is_numeric함수를 보니

이런식으로도 입력이 가능하다고 한다.

그럼 이제 648000을 지수형식으로 바꾸면 6.48e6으로 바꿀수 있다.

flag쪽에 6.48e6을 입력하면 답이나온다.

어떻게푸나...했더니

매직해시 취약점이라고 한다

https://www.whitehatsec.com/blog/magic-hashes/

여기에 답이 나와있다..

언젠간 이해하지않을까ㅠㅠㅠㅠ

그 유명한 SQL injection 문제였다.

View Source 하면 보이는 코드는 이거엿고 나는 무슨 sha256 암호화해서 맞춰야 되는 문제인줄 알았다 ㅋㅋㅋㅋ

근데 sql 테이블에서 가져오는데 어떻게 해야되는지 몰랐다 ㅠㅠㅠㅠㅠㅠ 못된넘들 ㅠㅠㅠㅠ 어떻게알아 ㅠㅠㅠ

그래서 결론은 id에 admin'#을 치는 것이었는데

sql문이 select * from jhyeonuser where binary id='$id' and pw='$pw' 이다. ";는 서버의 언어이기때문에 신경쓰지 않아도 된다.

그래서 id에 '#을 집어넣어버리면 id='admin'#이 된다.

#은 그 뒤에있는 한줄을 모두 주석처리를 하기떄문에 #pw='$pw'를 없애버려서 admin만 저렇게 쳐도 나온다ㅣ.