golem->darkknight

나도 어떻게 푼건진 잘 모르겠지만 일단 "A"*40+"B"이렇게 입력하면 ebp(sfp)의 값을 덮어쓸수 있게된다.

leave ret과정은 아래와 같다.

mov %ebp,%esp

pop %ebp

pop %eip

jmp %eip

ebp에 shellcode가 들어있는 주소를 넣게되면 쉘이 따이게 된다.

gdb에서는 왠지 모르게 argv error도 뜨고, 주소를 참조할수 없다고 막 뜨는데, 그냥 실행해보면 문제가 풀린다.(왜 그런지는 모르겠다. 화났다. 푼건 4시30분인데 의미없는 디버깅 2시간 20분동안 했다 짜증난다)

new attacker