Some more basic mathAttachmentAnalysisround_1x에는 1336, y에는 -1을 넣으면 되는데, 음수를 입력할 수 없기 때문에 -1 대신 0xffffffff를 입력하면 된다.round_2수학적으로는 조건을 만족하는 x와 y를 찾을 수 없지만,x * y를 1337과 비교하는 것은 4바이트 값들 간의 연산이기 때문에 x * y의 하위 4바이트만 1337이면 된다.round_3입력한 수들은 모두 앞의 수보다 작을 수 없고, 다섯 개의 수들을 모두 더한 결과와 모두 곱한 결과가 같아야 한다. 모두 0을 넣으면 통과할 수 있다.Exploit

Should have let the compiler do it.AttachmentBugidx에 음수를 넣을 수 있다.Exploitsize에 플래그를 출력하는 _()의 주소를 쓰고 idx에 -2를 넣으면 플래그를 획득할 수 있다.

Transport the flag securely, right?AttachmentBuggenerate_key()에서 s에 random key를 생성한 후 strcpy()로 key에 복사한다.기존의 key보다 1바이트만큼 짧은 key를 생성할 경우, strcpy()로 복사할 때 null terminator에 의해 기존의 key의 마지막 1바이트가 사라지게 된다. 이를 이용하면 key의 길이를 1바이트까지 줄일 수 있다.또한, 0x40바이트짜리 key를 생성할 경우, off-by-one이 발생하여 do_comment의 마지막 1바이트를 null byte로 덮어쓸 수 있다.do_comment에 있는 f_do_comment()의 주소의 마지막 1바이트가 null byte가 되면 real_print_flag()의..

Free is misbehaving.AttachmentBugStack address leakArbitrary address writemalloc으로 할당받은 메모리에서 0x10바이트를 읽어와서 rsp+8에 있는 v8에 넣는데, 할당받은 메모리의 주소가 rsp+0x10에 있기 때문에 이 주소를 임의의 주소로 덮어쓸 수 있다.이후에 그 주소에 임의의 0x20바이트 값을 쓸 수 있다.Exploitmain()의 return address를 win()의 주소로 덮어쓰면 플래그를 획득할 수 있다.return 전에 free()에서 터지지 않도록 free()에 들어가는 주소에 fake chunk 구조를 만들어 주어야 한다.from pwn import *r = remote("svc.pwnable.xyz", 30005)s..

Which one would you exploit?AttachmentBug임의의 주소에 임의의 4바이트 값을 쓸 수 있다.Exploit두 가지 방법으로 exploit이 가능하다.auth(s)를 true로 만들어서 win() 호출3. Change age의 AAW를 이용하여 GOT overwrite덜 귀찮아 보이는 두 번째 방법을 선택했다.strncmp()의 GOT를 win()의 주소로 덮고 auth()를 실행하면 strncmp()가 호출되어 플래그를 획득할 수 있다.from pwn import *r = remote("svc.pwnable.xyz", 30031)sla = r.sendlineaftersa = r.sendafterwin = 0x40099Cstrncmp_got = 0x603018sla(b"> ",..