[pwnable.xyz] fspoo
Wargame/pwnable.xyz
Emojis on the riseAttachmentThe Bugfmt는 %s 앞에 7바이트가 추가된 format string이다.cmd[0x30]에는 최대 0x1f바이트까지 입력할 수 있기 때문에 sprintf()로 cmd에 복사되는 문자열의 길이는 최대 0x26바이트이다.따라서 cmd[0x20]부터는 임의의 문자열로 채울 수 있고, format string bug가 발생한다.ExploitGet stack addressvuln()의 SFP (main()의 ebp)를 leak하여 stack address를 구할 수 있다.Get PIE basevuln()의 return address를 leak하여 PIE base를 구할 수 있다.Arbitrary address writeop를 이용하여 스택에 임의의 4바이트..