Забавный challenge для любителей поковыряться в уязвимом коде, с дальнейшим эксплойтингом найденного "бага" ;)
http://bffffab0.info/

PS: вступительный тест(f334g443.c) я решил, жду ответа от dvorin'a.

Гм... Ну, тривиально на первый взгляд. Я особо не смотрел, но вот:

x = read (0, buf);
а buf только как char buf[1024]; определен. Переполни его и все :( Правда, немедленно за ним следует char bytes[256]; и еще поинтер. Если компилер их один за другим определит, то переливать надо все.

volodya
tam format string bug, a ne buffer overflow
//sorry for translit

Черт! Ты прав. Собрал. Набрал во вводе от балды %s%s%s - получил segmentation fault. Балда я ивановна :(
Я так понимаю, туточки баг - fprintf(stdout,buf); Больше-то ему быть негде. :(

ugu, imenno tam.
a vot teper' gdb v ruki, issledui i poprobui zaexploitit' etot bug ;)
//sorry for translit

Дык если спецификатор предписывает вывести содержимое по какому-то адресу, а адрес недействительный - то ой-ой-ой будет. С другой стороны, как превратить просто seg fault в нечто более полезное - тут надо подумать...

> С другой стороны, как превратить просто seg fault в нечто более полезное - тут надо подумать...
а что здесь думать-то? :) буфер buf() на то и дан в задаче, чтобы туда поместить свой код(хотите назовите его шеллкод).
Вся проблема была в том, как передать в этот буфер управление с помощью спецификаторов.:)

ЗЫ: да, и не забудьте предварительно проXORить свой код с 0xb0.

Вся проблема была в том, как передать в этот буфер управление с помощью спецификаторов.:)

<195 байт кода эксплоита>%n

Black_mirror wrote:
><195 байт кода эксплоита>%n

и это твоё решение? :) сам бы хоть удосужился проверить обычным тестом..
я понимаю, что проще всего передать управление на адрес в стеке посредством C3(ret).
НО!:
1. Кто тебе разрешит писАть в секцию кода?(запись опкода C3, как ты предлагаешь)
2. Если бы всё было _настолько_ "тривиально", то не было бы этого челенджа,
а тем более с денежным джекпотом!

А что такое "эксплойт"?

The Svin
В данном конкретном примере под ним "можно" понимать строку
формата, с помощью которой мы можем выполнить нужный нам
код(обычно шеллкод), в контексте данного процесса.

intuit
Нашел ни разу не дзенский вариант:

<код>%%s%11$*d%10$n
То что помечено красным, так и остается, остальное должно быть проксоренно с 0xb0.

<код> - код эксплоита, чего в нем не должно быть, так это символов '%'. Даже после xor'а.
%% - это чтобы на один уменьшить число выводимых символов.
s - данный байт превратится в ret, на который будет передано управление, а с него на начало буфера.
%11$*d - переходим к параметру buf функции bob, который используется как ширина поля вывода.
%10$n - затираем адрес возврата из функции bob, числом выведенных символов. В этом как раз и заключается недостаток данного алгоритма: выводится 1.5 гига!

Black_mirror

Прости, что туплю, но как твой буфер получит управление?

volodya
Когда будет расшифрован символ 'd', произойдет следующее:
Функция fprintf выведет символы кода эксплоита, число с шириной поля_вывода равной адресу_буфера и символ '%', а затем перезапишет адрес возврата из функции bob количеством выведенных символов, или иначе говоря адресом символа 's', который уже успел превратится в команду ret.
На следующей итерации последний '%' превратится в неизвестно что, поэтому больше адрес перезаписываться не будет. При возврате из функции bob, управление попадет на ret, а он передаст его на начало буфера, так как адрес буфера был первым параметром функции bob.

Понял. Спасибо!