pwnable.kr [leg]

Daddy told me I should study arm.
But I prefer to study my leg!

Download : http://pwnable.kr/bin/leg.c
Download : http://pwnable.kr/bin/leg.asm

ssh leg@pwnable.kr -p2222 (pw:guest)

 

 

 

 

 

#include <stdio.h>
#include <fcntl.h>
int key1(){
	asm("mov r3, pc\n");
}
int key2(){
	asm(
	"push	{r6}\n"
	"add	r6, pc, $1\n"
	"bx	r6\n"
	".code   16\n"
	"mov	r3, pc\n"
	"add	r3, $0x4\n"
	"push	{r3}\n"
	"pop	{pc}\n"
	".code	32\n"
	"pop	{r6}\n"
	);
}
int key3(){
	asm("mov r3, lr\n");
}
int main(){
	int key=0;
	printf("Daddy has very strong arm! : ");
	scanf("%d", &key);
	if( (key1()+key2()+key3()) == key ){
		printf("Congratz!\n");
		int fd = open("flag", O_RDONLY);
		char buf[100];
		int r = read(fd, buf, 100);
		write(0, buf, r);
	}
	else{
		printf("I have strong leg :P\n");
	}
	return 0;
}

 

 

key1(), key2(), key3()은 asm 함수로 어셈블리로 되어있고...

main()보면 입력할 정수 key가 key1()+key2()+key3()과 동일해야 하므로 if문에서 비교하는 저 셋을 합친 값이 어떻게 되는지 gdb로 확인해보면 알 수 있을듯

 

 

gdb로 확인한 결과가 leg.asm에 저장되어 있음

 

main()보면 cmp 비교에서 r2랑 r3랑 비교함

r2가 key1()+key2()+key3()일거고

위에 key1, key2, key3의 함수 들어갔다가 나와서 모두 r0의 값을 r3, r4에 넣어서 add하는 등의 전처리를 진행함

고로 key 함수들은 결과값을 r0에 저장한다는 소리 => 각 key 함수들의 r0를 확인하자.

 

 

key1()에서 r0는 r3에서 왔고, r3는 pc에서 옴.

pc는 opcode의 pipe line 작업을 위한 다다음 주소를 저장하는 레지스터.

그렇다면 key+8에서의 pc는 key+16인 0x00008ce4이겠다. 이게 key1()의 r0임

 

 

key2()도 r0는 r3에서 왔고, r3는 pc+4에서 옴

pc는 key+20에의 pc 이므로 0x00008d08이고 여기서 +4한 값은 0x00008d0c임 key2()에서의 r0값은 0x8d0c

 

 

 

마지막 key3()에서는 pc가 아니라 lr에서 옴

lr는 함수 끝나면 되돌아갈 실행 주소를 담고 있음. 즉, key3()이 끝나고 main에서 다음 주소라는 뜻

key3 끝나면 mian+68로 감. 고로 key3()의 r0는 결국 0x8d80이 될 것임

 

 

 

최종 결산 두둥탁,

key1()+key2()+key3() = 0x00008ce4 + 0x00008d0c + 0x00008d80 = 1A770=108400(10진수)

key 입력할 때 정수로 받으니까(%d) 10진수로 108400 쳐넣으면 되겠습니다~