Basic RCE L11 :: CodeEngn/BasicRCE

문제:

우선 파일을 실행시켜 보았을 때,

이렇게 두 가지 문구가 뜬 다음 파일이 종료된다.

 

파일을 살펴보기 위해 ollydbg로 열어주었다.

 

파일을 열자마자 PUSHAD라는 명령어를 볼 수 있었고,

이는 이 파일이 UPX로 패킹이 되어있다는 것을 뜻한다.

 

OEP를 얻기 위해서는 이 파일을 언패킹해야하기 때문에

언패킹을 진행해주었다.

 

이 언패킹된 파일을 다시 ollydbg로 열어주면

OEP 부분과

Stolenbyte가 이루어져 내용이 사라진 부분을 볼 수 있었다.

 

OEP는 00401000이고,

이 Stolenbyte를 찾기 위해 다시 언패킹되지 않은 파일을

ollydbg로 열어주었다.

 

POPAD부분을 찾아주고,

그 밑에서 PUSH해주는 부분을 찾을 수 있었는데,

아까 위쪽에서 StolenByte부분이 12비트였기 때문에

이 값이 StolenByte라고 예상할 수 있다.

 

그렇기 때문에 OEP는 00401000 이고

StolenByte는 6A 00 68 00 20 40 00 68 12 20 40 00임을 알 수 있다.