0924 라이트업 (CodeEngn Basic RCE 9)

전체실행 후 뜨는 창

처음부터 코드를 내리다 보니 뭔가 있을 것 같은 부분이 나왔다

 

열심히 찾아보지만 안 됨...

 

stolenbyte정의 다시 생각하기

"POPAD와 jmp OEP사이에 연속되어진 PUSH부분을 stolen byte이라고한다"

 

->언패킹되지 않은 파일을 열어야 stolenbyte를 찾을 수 있다

 

 

언패킹되지 않은 파일을 열었다

PUSHAD의 짝꿍인 POPAD 찾아야함 -> Ctrl + f로 검색

연속되는 push 3개 발견

답은 6A0068002040006812204000

 

 

처음 언패킹한 문제 파일 열고 전체실행 시 문자열 깨지는 문제가 있었음

nop은 공격할 때 사용할 빈 공간.

이 부분에 아까 stolenbyte를 덮어쓴다

push 0

push 00402000

push 00402012

이제 안깨짐~