Skip to main content Link Menu Expand (external link) Document Search Copy Copied

TAG

reversing Study

Basic RCE 11

image

image

해당 프로그램이 UPX로 패킹 된 것을 확인하였다. 일단 디버거로 바로 실행해보자.

image

image

OEP 부터 아래 13바이트가 모두 NOP으로 채워진 것을 확인 할 수 있다. call 40109F를 따라가다 보면 MessageBoxA함수를 호출 하는 것을 알 수 있는데, 해당 부분의 매개변수가 0 하나뿐이므로, 나머지 3개가 미리 PUSH된 stolen byte임을 알 수 있다.

image

?? 9번이랑 중복같은데

image

image


Author

Reverser & Pwner