LEVEL 1

out_of_bound

pwnable
2936
1408
로그인 하고 문제 풀기
  • 문제 정보
  • 풀이 98
  • 난이도 투표 54
  • 질문 8
  • 최근 풀이자 1408
  • 댓글 79

문제 설명

Description

이 문제는 서버에서 작동하고 있는 서비스(out_of_bound)의 바이너리와 소스 코드가 주어집니다.
프로그램의 취약점을 찾고 익스플로잇해 셸을 획득하세요.
"flag" 파일을 읽어 워게임 사이트에 인증하면 점수를 획득할 수 있습니다.
플래그의 형식은 DH{...} 입니다.

Environment
Ubuntu 16.04
Arch:     i386-32-little
RELRO:    Partial RELRO
Stack:    Canary found
NX:       NX enabled
PIE:      No PIE (0x8048000)
Reference

Out-of-boundary

출제자 정보

avatar
Dreamhack
대표 업적 없음
2020.04.01. 15:00:00

First Blood!

avatar
realsung
Open Beta Top 10
출제된 지 21시간 만에 풀이 완료!

난이도 투표 54

질문 8

문제 풀이에 어려움이 있으신가요?
커뮤니티에서 문제에 대한 질문하고 답변 얻기
Pwntools send/sendline 관련 질문
pwntools를 사용해서 문제를 풀었는데, 페이로드가 aaa, bbb라고 하면 r.send(b'aaa\nbbb\n') 으로는 안 풀리고 r.sendline(b'aaa') r.sendline(b'bbb') 를 사용해야 문제가 풀려서 한참 삽질했습니다. 차이점이 무엇인지 알 수 있을까요? sendline이 단순히 \n을 보내는 게 아닌 건가요? 아무리 찾아봐도 모르겠습니다 ㅠㅠㅠ
queued
답변 2
추천 6
3년 전
대체 어떤식으로 풀어야 되는거죠?
제가 느끼기로는 name에 명령어를 넣고 command의 인덱스를 이용해서 name에 접근하는 방식으로 풀어야겠다고 생각했는데 제가 제대로 생각한게 맞나요? 이걸로 몇시간동안 해봤는데 name이 정확히 command[0]에서 얼마나 떨어져 있는건지 모르겠습니다. 혼자 test.c 같은거 만들어서 전역변수로 name[16] command[10]선언하고 그거 주소 포인터로 출력해보고 command[0]주소도 출력해 보고 name - command[0] 해서 대충 2099144, 2199160정도 나오길래 command[0] + 2000160 이런식으로 때려맞춰서 포인터연산으로 출력해 볼땐 문자열이 잘 나오는데 command[(2099160/4)] 이런식으로 하니까 또 안나오고 그러더라구요(command[1]이 command[0]과 4차이 나서) 이게 가장 쉬운건데 (전 문제는 그냥 넷캣 주소 치면 풀 수 있던 문제) 여기서도 쩔쩔 매면 어떡하죠?... 일단 그래도 이문제는 풀어야 직성이 풀릴 것같습니다. 힌트라도 받고 싶어서 인터넷 뒤져봤는데 비슷한 글을 못찾겠고 참조로는 도저히 모르겠고 풀이라도 봐야되나 했는데 풀이는 못 보길래 갈피라도 잡게 해달라고 글 남깁니다 ㅠㅠ 제가 생각하는 방향이 맞는지 그리고 맞다면 위치를 어떻게 찾아야 하는지 알려주세요 ㅠㅠ
겨란
답변 1
추천 6
4년 전
system() 호출시 name+4 의 주소로 설정해야 하는 이유
처음에 이 문제를 풀려고 시도 했을 때에는, name 의 위치에 "/bin/sh"을 위치 시키고 oob를 이용해 name을 참조하는 command 배열을 통해 sh를 획득하려고 했었습니다. 그런데, gdb를 보니, system call 시 eax에 "/bin" 만 들어가 있었습니다. EAX 0x6e69622f ('/bin') 그래서 계속 sh을 획득하지 못하는 것처럼 생각이 됩니다. 그래서 여러 정보들을 찾아보니, name에 name+4 의 address를 넣고, name+4 위치에 "/bin/sh" 을 넣으면 된 다는 사실을 알게 되었습니다. 이렇게 하고 gdb로 분석해 보니, 아래와 같이 eax에 /bin/sh이 제대로 들어가 공격에 성공하였습니다. EAX 0x804a0b0 (name+4) ◂— '/bin/sh' system 함수를 호출할때, 위와 같이 해야 하는 이유에 대해서 질문드립니다. 제가 추론한 것은, system에 arguement를 넘길때 eax의 주소(char*)를 넘겨 그 주소의 str을 참조하도록 되어있는데, 제가 처음 시도한 방법은 str 자체가 eax에 들어가게 되므로 에러를 일으킨 것인것일까요?
anous
답변 1
추천 3
2년 전
맞는거같은데 왜 안돼는지 모르겠습니다..ㅠㅠ
코드 복붙한다음 메인함수에 printf("%d", &name); 이런 식으로 코드를 추가해서 보니깐 command[14] 일때 두 주소가 일치해서 name에 cat flag 넣고 idx에 14넣어봤는데 안돼요.. 왜그런지 모르겠어요... 힌트좀 주세요....
옴니포텐
답변 1
추천 3
4년 전
system 함수
system 함수에 값을 넣어줄 때 그냥 name배열에 "/bin/sh"넣고 name배열 주소 넣어주면 안되고 name배열에 name+4의 주소 + "/bin/sh"를 넣어주어야 하는지 이유를 모르겠습니다ㅠ
avatar d3lphia
답변 2
추천 3
2년 전
이거 문제가 다른거 같습니다.
해당 문제 파일을 다운 받으면 Admin name: (입력) What do you want?: (입력) 받게 되어 있는데, 원격 접속으로 접속 시 Size: (입력) Data: (입력) 으로 되어있습니다. 게다가 Size에 2 입력 후 Data에 아무 값이나 입력해보면 계속 입력을 받는 상태입니다. 코드를 보면 최소 ls는 실행되어야하는데 말이죠. 그리고 해당 문제 파일의 c언어 파일을 보고 배열의 19번 째의 부분에 name[1]의 주소를 두고 name[1]부터 "/bin/sh"를 입력해보았지만 쉘을 획득 할 수 없었습니다. 제가 잘못했을 수도 있지만, 명백히 c언어 파일과 원격 접속의 파일이 다른 것은 확실합니다. 확인부탁드립니다.
물고기밥
답변 1
추천 2
3년 전
out_of_bound 힌트 좀 주세요ㅠㅠㅠㅠ
윱윱
답변 1
추천 2
4년 전
메모리 바이트 관련
name이랑 cammand가 76바이트 차이가 나는데 왜 idx에 19를 넣는건가여..? char형은 1바이트 단위 아닌가여?
avatar mooji
답변 1
추천 1
9개월 전

최근 풀이자 1408

daeseong1209
대표 업적 없음
1일 전
연어맛있다
대표 업적 없음
1일 전
Madb33
강의 수강: 10
1일 전
avatar
deom
대표 업적 없음
4일 전
avatar
Ludere
강의 수강: 10
4일 전
ㄴㅇ
대표 업적 없음
5일 전
1tsev
대표 업적 없음
5일 전
이석희
대표 업적 없음
5일 전
avatar
ngcode
대표 업적 없음
5일 전
avatar
junan
공부벌레
6일 전

댓글 79

avatar
santa6
대표 업적 없음
5개월 전
32bit임을 잊지 말자
catpwn
대표 업적 없음
8개월 전
damn...
avatar
metamong
워게임 고인물
10개월 전
Funny 😁
avatar
나는재영
대표 업적 없음
11개월 전
9999d
avatar
z3rodae0
대표 업적 없음
1년 전
익스 자체는 단순하지만, 중요한 개념들을 배울 수 있는 문제인거 같다.+
avatar
wonu
대표 업적 없음
1년 전
어렵다
avatar
연어초밥
공부벌레
1년 전
배울게 많았던 문제
예삐
대표 업적 없음
1년 전
syscall, const char*.
ChAp_cHaP_HACK
강의 수강: 1
1년 전
흥미롭다!
avatar
Ox0ne
대표 업적 없음
1년 전
내가 푼 워게임중에 가장 흥미롭고 재미지다