제가 느끼기로는 name에 명령어를 넣고 command의 인덱스를 이용해서 name에 접근하는 방식으로 풀어야겠다고 생각했는데 제가 제대로 생각한게 맞나요? 이걸로 몇시간동안 해봤는데 name이 정확히 command[0]에서 얼마나 떨어져 있는건지 모르겠습니다. 혼자 test.c 같은거 만들어서 전역변수로 name[16] command[10]선언하고 그거 주소 포인터로 출력해보고 command[0]주소도 출력해 보고 name - command[0] 해서 대충 2099144, 2199160정도 나오길래 command[0] + 2000160 이런식으로 때려맞춰서 포인터연산으로 출력해 볼땐 문자열이 잘 나오는데 command[(2099160/4)] 이런식으로 하니까 또 안나오고 그러더라구요(command[1]이 command[0]과 4차이 나서) 이게 가장 쉬운건데 (전 문제는 그냥 넷캣 주소 치면 풀 수 있던 문제) 여기서도 쩔쩔 매면 어떡하죠?... 일단 그래도 이문제는 풀어야 직성이 풀릴 것같습니다. 힌트라도 받고 싶어서 인터넷 뒤져봤는데 비슷한 글을 못찾겠고 참조로는 도저히 모르겠고 풀이라도 봐야되나 했는데 풀이는 못 보길래 갈피라도 잡게 해달라고 글 남깁니다 ㅠㅠ 제가 생각하는 방향이 맞는지 그리고 맞다면 위치를 어떻게 찾아야 하는지 알려주세요 ㅠㅠ

처음에 이 문제를 풀려고 시도 했을 때에는, name 의 위치에 "/bin/sh"을 위치 시키고 oob를 이용해 name을 참조하는 command 배열을 통해 sh를 획득하려고 했었습니다. 그런데, gdb를 보니, system call 시 eax에 "/bin" 만 들어가 있었습니다. EAX 0x6e69622f ('/bin') 그래서 계속 sh을 획득하지 못하는 것처럼 생각이 됩니다. 그래서 여러 정보들을 찾아보니, name에 name+4 의 address를 넣고, name+4 위치에 "/bin/sh" 을 넣으면 된 다는 사실을 알게 되었습니다. 이렇게 하고 gdb로 분석해 보니, 아래와 같이 eax에 /bin/sh이 제대로 들어가 공격에 성공하였습니다. EAX 0x804a0b0 (name+4) ◂— '/bin/sh' system 함수를 호출할때, 위와 같이 해야 하는 이유에 대해서 질문드립니다. 제가 추론한 것은, system에 arguement를 넘길때 eax의 주소(char*)를 넘겨 그 주소의 str을 참조하도록 되어있는데, 제가 처음 시도한 방법은 str 자체가 eax에 들어가게 되므로 에러를 일으킨 것인것일까요?

해당 문제 파일을 다운 받으면 Admin name: (입력) What do you want?: (입력) 받게 되어 있는데, 원격 접속으로 접속 시 Size: (입력) Data: (입력) 으로 되어있습니다. 게다가 Size에 2 입력 후 Data에 아무 값이나 입력해보면 계속 입력을 받는 상태입니다. 코드를 보면 최소 ls는 실행되어야하는데 말이죠. 그리고 해당 문제 파일의 c언어 파일을 보고 배열의 19번 째의 부분에 name[1]의 주소를 두고 name[1]부터 "/bin/sh"를 입력해보았지만 쉘을 획득 할 수 없었습니다. 제가 잘못했을 수도 있지만, 명백히 c언어 파일과 원격 접속의 파일이 다른 것은 확실합니다. 확인부탁드립니다.

코드 복붙한다음 메인함수에 printf("%d", &name); 이런 식으로 코드를 추가해서 보니깐 command[14] 일때 두 주소가 일치해서 name에 cat flag 넣고 idx에 14넣어봤는데 안돼요.. 왜그런지 모르겠어요... 힌트좀 주세요....

name이랑 cammand가 76바이트 차이가 나는데 왜 idx에 19를 넣는건가여..? char형은 1바이트 단위 아닌가여?

system(command[idx]); 를 통해 system("/bin/sh");을 수행하려고 command[idx] = "/bin/sh"을 해주면 된다고 생각해서, command[idx]에 "/bin/sh"을 입력해주었는데, 이렇게 하면 안되고 command[idx]에는 "/bin/sh"을 가리키는 주소가 저장되어야 한다고 되어 있었습니다. 근데 생각해보면 system("/bin/sh"); 자체도 인자에 문자열 자체가 들어가는데, 왜 command[idx] = "/bin/sh";은 안되는건가요..? 실제로 system("/bin/sh");이 전달될 때는 "/bin/sh" 문자열이 인자로 전달되는게 아니라 해당 문자열 리터럴이 저장된 주소가 전달되나요..?

pwntools를 사용해서 문제를 풀었는데, 페이로드가 aaa, bbb라고 하면 r.send(b'aaa\nbbb\n') 으로는 안 풀리고 r.sendline(b'aaa') r.sendline(b'bbb') 를 사용해야 문제가 풀려서 한참 삽질했습니다. 차이점이 무엇인지 알 수 있을까요? sendline이 단순히 \n을 보내는 게 아닌 건가요? 아무리 찾아봐도 모르겠습니다 ㅠㅠㅠ

system 함수에 값을 넣어줄 때 그냥 name배열에 "/bin/sh"넣고 name배열 주소 넣어주면 안되고 name배열에 name+4의 주소 + "/bin/sh"를 넣어주어야 하는지 이유를 모르겠습니다ㅠ

from pwn import * context.log_level='debug' def slog(name,addr) : return success(name + " : " + hex(addr)) p=process('./out_of_bound') e=ELF('./out_of_bound') command_addr=e.symbols['command'] name_addr=e.symbols['name'] distance=name_addr-command_addr slog('name_addr',name_addr) p.recv() name=p32(name_addr+4)+b'/bin/sh\x00' p.sendline(name) p.recv() p.sendline(b'19') 이 코드로 하면 왜 안되는지 궁금합니다 ㅜㅜㅜ ~