LEVEL 2

basic_exploitation_000

pwnable

14857

3865

2020.04.01. 15:00:00

로그인 하고 문제 풀기

문제 정보
풀이 196
난이도 투표 134
질문 45
최근 풀이자 3865
댓글 158

문제 설명

Description

이 문제는 서버에서 작동하고 있는 서비스(basic_exploitation_000)의 바이너리와 소스 코드가 주어집니다.
프로그램의 취약점을 찾고 익스플로잇해 셸을 획득한 후, "flag" 파일을 읽으세요.
"flag" 파일의 내용을 워게임 사이트에 인증하면 점수를 획득할 수 있습니다.
플래그의 형식은 DH{...} 입니다.

Environment

Ubuntu 16.04
Arch:     i386-32-little
RELRO:    No RELRO
Stack:    No canary found
NX:       NX disabled
PIE:      No PIE (0x8048000)
RWX:      Has RWX segments

Reference

Return Address Overwrite

난이도 투표 134

전체 투표 로그

대표 업적 없음

LEVEL 3에 투표했습니다.

22시간 전

대표 업적 없음

LEVEL 2에 투표했습니다.

4일 전

강의 수강: 1

LEVEL 2에 투표했습니다.

5일 전

대표 업적 없음

LEVEL 1에 투표했습니다.

5일 전

대표 업적 없음

LEVEL 1에 투표했습니다.

5일 전

질문 43

문제 풀이에 어려움이 있으신가요?

커뮤니티에서 문제에 대한 질문하고 답변 얻기

로컬에서 정상동작하는 쉘코드가 payload에 넣어보내면 동작을 하지 않습니다.

아래 두 쉘코드 중 첫 번째는 payload에 넣어 보냈을 때 정상적으로 쉘을 실행시키지만, 두 번째는 로컬에서는 ld로 어셈블했을 때는 잘 동작하지만 payload에 넣어 보내면 쉘을 못 실행시킵니다. gdb로 int 0x80 전에 ebx, ecx, edx에 값이 둘 다 동일하게 들어간 것도 확인했는데 왜 원격에서 첫 쉘코드만 실행되고, 두 번째 쉘코드는 실행되지 않는지 궁금합니다. 원격에서 정상 동작하는 쉘코드 : 0: 31 c0 xor eax,eax 2: 50 push eax 3: 68 6e 2f 73 68 push 0x68732f6e 8: 68 2f 2f 62 69 push 0x69622f2f d: 89 e3 mov ebx,esp f: 31 c9 xor ecx,ecx 11: 31 d2 xor edx,edx 13: b0 08 mov al,0x8 15: 40 inc eax 16: 40 inc eax 17: 40 inc eax 18: cd 80 int 0x80 원격에서 정상적으로 동작하지 않는 쉘코드 : 0: 31 c9 xor ecx,ecx 2: 51 push ecx 3: 68 6e 2f 73 68 push 0x68732f6e 8: 68 2f 2f 62 69 push 0x69622f2f d: 6a 0b push 0xb f: 58 pop eax 10: 89 ca mov edx,ecx 12: 89 e3 mov ebx,esp 14: cd 80 int 0x80

처음이라 질문해요! 그럼 어떻게 디버깅 하나요 ?

처음이라서 질문합니다 ! 혹시 이 파일은 원래 64디버깅으로 안 열리나요,..? 이유가 뭔가요

어셈블리어에서 \xb0\x08\xfe\xc0\xfe\xc0\xfe\xc0 와 \xb0\x08\x40\x40\x40 의 차이가 궁금합니다.

둘 다 실행해보면서 mov al, 0x8 에서 al 값이 0xb로 바뀌는 사실을 알았습니다. \xfe\xc0의 의미는 inc al 로 알게되었지만 \x40의 의미를 잘 모르겠습니다.

쉘은 딴거같은데 결과가 안나오는 것 같아요

쉘 딴거같은데 아무것도 안뜨는데 잘못한 걸까요?? image.png 코드입니다

셀코드 호출규약

이문제 에서 셀코드를 만들때 왜 fastcall 호출규약을 이용해서 짜나요? 0x080485d9 <+0>: push ebp 0x080485da <+1>: mov ebp,esp 0x080485dc <+3>: add esp,0xffffff80 0x080485df <+6>: call 0x8048592 <initialize> 0x080485e4 <+11>: lea eax,[ebp-0x80] 0x080485e7 <+14>: push eax 0x080485e8 <+15>: push 0x8048699 0x080485ed <+20>: call 0x80483f0 <printf@plt> 0x080485f2 <+25>: add esp,0x8 0x080485f5 <+28>: lea eax,[ebp-0x80] 0x080485f8 <+31>: push eax 0x080485f9 <+32>: push 0x80486a5 0x080485fe <+37>: call 0x8048460 <__isoc99_scanf@plt> 0x08048603 <+42>: add esp,0x8 0x08048606 <+45>: mov eax,0x0 0x0804860b <+50>: leave 0x0804860c <+51>: ret 문제코드 disass main 해보면 호출규약이 페스트 켈은 아닌거 같은데 문제에서 셀을짤대는 왜 페스트켈 호출규약을 이용하나요? ㅜㅜ

문제 해결을 위한 다른 방법?

만약 문제에서 buf의 주소를 알려주지 않는다면 어떻게 해결할 수 있으려나요? 매번 buf의 주소는 랜덤하게 바뀌는 것 같던데..

탈퇴한 이용자

문제는 buf에 어떠한 값을 넣고 ret에 buf주소를 넣는 방식으로 해결했습니다. 이떄 그냥 buf에 어떠한 값을 넣기 보다는 buf에는 쓰레기 값들을 입력해주고 bof로 ret에 직접적으로 값을 넣어서 실행시키면 안되는 것인가요? 왜 다들 ret에 buf의 주소를 넣는 방식으로 풀이를 하신 건가요..? 궁급합니당

gdb를 이용하여 scanf에 shellcode를 넣는 방법

gdb를 이용해서 공격을 테스트 해보려고 합니다. 이때 scanf 에 shellcode를 넣을 때 '\xff~' 이런식으로 넣으면 string으로 인식할것 같습니다. 다른 방법이 있는지 문의드려요

함수 호출 규약이 fastcall인 이유를 설명해주세요 ㅜㅜ

shell을 얻은 직후의 응답에 대한 질문

다음과 같이 셸을 따고 난 후에 왜 처음 명령에는 응답을 안하고 2번째 이후의 명령부터 응답하는지가 궁금합니다.... 다른 때에 pwntools를 사용해서 interactive()를 했을 때에는 안 이랬는데 이게 단지 저만의 로컬 문제인지 아니면 어떠한 이유에서 인지가 궁급합니다.

LEVEL 2

basic_exploitation_000

pwnable

14857

3865

2020.04.01. 15:00:00

로그인 하고 문제 풀기

출제자 정보

대표 업적 없음

Dreamhack official account

First Blood!

Closed Beta Tester

출제된 지 12시간 만에 풀이 완료!

대표 업적 없음

51분 전

대표 업적 없음

5시간 전

대표 업적 없음

9시간 전

대표 업적 없음

22시간 전

대표 업적 없음

1일 전

대표 업적 없음

2일 전

대표 업적 없음

2일 전

대표 업적 없음

2일 전

대표 업적 없음

2일 전

대표 업적 없음

3일 전

댓글 158

워게임: 20

5개월 전

셸코드를 찾아서 푸는게 정배이긴 한데 복습 겸 구현하려니까 은근 힘드네요.. 어쨌거나 복습해보겠습니다

대표 업적 없음

10개월 전

있는거 쓰는게 좋다..

대표 업적 없음

1년 전

제안을 드립니다. 강의에는 open, read, write syscall 하는 법만 나오는데 exec syscall도 하는 법을 알려주시고 이 문제를 주시면 도움이 많이 될 듯 합니다

대표 업적 없음

1년 전

30분 고민하고 답 볼 생각한 건 최고의 선택이었다.

대표 업적 없음

1년 전

일단 드림핵 커리큘럼이 아주 답이 없다는 건 잘 알았습니다

비기너즈 입문

1년 전

매우 어려운!

시니어

2년 전

포기하지 마세요... 저도 했습니다...

대표 업적 없음

2년 전

SO EASY

대표 업적 없음

2년 전

댓글 참고해서 시간 아꼈네요. 없었다면 저도 시간 날렸을 것 같습니다.

대표 업적 없음

2년 전

SFP의 존재를 망각해서 1시간을 날려먹음..