ssp_000

전 이전까지 주소를 보낼 때 p64라든지 p32로 패킹을 해서 보냈는데 이 문제는 str()으로 해서 보내야 하드라구요,,, 왜 str()로 해서 보내야 하는지, p64()패킹해 보내면 왜 안되는지, 언제 str()로 해서 보내야하고 언제 패킹해서 보내야하는 지 궁금합니다.

안녕하세요 이 문제 카나리를 leak할 수 있는 부분이 없어보이는데. 어떤 방식으로 접근해야 할까요.

우선 제가 아는대로 설명드리자면 got 를 overwrite 해서 get_shell 함수를 실행하게끔 만들어야함. buf 입력으로 카나리를 변조시켜 __stack_chk_fail 함수를 실행시킴. __stack_chk_fail 함수의 got 를 get_shell 함수주소로 overwrite함. 여기서 궁금한게 있습니다. 풀이를 봤는데 addr에 __stack_chk_fail 함수 got 주소를 넣고 value에 get_shell 함수 주소를 넣더라구요. addr, value 에 저렇게 값을 넣는다고 __stack_chk_fail 함수 실행하고 got가 value 값을 참조해서 get_shell 함수를 실행하게 되는부분이 이해가 안되네요..

왜 굳이 stack chk fail 함수의 got 을 덮어써야하는건지 이해가 잘 안갑니다. 왜 바로 printf 함수의 got 을 get_shell 주소로 덮어쓰면 안되는것인가요?

메모리의 코드 영역은 read-only로 알고 있는데 왜 덮어쓸 수 있나요? (동적디버깅하면 할 수 있나?) 코드를 한번 덮어써봤는데 덮어써지더라고요? 그래서 스택의 ret부분에 get_shell의 주소를 두고 leave ret을 카나리 확인 위에 덮어썼는데 실패.. pwndbg로 보면 특정 코드에서 더 안나가더라고요. 이건 왜 그러나.. 왜 실행할 때마다 스택주소가 달라지나요? 컴파일된 내용은 같을텐데 왜 위치가 다른지.. PIE가 적용되지 않으니까 그냥 운영체제가 랜덤하게 고르는건가

안녕하세요? 매번 친절하게 알려주셔서 정말 감사합니다. Canary 첫 바이트가 \x00이라고 배운 내용에 대하여 질문이 있습니다. 이해가 잘 안 되어서요.. 수업 내용도 마찬가지이고, 이번 문제도 마찬가지이고 카나리의 값을 찍어보면 제일 첫 주소 (스택 위의 카나리의 가장 낮은 주소값)의 값이 \x00이 아닌 것으로 보입니다. 카나리를 [rbp-8]에 집어 넣는 코드를 실행하면 0x40090a <main+15> mov rax, qword ptr fs:[0x28] <0x4008fb> 0x400913 <main+24> mov qword ptr [rbp - 8], rax 결과는 RAX 0x9456c5587b2c4e00 pwndbg> x/2x $rbp-8 0x7fffffffdf88: 0x7b2c4e00 0x9456c558 RAX 값, 즉fs:[0x28]에서 가져온 qword 사이즈의 값이 0x9456c5587b2c4e00 이고 이걸 스택에 집어넣으면 0x7b2c4e00 0x9456c558와 같이 DWORD 단위로 순서가 앞뒤로 바뀌어 들어갑니다. 이렇게 되면, 스택에서의 카나리 첫바이트가 0x00이 아니라 0x7b가 되는 것 처럼 보여요.. 여기서 궁금한 점이 있습니다. 1) 위의 내용이 맞나요? 연습 문제 풀 때는 카나리 첫 바이트를 0x00으로 덮으니 printf로 카나리 내용이 출력이 되었는데, 제가 뭘 잘못 생각하고 있는지 모르겠습니다....ㅠㅠ 2) 그리고 여기서 왜 4바이트(DWORD 단위로) 순서가 바뀌어 들어가는지요? 리틀엔디안이 적용이 안 되었는데, 왜 안되었는지도 궁금합니다.. 도움 말씀 부탁 드립니다.. 감사합니다

[두 번째 호출이라면 GOT에 실제 함수의 주소가 쓰여있지만, 첫 번째 호출이라면 GOT에 실제 함수의 주소가 쓰여있지 않다.] 라고 알고있는데 첫 번째 호출에서도 함수의 GOT를 저장할 주소는 이미 존재하는 건가요?

문제를 풀긴 풀었는데 read를 통해 카나리를 손상시킬 때 카나리까지 가지 않더라도 카나리가 손상되는 것 같아서 이유가 궁금해 질문드립니다. 문제에서 buf를 0x40만큼 할당해 주었고 디버깅을 해보니 카나리는 이보다 8바이트 뒤에 있었습니다. read 전 버퍼의 내용입니다. 0x7fffffffe2a0: 0x00000000 0x00000000 0x00000000 0x00000000 0x7fffffffe2b0: 0x00000000 0x00000000 0x00000000 0x00000000 0x7fffffffe2c0: 0x00000000 0x00000000 0x00000000 0x00000000 0x7fffffffe2d0: 0x00000000 0x00000000 0x00000000 0x00000000 0x7fffffffe2e0: 0xffffe3e0 0x00007fff 0x891bfc00 0x6221ddb2 맨 아랫줄에 0x891bfc00 이 카나리라고 판단하고 카나리 전까지 A를 집어넣어 보았습니다. read 후 0x7fffffffe2a0: 0x41414141 0x41414141 0x41414141 0x41414141 0x7fffffffe2b0: 0x41414141 0x41414141 0x41414141 0x41414141 0x7fffffffe2c0: 0x41414141 0x41414141 0x41414141 0x41414141 0x7fffffffe2d0: 0x41414141 0x41414141 0x41414141 0x41414141 0x7fffffffe2e0: 0x41414141 0x41414141 0x891bfc0a 0x6221ddb2 그런데 갑자기 카나리의 널바이트가 바뀌더라구요... 실제로 A를 0x48만큼 보낸 제 익스플로잇도 성공을 하였습니다. 바뀌는 이유가 무엇인지 궁금합니다.

우선 해당 문제의 정석(?) 풀이법은 이해했습니다 원하는 메모리에 원하는 값을 넣을 수 있으니 read함수를 통해 카나리를 변조시킨 후 stack check fail 의 got을 overwrite하여 get_shell을 실행 시킬 수 있음을 확인 했는데 이와는 다르게 제가 처음 생각한 시나리오는 이렇습니다.. 원하는 메모리 주소의 값을 변경 할 수 있으니(쓰기 권한이 있다면) main 함수의 return 주소를 카나리 변조 없이 변경할 수 있지 않을까 싶어 확인해보니 ret 값을 저장해 둔 스택에 쓰기 권한이 있다는것을 확인했고 PIE기법이 적용되지 않아있기에 해당 메모리 주소의 값을 get_shell 함수의 주소값을 대입했습니다. 디버깅 결과 정상적으로 get_shell 함수로 ret 됨 또한 확인 했는데 결론적으로 오류가 나며 익스플로잇에 실패합니다.. 제가 뭔가를 놓친부분이 있는것 같은데 찾질 못하겠네요..ㅠ 조언 부탁드립니다..! 아래 사진은 ret 당시 상황이며 이후 오류가 발생한 부분입니다! image.png image.png

해당 문제를 풀이할 때 GOT를 넣고 해당 *(long *)addr = value를 통해 get_shell의 주소를 넣게 되는데, addr의 메모리를 살펴보면 stack_chk_fail의 GOT가 들어가고 *(long *)addr = value를 통해 GOT 내부가 get_shell로 변경되어 GOT 실행 시 get_shell를 실행하게 되는건가요? pwndbg를 통해 메모리를 살펴보려고 하는데 실패해서 확인을 못하겠습니다..