우선 제가 아는대로 설명드리자면 got 를 overwrite 해서 get_shell 함수를 실행하게끔 만들어야함. buf 입력으로 카나리를 변조시켜 __stack_chk_fail 함수를 실행시킴. __stack_chk_fail 함수의 got 를 get_shell 함수주소로 overwrite함. 여기서 궁금한게 있습니다. 풀이를 봤는데 addr에 __stack_chk_fail 함수 got 주소를 넣고 value에 get_shell 함수 주소를 넣더라구요. addr, value 에 저렇게 값을 넣는다고 __stack_chk_fail 함수 실행하고 got가 value 값을 참조해서 get_shell 함수를 실행하게 되는부분이 이해가 안되네요..

main이 끝나면 exit이 호출되는 것으로 알고 있는데, exit_got에 get_shell을 넣으면 실행이 안되는 이유가 뭔가요?

안녕하세요? 매번 친절하게 알려주셔서 정말 감사합니다. Canary 첫 바이트가 \x00이라고 배운 내용에 대하여 질문이 있습니다. 이해가 잘 안 되어서요.. 수업 내용도 마찬가지이고, 이번 문제도 마찬가지이고 카나리의 값을 찍어보면 제일 첫 주소 (스택 위의 카나리의 가장 낮은 주소값)의 값이 \x00이 아닌 것으로 보입니다. 카나리를 [rbp-8]에 집어 넣는 코드를 실행하면 0x40090a <main+15> mov rax, qword ptr fs:[0x28] <0x4008fb> 0x400913 <main+24> mov qword ptr [rbp - 8], rax 결과는 RAX 0x9456c5587b2c4e00 pwndbg> x/2x $rbp-8 0x7fffffffdf88: 0x7b2c4e00 0x9456c558 RAX 값, 즉fs:[0x28]에서 가져온 qword 사이즈의 값이 0x9456c5587b2c4e00 이고 이걸 스택에 집어넣으면 0x7b2c4e00 0x9456c558와 같이 DWORD 단위로 순서가 앞뒤로 바뀌어 들어갑니다. 이렇게 되면, 스택에서의 카나리 첫바이트가 0x00이 아니라 0x7b가 되는 것 처럼 보여요.. 여기서 궁금한 점이 있습니다. 1) 위의 내용이 맞나요? 연습 문제 풀 때는 카나리 첫 바이트를 0x00으로 덮으니 printf로 카나리 내용이 출력이 되었는데, 제가 뭘 잘못 생각하고 있는지 모르겠습니다....ㅠㅠ 2) 그리고 여기서 왜 4바이트(DWORD 단위로) 순서가 바뀌어 들어가는지요? 리틀엔디안이 적용이 안 되었는데, 왜 안되었는지도 궁금합니다.. 도움 말씀 부탁 드립니다.. 감사합니다

왜 굳이 stack chk fail 함수의 got 을 덮어써야하는건지 이해가 잘 안갑니다. 왜 바로 printf 함수의 got 을 get_shell 주소로 덮어쓰면 안되는것인가요?

정석 풀이는 아직 확인을 안해서 모르겠지만 풀이방법으로 해봤는데 잘 안되는 방법이 있어서 질문드립니다. addr이 가리키는 메모리 주소에 value 값을 넣는것을 착안하여 addr은 카나리값이 들어있는 rbp-8주소의 10진수 값을 넣었고 value에 임의의 값을 넣었습니다. 그 전에 페이로드에는 버퍼~카나리 위치를 덮는 더미값과 value값 SFP,get_shell주소를 고려해서 넣었는데 이것도 가능한 방법일까요? 제 생각으로는 read를 통해 페이로드가 입력되고 카나리 값을 변조시키니 리턴주소를 get_shell주소로 변조시키면 가능할 것 같은데... 물론 get_shell의 함수 시작위치는 찾았지만 메모리 주소는 못찾았지만요..

addr에 rbp+0x8를, value에 get_shell()의 주소를 입력하면 main()함수 스택의 RET가 바로 get_shell()의 주소로 덮여서 실행될거라고 생각했습니다. 근데 예상과 달리 비정상적으로 종료돼서 gdb로 확인해봤습니다. get_shell까지 rip가 옮겨지는 건 확인했는데 do_system 함수에서 비정상적으로 종료되더라고요. 이렇게 하면 안되는 이유가 궁금합니다. from pwn import * p = process('./ssp_000') pause() p.sendline(b"d") p.recvuntil(b"r : ") p_ret = 0x7fffffffe540 + 0x8 p.sendline(str(p_ret).encode()) p.recvuntil(b"e : ") shell_addr = 0x4008ea p.sendline(str(shell_addr).encode()) p.interactive() image.png image.png

chk_fail 함수의 주소와 get_shell 함수의 주소를 IDA에서 구했습니다. image.png 이들의 값을 출력해봤을 때,get_shell은 IDA랑 같은데 chk_fail의 값은 IDA에서는 0x6010B0이고, 콘솔에 찍었을 땐 0x601020으로 나옵니다. image.png 이 차이가 생기는 이유가 궁금하고, image.png 이렇게 __stackk_chk_fail 이랑 앞에 막대기 하나 차이로 또 한 함수가 더 있었는데 이렇게 두 개가 있는 이유는 뭔가요? 이름 앞에 막대기 세 개인 함수는 에러가 떠서요!

문제를 풀긴 풀었는데 read를 통해 카나리를 손상시킬 때 카나리까지 가지 않더라도 카나리가 손상되는 것 같아서 이유가 궁금해 질문드립니다. 문제에서 buf를 0x40만큼 할당해 주었고 디버깅을 해보니 카나리는 이보다 8바이트 뒤에 있었습니다. read 전 버퍼의 내용입니다. 0x7fffffffe2a0: 0x00000000 0x00000000 0x00000000 0x00000000 0x7fffffffe2b0: 0x00000000 0x00000000 0x00000000 0x00000000 0x7fffffffe2c0: 0x00000000 0x00000000 0x00000000 0x00000000 0x7fffffffe2d0: 0x00000000 0x00000000 0x00000000 0x00000000 0x7fffffffe2e0: 0xffffe3e0 0x00007fff 0x891bfc00 0x6221ddb2 맨 아랫줄에 0x891bfc00 이 카나리라고 판단하고 카나리 전까지 A를 집어넣어 보았습니다. read 후 0x7fffffffe2a0: 0x41414141 0x41414141 0x41414141 0x41414141 0x7fffffffe2b0: 0x41414141 0x41414141 0x41414141 0x41414141 0x7fffffffe2c0: 0x41414141 0x41414141 0x41414141 0x41414141 0x7fffffffe2d0: 0x41414141 0x41414141 0x41414141 0x41414141 0x7fffffffe2e0: 0x41414141 0x41414141 0x891bfc0a 0x6221ddb2 그런데 갑자기 카나리의 널바이트가 바뀌더라구요... 실제로 A를 0x48만큼 보낸 제 익스플로잇도 성공을 하였습니다. 바뀌는 이유가 무엇인지 궁금합니다.

우선 해당 문제의 정석(?) 풀이법은 이해했습니다 원하는 메모리에 원하는 값을 넣을 수 있으니 read함수를 통해 카나리를 변조시킨 후 stack check fail 의 got을 overwrite하여 get_shell을 실행 시킬 수 있음을 확인 했는데 이와는 다르게 제가 처음 생각한 시나리오는 이렇습니다.. 원하는 메모리 주소의 값을 변경 할 수 있으니(쓰기 권한이 있다면) main 함수의 return 주소를 카나리 변조 없이 변경할 수 있지 않을까 싶어 확인해보니 ret 값을 저장해 둔 스택에 쓰기 권한이 있다는것을 확인했고 PIE기법이 적용되지 않아있기에 해당 메모리 주소의 값을 get_shell 함수의 주소값을 대입했습니다. 디버깅 결과 정상적으로 get_shell 함수로 ret 됨 또한 확인 했는데 결론적으로 오류가 나며 익스플로잇에 실패합니다.. 제가 뭔가를 놓친부분이 있는것 같은데 찾질 못하겠네요..ㅠ 조언 부탁드립니다..! 아래 사진은 ret 당시 상황이며 이후 오류가 발생한 부분입니다! image.png image.png

안녕하세요 이 문제 카나리를 leak할 수 있는 부분이 없어보이는데. 어떤 방식으로 접근해야 할까요.