익스플로잇 코드를 작성하다가 궁금한 점이 생겨서 질문합니다 강의를 보고 어찌저찌 코드를 작성한 후 실행 했더니 image.png 이런식으로 출력이 됩니다 어딘가를 잘못했나 해서 코드를 살펴봤으나 어디가 잘못되었는지를 몰라서정답코드를 참고했습니다 저의 코드에는 이 부분이 빠져있더라고요 그래서 이 부분을 추가하니 셸을 획득하는데 성공했습니다 image.png 왜 이런 현상이 발생했는지 궁금합니다

캡처 위 사진처럼 처음 카나리 릭을 위해서 buf를 입력받는 시점에 프로그램이 멈춥니다. 그리고 다시 r로 실행하니 셸만 뜨고 아무 명령을 입력하면 gdb까지 종료됩니다. 아무리 검색해봐도 관련된 내용으로 쓰인 글이 보이지가 않습니다 ㅠㅠ

강의 내용을 보면 이런 부분이 있습니다. addr of ("pop rdi; ret") << return address addr of string "/bin/sh" << ret + 0x8 addr of "system" plt << ret + 0x10 **리턴 가젯을 사용하여 반환 주소와 이후의 버퍼를 다음과 같이 덮으면, pop rdi로 rdi를 "/bin/sh"의 주소로 설정하고, 이어지는 ret로 system 함수를 호출할 수 있습니다.** pop rdi를 사용해서 rdi에 "/bin/sh"의 주소가 어떻게 들어가는지 모르겠습니다. 그리고, ret 후 system() 함수가 어떻게 호출 가능한지...

dummy buf의 정확한 값을 알 수 있는 방법이 있을까요? gdb에서는 buf가 0x40으로 찍히는데, 왜 카나리 leak할때 페이로드를 "A" * 0x39로 보내나요?

ret영역에서 main함수의 주소를 넣어서 Return to library자체는 되는것을 확인했습니다. 예제파일내에서 system("echo 'system@plt")가 system함수의 plt를 설정해준다는 것도 이해했는데 payload를 작성하여 system@plt주소를 이용할려는데 다음과 같은 에러로 plt안에 아무것도 없다는 에러가 발생하는데 이유를 아시는 분들은 답변해주시면 감사드리겠습니다. 스크린샷 2022-10-03 오후 6.16.33.png

buf와 canary 사이에 있으면서 길이가 0x8인 값의 정체는 무엇인가요? pop rdi; ret 직후에 /bin/sh의 주소를 넣는 게 어떻게 rdi가 그 주소를 가리키도록 하는 결과를 낳나요? 저는 이 문제를 무차별 대입법으로 풀었습니다. 실제로 써야 하는 no-op gadget 값은 무엇이며, 왜 그 값을 써야 하나요?

image.png image.png payload 짜고 실행하면 위 사진처럼 오류가 뜨는데 python 버전 때문인가요..? 왜 그러는지 모르겠습니다..

교재에 있는 exploit 파이썬 코드에서 Canary 얻기 위해 사용한 길이 0x39(buf = b"A"0x39)와 RTL을 위해 사용한 페이로드 길이 0x38(payload = b"A"0x38 + ...)를 계산하는 방법을 구체적으로 알고 싶습니다. GDB를 이용해서 알아낸다고 하는데 절차가 궁금합니다.

안녕하세요 문제를 풀다 보니 아직 이해가 원할하지 않아서 질문 드립니다 도와주세요ㅠㅠㅠ payload를 구성하는 단계에서 buf + canary + rbp + ret + pop rdi; ret + "bin/sh" + system@plt 인 것을 확인했습니다. 여기서 질문이 생겼습니다. rbp값까지 dummy값으로 덮은 후에 ret주소를 왜 ROPgadget --binary rtl 로 찾은 ret값으로 덮은 후에 pop rdi; ret 이라는 값을 그 이후에 또 덮는지 이해가 잘 안됩니다. ret 주소 이후에서 pop rdi; ret에서 ret이 또 있는데 어찌하여 ret이 두 번 진행되는 건가요?? "bin/sh"를 rdi값에 넣은 후에 system명령어를 호출해야 되는 것으로 알고 있습니다. 근데 어째서 pop rid; ret 이후에 "bin/sh"에 대한 것을 넣으면 rdi값에 "bin/sh"가 들어가게 되는 건가요? system 명령어도 마찬가지로 어떻게 실행이 되는지 궁금합니다. payload를 구성하는 단계가 아직 완벽히 이해되지 않아서 설명해주실 고수님들 부탁드립니다ㅠㅠ

죽은 부분.. 진짜 뭐가 문제일까요.... stack alignment 깨지는거 같아서 맞춰주려고 ret 가젯 중간에 한번 넣어줬구요. binsh 포인터 변수가 문제인가 싶어서 포인터변수가 가르키는 주소로 해봤구요. 진짜 뭐가 문제인지 모르겠습니다.. 도와주세요.. from pwn import * #p = remote('host1.dreamhack.games', 10731) p = process('./rtl') binsh = 0x402004 sys = 0x4010b0 ret = 0x000000000040101a leak_canary = b'A'* (56+1) # null byte pause() p.send(leak_canary) p.recvuntil(leak_canary) canary = u64(b'\x00'+p.recv(7)) print('canary: '+hex(canary)) print('sys: '+hex(sys)) print('binsh: '+hex(binsh)) payload = b'B' * 56 payload += p64(canary) payload += b'C' * 8 payload += p64(ret) payload += p64(sys) payload += p64(binsh) p.sendlineafter(b"Buf: ", payload) p.interactive()`