Local 환경에서 binary를 분석하던 중 차이점이 생겨서 의문이 생겨 질문을 드립니다! 드림핵 설명에서는 rsp+0x48에 main의 시작 부분에 대한 주소가 담겨있다고 설명이 되어 있습니다. 그러나 local환경에서는 밑의 코드처럼 rsp+0x58에 main의 주소가 담겨있는 것을 확인하였고 이를 통해 exploit을 해야지만 적용이 되는 것을 확인했습니다. 0x7fffffffdf30: 0x0000006161616161 0x0000000000000000 0x7fffffffdf40: 0x0000000000000000 0x00007ffff7fe5af0 0x7fffffffdf50: 0x00007fffffffe040 0x42a98376715f8900 0x7fffffffdf60: 0x00007fffffffe000 0x00007ffff7dcc1ca 0x7fffffffdf70: 0x00007fffffffdfb0 0x00007fffffffe088 0x7fffffffdf80: 0x0000000155554040 0x0000555555555293 차이점이 존재하는 이유가 궁금합니다!

[2] Overwrite changeme payload = b'%1337c' # 1337을 min width로 하는 문자를 출력해 1337만큼 문자열이 사용되게 합니다. payload += b'%8$n' # 현재까지 사용된 문자열의 길이를 8번째 인자(p64(changeme)) 주소에 작성합니다. payload += b'A'*6 # 8의 배수를 위한 패딩입니다. payload = payload + p64(changeme) # 페이로드 16바이트 뒤에 changeme 변수의 주소를 작성합니다. p.sendline(payload) Overwrite에 관련된 코드 설명입니다. %1337c%8$nAAAAAA(changeme) 라느 부분에서 %8$n이 이해가 안돼서 질문 남깁니다! 1337이라는 문자의 개수를 changeme 주소에 해당하는 곳에 값을 넣는 것으로 인지했고 A는 패딩을 통해 0x10을 맞추는 것으로 인지했습니다. 근데 왜 changeme의 주소가 8번째 인자에 해당되는지가 이해가 안됩니다ㅠㅠ 도와주세요

다음 docker file의 line 11, 12, 15, 16, 19, 20에서 같은 오류가 발생합니다. FROM ubuntu:22.04@sha256:b6b83d3c331794420340093eb706a6f152d9c1fa51b262d9bf34594887c2c7ac ENV user fsb_overwrite ENV chall_port 7182 RUN apt-get update RUN apt-get -y install socat RUN adduser $user ADD ./private/flag /home/$user/flag ADD ./public/$user /home/$user/$user RUN chown -R root:root /home/$user RUN chown root:$user /home/$user/flag RUN chown root:$user /home/$user/$user RUN chmod 755 /home/$user RUN chmod 755 /home/$user/$user RUN chmod 440 /home/$user/flag WORKDIR /home/$user USER $user EXPOSE $chall_port CMD socat -T 10 TCP-LISTEN:$chall_port,reuseaddr,fork EXEC:/home/$user/$user 제가 입력한 커맨드와 오류메시지는 다음과 같습니다. 현재 디렉터리 > fsb > Dockerfile 인 상태 $> docker build ./fsb -t fsb [+] Building 1.9s (10/17) docker:default => [internal] load build definition from Dockerfile 0.0s => => transferring dockerfile: 648B 0.0s => [internal] load .dockerignore 0.0s => => transferring context: 2B 0.0s => [internal] load metadata for docker.io/library/ubuntu:22.04@sha256:b6b83d3c331794420340093eb706a6f152d9c1fa51b262d9bf34594887c2c7ac 1.8s => [ 1/13] FROM docker.io/library/ubuntu:22.04@sha256:b6b83d3c331794420340093eb706a6f152d9c1fa51b262d9bf34594887c2c7ac 0.0s => [internal] load build context 0.0s => => transferring context: 2B 0.0s => CACHED [ 2/13] RUN apt-get update 0.0s => CACHED [ 3/13] RUN apt-get -y install socat 0.0s => CACHED [ 4/13] RUN adduser fsb_overwrite 0.0s => ERROR [ 5/13] ADD ./private/flag /home/fsb_overwrite/flag 0.0s => ERROR [ 6/13] ADD ./public/fsb_overwrite /home/fsb_overwrite/fsb_overwrite 0.0s [ 5/13] ADD ./private/flag /home/fsb_overwrite/flag: [ 6/13] ADD ./public/fsb_overwrite /home/fsb_overwrite/fsb_overwrite: Dockerfile:11 9 | RUN adduser $user 10 | 11 | >>> ADD ./private/flag /home/$user/flag 12 | ADD ./public/$user /home/$user/$user 13 | ERROR: failed to solve: failed to compute cache key: failed to calculate checksum of ref ebe7b14f-c423-4bb4-8eab-0b0fcd3166d0::ebm145yqsrr74xwiu2grw5dtg: failed to walk /var/snap/docker/common/var-lib-docker/tmp/buildkit-mount3959528649/private: lstat /var/snap/docker/common/var-lib-docker/tmp/buildkit-mount3959528649/private: no such file or directory `

[RSP+0x48] 위치에 0x555555555293 에 해당하는 값이 존재하고 이를 통해서 PIE base를 구하는데, 이때 [RSP+0x48]에 있는 값의 의미는 무엇이며 왜 해당 위치에 PIE 와 관련된 값이 있는 것인가요

[rsp+0x48]이 갑자기 왜 나왔는지 거기에 있던 0x555555555293이라는 값이 왜 식별된 것인지 0x555555555293 에서 오프셋을 빼서 베이스 주소를 구해야하는데 저 주소가 가리키는 함수가 뭔 줄 알고 오프셋을 구하는지.... 이해가 잘 안가네유...ㅠㅠ

fsb = b'%1337c' + b'%8$nAAAAAA' + p64(changeme) 위 경우는 되는데 fsb = b'%1337cAA' + b'%8$nAAAA' + p64(changeme) 밑에 경우는 안되는 이유를 알 수 있을까요? 위의 경우는 마지막에 패딩을 몰아서 전체적으로 16바이트 + 주소이고 밑의 경우는 각각 8바이트로 패딩을 주어서 8+8+주소라 문제없을 것이라 생각하고 밑의 방식으로 시도했는데 shell 대신 buf가 출력됩니다.

초본데요, 강의 보면서 따라치고 있는데, 이런식으로 나오면 뭘해야하나요? 왜 퍼미션이 없는지 모르겠어요 ㅠㅠ pwndbg> r Starting program: /home/dong/w3_p3/fsb_overwrite /bin/bash: line 1: /home/dong/w3_p3/fsb_overwrite: Permission denied /bin/bash: line 1: exec: /home/dong/w3_p3/fsb_overwrite: cannot execute: Permission denied During startup program exited with code 126.

Im kind of stuck in thinking like why we used 8n (8th argument) was there any reason behind that?

pie의 base 주소를 얻고, changeme의 주소까지 잘 계산했습니다. 이제 FSB를 이용해 changeme의 주소값에 1337을 써넣으면 되는 단계인데, payload 구성 시 payload = b"%1337x%8$n" + b'A'*6 + p64(changeme) 이게 먹힌다는 것은 payload = p64(changeme)+ b"%1337x%6$n" + b'A'*6 이렇게 적어도 먹혀야 하는 것 아닌가요? changeme가 stack의 첫번째 인자로 쌓이면서 %6$n의 자리가 p64(changeme)를 가르키게 되는 것이니까요... 하지만 작동하지 않습니다 왜인건지 잘 모르겠어요 ㅠ