Local 환경에서 binary를 분석하던 중 차이점이 생겨서 의문이 생겨 질문을 드립니다! 드림핵 설명에서는 rsp+0x48에 main의 시작 부분에 대한 주소가 담겨있다고 설명이 되어 있습니다. 그러나 local환경에서는 밑의 코드처럼 rsp+0x58에 main의 주소가 담겨있는 것을 확인하였고 이를 통해 exploit을 해야지만 적용이 되는 것을 확인했습니다. 0x7fffffffdf30: 0x0000006161616161 0x0000000000000000 0x7fffffffdf40: 0x0000000000000000 0x00007ffff7fe5af0 0x7fffffffdf50: 0x00007fffffffe040 0x42a98376715f8900 0x7fffffffdf60: 0x00007fffffffe000 0x00007ffff7dcc1ca 0x7fffffffdf70: 0x00007fffffffdfb0 0x00007fffffffe088 0x7fffffffdf80: 0x0000000155554040 0x0000555555555293 차이점이 존재하는 이유가 궁금합니다!

[2] Overwrite changeme payload = b'%1337c' # 1337을 min width로 하는 문자를 출력해 1337만큼 문자열이 사용되게 합니다. payload += b'%8$n' # 현재까지 사용된 문자열의 길이를 8번째 인자(p64(changeme)) 주소에 작성합니다. payload += b'A'*6 # 8의 배수를 위한 패딩입니다. payload = payload + p64(changeme) # 페이로드 16바이트 뒤에 changeme 변수의 주소를 작성합니다. p.sendline(payload) Overwrite에 관련된 코드 설명입니다. %1337c%8$nAAAAAA(changeme) 라느 부분에서 %8$n이 이해가 안돼서 질문 남깁니다! 1337이라는 문자의 개수를 changeme 주소에 해당하는 곳에 값을 넣는 것으로 인지했고 A는 패딩을 통해 0x10을 맞추는 것으로 인지했습니다. 근데 왜 changeme의 주소가 8번째 인자에 해당되는지가 이해가 안됩니다ㅠㅠ 도와주세요

다음 docker file의 line 11, 12, 15, 16, 19, 20에서 같은 오류가 발생합니다. FROM ubuntu:22.04@sha256:b6b83d3c331794420340093eb706a6f152d9c1fa51b262d9bf34594887c2c7ac ENV user fsb_overwrite ENV chall_port 7182 RUN apt-get update RUN apt-get -y install socat RUN adduser $user ADD ./private/flag /home/$user/flag ADD ./public/$user /home/$user/$user RUN chown -R root:root /home/$user RUN chown root:$user /home/$user/flag RUN chown root:$user /home/$user/$user RUN chmod 755 /home/$user RUN chmod 755 /home/$user/$user RUN chmod 440 /home/$user/flag WORKDIR /home/$user USER $user EXPOSE $chall_port CMD socat -T 10 TCP-LISTEN:$chall_port,reuseaddr,fork EXEC:/home/$user/$user 제가 입력한 커맨드와 오류메시지는 다음과 같습니다. 현재 디렉터리 > fsb > Dockerfile 인 상태 $> docker build ./fsb -t fsb [+] Building 1.9s (10/17) docker:default => [internal] load build definition from Dockerfile 0.0s => => transferring dockerfile: 648B 0.0s => [internal] load .dockerignore 0.0s => => transferring context: 2B 0.0s => [internal] load metadata for docker.io/library/ubuntu:22.04@sha256:b6b83d3c331794420340093eb706a6f152d9c1fa51b262d9bf34594887c2c7ac 1.8s => [ 1/13] FROM docker.io/library/ubuntu:22.04@sha256:b6b83d3c331794420340093eb706a6f152d9c1fa51b262d9bf34594887c2c7ac 0.0s => [internal] load build context 0.0s => => transferring context: 2B 0.0s => CACHED [ 2/13] RUN apt-get update 0.0s => CACHED [ 3/13] RUN apt-get -y install socat 0.0s => CACHED [ 4/13] RUN adduser fsb_overwrite 0.0s => ERROR [ 5/13] ADD ./private/flag /home/fsb_overwrite/flag 0.0s => ERROR [ 6/13] ADD ./public/fsb_overwrite /home/fsb_overwrite/fsb_overwrite 0.0s [ 5/13] ADD ./private/flag /home/fsb_overwrite/flag: [ 6/13] ADD ./public/fsb_overwrite /home/fsb_overwrite/fsb_overwrite: Dockerfile:11 9 | RUN adduser $user 10 | 11 | >>> ADD ./private/flag /home/$user/flag 12 | ADD ./public/$user /home/$user/$user 13 | ERROR: failed to solve: failed to compute cache key: failed to calculate checksum of ref ebe7b14f-c423-4bb4-8eab-0b0fcd3166d0::ebm145yqsrr74xwiu2grw5dtg: failed to walk /var/snap/docker/common/var-lib-docker/tmp/buildkit-mount3959528649/private: lstat /var/snap/docker/common/var-lib-docker/tmp/buildkit-mount3959528649/private: no such file or directory `

[RSP+0x48] 위치에 0x555555555293 에 해당하는 값이 존재하고 이를 통해서 PIE base를 구하는데, 이때 [RSP+0x48]에 있는 값의 의미는 무엇이며 왜 해당 위치에 PIE 와 관련된 값이 있는 것인가요

[rsp+0x48]이 갑자기 왜 나왔는지 거기에 있던 0x555555555293이라는 값이 왜 식별된 것인지 0x555555555293 에서 오프셋을 빼서 베이스 주소를 구해야하는데 저 주소가 가리키는 함수가 뭔 줄 알고 오프셋을 구하는지.... 이해가 잘 안가네유...ㅠㅠ

fsb = b'%1337c' + b'%8$nAAAAAA' + p64(changeme) 위 경우는 되는데 fsb = b'%1337cAA' + b'%8$nAAAA' + p64(changeme) 밑에 경우는 안되는 이유를 알 수 있을까요? 위의 경우는 마지막에 패딩을 몰아서 전체적으로 16바이트 + 주소이고 밑의 경우는 각각 8바이트로 패딩을 주어서 8+8+주소라 문제없을 것이라 생각하고 밑의 방식으로 시도했는데 shell 대신 buf가 출력됩니다.

초본데요, 강의 보면서 따라치고 있는데, 이런식으로 나오면 뭘해야하나요? 왜 퍼미션이 없는지 모르겠어요 ㅠㅠ pwndbg> r Starting program: /home/dong/w3_p3/fsb_overwrite /bin/bash: line 1: /home/dong/w3_p3/fsb_overwrite: Permission denied /bin/bash: line 1: exec: /home/dong/w3_p3/fsb_overwrite: cannot execute: Permission denied During startup program exited with code 126.

Im kind of stuck in thinking like why we used 8n (8th argument) was there any reason behind that?