basic_exploitation_002

바이너리를 로컬에 다운로드 후 강의에서처럼 명령 프롬프트에 %hn 2번 쓰고 ;cat;붙이니 쉘에 떨어지는데 pwntools을 통해서 로컬 프로세스를 열어 하려니 안되네요. 제가 뭘 잘못 짚고 있는지요? 고수님들 한수 부탁드립니다.

생각 순서는 이렇습니다. 우선 checksec 을 통해 운영체제를 확인하여 32bit 인것을 확인하였습니다. printf(buf); 코드를 보고 난 후, 이 부분에서 FSB 를 통해 메모리 주소값을 얻어내면 되겠구나. exit(0) 으로 끝나, ret 값이 없는건가? exit 함수는 got 에 주소값이 있다. 그럼 이 부분을 Got overwrite 를 해보자. got overwrite 를 통해서 exit_got 값 에는 get_shell 함수의 주소가 들어가면 메인함수가 실행되면서 system('/bin/sh'); 이 실행되겠지. 위와 같은 순서로 shellcode 를 작성하였습니다. 따라서 read를 통해 AAAA %p %p %p %p %p --- 를 넣어, AAAA 가 어디에 값이 들어가는지 offset 을 확인했더니, 1번째 offset 에서 값이 나오는 것을 확인할 수 있었습니다. ( 스택으로 인자를 전달해서 1번째인것인가? 라는 의문을 가졌습니다. %p 를 여러번 하였을 때, 아래와 같은 구조가 나와 어떻게 분석을 해야하지? 에 대해서도 물어보고 싶습니다.. ) image.png 그래서 이 부분에 ELF로 구한 exit의 got주소를 넣었습니다. 이후 got 주소를 출력해보았을 때, 8byte 를 차지하고 있는 것으로 보아, get_shell의 주소 ( gdb 를 통해 얻었습니다. )를 4byte 씩 나누어 1번째 offset 과 2번째 offset에 집어넣었습니다. 1번째 offset 의 경우, 앞서 구한 got의 주소를 넣은 부분의 크기만큼 빼주었고 값을 집어넣었다 생각했는데, 쉘이 EOF로 끊기고 맙니다. 질문은 아래와 같습니다. 어떤 부분에서 잘못되었나요? 위와 같이 AAAA %p %p .. 를 하였을 때, 스택 구조에 대해서 어떻게 해석을 하면 되나요?

`from pwn import * port = 23731 p = remote('host3.dreamhack.games', port) exit = 0x804a024 get_shell = 0x8048609 payload = b'%2052c' payload += b'%5$hn' payload += b'%32256c' payload += b'%6$hn' payload += b'A'*3 payload += p32(exit+2) payload += p32(exit) p.send(payload) p.interactive() ` 한 번 exit의 주소값을 가장 마지막에 넣어서 해볼려고 했습니다. 먼저 주소 앞에 16비트만큼이 차지되기 때문에 %5$에 0x804를 넣었고, %6$에 앞에서 사용된 값들을 더한 0x809로 0x8609를 뺀 값을 넣어주었습니다. 하지만 제대로 실행되지 않습니다. 어디서 잘못된것인가요?