hook

free 두번 하면 에러가 발생하니까 free 후킹해서 다른 함수를 덮어쓰거나 의미 없게 만들어서 아래 system("/bin/sh") 실행시키거나 one_gadget으로 주소 찾아서 해당 주소 덮어 쓰기 이런 방식으로 접근하는게 맞나요?

*ptr[0]이 ptr[1]을 가리키게 하므로 ptr[0]에 __free_hook을 넣고 ptr[1]에 system을 넣으려 했습니다. ptr은 형식이 long이니까 ptr[0] 과 ptr[1]엔 각각 4바이트만큼의 공간만 할당된다고 생각했는데 그렇게 p32(__free_hook)랑 p32(system) 이렇게 send하니 에러가 떠서 p64로 패킹을 한번 바꿔봤더니 성공이네요 이해가 안되는건 처음 ptr을 선언했을때 long으로 선언했으니 4바이트만큼 할당되는 줄 알았는데..64비트체계에선 long이 8바이트 단위인가요? 아시는 분 도와주시면 정말 감사하겠습니다..ㅠ

process로해서 local에서는 잘되는데 문제 접속해서는 안됩니다. main에 system으로도 해보고 one_shot으로 해봐도 안되는데 따로 뭐가를 해야하나요 아니면 서버의 문제인가요?

image.png 두개 차이 뭔지 아시는 분 계시나여 문제에선 위에꺼 쓰던데 이유도 알려주시면 감사하겠습니다.

문제 푸는 형식은 libc_base를 구하고 free_hook 주소를 계산 2-1. one_gadget을 이용하여 가젯을 사용하거나 2-2. main에 있는 system("/bin/sh") 호출하는 주소를 free_hook 포인터 변수에 담는다. 이런 식으로 풀었는데 문제는 페이로드 작성 후 send할 때 값이 원하는 의도대로 전달되지 않았습니다. payload = p64(free_hook) + p64(main_system) #혹은 one_gadget 처음에 위와 같이 페이로드를 작성하였습니다. free_hoox = 0x7fe5716318e8 main = 0x400a11 이라고 했을 때 malloc(size)로 할당받은 힙 영역에는 '\xe8\x18cq\xe5\x7f\x00\x00\x11\n@\x00\x00\x00\x00\x00' 이 들어가길 원했는데 맨 앞에 있는 '\xe8'이 없어지고 한 칸씩 앞으로 당겨진 값이 들어가졌습니다. 즉 '\x18cq\xe5\x7f\x00\x00\x11\n@\x00\x00\x00\x00\x00'이 들어가졌습니다. 그래서 원래 의도는 0x7fe5716318e8 주소에 0x400a11 값을 넣는거였는데 디버깅을 해보니 0x1100007fe5716318 주소를 참조하더라구요. 그래서 에러가 납니다. 그래서 일단은 페이로드 맨 앞에 '\x00'을 붙이니 성공하긴 하는데 왜 이런 일이 발생하는 지 궁금합니다. 아래는 attack.py 에서 제가 send를 이용해서 데이터 보낸 형식입니다. p.send(str(400)) p.send(payload) p.interactive() 질문 처음에는 스스로 풀었는데 계속 안되길래 다른 라이트업을 봐도 다들 저랑 비슷하게 작성했는데 왜 저만 이런 결과가 나오는 걸까요? 추가로 one_gadget이 여러 개 있던데, 어떤 건 되고 어떤 건 안됩니다. 예를 들어 로컬에서는 3번째 one_gadget_offset만 적용되고 원격에서는 2번째 one_gadget_offset만 적용이 됩니다. 그 이유를 알 수 있을까요?

image.png 공격에 성공해서 쉘은 얻었는데 플레그가 cat flag해도 flag가 출력되지 않습니다

fho문제에서는 addr = value;이렇게 되어있어서 str(free_hook).decode()이런식으로 바이트로 보내서 exploit에 성공했는데 이 문제에서는 *(long *)ptr = *(ptr+1);이렇게 되어있어서 p64(free_hook)이런식으로 패킹해서 보내야 exploit에 성공하더라고요 어쩔때 decode()로 보내야되고 어쩔때 p64()로 보내야되는것인가요?

system("/bin/sh") 주소가 0x400a11인 이유가 뭘까요? system 함수를 call 하는 부분인 그 다음 주소 0x400a16이 아닌 이유가 뭘까요?

우선 stdout 주소를 활용해 free_hook 주소를 알아내고 payload = p64(free_hook) + p64(0x400a11) # mov edi, '/bin/sh' 주소 payload를 위와 같이 설정해서 free_hook을 덮어써서 free가 호출되면 0x400a11 rdi를 '/bin/sh'로 설정하고 0x400a16으로 진행해서 system을 호출하는 것이 맞는지 궁금합니다. stdout 주소를 활용해 free_hook주소와 libc에 존재하는 system 주소를 모두 알아내고 payload = p64(free_hook) + p64(system) # system = libc_base + libc.symbols['system'] payload를 위와 같이 설정했을때 rdi 레지스터에 따로 값을 지정하지 않았음에도 flag를 획득할 수 있었습니다. 처음에는 free_hook이 system으로 덮어씌워졌으므로 system(ptr) -> system(free_hook 주소값)이 호출되어서 이게 어떠한 이벤트를 발생시키지 않고 두차례 진행된 후에 main함수에 존재하는 system('/bin/sh')가 호출된건가 싶었습니다. 그래서 payload = p64(free_hook) + p64(stdout)으로 테스트를 해봤는데 이 경우에는 flag를 획득할 수 없더라구요. 별도의 매개변수를 설정하는 단계 없이 free_hook을 libc의 system으로 덮어써도 flag를 획득할 수 있는 이유가 궁금합니다.

aslr이 적용되면 스택도 랜덤화 된다고 알 고 있습니다. 제가 혹시나 해서 freehook을 코드에 있는 system("/bin/sh")의 주소로 바꿨습니다. 그런데 잘 싱행되더라구요 aslr이 적용되면 랜덤화가 될텐데 왜 정상작동하는 건지 아시나요?? 0x0000000000400a11 <+199>: mov edi,0x400aeb 0x0000000000400a16 <+204>: call 0x400788 <system@plt> gdb로 까봤을 때 위와 같이 나오는데요 freehook 0x400a11로 덮었습니다.