우선 풀다가 못풀겠어서 다른 사람들이 푼 writeup을 봤습니다. 봤는데 char* _IO_buf_base; 이 변수를 조작해서 exploit했습니다. 그러나 제가 지금 분석하는 과정에서는 _IO_buf_base를 어디서 사용하는지 알수가 없습니다 ㅠㅠ glibc-2.23 source code를 보면서 fgets함수의 구현을 보면서 디버깅하니 fgets는 결국 _IO_getline(char *buf, size_t size, int n, _IO_FILE *fp) 함수를 호출합니다. char * __fgets_chk (char *buf, size_t size, int n, _IO_FILE *fp) { // 중략 fp->_IO_file_flags &= ~_IO_ERR_SEEN; count = _IO_getline (fp, buf, MIN ((size_t) n - 1, size), '\n', 1); // 중략 return result; } 그리고 _IO_getline함수는 _IO_getline_info를 호출합니다. _IO_size_t _IO_getline (_IO_FILE *fp, char *buf, _IO_size_t n, int delim, int extract_delim) { return _IO_getline_info (fp, buf, n, delim, extract_delim, (int *) 0); } 그리고 이제 _IO_getline_info 함수를 보면 _IO_size_t _IO_getline_info (_IO_FILE *fp, char *buf, _IO_size_t n, int delim, int extract_delim, int *eof) { char *ptr = buf; if (eof != NULL) *eof = 0; if (__builtin_expect (fp->_mode, -1) == 0) _IO_fwide (fp, -1); while (n != 0) { _IO_ssize_t len = fp->_IO_read_end - fp->_IO_read_ptr; if (len <= 0) { int c = __uflow (fp); if (c == EOF) { if (eof) *eof = c; break; } if (c == delim) { if (extract_delim > 0) *ptr++ = c; else if (extract_delim < 0) _IO_sputbackc (fp, c); if (extract_delim > 0) ++len; return ptr - buf; } *ptr++ = c; n--; } else { char *t; if ((_IO_size_t) len >= n) len = n; t = (char *) memchr ((void *) fp->_IO_read_ptr, delim, len); if (t != NULL) { _IO_size_t old_len = ptr-buf; len = t - fp->_IO_read_ptr; if (extract_delim >= 0) { ++t; if (extract_delim > 0) ++len; } memcpy ((void *) ptr, (void *) fp->_IO_read_ptr, len); fp->_IO_read_ptr = t; return old_len + len; } memcpy ((void *) ptr, (void *) fp->_IO_read_ptr, len); fp->_IO_read_ptr += len; ptr += len; n -= len; } } return ptr - buf; } 이 부분을 아무리 봐도 _IO_buf_base를 어디서 사용하는지 모르겠습니다. 답변해주시면 감사하겠습니다 ㅠ 수정--------- 성급한 질문 죄송합니다.. writeup 코드로 디버깅하는 과정에서 호출되는 부분을 찾았습니다. int c = __uflow (fp); ... return _IO_UFLOW (fp); // _IO_default_uflow 호출 ... int ch = _IO_UNDERFLOW (fp); // _IO_file_underflow 호출 ... int _IO_new_file_underflow (_IO_FILE *fp) // 내부에 있습니다.. `

거의 다 접근했는데 마지막에 막히는 부분이 있어 질문받아주실 분 계실까요..?

input size is too small to make a fake file struct (buf has 80 bytes and fp overwrite has 64 bytes) . any hint on how to proceed?

src 주소에 있는 값으로 dst 즉 stdin을 조작하는게 맞나요?

안녕하세요. 문제 풀이까지는 마쳤는데, 풀이 과정에서 _flags 값을 설정하는게 왜 이렇게 설정해야 하는지 궁금해서 질문을 드리게 되었습니다. 처음에는 어쩌피 결국 _IO_new_file_underflow에서 _IO_NO_READS만 통과하면 되니까 0xfbad0000을 전달해줘도 _IO_FILE Arbitrary Address Write 문제처럼 가능할 거라 생각했는데, 이 방식으로는 불가능했습니다. 그래서 디버깅해보니 기존 stdin의 _flags에는 0xfbad208b가 들어있어서 해당 값을 사용하니 풀이가 되기는 했습니다. fgets에서는 fread와 달리 _flags를 확인하는 다른 코드가 존재해서 이렇게 _flags를 설정해줘야 하는건가요 ? 그리고 FSOP 풀이에서 정석 방법은 이렇게 조작할 fp의 _flags를 확인할 수 있다면 미리 해당 값을 확인하여 같은 값으로 세팅해주는게 맞나요 ? 읽어주셔서 정말 감사드립니다.

stdin구조체를 조작해서 임의의 주소를 원하는 값으로 덮을수는 있는것 같습니다. 근데 문제는 full relro가 걸려있어서 어떤 주소를 get_shell함수 주소로 덮어야될지 모르겠네요. 제가 처음부터 완전히 잘못짚고 있는걸까요?