시스템 해킹

1574,

1/79

ocal

시스템 콜이 가능한 메모리 영역과 불가능한 메모리 영역이 존재하나요?

http://www.hackerschool.org/HS_Boards/zboard.php?id=QNA_system&no=1990 [복사]

안녕하세요?

제가 pwnable 문제를 풀다가 전혀 모르겠는 부분이 있어서 질문을 남깁니다.

pwnable.kr의 echo1 문제를 풀다가 발생한 의문점입니다.

해당 서버는 ASLR이 적용되어 있어서 스택 포인터를 주입하기는 너무 힘듭니다.
그렇기 때문에 다른 방식으로 우회를 해서 점프를 해야 하는데요.

대신 이 바이너리 자체는 PIE가 없기 때문에 코드 위치는 고정되어 있습니다.
물론 데이터 위치 때문에 PIE가 안 되는 것이므로 데이터 위치도 고정되어 있습니다.

제가 생각한 해법은 데이터(bss) 리전인 0x602028에 NOPslide + 쉘코드를 주입하고 실행시키는 방법이었습니다.
실제로 gdb로 돌려보니 syscall까지 들어갑니다.

그래서 이를 실제 바이너리에 돌리니까 자꾸 오류가 납니다. 데이터 영역에서 돌리는 건 아무리 해도 오류가 나네요.

다른 분들 해법을 찾아보니 그냥 스택에 주입하고 rsp를 이용해서 스택으로 점프하는 방식으로 푸셨더군요.

그래서 이런 방식으로 실행시켜봤더니 실행이 잘 됩니다.

혹시 해당 문제에서의 데이터 영역과 같이 시스템콜 명령어를 실행하지 못하는 메모리 영역이 있을 수 있나요?

감사합니다.

혹시 도움이 될 수 있어서 해당 바이너리의 헤더를 일부 첨부합니다.

23 .data         00000010  0000000000602048  0000000000602048  00002048  2**3
                  CONTENTS, ALLOC, LOAD, DATA
24 .bss          00000048  0000000000602060  0000000000602060  00002058  2**4
                  ALLOC

Hit : 1694 Date : 2020/03/30 09:45