Tool: pwntools

pwntools의 간단 설명

탄생 배경과 설치 방법

지난 시간에 파이썬과 파이프(|)를 통해 간단한 스택 오버플로우 익스플로잇을 했죠

파이썬으로 페이로드를 생성하고, 파이프를 통해 이를 프로그램에 전달했죠

파이썬과 파이프를 이용한 익스플로잇

그러나 익스플로잇이 좀만 복잡해도 위 방법은 이용이 불가능합니다.

페이로드를 생성하기 위해 복잡한 연산과 프로세스와 반복적 데이터 송수신이 가능해야죠

그래서 해커들은 perl, python c언어 등으로 익스플로잇 스크립트, 또는 바이너리를 제작해 사용했죠

더 자세히 알고 싶다면 소켓 프로그래밍을 배우시면 돼요

기초 파이썬 익스플로잇 스크립트

파이썬으로 여러 개의 익스플로잇 스크립트를 작성하다 보면, 자주 사용하게 될 함수가 있죠

예로 리틀 엔디안의 바이트 배열로 바꾸는 패킹 함수, 또는 그 역을 수행하는 언패킹 함수 등이죠

익스플로잇 과정에서 거의 항상 필요하며 지난 정리에서 get_shell()의 함수의 주소를

리틀 엔디안으로 변경한 적 있어요

 

이런 함수들을 반복적으로 하는 것은 비효율이기에 이것을 집대성하여 pwntools라는 파이썬 모듈 탄생!

pwntools덕분에 익스플로잇의 효율 및 난이도 등 여러 이점이 생겼으니까 어느 정도 알아야죠

pwntools를 사용한 모습

 

PwnTools 설치 방법

---

pwntools는 github에 오픈 소스로 공개되어 있으며, 해당 페이지의 가이드를 참조도 해보세요

 

pwntools 설치

apt-get update
apt-get install python3 python3-pip python3-dev git libssl-dev libffi-dev build-essential
python3 -m pip install --upgrade pip
python3 -m pip install --upgrade pwntools

그리고 아래와 같이 pwntools를 import 했을 때, 에러가 안 나면 돼요

근본 혹은?

---

pwntools API 설명

 다양한 API 제공에 대한 기능 설명

pwntools의 공식 매뉴얼은 현재 문서화가 잘 되어 있기에 앞으로 잘 사용될 함수들만 간략히 소개하면 ⚠ 밑에 test는 임의의 바이너리이며, process객체를 대상에 사용한 모든 함수는 remote도 가능

process & remote

process함수는 익스플로잇을 로컬 바이너리를 대상 할 때 사용하는 함수,
remote함수는 원격 서버를 대상으로 할 때 사용하는 함수

#!/usr/bin/python3
from pwn import *
 
#local 바이너리 './test'를 대상으로 익스플로잇 수행
p = process('./test')
 
# 'example.com'의 31337 포트에서 실행 중인 프로세스 대상으로 프로세스 할 수 있음
p = remote('example.com', 31337)

전자는 보통 익스플로잇을 테스트하고 디버깅 하기 위해서, 후자는 대상 서버를 실제로 공격하기 위해 사용

---

 

send 

send는 데이터를 프로세스에 전송하기 위해 사용

#!/usr/bin/python3
from pwn import *
 
p = process('./test')
 
# ./test에 'A'를 입력
p.send('A')
 
# ./test에 'A'+'\n'을 입력
p.sendline('A')
 
# ./test가 'hello'를 출력하면, 'A'를 입력
p.sendafter('hello', 'A')
 
# ./test가 'hello'를 출력하면, 'A'+'\n'을 입력
p.sendlineafter('hello', 'A')

pwntools에 관련된 다양한 함수가 정의됨

---

recv

recv는 프로세스에서 데이터를 받기 위해 사용

마찬가지로 다양한 함수가 정의되며, 밑에 주의해서 봐야 할 것은

recv() 와 recvn()의 차이점이며, 나머지는 바로 응용이 가능할 것이다.

#!/usr/bin/python3
 
from pwn import *
p = process('./test')
 
#p가 출력하는 데이터를 최대 1024byte까지 받아서 data에 저장
data = p.recv(1024)
 
#p가 출력하는 데이터를 개행문자를 만날 때까지 받아서 data에 저장
data = p.recvline()
 
#p가 출력하는 데이터를 5byte만 받아서 data에 저장
data = p.recvn(5)
 
#p가 출력하는 데이터를 'hello'가 출력될 때까지 받아서 data에 저장
data = p.recvuntil('hello')
 
#p가 출력하는 데이터를 프로세스가 종료때 받아서 data에 저장
data = p.recvall()

recv(n)은 최대 n 바이트를 받는 것이라, 그만큼 못 받아도 에러 X

recvn(n)의 경우 정확히 n 바이트의 데이터를 받지 못하면 계속 기다림

---

packing & unpacking

익스플로잇을 작성하다 보면 어떤 값을 리틀 엔디안의 배열로 변경 혹은,

그 과정에 역의 과정을 거쳐야 하는 경우 빈도 ↑

#!/usr/bin/python3
 
from pwn import *
 
s32 = 0x41424344
s64 = 0x4142434445464748
 
print(p32(s32))
print(p64(s64))
 
s32 = "ABCD"
s64 = "ABCDEFGH"
 
print(hex(u32(s32)))
print(hex(u64(s64)))

실행 모습

---

interactive

셸을 획득하거나, 익스플로잇의 특정 상황에 직접 입력을 주며, 값을 확인 시 사용

호출되고 나면 터미널로 프로세스에 데이터를 입력하고, 프로세스의 출력함

#!/usr/bin/python3
 
from pwn import *
 
p = process('./test')
p.interactive()

---

ELF

익스플로잇에 사용될 각종 정보가 기록됨!!

pwntools를 사용하면 이 정보를 쉽게 참조 가능 밑 사진의 plt와 got은 나중에 자세히..

#!/usr/bin/python3
 
from pwn import *
 
e = ELF('./test')
 
# ./test에서 puts()의 PLT주소를 찾아서 puts_plt에 저장
puts_plt = e.plt['plts']
 
# ./test에서 read()의 GOT주소를 찾아서 rea_got에 저장
read_got = e.got['read']

---

context.log

익스플로잇도 버그 발생 시 디버그를 해야 하므로 지원한 모듈

log를 종류에 따라 볼 수 있음

#!/usr/bin/python3
 
from pwn import *
 
#에러만 출력
context.log_level = 'error'
 
#대상 프로세스와 익스플로잇간에 오가는 모든 데이터를 화면에 출력
context.log_level = 'debug'
 
#비교적 중요한 정보들만 출력
context.log_level = 'info'

---

context.arch

pwntools는 셸코드를 생성하거나, 코드를 어셈블, 디스어셈블하는 기능 등을 지니며,

이들은 공격 대상의 아키텍처에 영향을 받습니다.

#!/usr/bin/python3
 
from pwn import *
 
# x86-64 아키텍처
context.arch = "amd64"
 
# x86 아키텍처
context.arch = "i386"
 
# arm 아키텍처
context.arch = "arm"

pwntools는 아키텍처 정보를 프로그래머가 지정해 이 값에 따라 몇몇 함수들의 동작 변화됨

---

shellcraft

pwntools에는 자주 사용되는 셸 코드들이 저장되어 있어, 공격에 필요한 셸 코드를 쉽게 접근 가능

매우 편리한 기능이지만 정적으로 생성된 셸 코드는 셸 코드 실행 시 메모리 상태를 반영 X

#!/usr/bin/python3
 
from pwn import *
 
#대상 아키텍처 x86-64
context.arch = 'amd64'
 
#셸을 실행하는 셸 코드
code = shellcraft.sh()
 
print(code)

또한, 프로그램에 따라 입력할 수 있는 셸 코드의 길이나 구성 가능한 문자의 종류 제한이 있을 수 있음

이런 조건들로 반영하기 어렵기에 따라서 제약 조건이 존재하는 상황에서는 직접 셸 코드 작성 추천!

실행 모습

여기에서 x86-64(x64)를 대상으로 생성할 수 있는 여러 종류의 셸 코드 탐색해봐요

---

asm

pwntools는 어셈블 기능을 제공하며, 이 기능도 대상 아키텍처가 중요하므로 미리 지정해야 함

#!/usr/bin/python3
 
from pwn import *
 
#익스플로잇 대상 아키텍처 'x86-64'
context.arch = 'amd64'
 
#셸을 실행하는 셸 코드
code = shellcreft.sh()
 
#셸 코드를 기계어로 어셈블
code = asm(code)
 
print(code)

---

pwntools 실습

rao 익스플로잇(예제 코드) 연습

// Name: rao.c
// Compile: gcc -o rao rao.c -fno-stack-protector -no-pie
#include <stdio.h>
#include <unistd.h>
 
void get_shell() {
  char *cmd = "/bin/sh";
  char *args[] = {cmd, NULL};
  execve(cmd, args, NULL);
}
 
int main() {
  char buf[0x28];
  printf("Input: ");
  scanf("%s", buf);
  return 0;
}

해당 PC에 따라 아키텍처에 따라 메모리 위치가 당연히 다르므로 

각자 따로 찾아봐서 넣어야 함 고로 자세한 내용은 나중에 넣을게요 ㅠ

ㄹ이 코드는 아직 완벽하진 않아서 수정할 필요가 있음

결과는 밑에처럼 나오는 거예요

결과 예시

---

요약

pwntools의 사용법을 간략히 살펴보며, pwntools로 rao를 다시 익스플로잇해봤어요.

저도 익숙하진 않지만 자주 해봐야겠죠 ㅠ 다음은 정리한 pwntools의 기능이에요

---

• process & remote: 로컬 프로세스 또는 원격 서버의 서비스를 대상으로 익스플로잇 수행
• send & recv: 데이터 송수신
• packing & unpacking: 정수를 바이트 배열로, 또는 바이트 배열을 정수로 변환
• interactive: 프로세스 또는 서버와 터미널로 직접 통신
• context.arch: 익스플로잇 대상의 아키텍처
• context.log_level: 익스플로잇 과정에서 출력할 정보의 중요도
• ELF: ELF헤더의 여러 중요 정보 수집
• shellcraft: 다양한 셸 코드를 제공
• asm: 어셈블리 코드를 기계어로 어셈블

---

또한 pwntools에는 여기서 소개한 기능들 외에도 유용한 기능이 무지 많아요.

익스플로잇을 작성하다가 어떤 기능이 반복적으로 사용된다 생각하면 이미 구현된 함수가 있는지 확인 센스

 

---

참고 자료(단, 위 부분은 제가 배운 내용 요약에 가깝기 때문에 거의 위 내용과 같습니다.)

 

Tool: pwntools

소켓 프로그래밍 HOWTO — Python 3.10.4 문서

GitHub - Gallopsled/pwntools: CTF framework and exploit development library

pwntools — pwntools 4.9.0dev documentation

pwnlib.shellcraft.amd64 — Shellcode for AMD64 — pwntools 4.7.0 documentation

참고 이미지

 

Tool: pwntools

Flaticon