Study_IT

pwntools는 리눅스에서 익스플로잇을 쉽게 짤 수 있도록 해주는 파이썬 라이브러리 이다.

리눅스에서 다음의 명령어들로 설치할 수 있다.

apt-get install python2.7-dev python-pip
pip install pwntools
apt-get install libcapstone-dev

파이썬에서 사용은 다음 코드로 시작한다.

from pwn import *

- NC

nc 서버는 remote("IP", port)의 형식으로 연결한다.

p = remote("100.100.100.100", 9000)

- Local

로컬의 프로그램에 연결할 때는 process(PATH)의 형식으로 사용한다.

p = process("./test")

- SSH

ssh로 연결할 때는 ssh(USERNAME, IP, PORT, PASSWORD)의 형식으로 연결한다.

p = ssh("test", "127.0.0.1", port=3000, password="test")

- recv

recv는 연결된 서버나 프로그램에서 출력하는 문자열을 받아오는 것이다.

recvline()은 출력되는 문자열 한 줄을 받아온다.

p.recvline() 와 같이 사용한다.

recvuntil(str)은 괄호 안에 지정한 문자열까지 받아온다. 

p.recvuntil("Hello")처럼 사용하면 서버에서 출력하는 문자열중에 Hello라는 문자열 까지 받아온다.

recv(int)는 int에 지정한 숫자만큼 문자열을 받아온다.

p.recv(2048) 처럼 사용한다.

- ELF

elf 바이너리를 넣어 elf파일에 적용되어있는 보호기법, plt, got, 아키텍쳐 등의 정보를 확인할 수 있다.

ELF(파일 이름)의 형식으로 사용한다.

.plt, .got 등으로 plt와 got 정보를 확인할 수 있다.

- send

send()는 괄호 안에 있는 값을 보낸다.

p.send("data")

sendline()은 괄호 안에 있는 값을 한 줄로 보낸다.

p.sendline("data")

- packing

p32()는 괄호 안의값을 32비트 리틀 엔디안 방식으로 패킹해준다.

p64()는 괄호 안의 값을 64비트 리틀 엔디안 방식으로 패킹해준다.

- interactive

remote 또는 process 등으로 생성한 연결에 쉽게 상호작용(명령어전달)을 할 수 있다.

p.interactive() 와 같이 사용한다.

- fmtstr_payload

fmtstr_payload()는 지정한 위치에 기존 함수 주소를 다른 함수 주소로 덮어 쓰는 payload를 자동으로 만들어준다.

fmtstr_payload(offset, {기존 함수 주소 : 덮어쓸 함수 주소}) 와 같은 형식으로 사용한다.

last update : 2021.03.20 (새로 알게되는 함수들이 있으면 추가할 예정)

문제 파일을 실행해 보면 다음과 같이 두번 입력을 받고 있다.

file 명령으로 파일을 확인해보면 32비트 리눅스 실행파일임을 확인할 수 있다.

이 프로그램에서 사용된 함수의 목록은 다음과 같다.

main 함수는 다음과 같다.

printf 함수로 Name: 과 input : 을 출력하고, 두 번의 입력 중 한 번은 read 함수로, 다른 한 번은 gets 함수로 입력을 받고 있는 것 같다.

main 함수를 IDA 헥스레이로 확인해보면 다음과 같다.

20크기의 배열이 선언되어 있고, gets 함수를 통해서 s에 값을 입력받는다. 입력받을 때 입력받는 값을 제한하지 않아서 bof 가 발생할 수 있다. 프로그램 내부에 시스템 함수가 없어서 쉘 코드를 넣어야 하는데 s는 크기가 20밖에 안되서 전역변수 name을 사용해야 할 것 같다.

전역변수 name의 주소는 0x804A060 이다.

name 변수에 쉘 코드를 넣고 배열 s 를 이용하여 name 변수의 쉘 코드를 실행해야 하는데, name 변수의 주소를 덮어 써서 쉘을 실행하려면 RET에 덮어써야 하므로 배열 s의 크기 20에 sfp 4byte를 더한 24byte를 채우고 name변수의 주소를 넣으면 된다.

쉘 코드는 shell-storm.org/shellcode 사이트에서 만들어진 쉘 코드를 사용할 수 있다.

다음과 같이 파이썬 코드를 짜고 실행하면 쉘을 딸 수 있다.

문제 이름으로 문제를 예상해 봤을 때 FSB취약점을 이용한 문제인 것 같아서 FSB 취약점에 대해 찾아보니 Format String Bug 라는 뜻으로 포맷 스트링을 사용하는 함수에서 %s 와 같은 포맷 스트링 문자를 사용자가 통제할 수 있을 때 발생하는 취약점이라 한다.

file 명령어를 통해 확인하면 리눅스 32비트 실행파일임을 확인할 수 있다.

gdb로 main 함수를 확인하면 다음과 같다.

스택에 eax(0x804a044) 값을 넣어주고, setvbuf 함수를 실행하고 있다.

setvbuf함수는 스트림의 버퍼링과 버퍼 크기를 모두 제어할 수 있는 함수이다.

이후 vuln 함수가 실행되고 있다.

vuln 함수를 확인해보면 다음과 같다.

해당 함수의 주소에 접근할 수 없다고 한다.

main 함수를 IDA 헥스레이로 보면 다음과 같다.

setvbuf 함수와 vuln 함수만 실행되고 있고, 어셈블리 코드에서 setvbuf 함수가 실행되기 전에 push 됬던 값들이 setvbuf 함수의 인자로 들어가고 있다.

vuln 함수는 다음과 같다.

vuln 함수에서 값을 입력받고, 입력받은 값을 출력해준다. 그리고 format 출력을 반환한다. snprintf는 버퍼 오버플로우를 막기 위해 두번째 인자로 문자열의 길이를 지정하는 함수라고 한다.

snpintf함수에서 입력받은 값을 format 버퍼에 저장하고 있고, 이후 printf함수에서 포맷 스트링 없이 format 변수를 그대로 출력하고 있다.

IDA로 프로그램을 봤을 때 flag 라는 함수도 있어서 이 함수도 확인해 봤다.

flag 함수에서 system 함수로 쉘을 실행하고 있고 결과적으로 이 함수를 실행시켜야 할 것 같다.

vuln 함수와 flag 함수의 주소는 다음같다.

vuln : 0x0804854b

flag : 0x080485b4

또한 다음과 같이 프로그램을 실행시키고 포맷 스트링을 입력하여 FSB 취약점이 있다는 것을 확인할 수 있다.

2번째 포맷스트링부터 입력한 AAAA가 들어가고 있다.

AAAA가 들어간 위치에 printf@got 주소를 넣고, %n으로 flag()함수 주소의 10진수 값에서 앞에서 입력한 4byte 만큼을 뺀 값(134514096)을 넣으면 flag 함수가 실행되서 쉘을 딸 수 있다.

file 명령어로 문제 파일을 확인해보면 리눅스 32비트 실행파일임을 확인할 수 있다.

gdb로 메인 함수를 보면 다음과 같다.

저번 문제와 다르게 main 함수에서 시스템 함수를 실행하고 있지 않고, fgets 함수로 입력값만 받고 있다.

info func로 이 프로그램에서 정의된 함수 목록을 확인하면 다음과 같다.

system 함수가 사용되고 있고, shell 이라는 함수가 정의되어 있다. shell 함수의 내용을 보면 다음과 같다.

shell 함수안에서 system 함수가 사용되고 있으므로 프로그램에서 shell 함수를 실행시키면 system 함수가 실행되서 쉘을 딸 수 있을 것 같다.

우선 main함수를 ida 헥스레이로 확인하면 다음과 같다.

128 크기의 배열을 선언하였고, v5라는 비어있는 포인터 변수가 선언되어 있다.

다시 main 함수의 어셈에서 한줄씩 실행하다 보면 main+59, call eax 를 실행했을 때 프로그램을 실행하고 값을 입력했을 경우 출력되는 문자열이 나온다. 이것이 main 함수 hex-ray에서 8번째 줄 v5(); 에 해당하는 값 같고, fgets 함수가 실행될 때 오버플로우를 발생시켜 v5에 저장된 값을 내가 원하는 값으로 덮으면 될 것 같다.

또한 shell 함수를 ida 헥스레이로 확인하면 다음과 같다.

시스템 함수로 dash 쉘을 실행시키고 있다. 따라서 v5의 값을 덮어서 shell() 함수를 실행시키도록 해야 할 것 같다. v5는 포인터 변수이기 때문에 v5에 shell 함수의 주소가 들어가면 v5(); 코드를 실행했을 때 shell 함수가 실행 될 것이다.

shell 함수의 주소는 info func를 통해 함수 정보에서 확인할 수 있고, 0x804849b 이다.

main 함수에서 call eax; 에 breakpoint를 걸고 실행하여 A를 130개 넣어보니 입력받는 문자열을 저장할 배열의 크기는 128이지만 변수의 범위를 넘어서서도 A로 덮이는 것을 확인할 수 있다.

따라서 A를 128개 채우고 이후에 shell 함수의 주소로 덮으면 v5 값이 shell 함수의 주소로 덮여서 v5();를 실행하면 shell 함수가 실행될 것이다.

다음과 같이 익스 코드를 짜면 플래그를 확인할 수 있다.

문제 파일을 확인해 보니 32비트 리눅스 실행파일 이라는 것을 확인할 수 있었다.

이 파일을 gdb로 열어서 main 함수를 확인해보면 다음과 같다.

fgets 함수로 문자열을 입력 받고, printf 함수로 두 번 출력하고, ebp-0xc 의 값이 0x4030201 이면 main + 120 으로 이동하고, ebp-0xc의 값이 0xdeadbeef이면 main+120으로 이동시킨다. main+120을 보면 ebp-0xc가 0xdeadbeef 가 아닐 경우 main+ 177 로 보내서 main 함수를 종료하고, 같으면 어셈 코드가 진행되다가 system 함수가 실행되게 된다.

프로그램의 동작을 더 확실하게 알기 위해 아이다 헥스레이로 main 함수를 보면 다음과 같다.

s 라는 문자열을 받는 배열과 , v5 변수가 선언되어 있고, v5는 0x4030201로 할당되어 있고, s에는 입력값이 할당된다. s의 크기는 40이기 때문에 s 변수에서 버퍼 오버플로우를 발생시켜서 v5의 값을 바꾸면 될 것 같다.

일단 프로그램을 실행시키고 40이상의 문자을 입력하면 v5의 값이 변경되어 첫번째 조건문을 만족시킨다.

실행할 때 check 부분에 0xDEADBEEF가 들어가야 할 것 같다.

배열을 40칸 채운 후 리틀 엔디언 방식으로 0xdeadbeef를 넣어주면 시스템 함수가 실행되어 쉘을 딸 수 있다.

파이썬 pwntools 모듈을 이용하여 스크립트를 짜서 풀었다.

이 페이지 요약 

코딩도장 Unit 48 ~ 50

1. 구조체, 구조체에서 포인터 사용

2. 두 점 사이의 거리 구하기(math.h 헤더 파일의 함수들)

Unit 48. 구조체 사용하기

인적 정보를 처리할 경우 이름, 나이 , 주소 등을 저장할 변수가 필요하다. 각각 변수를 만들어 저장할 경우 한 사람의 정보만 저장할 수 있고, 여러명의 정보를 저장하려면 변수를 계속 만들어야 하므로 비효율 적이다.

구조체는 struct 키워드로 정의 하며 다음과 같이 사용할 수 있다.

struct Person {
    char name[20];        // 이름
    int age;              // 나이
    char address[100];    // 주소
};

이름, 나이, 주소 정보가 Person 이라는 구조체에 들어가 사람 단위로 정보를 처리할 수 있다.

구조체는 관련 정보를 하나의 의미로 묶을 때 사용한다. 목적에 맞는 자료형을 만들어서 사용하는데 기본 자료형을 조합하여 만든 자료형을 파생형이라 한다.

48.1 구조체를 만들고 사용하기

구조체는 struct 키워드로 정의한다. 정의 한 후 변수로 선언하여 사용한다.

다음은 인적 정보를 표현하는 구조체를 만들고 사용한 것이다.

struct 키워드 뒤에 구조체 이름을 지정하고 중괄호 안에 변수를 선언한다. 구조체 안에 들어있는 변수를 멤버라고 부른다. 구조체를 정의할 때는 }(닫는 중괄호) 뒤에는 반드시 ; (세미클론)을 붙여줘야 한다. 구조체는 보통 main 함수 바깥에 정의한다. 함수 안에 구조체를 정의하면 해당 함수 안에서만 구조체를 사용할 수 있다.

정의한 구조체를 사용하려면 구조체 변수를 선언해야 하며 구조체 이름 앞에 struct 키워드를 붙여줘야 한다.

구조체 멤버에 접근할 때는 .(점)을 사용한다. p1.age = 30; 과 같이 구조체 멤버에 접근한 뒤 값을 할당하고 값을 가져온다. 문자열 멤버는 할당연산자로 저장할 수 없으므로 strcpy함수를 사용하면 된다.

다음과 같이 중괄호와 세미클론 사이에 변수를 지정하면 구조체를 정의하는 동시에 변수를 선언할 수 있다.

구조체를 정의하면서 닫는 중괄호와 세미클론 사이에 변수를 지정하면 구조체를 정의하는 동시에 변수가 선언된다. 이와 같이 선언된 변수 p1은 main함수 바깥에 선언되어 있으며 전역변수이다.

구조체 변수를 선언하는 동시에 값을 초기화 하려면 중괄호 안에 .(점)과 멤버 이름을 적고 값을 할당한다. 또한 멤버 이름과 할당 연산자 없이 값만 콤마로 구분하여 나열해도 되는데, 이러한 경우 처음부터 순서대로 값을 채워야 하며 중간에 있는 멤버만 값을 할당하거나 생략할 수 는 없다.

• struct 구조체이름 변수이름 = { .멤버이름1 = 값1, .멤버이름2 = 값2 };
• struct 구조체이름 변수이름 = {값1, 값2};

48.2 typedef로 struct 키워드 없이 구조체 선언하기

typedef로 구조체를 정의하며 별칭(alias)을 지정할 수 있다.

구조체 이름과 구조체 별칭은 겹쳐도 되지만 구분하기 위해 구조체 이름은 앞에 _을 붙이겠다.

구조체를 정의할 땐 맨 앞에 typedef를 붙이고, 구조체를 정의한다. 그리고 닫는 중괄호와 세미클론 사이에 구조체 별칭을 지정하면 된다.

구조체 변수를 선언할 때는 struct 키워드를 생략하고 구조체 별칭으로 바로 변수를 선언할 수 있다. 구조체 별칭으로 선언한 변수도 멤버에 접근할 때는 점을 사용한다.

struct 뒤에 붙는 구조체 이름은 원래 태그(tag)라 부른다.

48.3 익명 구조체 사용하기

typedef로 구조체를 정의하면서 이름을 생략할 수 있다. 변수는 구조체 별칭으로 선언하면 된다.

typedef struct 뒤에 이름을 지정하지 않고 바로 여는 중괄호로 시작하면 된다.

이때는 반드시 구조체 별칭을 지정해야 한다.

구조체 변수는 구조체 별칭으로 선언하고, 멤버에 접근할 때는 점으로 접근한다.

48.4 퀴즈

정답은 c이다.

정답은 c이다.

정답은 d 이다.

정답은 익명 구조체 이다.

48.5 연습문제 : 좌표 구조체 정의하기

정답은 다음 코드와 같다.

// 1.
 Point2D{
    int x;
    int y;
};

// 2.
struct point2D

// 3.
p1.x = 10;

48.6 연습문제 : typedef로 좌표 구조체 정의하기

정답은 다음 코드와 같다.

// 1. 
struct _Point2D{
    int x;
    int y;
} Point2D;

// 2.
p1

// 3.
p1.y = 20;

48.7 연습문제 : 익명 구조체로 좌표 구조체 정의하기

정답은 } Point2D; 이다.

48.8 심사문제 : 자동차 계기판 구조체 선언하기

정답은 다음코드와 같다.

struct Dashboard d1;

d1.speed = 80;
d1.fuel = 'F';
d1.mileage = 5821.442871f;
d1.engineTemp = 200;
d1.rpm = 1830;

48.9 심사문제 : 자동차 계기판 구조체 정의하기

정답은 다음 코드와 같다.

typedef struct _Dashboard{
    int speed;
    char fuel;
    float mileage;
    int engineTemp;
    int rpm;
}Dashboard;

Unit 49. 구조체 포인터 사용하기

구조체는 멤버 변수가 여러 개 들어 있어 크기가 큰 편이기 때문에 구조체 변수를 일일이 선언해서 사용하는 것 보다 포인터에 메모리를 할당하여 사용하는 것이 효율적이다.

49.1 구조체 포인터를 선언하고 메모리 할당하기

다른 자료형 처럼 구조체도 포인터를 선언할 수 있으며 구조체 포인터에는 malloc함수를 사용하여 동적 메모리를 할당할 수 있다.

struct 키워드와 구조체 이름을 사용하여 구조체 포인터를 선언한다. 포인터 변수 이므로 반드시 *을 붙인다. malloc함수로 메모리를 할당 할 때 sizeof(struct Person)과 같이 구조체 크기를 구하여 넣어준다.

구조체의 멤버에 접근할 때는 점이 아닌 -> (화살표 연산자)를 사용한다.

p1->name 같은 문자열 멤버는 할당연산자로 저장할 수 없기 때문에 strcpy 함수를 사용하면 된다.

사용이 끝났으면 free 함수를 사용하여 할당한 메모리를 해제한다.

(*p1).age 처럼 역참조를 사용하면 점으로 멤버에 접근할 수 있다.

49.2 구조체 별칭으로 포인터를 선언하고 메모리 할당하기

구조체별칭 *포인터이름 = malloc(sizeof(구조체별칭)); 의 형태로 포인터를 선언하고 메모리를 할당할 수 있다.

구조체 별칭을 사용하여 포인터를 바로 선언한 뒤 malloc 함수로 메모리를 할당하면 된다. 할당하는 메모리 크기도 구조체 별칭으로 바로 구할 수 있다. 구조페를 다 사용했으면 free 함수로 메모리를 해제해주면 된다.

익명 구조체도 사용하려면 구조체 별칭을 지정해줘야 하므로 메모리 할당 방법은 위와 동일하다.

49.3 구조체 포인터에 구조체 변수의 주소 할당하기

동적 메모리를 할당하지 않고 구조체 변수에 &(주소 연산자)를 사용하여 구조체 포인터를 사용할 수 있다.

먼저 구조체 변수를 선언하고, 구조체 포인터를 선언한다.

구조체 변수는 주소 연산자 &를 사용하여 메모리 주소를 구할 수 있으며 메모리 주소는 구조체 포인터에 할당할 수 있다.

ptr은 구조체 포인터이므로 -> 으로 멤버에 접근하여 값을 할당하였다.

ptr은 p1의 메모리 주소 이므로 ptr의 멤버를 수정하면 결국 p1의 멤버도 바뀐다.

49.4 퀴즈

정답은 4 이다.

정답은 d 이다.

정답은 d 이다.

49.5 연습문제 : 학생 구조체 포인터에 메모리 할당하기

정답은 다음코드와 같다.

// 1.
malloc(sizeof(struct Student))

// 2.
strcpy(s1->name, "고길동")
s1->grade = 1;
s1->class = 3;
s1->average = 65.389999f;

49.6 연습문제 : 3차원 좌표 구조체 포인터에 메모리 할당하기

정답은 다음 코드와 같다.

// 1. 
malloc(sizeof(Point3D));

// 2.
p1->x = 10.0f;
p1->y = 20.0f;
p1->z = 30.0f;

49.7 연습문제 : 구조체 포인터에 구조체 주소 할당하기

정답은 다음 코드와 같다.

// 1. 
struct Item *ptr;

// 2.
ptr = &item1;

49.8 심사문제 : 사람과 자동차 구조체 포인터에 메모리 할당하기

정답은 다음 코드와 같다.

struct Person *p1 = malloc(sizeof(struct Person));
Car *c1 = malloc(sizeof(Car));

strcpy(p1->name, "고길동");
p1->age = 40;
strcpy(p1->address, "서울시 서초구 반포동");

strcpy(c1->name, "스텔라");
c1->number = 3421;
c1->displacement = 2000;

49.9 심사문제 : 구조체 포인터에 구조체 변수의 주소 할당하기

정답은 다음 코드와 같다.

ptr = &p1;

Unit 50. 두 점 사이의 거이 구하기

50.1 두 점 사이의 거리 구하기

2차원 평면에서 위치를 표현하려면 x와 y값이 필요하다. 구조체를 이용하여 한 점에 x와 y값을 선언하여 점을 표현할 수 있다.

두 점 사이의 거리를 구하려면 피카고라스의 정리를 이용하면 된다.

점 두 개가 있을 때 직각 삼각형을 그리면 다음과 같다.

피타고라스의 정리를 이용하여면 먼저 선 a 와 b의 길이를 구해야 하는데 구조체 변수에 두 점의 좌표가 들어있다고 가정하면 다음과 같이 구할 수 있다.

int a = p2.x - p1.x;    // 선 a의 길이
int b = p2.y - p1.y;    // 선 b의 길이

피타고라스 정리에서 c의 길이를 구하려면 제곱근을 구해야 한다.

C에서 루트는 math.h 헤더파일에 선언된 sqrt 함수를 사용하여 구할 수 있다.

C 코드로 두 점의 거리를 구하는 방법은 다음같다.

sqrt 함수를 사용하면 넣은 값의 제곱근을 구할 수 있다. 제곱근은 소수로 나오기 때문에 double형 변수에 저장했다.

제곱을 구할 때는 math.h 헤더파일에 선언되있는 pow 함수를 사용해도 된다. a^2를 구하고 싶으면 pow(a,2)와 같이 사용한다.

abs, fabs, fabsf 함수를 사용하면 각각 정수, double형 실수, float형 실수에 대한 절댓값을 구할 수 있다.

50.2 연습문제 : 사각형의 넓이 구하기

정답은 다음 코드와 같다.

int w = abs(rect.x2 - rect.x1);
int h = abs(rect.y2 - rect.y1);
area = w * h;

밑변과 높이를 구하면서 음수가 나올수 있기 때문에 절댓값을 구하는 abs 함수를 사용하였다.

50.3 심사문제 : 두 점 사이의 거리 구하기

정답은 다음 코드와 같다.

int a = p2.x - p1.x;
int b = p2.y - p1.y;
distance = sqrt((a*a) + (b*b));