pwntools 사용법

1. process & remote 

- process : 익스플로잇을 로컬 바이너리를 대상으로 할 때 사용하는 함수 (테스트 & 디버깅 용)

- remote : 원격 서버를 대상으로 할 때 사용 (서버를 실제 공격하기 위함) 

from pwn import *
p = process('./test') #로컬 바이너리 'test'를 대상으로 익스플로잇 수행
p = remote('example.com',31337) #'example.com'의 31337 포트에서 실행 중인 프로세스를 대상으로 익스플로잇 수행

2. send 

- send : 데이터를 프로세스에 전송하기위해 사용 

from pwn import *
p = process('./test')
p.send('A') # ./test에 'A'를 입력
p.sendline('A') # ./test에 'A'+'\n'을 입력
p.sendafter('hello','A') # ./test가 'hello'를 출력하면, 'A'를 입력
p.sendlineafter('hello','A') # ./test가 'hello'를 출력하면, 'A' + '\n'을 입력

3. recv

- recv : 프로세스에서 데이터를 받기 위해 사용 

from pwn import *
p = process('./test')
data = p.recv(1024) #p가 출력하는 데이터를 최대 1024바이트까지 받아서 data에 저장
data = p.recvline() #p가 출력하는 데이터를 개행문자를 만날 때까지 받아서 data에 저장
data = p.recvn(5) #p가 출력하는 데이터를 5바이트만 받아서 data에 저장
data = p.recvuntil('hello') #p가 출력하는 데이터를 'hello'가 출력될 때까지 받아서 data에 저장
data = p.recvall() #p가 출력하는 데이터를 프로세스가 종료될 받아서 data에 저장

4. packing & unpacking 

16진수 2개당 1byte(8bit)

리틀엔디안으로 배열 출력 원하거나(u) 그 반대(p)일 때 사용! 

u32 : 4byte 

u64 : 8byte 

ex)

Print u64(“ABCDEFGH”)
5208208757389214273 // 이와 같이 정수로 변환됨

// 이걸 hex 로 변경하면 0x4142434445464748 (리틀엔디안)

#!/usr/bin/python3
#Name: pup.py
from pwn import *
s32 = 0x41424344
s64 = 0x4142434445464748
print(p32(s32))
print(p64(s64))
s32 = "ABCD"
s64 = "ABCDEFGH"
print(hex(u32(s32)))
print(hex(u64(s64)))

$ python3 pup.py
b'DCBA'
b'HGFEDCBA'
0x44434241
0x4847464544434241

5. interactive 

익스플로잇의 특정 상황에 직접 입력을 주면서 출력을 확인하고 싶을 때 사용하는 함수

from pwn import *
p = process('./test')
p.interactive()

6. ELF

ELF 헤더에는 익스플로잇에 활용될 수 있는 각종 정보가 기록되어있음 

pwntools를 이용해 해당 정보 쉽게 참조 가능 

from pwn import *
e= ELF('./test')
puts_plt = e.plt['puts'] # ./test에서 puts()의 PLT주소를 찾아서 puts_plt에 저장
read_got = e.got['read'] # ./test에서 read()의 GOT주소를 찾아서 read_got에 저장
get_shell = elf.symbols["get_shell"] #get_shell함수의 베이스 주소와 offset 저장

7. context.log 

익스플로잇에 버그가 발생했을 경우 익스플로잇도 디버깅이 필요

pwntools의 로깅 기능을 이용

from pwn import *
context.log_level = 'error' # 에러만 출력
context.log_level = 'debug' # 대상 프로세스와 익스플로잇간에 오가는 모든 데이터를 화면에 출력
context.log_level = 'info'  # 비교적 중요한 정보들만 출력

8. context.arch

pwntools는 셸코드를 생성하거나, 코드를 어셈블, 디스어셈블하는 기능 등을 가지고 있는데, 이들은 공격 대상의 아키텍처에 영향을 받음

그래서 pwntools는 아키텍처 정보를 프로그래머가 지정할 수 있게 하며, 이 값에 따라 몇몇 함수들의 동작이 달라짐 

from pwn import *
context.arch = "amd64" # x86-64 아키텍처
context.arch = "i386"  # x86 아키텍처
context.arch = "arm"   # arm 아키텍처

9. shellcraft 

pwntools에는 자주 사용되는 셸 코드들이 저장

#!/usr/bin/python3
#Name: shellcraft.py
from pwn import *
context.arch = 'amd64' # 대상 아키텍처 x86-64
code = shellcraft.sh() # 셸을 실행하는 셸 코드 
print(code)

$ python3 shellcraft.py
    /* execve(path='/bin///sh', argv=['sh'], envp=0) */
    /* push b'/bin///sh\x00' */
    push 0x68
    mov rax, 0x732f2f2f6e69622f
    ...
    syscall

10. asm 

어셈블 기능 제공

해당 기능도 아키텍처가 중요하기 때문에 아키텍처를 미리 지정 

#!/usr/bin/python3
#Name: asm.py
from pwn import *
context.arch = 'amd64' # 익스플로잇 대상 아키텍처 'x86-64'
code = shellcraft.sh() # 셸을 실행하는 셸 코드
code = asm(code)       # 셸 코드를 기계어로 어셈블
print(code)

$ python3 asm.py
b'jhH\xb8/bin///sPH\x89\xe7hri\x01\x01\x814$\x01\x01\x01\x011\xf6Vj\x08^H\x01\xe6VH\x89\xe61\xd2j;X\x0f\x05'

 

11. ELF

binary = ELF("./파일")

puts_plt = binary.plt['puts']

puts_got = binary.got['puts']

 

[출처]

dreamhack 사이트