[ASC 스터디] 5주차 - 연습문제 풀이, GDB, IDA, Pwntools 사용법

👉 지난 차시

2022.06.27 - [System-hacking/📖] - [ASC 스터디] 4주차 - 레지스터, 어셈블리, 연습문제, GDB 사용법

 

1. 연습문제 풀이 & 복습

결과 확인 방법 => nasm, gdb

sudo apt-get install nasm
vi ex1.asm
nasm -f elf64 ex1.asm -o ex1.o && ld ex1.o -o ex1.elf
./ex1.elf

 

pwndbg, Pwngdb 사용 방법:

git clone 해서 다운 받는다 => pwndbg/ 들어가서 ./setup.sh 해준다 =>  .gdbinit 파일 수정해준다. => gdb 실행해보기

./setup.sh

source ~/pwndbg/gdbinit.py
source ~/Pwngdb/pwngdb.py
source ~/Pwngdb/angelheap/gdbinit.py


define hook-run
python
import angelheap
angelheap.init_angelheap()
end

gdb>에서 pwndbg>로 변경되었다.

 

#1. esi = 0x12345678, eax = 0x87654321일때 mov eax, DWORD PTR[esi]; $eax의 값은?

e로 시작하면 32비트 레지스터 ! 4바이트

esi : 출발지 주소를 저장하는 레지스터 (인덱스 레지스터)

eax : 연산 결과를 저장하고 함수 반환 값을 담는 레지스터 (데이터 레지스터)

mov [Destination] [Source]  :  Source에 있는 데이터를 Destination으로 옮기는 명령어

DWORD PTR[esi]  :  esi 포인터 주소값을 4바이트 만큼 참조한다.

 

=> esi 포인터 주소값을 4바이트만큼 참조해서 eax 레지스터로 옮긴다.

=> eax에는 esi의 주소값인 0x12345678이 들어가게 된다.

 

정답 : 0x12345678

 

#2. esi = 0x12345678, eax = 0x87654321일때 mov ax, WORD PTR[esi]; $eax의 값은?

e로 시작하면 32비트 레지스터 ! 4바이트

esi : 출발지 주소를 저장하는 레지스터 (인덱스 레지스터)

eax : 연산 결과를 저장하고 함수 반환 값을 담는 레지스터 (데이터 레지스터)

32bit EAX  >  16bit AX  >  8bit AH + 8bit AL

mov [Destination] [Source]  :  Source에 있는 데이터를 Destination으로 옮기는 명령어

WORD PTR[esi]  :  esi 포인터 주소값을 2바이트 만큼 참조한다.

 

=> esi 포인터 주소값을 2바이트만큼 참조해서 ax로 옮긴다.

=> ax에는 esi 포인터의 주소값인 0x12345678에서 2바이트만큼인 0x5678이 들어가게 된다.

=> 그럼 eax는 0x87655678가 된다.

 

정답 : 0x87655678

 

#3. esi = 0x12345678, eax = 0x87654321일때 mov ah, BYTE PTR[esi]; $eax의 값은?

e로 시작하면 32비트 레지스터 ! 4바이트

esi : 출발지 주소를 저장하는 레지스터 (인덱스 레지스터)

eax : 연산 결과를 저장하고 함수 반환 값을 담는 레지스터 (데이터 레지스터)

32bit EAX  >  16bit AX  >  8bit AH + 8bit AL

mov [Destination] [Source]  :  Source에 있는 데이터를 Destination으로 옮기는 명령어

BYTE PTR[esi]  :  esi 포인터 주소값을 1바이트 만큼 참조한다.

 

=> esi 포인터 주소값을 1바이트만큼 참조해서 ah로 옮긴다.

=> ah에는 esi 포인터의 주소값인 0x12345678에서 1바이트만큼인 0x78이 들어가게 된다.

=> 그럼 eax는 0x87657821가 된다.

 

정답 : 0x87657821

제일 하위 1바이트를 옮겨주기 위해 bl을 써주자

 

#4. MOV AL, 100; ADD AL, 100; CMP AX, 200; 명령을 수행 후  상태 레지스터의 결과는? CF=?, ZF=?

mov [Destination] [Source]  :  Source에 있는 데이터를 Destination으로 옮기는 명령어

add [OPR1] [OPR2] : OPR2의 값에 OPR1 값을 더해 OPR1에 저장cmp [VAR1] [VAR2] :  VAR1과 VAR2를 비교한다.CF는 올림 빌림 발생시 1, ZF는 연산 결과가 0이면 1

VAR1 < VAR2  : CF=1, ZF=0

VAR1==VAR2 : CF=0, ZF=1

VAR1 > VAR2  : CF=0, ZF=0

32bit EAX  >  16bit AX  >  8bit AH + 8bit AL

 

=> al에 100을 넣고, al에 100을 더해서 저장하면 al은 200이 된다.

=> al은 8비트이고, 200을 2진수로 표현하면 1011 0010 이다.

CF 올림이 발생하지 않는다. CF=0

만약 add al, 200; 이라고 해보자.

al은 300이 되어 8비트로 표현할 수 있는 최댓값 255를 초과하게 된다.

255 : 1111 1111

300 : 0001 0010 1100

이럴 경우 CF 올림이 발생하여 CF는 1로 설정된다.

=> ax는 16비트이고, ax는 200이다.

=> cmp ax, 200 하면 ax에서 200을 빼서 비교하게 되는데 200-200=0이므로 ZF가 1로 설정된다.

 

정답 : CF=0,  ZF=1

 

2. GDB 사용법

• 디버깅(debugging)이란 컴퓨터 프로그램 개발 중에 발생하는 시스템의 논리적 오류나 비정상적 연산을 찾아내고 그 원인을 밝히고 수정하는 작업 과정이다.
• 디버거란 대상 프로그램을 테스트하고 Debug하는데 쓰이는 도구(프로그램)

파일 실행

: gdb -q "파일명"

 

함수 디스어셈블

: disassemble main ( main함수의 기계어를 어셈블리어로 바꾼다. )

AT&T

AT&T -> intel

: set disassembly-flavor intel

intel

브레이크 포인트 걸기

: b*main ( 심볼이 있을 때 )

: b*0x04005bd ( 특정 주소 브레이크 포인트 걸기 )

브레이크 포인트 삭제

: delete

: delete "번호"

실행하기

: r

: r arg1 arg2 ... ( 인자가 있는 경우 ) 

: continue  ( 다음 브레이크 포인트까지 실행 )

: ni                (한 스텝씩 실행 step over)

: si                 ( step into ) 함수를 만나면 함수 내부로 들어감

 

종료하기

: q or k

 

정보확인

: info reg  ( 레지스터 정보 확인 )

: info break ( 브레이크 포인트 건 위치 확인 )

실행중인 프로세스 gdb에 붙이는 법

:  at

기타 꿀팁

:  finish  ( 현재 함수 종료 )

: stack [숫자]  ( 스택 메모리 공간 값 확인 가능 )

: libc, pie, ld, heap, code, got

: vmmap  ( 메모리맵 확인 )

: p [name], p [register]  ( print해줌, 레지스터에는 $를 붙여서 쓰기 )

: bt  ( back trace, 이전에 실행된 함수들 추적 )

: set [타입] [주소]  ( 값으로 메모리 특정 주소에 값 저장 가능 )

: magic  ( 함수 오프셋 확인 가능 )

 

 

3. IDA

IDA가 어셈블리를 C 코드로 바꿔준다.

 

1. 설치

IDA Freeware

2. 사용법

대표적 단축키

F5 : Hey-ray 디컴파일

x : 호출되는 함수들 확인 가능

Shift + F12 : 문자열 검색 창

n : 함수나 변수 이름 변경 가능

g : 특정 주소로 이동

 

 

4. Pwntools

Python2,3 Module

CTF와 익스플로잇 개발을 위한 프레임워크, 파이썬 라이브러리

깃허브 - GitHub - Gallopsled/pwntools: CTF framework and exploit development library

공식문서 - pwntools — pwntools 4.8.0 documentation

사용방법 - 4. pwntools 정리 : 네이버 블로그 (naver.com)

 

 

사용이유 )

• 많은 양의 입출력 동작을 쉽고 간편하게 처리하기 위해서
• Unprintable ASCII 등을 처리하기 위해서
• Exploit에 도움되는 Util들을 사용하기 위해

사용방법 )

from pwn import *

구체적인 사용법은 구글링을 통해 알아보자 !

 

문제 풀이 : using_pwntools1

다음과 같이 a,b 연산을 올바르게 했을 때 다음으로 넘어간다. a, b 값을 자동으로 가져와서 계산하여 값을 넣어줘야한다.

pwntools를 이용하여 자동화 해보자.

 

from pwn import *

context.log_level='debug'
p = remote('141.164.39.45', 18733)

p.recvuntil(b'a=')
a = int(p.recvline().strip())
print('a : {}'.format(a))

p.recvuntil(b'b=')
b = int(p.recvline().strip())
print('b : {}'.format(b))

p.interactive()

a, b 값을 알아냈다. 이제 부호를 알아내서 연산하는 최종 익스플로잇 코드를 작성해보자.

from pwn import *

context.log_level = 'debug'
p = remote('sung.pw',13332)

try:
    for i in range(100):
        p.recvuntil(b'a=')
        a = int(p.recvline().strip())
        print('a : {}'.format(a))

        p.recvuntil(b'b=')
        b = int(p.recvline().strip())
        print('b : {}'.format(b))

        p.recvuntil(b'a ')
        cal = p.recv(1) # + -
        print(cal)

        if cal == b'+':
            p.sendlineafter(b'= ', str(a + b).encode())
        elif cal == b'-':
            p.sendlineafter(b'= ', str(a - b).encode())
except:
    p.interactive()

p.interactive()

 

문제 풀이 : using_pwntools2

연산이 더 다양해졌고, a, b변수가 사라졌다.

python의 eval()함수를 사용하여 풀어보자.

eval("2+3") = 5

eval() 함수안에 표현식을 넣으면 연산해주는 함수이다.

' = ' 전까지 입력받은 문자열 전체를 eval()에 넣어서 계산하자.

 

from pwn import *

context.log_level='debug'
p = remote('141.164.39.45', 18734)
p.recvline()
p.recvline()

try:
	for i in range(100):
		p.recvline()
		s = p.recvuntil(b' = ').strip().strip(b'=')
		print('s : {}'.format(s))
		
		code = compile(s,'', 'eval')
		out = eval(code)
		print('out : {}'.format(out))

		p.sendline(str(out).encode())
	
except:
	p.interactive()

p.interactive()

신경써야 할 부분은 python3 특징이 binary 데이터를 보내야한다는 것이다.

out이 int형이라서 p.sendline(out) 이렇게 계속 보내다가 str(out).encode()해주니까 잘 전달된다.

 

⭐공부할 것들

1. IDA 사용법

2. pwntools 사용법

 

 

---

ASC 시스템해킹 스터디