当前位置：首页 > 编程日记 > 正文

python3-pwntools教程_python的pwntools工具的日常使用

编程日记 2024-06-15 18:20:00

1.安装

操作系统：

ubuntu16.04

环境准备：

python

pip

libssl-dev

libffi-dev

pwntools安装：

sudo apt-get install libffi-dev

sudo apt-get install libssl-dev

sudo apt-get install python

sudo apt-get install python-pip

sudo pip install pwntools

peda安装：

$ git clone https://github.com/longld/peda.git ~/peda

$ echo "source ~/peda/peda.py" >> ~/.gdbinit

Ubuntu 32位库的安装：

ubuntu64位默认没有32位的库，所以32位的ELF文件无法执行，会提示找不到文件或者文件夹，所以需要手动安装32位的库。

sudo apt install libc6-dev-i386

sudo apt-get install lib32z1

2.模块介绍

使用from pwn import *将所有的模块导入到当前namespace，这条语句还会帮你把os,sys等常用的系统库导入。

常用模块如下：

asm : 汇编与反汇编，支持x86/x64/arm/mips/powerpc等基本上所有的主流平台

dynelf : 用于远程符号泄漏，需要提供leak方法

elf : 对elf文件进行操作

gdb : 配合gdb进行调试

memleak : 用于内存泄漏

shellcraft : shellcode的生成器

tubes : 包括tubes.sock, tubes.process, tubes.ssh, tubes.serialtube，分别适用于不同场景的PIPE

utils : 一些实用的小功能，例如CRC计算，cyclic pattern等

3.连接

本地：sh = porcess("./level0")

远程：sh = remote("127.0.0.1",10001)

关闭连接：sh.close()

4.IO模块

sh.send(data) 发送数据

sh.sendline(data) 发送一行数据，相当于在数据后面加\n

sh.recv(numb = 2048, timeout = dufault) 接受数据，numb指定接收的字节，timeout指定超时

sh.recvline(keepends=True) 接受一行数据，keepends为是否保留行尾的\n

sh.recvuntil("Hello,World\n",drop=fasle) 接受数据直到我们设置的标志出现

sh.recvall() 一直接收直到EOF

sh.recvrepeat(timeout = default) 持续接受直到EOF或timeout

sh.interactive() 直接进行交互，相当于回到shell的模式，在取得shell之后使用

5. 汇编和反汇编

汇编：

>>> asm('nop')

'\x90'

>>> asm('nop', arch='arm')

'\x00\xf0 \xe3'

可以使用context来指定cpu类型以及操作系统

>>> context.arch = 'i386'

>>> context.os = 'linux'

>>> context.endian = 'little'

>>> context.word_size = 32

使用disasm进行反汇编

>>> print disasm('6a0258cd80ebf9'.decode('hex'))

0: 6a 02 push 0x2

2: 58 pop eax

3: cd 80 int 0x80

5: eb f9 jmp 0x0

注意，asm需要binutils中的as工具辅助，如果是不同于本机平台的其他平台的汇编，例如在我的x86机器上进行mips的汇编就会出现as工具未找到的情况，这时候需要安装其他平台的cross-binutils。

6.Shellcode生成器

>>> print shellcraft.i386.nop().strip('\n')

nop

>>> print shellcraft.i386.linux.sh()

/* push '/bin///sh\x00' */

push 0x68

push 0x732f2f2f

push 0x6e69622f

...

结合asm可以可以得到最终的pyaload。

from pwn import *

context(os='linux',arch='amd64')

shellcode = asm(shellcraft.sh())

或者

from pwn import *

shellcode = asm(shellcraft.amd64.linux.sh())

除了直接执行sh之外，还可以进行其它的一些常用操作例如提权、反向连接等等。

7.ELF文件操作

>>> e = ELF('/bin/cat')

>>> print hex(e.address) # 文件装载的基地址

0x400000

>>> print hex(e.symbols['write']) # 函数地址

0x401680

>>> print hex(e.got['write']) # GOT表的地址

0x60b070

>>> print hex(e.plt['write']) # PLT的地址

0x401680

>>> print hex(e.search('/bin/sh').next())# 字符串/bin/sh的地址

8.整数pack与数据unpack

pack：p32，p64unpack：u32，u64

from pwn import *

elf = ELF('./level0')

sys_addr = elf.symbols['system']

payload = 'a' * (0x80 + 0x8) + p64(sys_addr)

...

9.ROP链生成器

elf = ELF('ropasaurusrex')

rop = ROP(elf)

rop.read(0, elf.bss(0x80))

rop.dump()

# ['0x0000: 0x80482fc (read)',

# '0x0004: 0xdeadbeef',

# '0x0008: 0x0',

# '0x000c: 0x80496a8']

str(rop)

# '\xfc\x82\x04\x08\xef\xbe\xad\xde\x00\x00\x00\x00\xa8\x96\x04\x08'

使用ROP(elf)来产生一个rop的对象，这时rop链还是空的，需要在其中添加函数。

因为ROP对象实现了getattr的功能，可以直接通过func call的形式来添加函数，rop.read(0, elf.bss(0x80))实际相当于rop.call('read', (0, elf.bss(0x80)))。通过多次添加函数调用，最后使用str将整个rop chain dump出来就可以了。

call(resolvable, arguments=()) : 添加一个调用，resolvable可以是一个符号，也可以是一个int型地址，注意后面的参数必须是元组否则会报错，即使只有一个参数也要写成元组的形式(在后面加上一个逗号)

chain() : 返回当前的字节序列，即payload

dump() : 直观地展示出当前的rop chain

raw() : 在rop chain中加上一个整数或字符串

search(move=0, regs=None, order=’size’) : 按特定条件搜索gadget

unresolve(value) : 给出一个地址，反解析出符号

https://www.dkcj.cn/info/10853.html

python3-pwntools教程_python的pwntools工具的日常使用

相关文章：

Spring MVC 返回json数据报406错误问题解决方案

c# 读hex_c＃十六进制到位转换(c# hex to bit conversion)

pip install lxml失败原因

go语言服务器连接mysql_go语言原生连接数据库

2017《面向对象程序设计》寒假作业一

gis中的加权求和工具在哪里_ArcGIS教程：加权总和的工作原理

flask执行python程序_Flask app后如何执行代码(应用程序运行)开始

异常处理与MiniDump详解(3) SEH（Structured Exception Handling）

电热水器技术性能指标

java相关网络协议无响应_java网络协议有哪些

es日期format_elasticsearch存储日期格式字段

arraylist 后往前遍历_面试官：谈谈常用的Arraylist和Linkedlist的区别

linux mipi驱动分析_寒武纪社招内推数字IC设计、DSI驱动、软件架构、产品经理、芯片架构、工具链开发、深度学习、FAE工程师...

关于鼠标、键盘的几个例子

mysql性能优化1

java获取date的时分秒_Java 之 Date 获取年月日时分秒

python中字典的value可以为任意对象_Python对象作为字典值

Android Java使用JavaMail API发送和接收邮件的代码示例

python 包用法_Python 基础教程之包和类的用法

[bzoj2259][Oibh]新型计算机_Dijkstra

arcengine 加载地图不显示_地图建筑建模制作与输出

用easyx画电子钟_Canvas入门－利用Canvas绘制好玩的电子时钟

前端开发工程师面试题之综合篇

C语言基础(12)-输入和输出

java static 可见性_Java多线程 synchronized与可见性的关系以及可见性问题总结

表达式树 java_表达树—构建表达式树、获取表达式（二）

python 客户端如何获取手机_Python学习---Django的request扩展[获取用户设备信息]

: error c2062: 意外的类型“int”_Go 命令行解析 flag 包之扩展新类型

java英文字符串大小写转换必须使用_【Java基础】之字符串大小写转换不利用API....

.net core 17