栈溢出
from pwn import * |
remote("一个域名或者ip地址", 端口)
会连接到我们指定的地址及端口。 然后该函数会返回remote对象 (这里,我们将该对象保存到了变量 c
). remote对象主要用来进行对远程主机的输入输出. 它有如下几个方法:
send(payload)
发送payloadsendline(payload)
发送payload,并进行换行(末尾**\n**)sendafter(some_string, payload)
接收到 some_string 后, 发送你的 payloadrecvn(N)
接受 N(数字) 字符recvline()
接收一行输出recvlines(N)
接收 N(数字) 行输出recvuntil(some_string)
接收到 some_string 为止
在第三行中, p32()
可以让我们转换整数到小端序格式. p32
转换4字节. p64
和 p16
则分别转换 8 bit 和 2 bit 数字. c.sendline
将我们的payload发送到远程主机. "AAAA" * 14
是我们到key的偏移量. Pwntools 不能自动运算偏移量,用户需要自行计算。
shellcode
from pwn import * |
我们这里用到了新的api: process()
, contex.log_level
, gdb.attach
, 和 shellcraft
.
process
和 remote
累死. remote
连接远程主机, process
则通过你声明的二进制文件路径在本地创建新的进程. 除了 I/O, process
返回的对象可以通过 gdb.attach(p)
将进程attach到gdb上. Attach 之后, gdb 便可以调试该程序来 (设置 breakpoints, 查看 stack, 以及简单的反汇编).
当我们想查看服务器输出时,并不需要在每个 recvline
或者 recvuntil
前加 print
. 当 context.log_level
被设置为 "DEBUG"
, 我们的输入和服务器的输出会被直接输出.
shellcraft
是一个帮忙生成shellcode的类. 在我们的例子中, 我们 open 了一个文件并 read 文件到 stdout. 关于这个类更多的文档, 你可以查阅 官方文档.
格式化漏洞
from pwn import * |
有了 FmtStr
, 我们不用算偏移量算到疯. 我们需要先构造一个可以接收我们输入并返回格式化字符串输出的函数. 接着,我们可以得到 autofmt
. 这个对象包含 offset
, 即算好的偏移量. fmtstr_payload(offset, {address: value})
帮我们生成最后的payload. 第一个参数 offset
用 autofmt.offset
算好的即可. 然后, 我们需要声明 {address: value}
来覆盖address的内容成对应的value. 我们还可以同时改写多个地址: {address1: value1, address2:value2,..., address: valueN}
.
有些情况不能自动生成payload. 以下文档介绍了如何手动生成payload fmtstr_payload.
ELF()
有些题目给了我们libc. 用 gdb> x function1 — function2
算偏移量太麻烦了, 因此有了 ELF
.
from pwn import * |
和 process()
一样, 我们只用将路径给 ELF(path)
即可分析 ELF.
我们有以下几种方法操纵ELF:
symbols['a_function']
找到a_function
的地址got['a_function']
找到a_function
的 gotplt['a_function']
找到a_function
的 pltnext(e.search("some_characters"))
找到包含some_characters
(字符串,汇编代码或者某个数值)的地址.