上篇介绍了做CTF PWN题目的环境搭建,这篇我们将介绍如何利用Pwntools帮助我们更加快速的解题。
Pwntools是一个CTF框架和漏洞利用开发库,用Python开发,旨在让使用者简单快速的编写exploit。几乎涵盖了做pwn题目脚本所需要用到的各种工具。
from pwn import *
建立连接对于解pwn题尤为重要,比赛时,一般会给你一个pwn题目文件(一般是linux elf文件),还会给你一个nc地址。
因此,我们需要与nc服务器和elf文件建立连接。
我们可以利用pwnlib.elf模块来连接程序文件。
elf = ELF('./process') #process为题目给出的程序文件
当我们连接到程序文件后,可使用内置方法快速查找函数地址等一系列功能。
我们通过pwnlib.tubes模块来连接服务器
r = remote('ip',port) #在对应位置填入题目给出的ip和端口
在链接到服务器之后,可利用内置方法与服务器进行数据发送、接受等一系列交互操作。
我们可以通过设置目标架构和操作系统,来告诉pwntools我们程序的运行环境,pwntools会自动帮我们调整对应的编译格式和字节序。
context.arch = 'i386' #32位程序设置为i386;64位程序设置为amd64
context.binary = './process' #可以用这种方法自动设置成适当的值
context.os = 'linux'
context.log_level = 'debug' #可在屏幕上打印debug信息
context.terminal = ['tmux', 'splitw', '-h'] #告诉pwntools你的终端信息,方便后期动态调试
context.endian = 'big' #设置字节序为大端序,小端序设置为little
在了解了上述的一些准备工作之后,我们可以尝试开始和程序进行交互了。
r.recv() #接收数据
r.recvline() #接收一行数据
r.recvall() #接收数据,直到达到EOF
r.send() #发送数据
r.sendline() #发送一行数据
r.sendlineafter('str',payload) #当接收到指定数据时,发送数据
r.interactive()
当我们成功连接到程序文件时,我们可以利用pwntools快速获取函数地址。
例如获取puts函数地址:
puts_got_addr = elf.got['puts'] #获取puts函数got表地址
puts_plt_addr = elf.plt['puts'] #获取puts函数plt表地址
puts_sym_addr = elf.symbols['puts'] #获取puts函数符号表地址
我们做题时,会经常用到shellcode,但是每次都从网上找对应的shellcode会大大降低我们的做题效率。shellcraft模块可以帮我们自动生成shellcode。
shellcraft.sh()
在我们发送和接收数据时,会经常使用打包解包操作。
p32() #将数据打包成32位二进制格式,字节序由context.endian设置
p64() #将数据打包成64位二进制格式,字节序由context.endian设置
u32() #将32位二进制格式数据解包
u64() #将64位二进制格式数据解包
有时我们也会用到汇编操作,例如我们要发送shellcode:
shellcode = asm(shellcraft.sh())
r.sendline(shellcode)