pwn记录的第一天

10.29.

第一个教学视频

破解，利用成功（程序的二进制漏洞）

攻破（设备，服务器）

控制（设备，服务器）

二进制漏洞挖掘与利用

用于攻击的脚本与方案

Payload

攻击载荷，是 目的进程 被劫持控制流的数据

（发送一段恶意数据给服务器，远程服务器解析这段数据，

造成自己的程序控制流被我劫持，）

Shellcode

调用攻击目标的shell 的代码

Form pwn import *

是pang的一个程序或一个服务器的开端

C语言编程基础和liux基础

程序的编译和链接

Linux下的可执行文件格式ELF

进程虚拟地址空间

程序的装载与进程的执行

X86&amd64汇编简述

程序的编译和链接：

  c语言和C++语言写出的 没有垃圾收集器

对于要求及时性很高的程序，如火车抢票系统，金融交易系统

Linux系统中 程序的格式都是借助于程序头 来分辨的

Windows系统中 程序的格式是看后缀名的，所

以 我可以改一个文件它的后缀名来欺骗操作系统的

仅仅改变文件后缀名，文件内容并不会变，只是用

正常的打开方式打不开

  

pwntools使用

pwntools工具是做pwn题必备的EXP编写工具，这里写（抄）一些简单的用法，以备查询

1.安装

安装可以参考我写的另一篇文章，不过也就几条命令。链接

2.模块介绍

使用from pwn import *将所有的模块导入到当前namespace，这条语句还会帮你把os,sys等常用的系统库导入。

常用模块如下：

• asm : 汇编与反汇编，支持x86/x64/arm/mips/powerpc等基本上所有的主流平台
• dynelf : 用于远程符号泄漏，需要提供leak方法
• elf : 对elf文件进行操作
• gdb : 配合gdb进行调试
• memleak : 用于内存泄漏
• shellcraft : shellcode的生成器
• tubes : 包括tubes.sock, tubes.process, tubes.ssh, tubes.serialtube，分别适用于不同场景的PIPE
• utils : 一些实用的小功能，例如CRC计算，cyclic pattern等

3.连接

本地 ：sh = porcess("./level0")

远程：sh = remote("127.0.0.1",10001)

关闭连接：sh.close()  

4.IO模块

sh.send(data)  发送数据

sh.sendline(data)  发送一行数据，相当于在数据后面加\n

sh.recv(numb = 2048, timeout = dufault)  接受数据，numb指定接收的字节，timeout指定超时

sh.recvline(keepends=True)  接受一行数据，keepends为是否保留行尾的\n

sh.recvuntil("Hello,World\n",drop=fasle)  接受数据直到我们设置的标志出现

sh.recvall()  一直接收直到EOF

sh.recvrepeat(timeout = default)  持续接受直到EOF或timeout

sh.interactive()  直接进行交互，相当于回到shell的模式，在取得shell之后使用

5. 汇编和反汇编

汇编：

>>> asm('nop')'\x90'>>> asm('nop', arch='arm')'\x00\xf0 \xe3'

可以使用context来指定cpu类型以及操作系统

>>> context.arch      = 'i386'>>> context.os        = 'linux'>>> context.endian    = 'little'>>> context.word_size = 32

使用disasm进行反汇编

>>> print disasm('6a0258cd80ebf9'.decode('hex'))

   0:   6a 02                   push   0x2

   2:   58                      pop    eax

   3:   cd 80                   int    0x80

   5:   eb f9                   jmp    0x0

注意，asm需要binutils中的as工具辅助，如果是不同于本机平台的其他平台的汇编，例如在我的x86机器上进行mips的汇编就会出现as工具未找到的情况，这时候需要安装其他平台的cross-binutils。

6.Shellcode生成器

>>> print shellcraft.i386.nop().strip('\n')

    nop>>> print shellcraft.i386.linux.sh()

    /* push '/bin///sh\x00' */

    push 0x68

    push 0x732f2f2f

    push 0x6e69622f...

结合asm可以可以得到最终的pyaload。

from pwn import *context(os='linux',arch='amd64')

shellcode = asm(shellcraft.sh())

或者

from pwn import *

shellcode = asm(shellcraft.amd64.linux.sh())

除了直接执行sh之外，还可以进行其它的一些常用操作例如提权、反向连接等等。

7.ELF文件操作

>>> e = ELF('/bin/cat')>>> print hex(e.address)  # 文件装载的基地址0x400000>>> print hex(e.symbols['write']) # 函数地址0x401680>>> print hex(e.got['write']) # GOT表的地址0x60b070>>> print hex(e.plt['write']) # PLT的地址0x401680>>> print hex(e.search('/bin/sh').next())# 字符串/bin/sh的地址

8.整数pack与数据unpack

pack：p32，p64
unpack：u32，u64

from pwn import *

elf = ELF('./level0')

sys_addr = elf.symbols['system']

payload = 'a' * (0x80 + 0x8) + p64(sys_addr)...

9.ROP链生成器

elf = ELF('ropasaurusrex')

rop = ROP(elf)

rop.read(0, elf.bss(0x80))

rop.dump()

# ['0x0000:        0x80482fc (read)',

#  '0x0004:       0xdeadbeef',

#  '0x0008:              0x0',

#  '0x000c:        0x80496a8']

str(rop)

# '\xfc\x82\x04\x08\xef\xbe\xad\xde\x00\x00\x00\x00\xa8\x96\x04\x08'

使用ROP(elf)来产生一个rop的对象，这时rop链还是空的，需要在其中添加函数。

因为ROP对象实现了getattr的功能，可以直接通过func call的形式来添加函数，rop.read(0, elf.bss(0x80))实际相当于rop.call('read', (0, elf.bss(0x80)))。
通过多次添加函数调用，最后使用str将整个rop chain dump出来就可以了。

• call(resolvable, arguments=()) : 添加一个调用，resolvable可以是一个符号，也可以是一个int型地址，注意后面的参数必须是元组否则会报错，即使只有一个参数也要写成元组的形式(在后面加上一个逗号)
• chain() : 返回当前的字节序列，即payload
• dump() : 直观地展示出当前的rop chain
• raw() : 在rop chain中加上一个整数或字符串
• search(move=0, regs=None, order=’size’) : 按特定条件搜索gadget
• unresolve(value) : 给出一个地址，反解析出符号

Switching to interactive mode （表示进入交互模式）

Hack  （