【python】【protobuf】逆向还原protobuf结构

已于 2023-12-18 18:55:07 修改
阅读量3k 收藏 14
点赞数
文章标签: python protobuf
于 2023-03-27 10:17:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sepnineth/article/details/129789196
版权
文章介绍了如何从编码后的protobuf数据中还原proto结构文件,提出了三种方法,包括人工分析、使用protoc.exe和借助在线工具。通过示例展示了使用在线工具解析数据并修正结构的过程,最后给出了一个Pythondemo来解析编译后的protobuf数据。
摘要由CSDN通过智能技术生成

文章目录

一、前言

很多场景都有一个需求:
得到了一个编码后的protobuf数据(比如竞品调研的的数据包),需要逆向还原其proto结构文件。
有3种方案去做这件事情:

  1. 从编码入手,人工肉眼分析。
  • 费时费力
  • 容易出错(在一些嵌套结构,或者有优化编码的地方)
  • 但,对理解 protobuf 编码原理非常有帮助
  1. 借助 protoc.exe
  • protoc.exe --decode_raw < f1.bin
  • 缺点:没有给出数据类型
# protoc.exe --decode_raw <f1.bin
1 {
  1 {
    1: "\004\032\224\354~m\350-?\266(qJ\264.0\031v\204I\364v,\001\341P\341\300\326\013!\351\014"
    2 {
      1892: "\000"
    }
  }
  2: "\001d\2457\370\332\362\335\345e0\231\212(\007\2275d\330\025\327\000pk\254\361\213\020.N<\010"
}
  1. 借助在线工具先把protobuf的基本结构识别出来,然后结合对数据的理解进行修正。
  • 为什么需要修正?
    因为有些字段刚好符合 protobuf 的编码规则,被错误识别为结构
  • 对比 protoc --decode_raw 功能,优势是:
    • 结构更加清晰
    • 会提供Field 的数据类型

二、示例

这里介绍第三种方案,借助在线工具 + 修正。

  1. 拿到了一段数据
Offset      0  1  2  3  4  5  6  7   8  9  A  B  C  D  E  F

00000000   0A 4D 0A 29 0A 21 04 1A  94 EC 7E 6D E8 2D 3F B6    M ) !  旍~m???
00000010   28 71 4A B4 2E 30 19 76  84 49 F4 76 2C 01 E1 50   (qJ?0 v処魐, 酨
00000020   E1 C0 D6 0B 21 E9 0C 12  04 A2 76 01 00 12 20 01   崂?!?       
00000030   64 A5 37 F8 DA F2 DD E5  65 30 99 8A 28 07 97 35   d?蜉錯0檴( ?
00000040   64 D8 15 D7 00 70 6B AC  F1 8B 10 2E 4E 3C 08      d??pk?.N<
  1. 利用在线工具解析基本结构

Online Protobuf Decoder : https://protogen.marcgravell.com/decode

在这里插入图片描述
看到这个图,基本结构就可以还原出来了:

syntax = "proto2";

message Field1_1_2 {
	optional bytes f1 = 1892;
}

message Field1_1  {
	optional bytes f1 = 1;
	optional Field1_1_2 f2 = 2;
}

message Field1 {
	optional Field1_1 f1 = 1;
	optional bytes f2 = 2;
}

message Sample {
	optional Field1 f1 = 1;
}

这个结构,解析上面的数据是成功的
但是,可以注意一下,下面部分的定义不太常见,id比较特殊

message SampleField1_1_2 {
optional bytes f1 = 1892;
}

拿到了第二段数据,发现解码失败。

Offset      0  1  2  3  4  5  6  7   8  9  A  B  C  D  E  F

00000000   0A 78 0A 29 0A 21 04 3B  FC AF 46 BE E6 05 9B 88    x ) ! ;F炬 泩
00000010   D4 62 A6 96 AC 82 C7 EC  9D ED 96 BB BE 98 C9 18   詁瑐庆 頄痪樕 
00000020   BB 7C 75 15 BB C8 38 12  04 00 00 50 00 0A 29 0A   粅u 蝗8    P  ) 
00000030   21 04 09 AD 0C C5 B6 D8  E2 31 12 D9 86 7C 93 89   !  ?哦剽1 賳|搲
00000040   5D EB 4E 7C A8 87 E4 0F  F2 7C E2 31 5B 99 B3 CD   ]|▏?騶?[櫝?
00000050   B4 58 12 04 7C 2B 0D 00  12 20 4C 4C 90 8B 75 9A   碭  |+    LL 媢?
00000060   CD 3D 5C EC AD B7 6D 70  14 16 90 91 D2 09 DA A3   ?\飙穖p   懸 冢
00000070   F2 D6 53 FB 0A B4 46 E6  03 F2                     蛑S?碏??

再利用在线工具校验一下结构:
在这里插入图片描述
这时候发现跟第一次的结构确实有差异,差异在于:
在这里插入图片描述
对比可以发现,第二次的结构可以兼容第一次,而且解析出来的数据明显更合理,于是可以得到修正后的结构:

syntax = "proto2";

message Field1_1  {
	optional bytes f1 = 1;
	optional bytes f2 = 2;
}

message Field1 {
	optional Field1_1 f1 = 1;
	optional bytes f2 = 2;
}

message Sample {
	optional Field1 f1 = 1;
}

这样就完成了一次protobuf结构的还原与修订过程。

三、python demo

  1. 把以下结构保存为 sample.proto 文件:
syntax = "proto2";

message Field1_1  {
	optional bytes f1 = 1;
	optional bytes f2 = 2;
}

message Field1 {
	optional Field1_1 f1 = 1;
	optional bytes f2 = 2;
}

message Sample {
	optional Field1 f1 = 1;
}
  1. 利用 protoc.exe 编译 sample.proto, 得到 sample_pb2.py
protoc.exe --I=. --python_out=. sample.proto
  1. 引用
import sample_pb2

# f1.bin
chunk1 = file_chunk_keys_pb2.FileChunkKeys()
with open("f1.bin", "rb") as f:    
    chunk1.ParseFromString(f.read())
    
    print("#Field 1-1")
    for i in range(len(chunk1.f1.f1)):
        item1_1 = chunk1.f1.f1[i]
        print("chunk.f1.f1[", i, "]", ".f1 =", item1_1.f1.hex(' '))
        print("chunk.f1.f1[", i, "]", ".f2 =", item1_1.f2.hex(' '))

    print("")
    print("#Field 1-2")
    print("chunk.f1.f2 =", chunk1.f1.f2.hex(' '))

# f4.bin
chunk2 = file_chunk_keys_pb2.FileChunkKeys()
with open("f4.bin", "rb") as f:    
    chunk2.ParseFromString(f.read())
    
    print("#Field 1-1")
    for i in range(len(chunk2.f1.f1)):
        item1_1 = chunk2.f1.f1[i]
        print("chunk.f1.f1[", i, "]", ".f1 =", item1_1.f1.hex(' '))
        print("chunk.f1.f1[", i, "]", ".f2 =", item1_1.f2.hex(' '))

    print("")
    print("#Field 1-2")
    print("chunk.f1.f2 =", chunk2.f1.f2.hex(' '))
wecode66
关注
python实现protobuf序列化与反序列化
tdl320721的博客
10-14 2620
protobuf是二进制数据序列化协议。优点:比json、xml等体积小、传输快。特点:序列化与反序列化需要借助proto文件。像结构体、有顺序、有string、int32、bool、bytes等数据类型。本文主要介绍了protobuf序列化与反序列化的知识点,主要讲解了序列化与反序列、常见的数据传输格式以及protobuf的实际使用。
JS逆向-Protobuf逆向解析
十一姐的博客
11-13 8976
目录一、什么是Protobuf二、Protobuf环境配置三、Protobuf实例序列化与反序列化四、逆向解析 Protobuf案例1、python序列化2、python反序列化 一、什么是Protobuf 1、protocol buffers介绍:是一种语言无关、平台无关、可扩展的序列化结构数据的方法。严格说不算是加密,只能是叫序列化结构数据,让可读变为疑似的乱码,那反序列化即让疑似的乱码变为可读 2、protobuf使用流程的前提是有一个.proto文件,对逆向而言就是还原.proto文件,选择
ProtoBuf简介及在Python3中的示例
WonderThink的博客
10-21 2999
序列化与反序列化基础;ProtoBuf优缺点及适用场景;Python3使用ProtoBuf示例。
python中如何使用protobuf
最新发布
weixin_44899540的博客
07-22 491
文章将介绍在python中如何使用protobuf
protobuf协议逆向解析
随便写写
04-26 1370
编译器, 注意下载对应的系统版本, 下载地址这里: https://github.com/protocolbuffers/protobuf/releases/latest。其实这里就可以还原数据结构了, 只是不知道这些字段的意义;而刚刚的json数据就可以帮忙对比出它原本的字段名, 进而了解字段的大概意义.会生成两个文件, 其中一个里面会有下面这个类, 另一个应该是空的, 不用管。有的实在找不到对应的变量名, 你任意取一个名字也不影响, 你能懂就好。接口举例的, 但是断点那里的接口是。
Python-pbtk一个工具集用于逆向工程和混淆基于Protobuf的应用
08-10
pbtk - 一个工具集用于逆向工程和混淆基于Protobuf的应用
protobuf文件的反序列化
07-03
通过proto工具编译的message结构被序列化,无法看出proto组织结构,通过这里的工具实现反序列化,清楚看到原messgae结构。注意:第六步运行的脚本操作过程按照其中的pdf文件最后的dos命令进行操作。
某某 App protobuf 协议逆向分析
静觅
12-29 839
这是「进击的Coder」的第 771篇技术分享作者:TheWeiJun来源:逆向与爬虫的故事“ 阅读本文大概需要 5 分钟。 ” 大家好,我是 TheWeiJun。前期发布的两篇某大厂的文章因为收到律师函,作者已经对文章进行删除。今天我们分享一个 protobuf 协议逆向分析,教你如何在无结构的数据中抽取并定义 proto 文件。各位读者在阅读的同时不要忘记点赞+关注哦⛽️特别声明:本...
JS逆向案例-万方的protobuf逆向解析
十一姐的博客
02-26 3708
目录 一、Protobuf的特征 二、Protobuf解析思路流程 三、推荐文章
逆向分析:还原 App protobuf 协议加密
老鹰的博客
08-12 1332
日常记录,加深印象,希望对大家有帮助~
protobuf-python-3.6.1
02-14
官方protobuf所有都在,如果后面更新了版本,只需要更改后的v.几版本,前面的版本都可以下载,这里是最新的。面向python。 对于很多不能访问Google,这个要方便多了。不过网速很慢,给大家提供下载
protobuf-python-3.4.0.zip
09-09
python安装 protobuf支持,目前是最新的版本,python setup.py build python setup.py install,安装完成后,就能用了。
python使用protobuf
weixin_30408739的博客
03-28 274
1.安装protobuf编译器 ./configure --prefix=dist; make; make install; 配置bin路径 2.进入解压后的python目录下 参考README.txt,python setup.py install 3.使用 message RowProto { required uint32 null_map = 1; repeated...
ProtoBuf分析以及某方数据逆向
公过水蚊的博客
06-12 2175
什么是protobuf 一拿到网站,F12查看是否有相关数据的请求接口 请求体是这样的 请求头的类型也非常见的 ● application/json: JSON数据格式 ● application/octet-stream : 二进制流数据 ● application/x-www-form-urlencoded : 中默认的encType,form表单数据被编码为key/value格式发送到服务器(表单默认的提交数据的格式) ● multipart/form-data : 需要在表单中进行文件上传时,就
protobuf js逆向笔记
Ig_thehao的博客
09-24 583
首先下载好protoc的编译器 该编译器可以 protoc ./test.proto --python_out=./ 要以./开头 Missing input file.
Python中使用Protobuf
热门推荐
weixin_30230009的博客
06-21 1万+
前言之前做游戏开发时,游戏服务端与前端采用Protobuf来进行数据传输,为了避免被人恶意破解,还对Protobuf产生的数据做了简单的偏移处理。最近又要用到Protobuf了,所以简单记录一下相关内容。背景知识我们日常使用最多的数据通信格式应该是JSON,但在一些请求很大的应用上,JSON有2个问题:1.JSON中有很多业务无关数据,如大括号、中括号等,传输时,这些数据...
【Web逆向Protobuf 逆向解析两种方法
皮埃尔的博客
02-25 4503
严格说不算是加密,只能是叫序列化结构数据,让可读变为疑似的乱码。上面序列化的数据都可以复制保存为解析.bin文件解析.bin文件显示原始数据有两种方法,都会出现还原失败的情况,这和复制下来的序列化数据有关。然后即可在cmd执行protoc --decode_raw < test.bin,其中test.bin是一个文件名称,即可看到原始数据。用 blackboxprotobuf 模块解析,即可看到原始数据,但是有可能是失败的结果。请求头里明显有提示,媒体类型是 proto,,下载对应版本并解压,
Python protobuf
10-20
Python protobuf是一种用于序列化结构化数据的协议,它可以将数据转换为二进制格式Python protobuf是一种用于序列化结构化数据的协议,它可以将数据转换为二进制格式以便于存储和传输。Python protobuf库提供了一种简单的方法来定义数据结构,并且可以使用不同的编程语言进行交互。与其他序列化库相比,Python protobuf具有更高的效率和更小的数据大小。同时,Python protobuf还支持在不同平台和语言之间进行数据交换。在Python中,可以使用Google提供的Python protobuf库或者其他替代方法如Pyrobuf来实现protobuf的功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值