exp编写小技巧

最新推荐文章于 2024-04-26 12:01:11 发布
最新推荐文章于 2024-04-26 12:01:11 发布
阅读量919 收藏 12
点赞数 2
分类专栏: CTF-PWN-心得小结
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_49959202/article/details/119686550
版权
本文详细介绍了使用pwntools编写exploit时的一些关键技巧,包括代码对齐、填充指定长度、链接远程服务器、格式转换、环境变量设置、获取汇编指令机器码、shellcode使用、ELF文件操作、栈溢出偏移量计算等。通过实例讲解了如何利用这些技巧解决CTF挑战中的pwn问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

exp编写小技巧

1.代码对齐

exp中填写地址时要注意代码长度的填充

2. 填充为指定长度

3. 链接远程服务器或者链接本地文件

# 远程
r = remote('目的IP或目标URL',目标端口号)
# 本地
r = process('./文件名')

4. 格式转换

32位程序对应p32 / u32,64位对应p64 / u64

>>> p32(0x78739736)
b'6\x97sx'
>>> hex(u32('6\x97sx'))
'0x78739736'

5. 环境变量

context是pwntools用来设置环境的功能。在很多时候,由于二进制文件的情况不同,我们可能需要进行一些环境设置才能够正常运行exp,比如有一些需要进行汇编,但是32的汇编和64的汇编不同,如果不设置context会导致一些问题。

context(os='linux', arch='amd64', log_level='debug')  # 如果不设置默认是32位

这句话的意思是:

  1. os设置系统为linux系统,在完成ctf题目的时候,大多数pwn题目的系统都是linux
  2. arch设置架构为amd64,可以简单的认为设置为64位的模式,对应的32位模式是’i386’
  3. log_level设置日志输出的等级为debug,这句话在调试的时候一般会设置,这样pwntools会将完整的io过程都打印下来,使得调试更加方便,可以避免在完成CTF题目时出现一些和IO相关的错误。

6. 获得汇编指令的机器代码

>>> asm('mov eax, 0')
b'\xb8\x00\x00\x00\x00'

因为asm和架构有关系,因此使用前一定要设定好相关的context架构参数

7. 把权限交给用户

r.interactive()

8. shellcode

pwntools提供简单的shellcode支持,使用shellcraft()可以得到简单的shellcode

它的返回值是汇编指令

>>> print(shellcraft.sh())
    /* execve(path='/bin///sh', argv=['sh'], envp=0) */
    /* push b'/bin///sh\x00' */
    push 0x68
    push 0x732f2f2f
    push 0x6e69622f
    mov ebx, esp
    /* push argument array ['sh\x00'] */
    /* push 'sh\x00\x00' */
    push 0x1010101
    xor dword ptr [esp], 0x1016972
    xor ecx, ecx
    push ecx /* null terminate */
    push 4
    pop ecx
    add ecx, esp
    push ecx /* 'sh\x00' */
    mov ecx, esp
    xor edx, edx
    /* call execve() */
    push SYS_execve /* 0xb */
    pop eax
    int 0x80

使用时,需要先转换为机器码

shellcode = asm(shellcraft.sh())

pwntools提供许多的shellcode,其他的见:https://docs.pwntools.com/en/stable/shellcraft/amd64.html

9. ELF 操作ELF文件的工具

elf = ELF('pwn')
hex(elf.address)
hex(elf.symbols['write']
hex(elf.got['write'])
hex(elf.plt['write'])

##10. 长度测算cyclic

cyclic 需要的长度
cyclic -l 异常的地点(这里异常的地点给定4字节)

11.接收数据

recv(numb = 字节大小,timeout = default) # 接收指定字节数
p.recvn(N)   # 接受 N(数字) 字符
recall()   # 一直接收知道达到文件EOF
recvline(keepends = True)  # 接收一行,keepends为是否保留行尾的\n
p.recvlines(N)  # 接收 N(数字) 行输出
recvuntil(delims,drop = False)  # 一直读到delims的pattern出现为止
recvrepeat(timeout=default)  # 持续接收直到EOF或timeout
p.interactive()   # 直接进行交互,相当于回到shell的模式,一般在取得shell之后使用

12.发送数据

p.send(payload)  # 发送 payload
p.sendline(payload)  # 发送 payload,并进行换行(末尾\n)
p.sendafter(some_string, payload)  # 接收到 some_string 后, 发送你的 payload
p.sendlineafter(some_string, payload)  # 接收到 some_string 后, 发送你的 payload,加个换行

13.填充字符,字符串向右/向左填充

填充时,需要保证填充的字符和原字符是一个类型

>>> type(str)
<class 'str'>
>>> tmp = b'A'
>>> print(tmp.ljust(10, b'B'))
b'ABBBBBBBBB'

>>> tmp2 = "A"
>>> type(tmp2)
<class 'str'>
>>> print(tmp2.ljust(10, 'B'))
ABBBBBBBBB

14.寻找ROP

可以使用ROPgadget工具寻找可用的ROP,使用模板如下:

ROPgadget --binary "param1"  --only 'pop|ret' | grep 'param2' 
# param1: 文件名
# param2: 要搜索的相关寄存器

使用样例如下:

$ ROPgadget --binary "./rop"  --only 'pop|ret' | grep 'eax'
0x0809ddda : pop eax ; pop ebx ; pop esi ; pop edi ; ret
0x080bb196 : pop eax ; ret
0x0807217a : pop eax ; ret 0x80e
0x0804f704 : pop eax ; ret 3
0x0809ddd9 : pop es ; pop eax ; pop ebx ; pop esi ; pop edi ; ret

$ ROPgadget --binary "./rop"  --only 'int'
Gadgets information
===================&
最低0.47元/天 解锁文章
exp编写笔记
qq_42863961的博客
08-19 380
能帮到你的话,就给个赞吧 ???? python2 -c “print ‘A’*44 + ‘\x59\x86\x04\x08’” | ./ret2win32:python2 -c 是执行代码。| :管道
NSSCTF [SWPUCTF 2024 秋季新生赛]金丝雀
最新发布
2401_88087539的博客
03-06 278
pwn新手小白,写完题后整理的一点点思路,有借鉴其他wp,有任何问题各位师傅可以提出,接收批评指正
POC-EXP编写
weixin_44110913的博客
08-18 3338
文章目录POC一.概念二.思维图解三.代码演示EXP.概念二.思维图解三.代码演示 POC 一.概念 漏洞刚被批漏之后,有时候现有的工具里面是没有相应的poc的,那我们可以根据原理写出对应的poc代码,验证漏洞是否存在。 作用:用于漏洞验证,更加高效的快速挖掘漏洞,而不是手工测试,节省时间。 二.思维图解 深入了解漏洞原理 拼接payload到url中或者header头和cookies中(大多数情况都这样) 发起请求 通过响应头判断中间件和脚本版本 根据其漏洞特征,判断该漏洞是否存在 三.代码演示
exp编写
qq_74378387的博客
03-21 437
在https://www.exploit-db.com/ 漏洞库里面 每天都可以很多新的漏洞发布。可是新的漏洞很多漏洞发布者 ,都是只给代码漏洞部分,更多的是没有详细的分析。更别说是漏洞利用程序了。掌握漏洞编写的技能,随心所欲地编写漏洞利用程序,不仅能简化测试过程,而且可以让漏洞程序多种多样满足我们的需要。一般的们多数接触的是WEB安全漏洞 (Web Application Exploits)这类较多。一般只需理解和掌握http协议即可。简单的html基础也可以编写EXP了。
EXP脚本编写
m0_62207482的博客
01-27 1154
EXP脚本的编写与POC脚本编写一样,只需要修改_attack部分,替换成漏洞 利用的脚本即可。Flask漏洞主要利用了框架的特点,在Flask中,“ {{}}” 中的内容会被当作代码 执行,相应的防御中就需要对“ {{}}”进行过滤,禁止此符号传入参数中。利用Pocsuite 3开源框架,可以接收用户输入的命令行参数,对目标系统进行 半交互控制,具体实现过程如下所示。首先,根据官方文档说明,编写一个接收自定义命令的函数,将接收到的命 令赋值给command参数。,最终效果如 图3-5所示。
MATLAB高效编程指南:北斗GNSS信号生成脚本编写技巧
![MATLAB高效编程指南:北斗GNSS信号生成脚本编写技巧]...接着,文章详细讲解了MATLAB脚本编写与调试技巧,包括脚本结构、语法和性能优化,同时提
Origin曲线拟合黑科技:自动化流程与脚本编写技巧
本文全面介绍Origin软件在曲线拟合领域的应用,从自动化流程设计原则到脚本编写技巧,再到高级应用和结果的深入分析进行了系统阐述。文中首先概述了Origin曲线拟合的基础知识,随后详细介绍了自动化拟合流程的构建、...
【MATLAB矩阵求和的脚本编写艺术】:揭秘高效脚本编写和优化的技巧
[【MATLAB矩阵求和的脚本编写艺术】:揭秘高效脚本编写和优化的技巧](https://media.geeksforgeeks.org/wp-content/uploads/20190413155647/ElementwiseProduct.png) # 1. MATLAB矩阵求和基础 MATLAB(Matrix ...
python exp()
newfayi的博客
11-18 1202
转自 http://www.runoob.com/python/func-number-exp.html 描述 exp() 方法返回x的指数,ex。 语法 以下是 exp() 方法的语法: import math math.exp( x ) 注意:exp()是不能直接访问的,需要导入 math 模块,通过静态对象调用该方法。 参数
如何编写属于自己的第一个exp
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
04-06 1263
在我们找到一个漏洞之后,可能会想着去fofa上搜语法进而扩大战果,而有些漏洞利用起来十分繁琐,这时候就需要一个exp来批量帮我们进行扫描工作,接下来就介绍一下如何进行exp编写,这个过程中最重要的还是体现编程思想。
python学习之phpcms exp编写
cxk
05-28 577
python学习之phpcms exp编写 针对phpcms v9.6 前台注册getshell exp编写,漏洞分析请查看网上分析,不再赘述。 # -*- coding:utf-8 -*- import re import string import requests import random import time def getshell(host): try: ...
【CyberSecurityLearning 68】python 编写exp
_Co1a
04-15 553
目录 python 编写exp 用python脚本实现布尔盲注 用python脚本实现延时注入 文件上传 python 编写exp exp:漏洞利用工具 以Web 漏洞为主 要求: 1、能够看懂别人写的exp,并修改 2、能自己写exp 基础环境:python3 核心模块:requests requests模块介绍详细请看:https://blog.csdn.net/Waffle666/article/details/115720052 定制头部 重新定义User-Agen.
用Python编写EXP
Web安全工具库
08-10 2395
高考过后,你不用告诉我你考多少分,悲喜之后也不要告诉我你志愿填了哪里,只要告诉我最后去了哪?我坐火车或飞机要多久,在此停留能否蹭口饭吃,一本二本我真的分不清楚,我只知道你是我朋友。。。 ---- 网易云热评 一、环境 1、python3 2、用到的模块requests 二、requests模块应用 1、获取网页的内容 # coding=utf-8 import requests res=requests.get("http://192.168.1.129/html/1.html")..
如何编写POC/EXP
weixin_45626840的博客
01-10 3926
理解并编写POC/EXP
渗透测试_需要验证的EXP编写
weixin_54227009的博客
05-18 401
记一次笔记 fsockopen — 打开一个网络连接或者一个Unix套接字连接 参数:hostname:网址 port:端口 errstr:错误返回信息 timeout:超时时间 靶机登录界面 登录成功界面 如果不登录直接访问main.php的话,是有账号密码验证的,是进不去的 因为界面有session 进行验证 h4pb2rtsfrsihh8h629emrm9s4 所以抓包直接把session放进去试试 这里...
编写poc/exp从0到1
mingyqf的博客
03-03 989
相关概念: POC-EXP编写 一、简介: 编写poc和exp并不是大佬们才会的,借助于某些框架,小白也可以编写自己的poc和exp,并且实现批量刷SRC。 我们这里使用Pocsuite 3 来实现自己编写脚本 Pocsuite是由”知道创宇404实验室”打造的一款开源的远程漏洞测试框架,你可以直接使用它进行漏洞的验证与利用,也可以基于它进行POC/EXP的开发 安装模块 pip3 install -r requirements.txt -i https://pypi.tuna.tsinghua.e
POC&EXP编写EXP编写实战(1)
剁椒鱼头没剁椒的博客
04-26 1353
通过上一篇文章的了解,应该都了解了POC是怎么编写的,而且POC和EXP的区别就是POC只能验证漏洞,简单来说就是通过判断特定的响应值来判断是否存在漏洞,而且EXP就需要将响应的内容给返回回来,但是整体在编写的时候基本上都差不多!关于用的模块或者参数除非是前面没了解过的,否则不再进行赘述,请查看前面的文章!整体来说,当你编写一个POC或EXP后,后续的编写基本上都是套模板,除非遇到一些很复杂的漏洞,可能需要修改很多内容,否则一般的漏洞基本上就是修改模板。
汇编如何判断溢出_第一个PWN:栈溢出原理以及EXP编写
weixin_39629188的博客
12-03 518
PWN入门有那么难吗,如果你想做,一定可以学会。加油,打工人!准备虚拟机:CentOS 6.8 32bit、gcc、socat宿主机:IDA7.0、 Python + pwntools略有小坑,当宿主机IDA连接不到centOS时,请关闭centOS的防火墙:service iptables stop大家都说栈溢出是PWN的Hello World,那么我将用一个简单的例子,手把手的来演示...
SQL EXP工具集:SQLEXP-master压缩包简介
掌握SQL Server的性能优化技巧有助于提升数据库的响应速度和处理能力。在项目SQLEXP-master中,可能包含了与性能优化相关的最佳实践和工具。 总结来说,从"SQLEXP-master.zip"这个文件中可以提取出与SQL语言、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值