关于PwnTools的各种汇总

大致框架

官网的一个简单样例

from pwn import *
#用来导入pwntools模块
context(arch = 'i386', os = 'linux')
#用来设置目标机的信息

r = remote('exploitme.example.com', 31337)
#建立一个远程连接 url或者ip作为地址 指明端口 

r.send(asm(shellcraft.sh()))
r.interactive()

也可以仅仅使用本地文件 调试时方便
r=process(".test")
test即为文件名 这让改变远程和本地十分方便

asm() 函数接受一个字符串作为参数，得到汇编码的机器代码
eg:

>>>asm('mov eax, 0')
'\xb8\x00\x00\x00\x00'

r.send()将shellcode发送到远程连接

最后控制权交给用户r.interactive()这样就可以打开shell了

基本模块

asm : 汇编与反汇编，支持x86/x64/arm/mips/powerpc等基本上所有的主流平台
dynelf: 用于远程符号泄漏，需要提供leak方法
elf: 对elf文件进行操作，可以获取elf文件中的PLT条目和GOT条目信息
gdb : 配合gdb进行调试，设置断点之后便能够在运行过程中直接调用GDB断下，类似于设置为即使调试JIT
memleak : 用于内存泄漏
shellcraft : shellcode的生成器
tubes : 包括tubes.sock, tubes.process, tubes.ssh, tubes.serialtube，分别适用于不同场景的PIPE
utils : 一些实用的小功能，例如CRC计算，cyclic pattern等

Context设置

context是pwntools用来设置环境的功能。 在很多时候，由于二进制文件的情况不同，我们可能需要进行一些环境设置才能够正常运行exp，比如有一些需要进行汇编，但是32的汇编和64的汇编不同，如果不设置context会导致一些问题。

一般来说我们设置context只需要简单的一句话:

context(os='linux', arch='amd64', log_level='debug')

这句话的意思是：
1.os设置系统为linux系统，在完成ctf题目的时候，大多数pwn题目的系统都是linux
2.arch设置架构为amd64，可以简单的认为设置为64位的模式，对应的32位模式是’i386’
3.log_level设置日志输出的等级为debug，这句话在调试的时候一般会设置，这样pwntools会将完整的io过程都打印下来，使得调试更加方便，可以避免在完成CTF题目时出现一些和IO相关的错误。

数据打包

数据打包,即将整数值转换为32位或者64位地址一样的表示方式,比如0x400010表示为\x10\x00\x40一样,这使得我们构造payload变得很方便

用法:

p32/p64: 打包一个整数 分别打包为32或64位
u32/u64: 解包一个字符串 得到整数

p对应pack 打包 u对应unpack 解包 简单好记

payload = p32(0xdeadbeef) # pack 32 bits numbe

---

本文节选自 Anciety 的CSDN 博客 ，全文地址请点击：https://blog.csdn.net/qq_29343201/article/details/51337025?utm_source=copy

---

shellcraft 模块

shellcraft模块是shellcode的模块，包含一些生成shellcode的函数。

其中的子模块声明架构，比如shellcraft.arm 是ARM架构的，shellcraft.amd64是AMD64架构，shellcraft.i386是Intel 80386架构的，以及有一个shellcraft.common是所有架构通用的。

有的时候我们需要在写exp的时候用到简单的shellcode，pwntools提供了对简单的shellcode的支持。
首先，常用的，也是最简单的shellcode，即调用/bin/sh可以通过shellcraft得到：

注意，由于各个平台，特别是32位和64位的shellcode不一样，所以最好先设置context。

print(shellcraft.sh()) # 打印出shellcode
print(asm(shellcraft.sh())) # 打印出汇编后的shellcod
asm可以对汇编代码进行汇编，不过pwntools目前的asm实现还有一些缺陷，比如不能支持相对跳转等等，只可以进行简单的汇编操作。如果需要更复杂一些的汇编功能，可以使用keystone-engine项目，这里就不再赘述了。

ELF 模块

这是一个静态模块，即静态加载ELF文件，然后通过相关接口获取一些信息，常用接口有：

• got 获取指定函数的GOT条目
• plt 获取指定函数的PLT条目
• address 获取ELF的基址

cyclic and cyclic_find对于直接的缓冲区溢出,可以很方便的确认再偏移多少可以控制eip