封了個(gè)庫(kù)

0x00 寫(xiě)在前面

由于如今各種ELF文件libc版本跨度比較大蝎毡,采用虛擬機(jī)模式顯得過(guò)于冗余救巷,于是準(zhǔn)備將做題環(huán)境都放到docker中蚕钦。原本打算是每個(gè)版本的libc找個(gè)docker件余,但很幸運(yùn)地發(fā)現(xiàn)了一個(gè)名為skysider/pwndockerdocker蚁堤,該dockerlibc-2.27版本,其上除了正常的做題環(huán)境外還集成了多個(gè)libc的版本,可以用LD_PRELOAD來(lái)選擇不同的libc版本,用習(xí)慣了之后還是挺方便的涡匀。就是每次要加載不同的libc時(shí)犁柜,process函數(shù)寫(xiě)的太長(zhǎng)了,比較麻煩,然后以及原來(lái)寫(xiě)exp時(shí)pwntools的各種函數(shù)都時(shí)敲全名,借此機(jī)會(huì)封裝了個(gè)傻逼庫(kù),以后更新博客也就都用這個(gè)庫(kù)了疚鲤。目前是函數(shù)的形式進(jìn)行封裝,等以后的功能多了可以考慮改成對(duì)象的形式進(jìn)行封裝缘挑。

0x01 Fish.py 

from pwn import *

def get_shell(binary_name , libc_version , OSbit):
    global p , version , OS , libc , elf
    version = libc_version
    OS = OSbit

    libc_path = '/glibc/' + str(version) + '/' + str(OS) + '/lib/libc-' + str(version) + '.so'
    ld_path = '/glibc/' + str(version) + '/' + str(OS) + '/lib/ld-' + str(version) + '.so'

    if(binary_name.find(':') != -1):
        p = remote(binary_name.split(':')[1] , int(binary_name.split(':')[2]))
        binary_name = binary_name.split(':')[0]
    elif(version == 2.27):
        p = process('./' + binary_name)
    else:
        p = process([ld_path,"./"+binary_name],env={"LD_PRELOAD":libc_path})

    elf = ELF(binary_name)
    libc = ELF(libc_path)


def get_gadget():
    if(OS == 64):
        if(version == 2.19):
            gadget = [0x403ff , 0x40453 , 0xd806f]
        if(version == 2.23):
            gadget = [0x3f3d6 , 0x3f42a , 0xd5bf7]
        if(version == 2.24):
            gadget = [0x3f4b6 , 0x3f50a , 0xd6635]
        if (version == 2.27):
            gadget = [0x4f2c5 , 0x4f322 , 0x10a38c]
        if (version == 2.28):
            gadget = [0x41982 , 0x419d6 , 0xdf882]
        if (version == 2.29):
            gadget = [0xc1710 , 0xdf202 , 0xdf20e]
    else:
        if(version == 2.19):
            gadget = [0x3b056 , 0x3b058 , 0x3b05c , 0x3b063 , 0x64729 , 0x6472a , 0x123e6c , 0x123e6d]
        if(version == 2.23):
            gadget = [0x3a61c , 0x3a61e , 0x3a622 , 0x3a629 , 0x5ee65 , 0x5ee66]
        if(version == 2.24):
            gadget = [0x3a32c , 0x3a32e , 0x3a332 , 0x3a339 , 0x5f6b5 , 0x5f6b6]
        if (version == 2.27):
            gadget = [0x3d0d3 , 0x3d0d5 , 0x3d0d9 , 0x3d0e0 , 0x67a7f , 0x67a80 , 0x137e5e , 0x137e5f]
        if (version == 2.28):
            gadget = [0x3c43b , 0x3c43d , 0x3c441 , 0x3c448 , 0x65a04 , 0x65a05 , 0x12e82c , 0x12e82d]
        if (version == 2.29):
            gadget = [0x12de0c , 0x12de0d]
    for i in range(len(gadget)):
        gadget[i] += libc.address
        success('Gadget[' + str(i) + '] => ' + hex(gadget[i]))
    return gadget

def ru(text):
    return p.recvuntil(text)

def rcv(count):
    return p.recv(count)

def sl(text):
    return p.sendline(str(text))

def sd(text):
    return p.send(str(text))

def Esym(func):
    success('{0}_addr => {1}'.format(func.lstrip('_') , hex(elf.symbols[func])))
    return elf.symbols[func]

def got(func):
    success('{0}_got => {1}'.format(func , hex(elf.got[func])))
    return elf.got[func]

def plt(func):
    success('{0}_plt => {1}'.format(func , hex(elf.plt[func])))
    return elf.plt[func]

def LeakStrFormat(text):
    return u64(text.rjust(8 , '\x00'))

def LeakCharFormat(text):
    return u64(text.ljust(8 , '\x00'))

def SetELFBase(ELFBase):
    elf.address = ELFBase
    success('ELF_base => {0}'.format(hex(ELFBase)))
    return elf.address

def SetLibcBase(LibcBase):
    libc.address = LibcBase
    success('Libc_base => {0}'.format(hex(LibcBase)))
    return libc.address

def SetHeapBase(HeapBase):
    success('Heap_base => {0}'.format(hex(HeapBase)))
    return HeapBase

def sym(func):
    success('{0}_addr => {1}'.format(func.lstrip('_') , hex(libc.symbols[func])))
    return libc.symbols[func]

def binsh():
    binsh_addr = libc.search('/bin/sh\x00').next()
    success('binsh_addr => {0}'.format(hex(binsh_addr)))
    return binsh_addr

def debug():
    print pidof(p)
    raw_input()

def active():
    return p.interactive()

def close():
    return p.close()

def dbglog():
    context.log_level = 'debug'
最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
  • 人面猴
    序言:七十年代末集歇,一起剝皮案震驚了整個(gè)濱河市,隨后出現(xiàn)的幾起案子语淘,更是在濱河造成了極大的恐慌诲宇,老刑警劉巖,帶你破解...
    沈念sama閱讀 216,372評(píng)論 6 498
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件惶翻,死亡現(xiàn)場(chǎng)離奇詭異姑蓝,居然都是意外死亡,警方通過(guò)查閱死者的電腦和手機(jī)吕粗,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 92,368評(píng)論 3 392
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進(jìn)店門(mén)纺荧,熙熙樓的掌柜王于貴愁眉苦臉地迎上來(lái),“玉大人颅筋,你說(shuō)我怎么就攤上這事宙暇。” “怎么了议泵?”我有些...
    開(kāi)封第一講書(shū)人閱讀 162,415評(píng)論 0 353
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵占贫,是天一觀的道長(zhǎng)。 經(jīng)常有香客問(wèn)我先口,道長(zhǎng)型奥,這世上最難降的妖魔是什么? 我笑而不...
    開(kāi)封第一講書(shū)人閱讀 58,157評(píng)論 1 292
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任碉京,我火速辦了婚禮桩引,結(jié)果婚禮上,老公的妹妹穿的比我還像新娘收夸。我一直安慰自己,他們只是感情好血崭,可當(dāng)我...
    茶點(diǎn)故事閱讀 67,171評(píng)論 6 388
  • 惡毒庶女頂嫁案:這布局不是一般人想出來(lái)的
    文/花漫 我一把揭開(kāi)白布卧惜。 她就那樣靜靜地躺著厘灼,像睡著了一般。 火紅的嫁衣襯著肌膚如雪咽瓷。 梳的紋絲不亂的頭發(fā)上设凹,一...
    開(kāi)封第一講書(shū)人閱讀 51,125評(píng)論 1 297
  • 城市分裂傳說(shuō)
    那天,我揣著相機(jī)與錄音茅姜,去河邊找鬼闪朱。 笑死,一個(gè)胖子當(dāng)著我的面吹牛钻洒,可吹牛的內(nèi)容都是我干的奋姿。 我是一名探鬼主播,決...
    沈念sama閱讀 40,028評(píng)論 3 417
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開(kāi)眼素标,長(zhǎng)吁一口氣:“原來(lái)是場(chǎng)噩夢(mèng)啊……” “哼称诗!你這毒婦竟也來(lái)了?” 一聲冷哼從身側(cè)響起头遭,我...
    開(kāi)封第一講書(shū)人閱讀 38,887評(píng)論 0 274
  • 萬(wàn)榮殺人案實(shí)錄
    序言:老撾萬(wàn)榮一對(duì)情侶失蹤寓免,失蹤者是張志新(化名)和其女友劉穎,沒(méi)想到半個(gè)月后计维,有當(dāng)?shù)厝嗽跇?shù)林里發(fā)現(xiàn)了一具尸體袜香,經(jīng)...
    沈念sama閱讀 45,310評(píng)論 1 310
  • ?護(hù)林員之死
    正文 獨(dú)居荒郊野嶺守林人離奇死亡,尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 37,533評(píng)論 2 332
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年鲫惶,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了蜈首。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點(diǎn)故事閱讀 39,690評(píng)論 1 348
  • 活死人
    序言:一個(gè)原本活蹦亂跳的男人離奇死亡剑按,死狀恐怖疾就,靈堂內(nèi)的尸體忽然破棺而出,到底是詐尸還是另有隱情艺蝴,我是刑警寧澤猬腰,帶...
    沈念sama閱讀 35,411評(píng)論 5 343
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布,位于F島的核電站猜敢,受9級(jí)特大地震影響姑荷,放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜缩擂,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 41,004評(píng)論 3 325
  • 男人毒藥:我在死后第九天來(lái)索命
    文/蒙蒙 一鼠冕、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧胯盯,春花似錦懈费、人聲如沸。這莊子的主人今日做“春日...
    開(kāi)封第一講書(shū)人閱讀 31,659評(píng)論 0 22
  • 一樁弒父案憎乙,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽(yáng)票罐。三九已至,卻和暖如春泞边,著一層夾襖步出監(jiān)牢的瞬間该押,已是汗流浹背。 一陣腳步聲響...
    開(kāi)封第一講書(shū)人閱讀 32,812評(píng)論 1 268
  • 情欲美人皮
    我被黑心中介騙來(lái)泰國(guó)打工阵谚, 沒(méi)想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留蚕礼,地道東北人。 一個(gè)月前我還...
    沈念sama閱讀 47,693評(píng)論 2 368
  • 代替公主和親
    正文 我出身青樓梢什,卻偏偏與公主長(zhǎng)得像奠蹬,于是被迫代替她去往敵國(guó)和親。 傳聞我的和親對(duì)象是個(gè)殘疾皇子绳矩,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 44,577評(píng)論 2 353

推薦閱讀更多精彩內(nèi)容