2026-05-23 2026-05-23

Protobuf脱壳二进制

Protocol Buffers（简称 Protobuf）是由 Google 开发的一种语言中立、平台中立的可扩展序列化结构数据的方法。Protobuf 是一种高效的协议，常用于网络通信、数据存储和使用数据的应用程序之间的传输，最近几年的国赛和其他大赛都相继会在原pwn的基础上套一层protobuf的壳故写下此文章总结：

需要安装 Protobuf运行时和协议编译器（用于编译.proto文件）。

1
2
3

sudo apt-get update
sudo apt-get install -y protobuf-compiler libprotobuf-dev
sudo apt-get install libprotobuf-c-dev protobuf-c-compiler

1	protoc --c_out=. user.proto

这会在当前目录下生成两个文件：user.pb-c.h 和 user.pb-c.c

user.pb-c.h：头文件，定义了消息类型（如User结构体）及其相关的函数。

user.pb-c.c：源文件，实现了这些函数，包含序列化和反序列化等操作。

在你的C程序中，你需要包含生成的user.pb-c.h头文件，这样你就可以使用User消息类型及其相关的protobuf操作函数。

如果想要编译为Python代码，用如下命令（在CTF中通常编译为Python代码以在脚本中与程序交互）：

1	protoc --python_out=. demo.proto1

会生成 demo_pb2.py。（pb2后缀只是为了和protobuf1区分）

Protobuf 的基本语法：

syntax = "proto3";              // 指定使用 Protocol Buffers version 3 (proto3) 语法

package tutorial;               // 声明包名，用于防止不同文件之间的命名冲突

message Person {                // 声明包名，用于防止不同文件之间的命名冲突
  
  string name = 1;              // 姓名 (类型为字符串，字段标识号为 1)
  int32 id = 2;                 // 唯一 ID (类型为标准的 32 位整型，字段标识号为 2)
  string email = 3;             // 电子邮箱 (类型为字符串，字段标识号为 3)

  enum PhoneType {  // 定义电话类型的枚举,强制要求枚举的第一个值必须为 0，用作该枚举的默认值
    
    PHONE_TYPE_UNSPECIFIED = 0; // 未指定/默认状态
    PHONE_TYPE_MOBILE = 1;      // 移动电话
    PHONE_TYPE_HOME = 2;        // 家庭电话
    PHONE_TYPE_WORK = 3;        // 工作电话
  }

  message PhoneNumber {         // 定义嵌套消息：电话号码结构
  
    string number = 1;          // 具体的电话号码
    PhoneType type = 2;         // 电话类型，使用上方定义的 PhoneType 枚举
  }

  // 电话号码列表
  // repeated 关键字表示该字段是一个数组/列表，可以包含 0 个或多个 PhoneNumber 对象
  repeated PhoneNumber phones = 4;
}

// 定义通讯录（AddressBook）消息结构，作为顶层容器
message AddressBook {
  // 联系人列表 (包含 0 个或多个 Person 对象)
  repeated Person people = 1;
}

逆向分析关键

在生成的demo-pb-c.c文件中，可以发现存在unpack函数：

/**
 * @brief 将二进制数据解包（反序列化）为 AddressBook 结构体
 * * @param allocator  内存分配器指针。通常传入 NULL 使用系统默认的 malloc/free。
 * @param len        二进制数据的总字节数（长度）。
 * @param data       指向包含 Protobuf 二进制数据的缓冲区指针。
 * * @return Tutorial__AddressBook* 返回解析后的结构体指针。如果解析失败（如数据损坏），返回 NULL。
 */
Tutorial__AddressBook *
tutorial__address_book__unpack (ProtobufCAllocator  *allocator,
                                size_t               len,
                                const uint8_t       *data)
{
    // 调用 protobuf-c 库底层的通用解包函数
    // 强制类型转换为 (Tutorial__AddressBook *)，因为通用函数返回的是基类指针 (ProtobufCMessage *)
    return (Tutorial__AddressBook *)
        protobuf_c_message_unpack (&tutorial__address_book__descriptor, // 传入该消息的静态元数据描述符
                                   allocator, 
                                   len, 
                                   data);
}

这个反序列化函数传入描述消息结构体数据的descriptor。我们可以在IDA中分析descriptor还原消息结构体。

Descriptor结构体

struct ProtobufCMessageDescriptor {
    uint32_t magic;                            /**< 1 */ // 通常为0x28AAEEF9。
    const char *name;                          /**< 2 */
    const char *short_name;                    /**< 3 */
    const char *c_name;                        /**< 4 */
    const char *package_name;                  /**< 5 */
    size_t sizeof_message;                     /**< 6 */
    unsigned n_fields;                         /**< 7 */ // 结构体中的字段数量。
    const ProtobufCFieldDescriptor *fields;    /**< 8 */ // 指向一个储存字段和数据的结构体。
    const unsigned *fields_sorted_by_name;     /**< 9 */
    unsigned n_field_ranges;                   /**< 10 */
    const ProtobufCIntRange *field_ranges;     /**< 11 */
    ProtobufCMessageInit message_init;         /**< 12 */
    void *reserved1;                           /**< 13 */
    void *reserved2;                           /**< 14 */
    void *reserved3;                           /**< 15 */
};

fields是ProtobufCFieldDescriptor类型。

ProtobufCFieldDescriptor结构体

struct ProtobufCFieldDescriptor {
    const char *name;              /**< 1 */ 8       // 字段名
    uint32_t id;                   /**< 2 */ 4       // 唯一字段编号
    ProtobufCLabel label;          /**< 3 */ 4       // 修饰符，如：required、optional、repeated。
    ProtobufCType type;            /**< 4 */ 4       // 数据类型，如：bool、int32、float、double等。
    unsigned quantifier_offset;    /**< 5 */ 4
    unsigned offset;               /**< 6 */ 4
    const void *descriptor;        /**< 7 */ /* 对于 MESSAGE 和 ENUM 类型 */ 8
    const void *default_value;     /**< 8 */ 8
    uint32_t flags;                /**< 9 */ 4
    unsigned reserved_flags;       /**< 10 */ 8
    void *reserved2;               /**< 11 */
    void *reserved3;               /**< 12 */
};

type和label是枚举类型：

typedef enum {

    PROTOBUF_C_LABEL_REQUIRED,  //1
    PROTOBUF_C_LABEL_OPTIONAL,  //2
    PROTOBUF_C_LABEL_REPEATED,  //3
    PROTOBUF_C_LABEL_NONE,      //4
} ProtobufCLabel;

typedef enum {
        PROTOBUF_C_TYPE_INT32,      /**< int32 */                // 0
        PROTOBUF_C_TYPE_SINT32,     /**< 有符号 int32 */        // 1
        PROTOBUF_C_TYPE_SFIXED32,   /**< 有符号 int32（4 字节） */ // 2
        PROTOBUF_C_TYPE_INT64,      /**< int64 */                // 3
        PROTOBUF_C_TYPE_SINT64,     /**< 有符号 int64 */        // 4
        PROTOBUF_C_TYPE_SFIXED64,   /**< 有符号 int64（8 字节） */ // 5
        PROTOBUF_C_TYPE_UINT32,     /**< 无符号 int32 */        // 6
        PROTOBUF_C_TYPE_FIXED32,    /**< 无符号 int32（4 字节） */ // 7
        PROTOBUF_C_TYPE_UINT64,     /**< 无符号 int64 */        // 8
        PROTOBUF_C_TYPE_FIXED64,    /**< 无符号 int64（8 字节） */ // 9
        PROTOBUF_C_TYPE_FLOAT,      /**< 浮点数 */              // 10
        PROTOBUF_C_TYPE_DOUBLE,     /**< 双精度浮点数 */        // 11
        PROTOBUF_C_TYPE_BOOL,       /**< 布尔类型 */            // 12
        PROTOBUF_C_TYPE_ENUM,       /**< 枚举类型 */            // 13
        PROTOBUF_C_TYPE_STRING,     /**< UTF-8 或 ASCII 字符串 */ // 14
        PROTOBUF_C_TYPE_BYTES,      /**< 任意字节序列 */        // 15
        PROTOBUF_C_TYPE_MESSAGE,    /**< 嵌套消息 */            // 16
    } ProtobufCType;

C 结构体变量类型内存数值

内存数值 (Dec)	内存数值 (Hex)	对应 Proto 类型	底层 Wire Type	实战内存占用特征
0	`0x00`	`int32`	0 (Varint)	占 4 字节（有符号）
1	`0x01`	`sint32`	0 (Varint)	占 4 字节（ZigZag 压缩编码）
2	`0x02`	`sfixed32`	5 (32-bit)	占 4 字节（固定长度）
3	`0x03`	`int64`	0 (Varint)	占 8 字节
4	`0x04`	`sint64`	0 (Varint)	占 8 字节（高频考点，解析用 ZigZag）
5	`0x05`	`sfixed64`	1 (64-bit)	占 8 字节（固定长度）
6	`0x06`	`uint32`	0 (Varint)	占 4 字节（无符号）
7	`0x07`	`fixed32`	5 (32-bit)	占 4 字节
8	`0x08`	`uint64`	0 (Varint)	占 8 字节
9	`0x09`	`fixed64`	1 (64-bit)	占 8 字节
10	`0x0A`	`float`	5 (32-bit)	占 4 字节
11	`0x0B`	`double`	1 (64-bit)	占 8 字节
12	`0x0C`	`bool`	0 (Varint)	占 4 字节（实际存 0 或 1）
13	`0x0D`	`enum`	0 (Varint)	占 4 字节
14	`0x0E`	`string`	2 (Length-del)	占 8 字节（仅存指向字符串的指针 `char`* ）
15	`0x0F`	`bytes`	2 (Length-del)	占 16 字节（复合结构体 `ProtobufCBinaryData` ）
16	`0x10`	`message`	2 (Length-del)	占 8 字节（指向子 Message 实例的指针）

C++ 结构体变量类型内存数值

数值 (Hex)	数值 (Dec)	对应 Proto 类型	传输编码 (Wire Type)	说明
0x01	1	`double`	1 (64-bit)	固定的 8 字节浮点数
0x02	2	`float`	5 (32-bit)	固定的 4 字节浮点数
0x03	3	`int64`	0 (Varint)	变长编码，处理负数效率低
0x04	4	`uint64`	0 (Varint)	无符号变长 64 位整型
0x05	5	`int32`	0 (Varint)	变长编码，常用
0x06	6	`fixed64`	1 (64-bit)	固定 8 字节，常用于存储大整数地址
0x07	7	`fixed32`	5 (32-bit)	固定 4 字节
0x08	8	`bool`	0 (Varint)	实际上是 0 或 1 的 Varint
0x09	9	`string`	2 (Length-delimited)	必须是 UTF-8 文本
0x0A	10	`group`	3 (Start)	已废弃的 Proto2 语法
0x0B	11	`message`	2 (Length-delimited)	嵌套 Message，会调用子解析函数
0x0C	12	`bytes`	2 (Length-delimited)	原始字节流，Pwn 题最爱
0x0D	13	`uint32`	0 (Varint)	无符号变长 32 位整型
0x0E	14	`enum`	0 (Varint)	对应的 C++ 里的枚举值
0x0F	15	`sfixed32`	5 (32-bit)	有符号固定 4 字节
0x10	16	`sfixed64`	1 (64-bit)	有符号固定 8 字节
0x11	17	`sint32`	0 (Varint)	ZigZag 编码，高效处理负数
0x12	18	`sint64`	0 (Varint)	ZigZag 编码，高效处理负数

protobuf 脱壳

protpbuf 脱壳既可以手动分析也可以使用工具分析

工具分析：

pip install PySide6 -i https://pypi.tuna.tsinghua.edu.cn/simple  
pip install protobuf -i https://pypi.tuna.tsinghua.edu.cn/simple  
git clone https://github.com/marin-m/pbtk
cd pbtk
python gui.py

然后就会出现图形化软件：

手动分析：

分析的关键就是定位，根据magic的值定位到description结构体的位置然后按照字节去逆向还原结构体，并根据还原的结构体去定位到ProtobufCFieldDescriptor结构体同样是按照字节去逆向还原结构体，还原之后再根据参数个数去判断是proto2还是proto3，因为proto3删除了预留的值
接下来我们通过两道国赛 protobuf 的堆题进行讲解

参考资料：https://xz.aliyun.com/news/16091

更新: 2026-05-12 19:53:54
原文: https://www.yuque.com/idcm/wnemg9/fk0ue9icar5bgq26