逆向大类-PWN入门指南(新)
本文最后更新于:2023年5月22日 晚上
PWN入门指南
0x01 pwn是什么
- pwn:“Pwn”是一个黑客语法的俚语词 ,是指攻破设备或者系统 。发音类似 “砰”,对黑客而言,这
就是成功实施黑客攻击的声音——砰的一声,被“黑”的电脑 或手机就被你操纵。 - CTF中PWN题型通常会直接给定一个已经编译好的二进制程序(Windows下的EXE 或者Linux下的
ELF文件等),然后参赛选手通过对二进制程序进行逆向分析和调 试来找到利用漏洞,并编写利用
代码,通过远程代码执行来达到溢出攻击的效果, 最终拿到目标机器的shell夺取flag。 - 二进制逆向可以概括为 从目标代码反推到源代码,再通过源代码去理解该文件的 实现的功能和创
作的意义,这项技术在实战中常应用的领域为 软件破解、漏洞挖掘、恶意木马的分析。 - 对于Pwn选手来说,未来会更容易接触到KOH赛题,也更考验人们对于代码审计的能力以及对于各种关于底层漏洞知识的掌握。
0x02 基础知识
1.C语言
零基础的同学,从C语言的学习开始
视频推荐:中国大学mooc:翁恺教授-C语言入门
练习平台:PTA | 程序设计类实验辅助教学平台、首页 - 洛谷 | 计算机科学教育新生态
在之后,学有余力的同学,可以学习简单的数据结构和算法
2.汇编语言
推荐:王爽《汇编语言》
最后的目的是能看懂汇编代码,不用实现手搓汇编程序
早期学习中的目标:了解以下指令的作用 , 寄存器的作用 , 寻址方式(此处为x86指令集部分指令,未来会出现更多的指令集)
1 |
|
3.python基础
在C语言基础扎实的情况下,python是很容易入门的
在做pwn题的时候,是通过python脚本与程序和工具进行关联,所以需要学习python
python包括python2 和 python3 ,学习中注意python2和python3的诸多区别,尤其是python3中str
类型与bytes类型的区分与转换
(但现在更多师傅在做题时会选用Python3,Python2.7环境是每个Ubuntu标准环境中自带的,也同时兼容一些仅低版本的工具的使用。推荐版本 3.7.* 3.8.*)
4.linux基础
目的是能够运用基本的shell命令
简单的linux命令行的使用
pwn的很多工具是只有linux版本的,所以需要简单的学习
(注:不是特别建议直接将本机系统换为类Linux,双系统可行)
0x03 大致路线&资料
刷题平台推荐:NSSCTF、攻防世界、BuuCTF、PWNHUB、CTFShow、Pwnable(TW)、Pwnable(KR)、PwnCollege (排名不分先后,以个人对本方向做题体验排序)
学习资料:CTF-wiki文字资料、星盟安全PWN全集视频资料
比赛查询:三哈
安全平台:看雪、FreeBuf、安全客、先知、吾爱破解
相关书籍推荐:《有趣的二进制》《深入理解计算机系统》 《程序员的自我修养》 《0day漏洞挖掘与
利用》
由于本方向相对其他方向资源偏少,更需要个人的思考、调试的熟练程度,以及对于资料的找寻能力
1.栈
基本ROP:ret2text , ret2shellcode , ret2syscall, ret2libc
这些学习完,就可以在ctf平台上开始刷题练手了
ctfwiki中其他构造ROP的技巧:ret2csu, ret2reg等等
之后的ret2dl_resolve等技巧有难度,可以暂放
2.格式化字符串漏洞
学习如何利用漏洞实现 泄露内存 和 覆盖内存
包括泄露栈上内容,泄露BSS段上内容等等
3.堆
在学习堆之前,先熟悉数据结构“链表”,包括单向链表,双向循环链表等等
推荐学习顺序:UAF –> Fastbin Attack –> Unlink –> ……
附:环境搭建&工具安装
1.linux系统安装
通过虚拟机 如:VMware实现 (也可以双系统,开心就好)
再于虚拟机中搭建linux系统:最好为Ubuntu
初期所接触的ctf-pwn题,多为libc2.23, 所以前期至少需要安装ubuntu16的系统
1 |
|
但由于后续某些工具也在同步更新,导致ubuntu16可能不能很好地安装这些工具,所以此处我们更推荐使用Ubutnu20.04
2.Ubuntu20.04以及python2环境下进行安装
(注:如果是ubuntu18及以上版本最好且应该采用Pyhton3的安装方式,如未注明Python2/3,则更希望读者采取Python3的方法;如果希望使用Python2版本的安装也可以在GitHub上找到某些特定的低版本,但所有的Python2版本我们都是不建议的)
0. IDA
用于逆向程序,呈现出可以阅读的汇编代码
(在windows下安装,群里有资源;在linux下可以使用wine或去官网下载ida free(不建议),或直接使用ghidra,不建议使用cutter)
1. ubuntu20.04
虚拟机安装,VMware Workstation Pro+ ubuntu20.04的iso文件
vmtools安装:https://blog.csdn.net/adminkeys/article/details/107914813
2. apt更新:
在本处往后内容都需要在命令行中
由于国外源相对较慢,推荐上网搜索您使用的Ubuntu版本换源,然后根据教程操作后进行如下操作:
1 |
|
3. python2.7:
1 |
|
4. pip:
用于快捷的安装其他软件
1 |
|
5. git, gdb, gdb-mutiarch
git用于克隆代码托管他人项目
gdb用于调试程序
gdb-mutiarch在之后用于arm架构的调试(但可能更常搭配qemu使用)
1 |
|
6. pwndbg(gdb的插件)
因为gdb对于pwn题的调试不便,所以需要通过功能更适合的插件pwndbg进行
1 |
|
7. pwntools
python pypi的一个库,集合了一整套pwn工具集,涵盖了pwn题利用脚本所需要的各种工具。包括方便
的IO交互函数,ROP、格式化字符串等利用的自动化工具,shellcode生成器等等。
pwntools是目前最好用也是仅有的大型pwn利用框架。
1 |
|
8. ROPgadget(pwntools的一个组件)
在栈溢出的基础上,可以利用程序中已有的小片段(gadgets)改变某些寄存器或者变量的值,便于控
制程序的执行流
而ROPgadget可以实现方便地查找好用的gadgets
1 |
|
9. LibcSearcher
用于解决pwn题中不明libc版本的问题,可以根据泄露的某函数地址,推测服务端使用的libc版本
1 |
|
10. one_gadget
由于在ubuntu16.04下安装ruby默认且最高版本为2.3,需要高版本ruby才能安装本工具,可参考如下文章:https://blog.csdn.net/henryhu712/article/details/89224467
在高版本ubuntu中可以直接安装(Ruby>=2.4.0)
由于是国外源,并且gem下载没有提示,多等待一会就好了,下同
1 |
|
11. seccomp_tools
检查sanbox保护用的工具(Ruby>=2.4.0)
1 |
|
12. patchelf
修改ELF文件的动态链接库以及链接脚本文件,常配合glibc-all-in-one使用,大多数情况下直接apt下载即可,部分情况需要从源码自行编译构建(注:在Ubuntu18下patchelf会使链接后的文件失效,故不建议在Ubuntu18上使用)
1 |
|
13. pwngdb
在后续堆题的学习中会大大提升学习效率,但由于会影响pwndbg canary指令,所以建议进行后续学习时再进行下载
1 |
|
理论上做完这些操作.gdbinit
文件中应该是这样的
1 |
|