异构PWN(1)-初探

发表于2025-10-16|更新于2025-10-16|PWN

|浏览量:

一些在异构PWN中比较具有共性的操作和问题会在此处记录

基本工具安装

qemu安装

安装qemu qemu-user qemu-user-static

$sudo apt-get install qemu qemu-user qemu-user-static

安装qemu-system

$ sudo apt-get install qemu-system uml-utilities bridge-utils

qemu-usr ：指定动态链接库运行

安装动态链接库

$ sudo apt search "libc6" | grep arm
$ sudo apt install libc6-armel-cross  #对应arm32
$ sudo apt install libc6-dbg-arm64-cross #对应arm64

如果需要安装其他版本的动态链接库，
可以在 http://ports.ubuntu.com/pool/main/g/glibc/ 中选择相应架构和版本下载

qemu-user-static ：包含了所有必需的库和二进制文件，运行静态链接的程序
qemu-system ：模拟整个计算机系统的跨平台运行
调试工具安装
sudo apt install gdb-multiarch
动态链接库冲突：set sysroot lib路径

一些问题与解决方案

ROPgadget报错

在查找异构二进制文件的gadget时，不管是arm还是risc-v， ROPgadget会报类似如下错误：

报错1：

NameError: name 'CS_ARCH_ARM64' is not defined. Did you mean: 'CS_ARCH_ARM'?

报错2：

NameError: name 'CS_ARCH_RISCV' is not defined. Did you mean: 'CS_ARCH_MIPS'?

经过尝试，是因为 ROPgadget 和 Capstone 版本兼容性问题导致的：

最新的Capstone 6.x 同时产生报错1和报错2
apt install python3-capstone 下载的Capstone 4.x 不产生报错1，产生报错2

最终发现 ROPgadget v7.7 和 Capstone 5.0.6是笔者发现较新且兼容性较好的版本
建议完全卸载当前的 ROPgadget 和 Capstone ，采用官方安装方式

$ pip uninstall capstone ROPgadget -y
$ sudo apt install python3-pip
$ sudo -H python3 -m pip install ROPgadget
$ ROPgadget --help

文章作者: Zechariah

文章链接: https://zechariah-0703.github.io/2025/10/16/yigou-pwn1/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Zechariahの博客！

赞助

微信
支付宝

相关推荐

异构PWN(2)-ARM（2025领航杯_arm-ret2libc）

参考文章深入异构 PWN：PowerPC&ARM&MIPS-先知社区 [原创] CTF 中 ARM & AArch64 架构下的 Pwn-Pwn-看雪论坛-安全社区|非营利性质技术交流社区环境配置sudo apt-get install gdb-multiarchsudo apt updatesudo apt install qemusudo apt-get install qemu-user sudo apt-get install qemu-user-binfmt sudo apt-get install "binfmt*"##搜索libcsudo apt search "libc6" | grep arm##根据输出，自行选择所需的库,如：sudo apt install libc6-armel-cross #对应arm32sudo apt install libc6-dbg-arm64-cross #对应arm64 http://ports.ubuntu.com/pool/main/g/glibc...

Art_of_shellcode

很有用的网址https://www.exploit-db.com/shellcodes https://v3rdant.cn/Pwn.The-Art-of-Shellcode/ PWN:手动编写 x64 基于syscall 的 shell code(TODO)_x64 syscall pwn-CSDN博客

ELF文件保护机制

Linux ELF文件的保护主要有四种：Canary、NX、PIE、RELRO 1.CanaryStackCanary表示栈的报警保护。在函数返回值之前添加的一串随机数（不超过机器字长）（也叫做cookie），末位为/x00（提供了覆盖最后一字节输出泄露Canary的可能），如果出现缓冲区溢出攻击，覆盖内容覆盖到Canary处，就会改变原本该处的数值，当程序执行到此处时，会检查Canary值是否跟开始的值一样，如果不一样，程序会崩溃，从而达到保护返回地址的目的。 //GCC用法gcc -o test test.c // 默认情况下，不开启Canary保护gcc -fno-stack-protector -o test test.c //禁用栈保护gcc -fstack-protector -o test test.c //启用堆栈保护，不过只为局部变量中含有 char 数组的函数插入保护代码gcc -fstack-protector-all -o test test.c //启用堆栈保护，为所有函数插入保护代码-fno-stack-protector /-fstack-prote...

C语言函数原型整理

system当system函数执行的时候会利用到rdi里的参数 writewrite（1，write_got，8）是把write_got地址指向内存的内容的前8个字节写入到标准输出流中。ssize_t write(int fd, const void *buf, size_t count)参数说明:‌fd‌:文件描述符，表示要写入数据的文件或设备。文件描述符是一个整数，通常是由open系统调用返回的。例如，0表示标准输入（stdin），1表示标准输出（stdout），2表示标准错误（stderr）。‌buf‌:指向要写入数据的缓冲区的指针。这个指针可以是任何类型的数据，因为它是void类型的。count‌:要写入的字节数。函数会尝试从buf中写入count个字节的数据。‌返回值:正整数:表示成功写入的字节数，可能会小于count（例如，由于磁盘已满等原因）。0‌:表示没有写入任何数据。-1‌‌:表示发生错误，并设置`errno`来提供进一步的错误信息。 readssize_t read(int fd,void*buf,size_t count)参数说明：fd:是文件描述符buf:...

AWD流程改init_hosts.py中的ip格式和port 改submit_flag.py中的提交方式和token 改round_wait_time patch 写exp 批量攻击扫描IPimport requestsimport threading li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m')ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b[0m') def check_ip(i): try: url = f'http://192-168-1-{i}.awd.bugku.cn/' #* response = requests.get(url, timeout=0.5) if response.status_code == 200: li('[+] &...

NPC_final出题小记（通过fmt进行RSA-CRT Fault Injection）

前言本题源码改自于2022 Samsung的SecureRunner 本题是一道二进制分析和密码学相结合的题，笔者认为出这种题还是很有趣的。本题暂已托管至西安电子科技大学CTF终端供大家练习复现链接：NPC²CTF 2025 - 西电 CTF 终端其余用途均需通过关于笔者中的邮箱征得笔者同意题目编写源码源码会开源到我的github仓库解题步骤题目描述小睦的大脑里只有签名正确的命令才能执行，可小睦睡着了，Mortis 太 fw 了不知道私钥。看来只能和 Mortis 把脑内小剧场破坏的乱七八糟才能拿 flag 了（简单 Crypto + 签到 PWN = 也许还行的大粪 CRYpwnTO）（需要一点基础的二进制分析能力）为了降低难度，把这题的密码考点（RSA-CRT Fault Injection）单独编了一个题（即task.zip中的just_a_hint.py）作为提示靶机连接连上靶机后忽略没什么用的剧情，结合文字信息和对各种选项的尝试，可以提炼出以下要点选项1可以获取RSA公钥选项2可以执行命令，但同时需要输入命令和这条命令正确的si...

数据加载中