Pwn出題指南

0x00：背景

最近在為社團招新賽出pwn題，發現網上關於出題方面的文章資料特別少，所以打算記錄下自己出題的過程，便於網友們參考學習。本次出題採用了ctf_xinetd與pwn_deploy_chroot專案。

0x01：Docker介紹

Docker 將應用程式與該程式的依賴，打包在一個檔案裡面。只要執行這個檔案，就會生成一個虛擬容器。程式在這個虛擬容器裡執行，就好像在真實的物理機上執行一樣。有了 Docker，大大緩解了程式分佈時的環境問題。

docker的安裝：

#本人系統環境：Ubuntu 22.04

# 更新軟體包
sudo apt-get update

# 安裝docker
sudo apt-get install docker.io

# 檢查docker是否安裝成功
docker version

 docker的相關指令：

# 檢視幫助
docker --help (或者準確點 docker [command] --help)

# (!以下命令若顯示許可權不夠的，請自行新增sudo)
# 檢視docker的基本資訊，有多少個容器、映象等等
docker info

# 檢視本機上的所有映象
docker images

# 容器構建
docker build

# 執行容器
docker run

# 停止容器
docker stop

# 強制停止容器
docker kill

# 刪除容器
docker rm

更多的docker指令參考：https://blog.csdn.net/u012921921/article/details/116259208

0x02：Dockerfile介紹

Dockerfile 是一個用來構建映象的文字檔案，其中包含了一條條構建映象所需的指令和說明。

相關指令介紹：

•  FROM：FROM指令是最重要的一個且必須為 Dockerfile檔案開篇的第一個非註釋行，用於為映像檔案構建過程指定基準映象，後續的指令執行於此基準映象所提供的執行環境。
• COPY：用於從 Docker主機複製檔案至建立的新映像檔案。
• WORKDIR：用於為 Dockerfile中所有的 RUN、CMD、ENTRYPOINT、COPY和 ADD指定設定工作目錄。
• RUN：RUN用於指定 docker build過程中執行的程式，其可以是任何命令，但是這裡有個限定，一般為基礎映象可以執行的命令。
• CMD：類似於 RUN指令， CMD指令也可用於執行任何命令或應用程式，不過，二者的執行時間點不同 . RUN指令執行於映像檔案構建過程中，而 CMD指令執行於基於 Dockerfile構建出的新映像檔案啟動一個容器時 . CMD指令的首要目的在於為啟動的容器指定預設要執行的程式，且其執行結束後，容器也將終止；不過， CMD指定的命令其可以被 docker run的命令列選項所覆蓋 .在Dockerfile中可以存在多個 CMD指令，但僅最後一個會生效。

Dockerfile製作完成後，用命令docker build製作基於dockerfile的新映象。

 

更詳細的介紹及更多的指令可參考：

https://blog.csdn.net/zisefeizhu/article/details/83472190

https://www.runoob.com/docker/docker-dockerfile.html

0x03：docker-compose介紹

docker-compose 是用於定義和執行多容器 Docker 應用程式的工具。通過 docker-compose，您可以使用 YML 檔案來設定應用程式需要的所有服務。然後，使用一個命令，就可以從 YML 檔案設定中建立並啟動所有服務。docker-compose預設的組態檔為docker-compose.yml，其用YAML語言編寫。

YAML 的語法和其他高階語言類似，並且可以簡單表達清單、雜湊表，標量等資料形態。它使用空白符號縮排和大量依賴外觀的特色，特別適合用來表達或編輯資料結構、各種組態檔、傾印偵錯內容、檔案大綱（例如：許多電子郵件標題格式和YAML非常接近）。

安裝docker-compose：

sudo apt install docker-compose

(不知道有沒有記錯，或者先執行一下docker-compose命令，如果沒有的話，會提示你如何去安裝)

0x04：ctf_xinetd與pwn_deploy_chroot專案

ctf_xinetd專案：

該專案的檔案結構比較簡單，容易入手，不過需要一道道題進行部署，適合部署少量題目。

專案地址：https://github.com/Eadom/ctf_xinetd

部署過程：

# 把專案克隆下來
git clone https://github.com/Eadom/ctf_xinetd

# 把flag和二進位制程式放入bin目錄中，並且按照readme修改ctf.xinetd

# 在ctf_xinetd目錄下構建容器(注意後面有個點)
docker build -t "pwn" .

# 執行該映象(pub_port改成你想要放置的埠)
docker run -d -p "0.0.0.0:pub_port:9999" -h "pwn" --name="pwn" pwn

# 部署完成

相關命令：

# 檢視埠連線：
sudo netstat -antp | grep docker

# 檢視連線所在程序：
sudo lsof -i:[埠號]

# 斷開連線：
sudo kill -9 [PID]

 

pwn_deploy_chroot專案：

當需要部署多道題時，可以採用該專案，一次部署！

專案地址：https://github.com/giantbranch/pwn_deploy_chroot

對應的教學：http://www.giantbranch.cn/2018/09/24/%E5%A6%82%E4%BD%95%E5%AE%89%E5%85%A8%E5%BF%AB%E9%80%9F%E5%9C%B0%E9%83%A8%E7%BD%B2%E5%A4%9A%E9%81%93ctf%20pwn%E6%AF%94%E8%B5%9B%E9%A2%98%E7%9B%AE/

部署過程：

# 將該專案克隆下來
git clone https://github.com/giantbranch/pwn_deploy_chroot

# 使用
步一：將所有pwn題目放入bin目錄（注意名字不帶特殊字元，因為會將檔名作為linux使用者名稱）

步二：python initialize.py
該python指python2，該步是設定各種檔案

步三：docker-compose up --build -d
根據Dockerfile檔案及其組態檔建立容器並開啟

（以上步驟的解釋基於本人粗淺的理解，可能不太對噢~）

生成的容器的內容是相對固定的，要想進行一定的修改。可對Dockerfile和initialize.py進行修改，不過需要熟悉一定的命令，並且理解不同檔案之間的關係及聯絡。這個我相信通過查閱文章中的資料，修改並不是什麼大問題。

最後可以通過nc 0.0.0.0 [埠號] 進行連線測試。

0x05：遠端部署說明

部署在遠端伺服器上，一般通過ssh用伺服器ip地址及相應埠連線。圖形介面ssh工具有Xshell、FinalShell，個人認為FinalShell介面看起來更好。

當然使用linux命令列工具也可以連線，可以自行百度搜尋。

（好像沒有其它特別需要注意的了~）

0x06：Pwn 出題注意點

編譯的相關引數：

# NX保護機制：
-z execstack / -z noexecstack  # (關閉 / 開啟) 堆疊不可執行

# Canary：(關閉 / 開啟 / 全開啟) 棧裡插入cookie資訊
# !開canary好像會造成棧中區域性變數的順序有所改變
-fno-stack-protector /-fstack-protector / -fstack-protector-all 

# ASLR和PIE：
-no-pie / -pie   # (關閉 / 開啟) 地址隨機化，另外開啟後會有get_pc_thunk

# RELRO：
-z norelro / -z lazy / -z now   # (關閉 / 部分開啟 / 完全開啟) 對GOT表具有寫許可權

-s   # 去除符號表

參考：https://blog.e4l4.com/posts/%E5%87%BApwn%E9%A2%98%E7%9A%84tips/

 

#程式需要輸出輸入時，加上這兩段程式碼，不然部署在docker中執行時要回車才有輸出
setvbuf(stdout, 0, 2, 0);
setvbuf(stdin, 0, 2, 0);

---

tolele

2022.9.11