Pwn出題指南

• 2022 年 9 月 11 日
• 筆記

0x00：背景

最近在為社團招新賽出pwn題，發現網上關於出題方面的文章資料特別少，所以打算記錄下自己出題的過程，便於網友們參考學習。本次出題採用了ctf_xinetd與pwn_deploy_chroot項目。

0x01：Docker介紹

Docker 將應用程式與該程式的依賴，打包在一個文件裡面。只要運行這個文件，就會生成一個虛擬容器。程式在這個虛擬容器里運行，就好像在真實的物理機上運行一樣。有了 Docker，大大緩解了程式分布時的環境問題。

docker的安裝：

#本人系統環境：Ubuntu 22.04

# 更新軟體包
sudo apt-get update

# 安裝docker
sudo apt-get install docker.io

# 檢查docker是否安裝成功
docker version

 docker的相關指令：

# 查看幫助
docker --help (或者準確點 docker [command] --help)

# (!以下命令若顯示許可權不夠的，請自行添加sudo)
# 查看docker的基本資訊，有多少個容器、鏡像等等
docker info

# 查看本機上的所有鏡像
docker images

# 容器構建
docker build

# 運行容器
docker run

# 停止容器
docker stop

# 強制停止容器
docker kill

# 刪除容器
docker rm

更多的docker指令參考：//blog.csdn.net/u012921921/article/details/116259208

0x02：Dockerfile介紹

Dockerfile 是一個用來構建鏡像的文本文件，其中包含了一條條構建鏡像所需的指令和說明。

相關指令介紹：

•  FROM：FROM指令是最重要的一個且必須為 Dockerfile文件開篇的第一個非注釋行，用於為映像文件構建過程指定基準鏡像，後續的指令運行於此基準鏡像所提供的運行環境。
• COPY：用於從 Docker主機複製文件至創建的新映像文件。
• WORKDIR：用於為 Dockerfile中所有的 RUN、CMD、ENTRYPOINT、COPY和 ADD指定設定工作目錄。
• RUN：RUN用於指定 docker build過程中運行的程式，其可以是任何命令，但是這裡有個限定，一般為基礎鏡像可以運行的命令。
• CMD：類似於 RUN指令， CMD指令也可用於運行任何命令或應用程式，不過，二者的運行時間點不同 . RUN指令運行於映像文件構建過程中，而 CMD指令運行於基於 Dockerfile構建出的新映像文件啟動一個容器時 . CMD指令的首要目的在於為啟動的容器指定默認要運行的程式，且其運行結束後，容器也將終止；不過， CMD指定的命令其可以被 docker run的命令行選項所覆蓋 .在Dockerfile中可以存在多個 CMD指令，但僅最後一個會生效。

Dockerfile製作完成後，用命令docker build製作基於dockerfile的新鏡像。

更詳細的介紹及更多的指令可參考：

//blog.csdn.net/zisefeizhu/article/details/83472190

//www.runoob.com/docker/docker-dockerfile.html

0x03：docker-compose介紹

docker-compose 是用於定義和運行多容器 Docker 應用程式的工具。通過 docker-compose，您可以使用 YML 文件來配置應用程式需要的所有服務。然後，使用一個命令，就可以從 YML 文件配置中創建並啟動所有服務。docker-compose默認的配置文件為docker-compose.yml，其用YAML語言編寫。

YAML 的語法和其他高級語言類似，並且可以簡單表達清單、散列表，標量等數據形態。它使用空白符號縮進和大量依賴外觀的特色，特別適合用來表達或編輯數據結構、各種配置文件、傾印調試內容、文件大綱（例如：許多電子郵件標題格式和YAML非常接近）。

安裝docker-compose：

sudo apt install docker-compose

(不知道有沒有記錯，或者先執行一下docker-compose命令，如果沒有的話，會提示你如何去安裝)

0x04：ctf_xinetd與pwn_deploy_chroot項目

ctf_xinetd項目：

該項目的文件結構比較簡單，容易入手，不過需要一道道題進行部署，適合部署少量題目。

項目地址：//github.com/Eadom/ctf_xinetd

部署過程：

# 把項目克隆下來
git clone //github.com/Eadom/ctf_xinetd

# 把flag和二進位程式放入bin目錄中，並且按照readme修改ctf.xinetd

# 在ctf_xinetd目錄下構建容器(注意後面有個點)
docker build -t "pwn" .

# 運行該鏡像(pub_port改成你想要放置的埠)
docker run -d -p "0.0.0.0:pub_port:9999" -h "pwn" --name="pwn" pwn

# 部署完成

相關命令：

# 查看埠連接：
sudo netstat -antp | grep docker

# 查看連接所在進程：
sudo lsof -i:[埠號]

# 斷開連接：
sudo kill -9 [PID]

pwn_deploy_chroot項目：

當需要部署多道題時，可以採用該項目，一次部署！

項目地址：//github.com/giantbranch/pwn_deploy_chroot

對應的教程：//www.giantbranch.cn/2018/09/24/%E5%A6%82%E4%BD%95%E5%AE%89%E5%85%A8%E5%BF%AB%E9%80%9F%E5%9C%B0%E9%83%A8%E7%BD%B2%E5%A4%9A%E9%81%93ctf%20pwn%E6%AF%94%E8%B5%9B%E9%A2%98%E7%9B%AE/

部署過程：

# 將該項目克隆下來
git clone //github.com/giantbranch/pwn_deploy_chroot

# 使用
步一：將所有pwn題目放入bin目錄（注意名字不帶特殊字元，因為會將文件名作為linux用戶名）

步二：python initialize.py
該python指python2，該步是設置各種文件

步三：docker-compose up --build -d
根據Dockerfile文件及其配置文件創建容器並開啟

（以上步驟的解釋基於本人粗淺的理解，可能不太對噢~）

生成的容器的內容是相對固定的，要想進行一定的修改。可對Dockerfile和initialize.py進行修改，不過需要熟悉一定的命令，並且理解不同文件之間的關係及聯繫。這個我相信通過查閱文章中的資料，修改並不是什麼大問題。

最後可以通過nc 0.0.0.0 [埠號] 進行連接測試。

0x05：遠程部署說明

部署在遠程伺服器上，一般通過ssh用伺服器ip地址及相應埠連接。圖形介面ssh工具有Xshell、FinalShell，個人認為FinalShell介面看起來更好。

當然使用linux命令行工具也可以連接，可以自行百度搜索。

（好像沒有其它特別需要注意的了~）

0x06：Pwn 出題注意點

編譯的相關參數：

# NX保護機制：
-z execstack / -z noexecstack  # (關閉 / 開啟) 堆棧不可執行

# Canary：(關閉 / 開啟 / 全開啟) 棧里插入cookie資訊
# !開canary好像會造成棧中局部變數的順序有所改變
-fno-stack-protector /-fstack-protector / -fstack-protector-all 

# ASLR和PIE：
-no-pie / -pie   # (關閉 / 開啟) 地址隨機化，另外打開後會有get_pc_thunk

# RELRO：
-z norelro / -z lazy / -z now   # (關閉 / 部分開啟 / 完全開啟) 對GOT表具有寫許可權

-s   # 去除符號表

參考：//blog.e4l4.com/posts/%E5%87%BApwn%E9%A2%98%E7%9A%84tips/

#程式需要輸出輸入時，加上這兩段程式碼，不然部署在docker中運行時要回車才有輸出
setvbuf(stdout, 0, 2, 0);
setvbuf(stdin, 0, 2, 0);

tolele

2022.9.11