文章总结： 本文详解CTFPwn中ROP链构造技术，解决无后门函数时的栈溢出利用难题。核心在于利用程序代码段中的gadget片段，拼接调用system函数并传入/bin/sh参数的攻击链。文章涵盖偏移计算、ROPgadget工具使用及exp编写步骤，并总结常见误区，为CTF进阶提供实战指导。 综合评分： 90 文章分类： CTF,二进制安全,漏洞分析

CTF Pwn模块系列分享（四）：ROP链构造，没有后门也能拿shell

原创

龙哥网络安全

龙哥网络安全

2026年1月7日 10:21 湖南

上期我们用ret2text实战搞定了基础栈溢出，有朋友问：“如果程序里没有backdoor这种现成的后门函数，该怎么利用栈溢出呢？”

这就是今天要解决的核心问题！今天咱们进入Pwn栈溢出的进阶环节——ROP链构造（Return-Oriented Programming，返回导向编程）。这是CTF Pwn中最核心的进阶技巧之一，核心逻辑是没有后门就自己拼后门——利用程序代码段中现成的小指令片段（gadget），拼接成我们需要的功能（比如执行system(“/bin/sh”)）。

一、先拆解：为什么需要ROP？ROP的核心逻辑是什么？

先回顾上一期的ret2text：我们是把返回地址改成了程序自带的backdoor函数地址，直接调用后门拿shell。但在真实CTF题目中，程序几乎不会有这么明显的后门——这时候就需要ROP登场了。

1. 为什么需要ROP？

两个核心原因： ① 程序没有现成的后门函数（比如没有调用system(“/bin/sh”)的函数）； ② 栈保护机制（比如NX，栈不可执行）——即使我们把shellcode写到栈里，也无法执行（后续会讲，新手先记住：ROP可以避开NX保护）。

2. ROP的核心逻辑：用“现成指令片段”拼功能

用大白话拆解ROP：

通俗例子：ROP就像“拼积木”——程序代码段里有很多现成的“积木块”（gadget），我们不需要自己造积木，只要把这些积木按顺序拼起来，就能搭出“后门”这个成品。

3. 关键前提：x86_64函数调用约定（再强调一次！）

构造ROP链的核心是“正确传递函数参数”，还记得上一期讲的x86_64函数调用约定吗？再复习一次（必须记住）：

函数的第1个参数 → rdi寄存器

函数的第2个参数 → rsi寄存器

函数的第3个参数 → rdx寄存器 …

所以，要调用system(“/bin/sh”)，我们需要先把“/bin/sh”的地址放到rdi寄存器里，再调用system函数。

今天的实战目标：构造ROP链，完成两个操作——① 把“/bin/sh”的地址传入rdi；② 调用system函数 → 最终拿到shell。

二、实战准备：环境&工具&漏洞程序

我们用“无后门、有system函数”的漏洞程序实战（和CTF比赛中的进阶栈溢题逻辑一致），先准备好这些：

1. 环境：延续之前的Ubuntu 20.04+GDB+pwntools+IDA+ROPgadget

新增工具：ROPgadget（专门找gadget的神器），终端直接安装：sudo apt install -y ropgadget

2. 编写漏洞程序（保存为pwn2.c）

关键说明： – 程序没有backdoor函数，但链接了libc库（默认链接），所以有system函数（libc库中的函数）； – 我们的目标：通过ROP链，调用libc中的system函数，并传入“/bin/sh”参数，拿到shell。

3. 编译程序（关闭栈保护，开启NX保护——模拟真实题目）

终端执行命令（复制直接用）：gcc -g -fno-stack-protector -no-pie -o pwn2 pwn2.c

参数解释： – 去掉了“-z execstack”（默认开启NX保护，栈不可执行，迫使我们用ROP）；

 – 保留“-fno-stack-protector -no-pie”（关闭栈保护和地址随机化，新手先避开干扰）。

三、实战步骤：手把手教你构造ROP链，拿shell！

整个解题流程分5步：找漏洞→算溢出偏移→找关键gadget→找system地址和/bin/sh地址→构造ROP链攻击，一步都不能少！

第一步：找漏洞+算溢出偏移（和上一期完全一样）

1. 用IDA分析程序：vulnerable_function调用了gets函数，确认存在栈溢出；

2. 用GDB+cyclic算偏移：方法和上一期完全一致，最终算出偏移还是24（因为buf大小还是16字节，栈帧结构相同）。

小提醒：如果偏移算错，后续全白费！不确定的话，再重新算一次～

第二步：找关键gadget（核心！用ROPgadget）

我们需要的核心gadget是“能把参数传入rdi寄存器的gadget”——因为调用system函数需要把“/bin/sh”的地址放到rdi里。

用ROPgadget找gadget，终端执行命令：ROPgadget --binary pwn2 --only "pop|ret"

命令解释： – –binary pwn2：指定要分析的程序； – –only “pop|ret”：只显示包含pop指令和ret指令的gadget（我们需要的是“pop 寄存器; ret”格式的gadget）。

执行后，会找到类似这样的gadget：0x00000000004011c3 : pop rdi ; ret

这就是我们需要的核心gadget！记下来这个地址（比如0x4011c3，每个人的地址可能一样，以自己的输出为准）。

功能：执行“pop rdi”（把栈顶的数据弹出到rdi寄存器），然后执行“ret”（跳转到下一个地址）。

第三步：找system函数地址和/bin/sh字符串地址

要调用system(“/bin/sh”)，需要两个关键地址：system函数的地址、“/bin/sh”字符串的地址（这两个都在libc库中）。

1. 找system函数地址（用IDA）

1. 打开IDA，把pwn2拖进去，等待分析完成；
2. 按“Shift+F12”打开“Strings window”（字符串窗口），在搜索框输入“system”，找到“system”字符串；
3. 双击“system”字符串，跳转到对应的反汇编代码，顶部显示的地址就是system函数的地址（比如0x401060，以自己IDA显示的为准），记下来！

2. 找/bin/sh字符串地址（用ROPgadget）

终端执行命令：ROPgadget --binary pwn2 --string "/bin/sh"

执行后，会输出“/bin/sh”字符串的地址（比如0x402008，以自己的输出为准），记下来！

小技巧：如果ROPgadget没找到，也可以用IDA的“Shift+F12”搜索“/bin/sh”字符串，找到对应的地址。

第四步：构造ROP链（核心！按顺序拼接）

结合x86_64函数调用约定和栈溢出原理，ROP链的结构如下（x86_64架构，每个地址占8字节）：ROP链 = 垃圾数据（偏移字节数） + pop rdi; ret gadget地址 + /bin/sh字符串地址 + system函数地址

链的执行逻辑（关键！一定要懂）：

1. 程序执行到ret时，先跳转到“pop rdi; ret” gadget；
2. 执行“pop rdi”：把栈顶的“/bin/sh字符串地址”弹出到rdi寄存器（完成参数传递）；
3. 执行“ret”：跳转到栈下一个地址——system函数地址；
4. 调用system函数，此时rdi寄存器里是“/bin/sh”的地址，所以会执行system(“/bin/sh”)，拿到shell！

结合我们的实战数据（假设偏移24、gadget地址0x4011c3、/bin/sh地址0x402008、system地址0x401060），用Python构造：

第五步：发送ROP链，拿到shell！

和上一期一样，有两种方式发送，新手先学第一种：

方式1：GDB中测试（确认ROP链有效）

1. 启动GDB：gdb ./pwn2
2. 输入r < rop_payload（把ROP链作为输入发送）；
3. 程序执行后，出现“$”提示符——成功拿到shell！输入cat flag即可获取Flag。

方式2：pwntools脚本自动化攻击（比赛常用）

编写完整exp脚本（保存为rop_exp.py）：

终端执行脚本：python3 rop_exp.py，直接拿到shell～

四、这6个问题最容易卡壳！

• gadget找错：一定要找“pop rdi; ret”格式的，少了ret不行；如果没找到，检查程序是否编译正确，或换用IDA找gadget。
• 地址填错：system地址、/bin/sh地址、gadget地址一定要用自己程序的，不能直接抄我的。
• ROP链顺序错：必须是“gadget地址 → 参数 → 函数地址”，顺序颠倒会导致执行失败。
• 没加p64：所有地址都要用p64转成64位小端字节序，直接写字符串地址会失败。
• 偏移算错：偏移错了会覆盖不到返回地址，重新用cyclic确认偏移。
• 程序有PIE保护：如果编译时没加“-no-pie”，地址会随机化，导致ROP链失效——新手先关闭PIE练手。

五、下期预告&福利时间

今天我们搞定了ROP链的基础构造，学会了“没有后门也能拼后门拿shell”！下期我们将进入系列最后一期——Pwn实战技巧大整合，涵盖pwntools进阶用法、常见栈保护机制绕过思路、比赛答题策略，帮你整合所有知识点，轻松应对CTF比赛中的Pwn题型！

如果今天的内容对你有帮助，别忘了点赞、在看，转发给一起学CTF的小伙伴～

全套CTF学习资源，也可以在下面蓝色链接拿!

CTF学习资源，限时免费领取

想要的兄弟，关注我发送CTF入门，直接免费分享！前提是你得沉下心练，别拿了资料就吃灰，咱学技术，贵在坚持！

给大家准备了2套关于CTF的教程，一套是涵盖多个知识点的专题视频教程：

另一套是大佬们多年征战CTF赛事的实战经验，也是视频教程：

可以截图或者长按识别、扫码添加找我拿

龙哥网络安全

扫码添加领取

点击蓝字

关注我

计算机#计算机网安#网络安全#渗透测试#CTF#CTF比赛#赛事#计算机专业大学规划#网安零基础怎么入学#大学生

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：龙哥网络安全 龙哥网络安全《CTF Pwn模块系列分享（四）：ROP链构造，没有后门也能拿shell》