ARM Pwn 入门教程<\/h1>

一、ARM架构基础<\/h2>

1. ARM架构简介<\/h3>
ARM架构是一种精简指令集(RISC)处理器架构，广泛应用于移动设备、嵌入式系统等领域。在安全研究中，ARM架构的二进制漏洞利用与x86架构有显著不同。<\/p>

2. 运行环境搭建<\/h3>

在Ubuntu中运行ARM架构文件需要通过qemu模拟器：<\/p>

# 安装qemu<\/span>
<\/span><\/span>sudo apt-get install qemu-user
<\/span><\/span>
<\/span><\/span># 运行ARM程序<\/span>
<\/span><\/span>qemu-arm -L \/usr\/arm-linux-gnueabi .\/pwnexp
<\/span><\/span><\/code><\/pre>3. 调试环境配置<\/h3>
使用gdb调试ARM程序需要两个终端：<\/p>

第一个终端启动gdb：<\/li>
<\/ol>
gdb-multiarch -q .\/pwn
<\/span><\/span><\/code><\/pre>
第二个终端运行程序并开启调试端口：<\/li>
<\/ol>
qemu-arm -L \/usr\/arm-linux-gnueabi -g 1234<\/span> .\/pwn
<\/span><\/span><\/code><\/pre>然后在gdb中连接：<\/p>
target remote localhost:1234
<\/span><\/span><\/code><\/pre>二、ARM32架构详解<\/h2>
1. 寄存器与调用约定<\/h3>

BL指令<\/strong>：跳转到目标地址执行代码，同时将下一条指令地址保存到LR寄存器(R14)<\/li>
参数传递<\/strong>：前四个参数通过r0~r3寄存器传递<\/li>
特殊寄存器<\/strong>：

r7：存储系统调用号<\/li>
r11(fp)：相当于ebp<\/li>
r13(sp)：栈顶指针<\/li>
r15(pc)：程序计数器(相当于eip)<\/li>
<\/ul>
<\/li>
<\/ul>
2. 关键指令<\/h3>

pop {pc}<\/code>：直接设置PC寄存器实现跳转(相当于ret)<\/li>
mov r0, r3<\/code>：寄存器间数据传递<\/li>
pop {r3, pc}<\/code>：从栈中弹出数据到r3和pc<\/li>
<\/ul>
3. 例题分析<\/h3>
例题1：ctfshow pwn346 - 栈溢出到后门<\/h4>

特点：ARM32栈溢出中buf与返回地址之间没有rbp指针<\/li>
覆盖距离：0x18字节<\/li>
利用方式：直接覆盖返回地址到后门函数<\/li>
<\/ul>
例题2：ctfshow pwn347 - 栈溢出ROP<\/h4>

关键gadget：
0<\/span>x00010548<\/span> : pop<\/span> {<\/span>fp<\/span>, pc<\/span>}<\/span>
<\/span><\/span>0<\/span>x000103a4<\/span> : pop<\/span> {<\/span>r3<\/span>, pc<\/span>}<\/span>
<\/span><\/span>0<\/span>x00010500<\/span> : pop<\/span> {<\/span>r4<\/span>, pc<\/span>}<\/span>
<\/span><\/span>0<\/span>x000106bc<\/span> : pop<\/span> {<\/span>r4<\/span>, r5<\/span>, r6<\/span>, r7<\/span>, r8<\/span>, sb<\/span>, sl<\/span>, pc<\/span>}<\/span>
<\/span><\/span><\/code><\/pre><\/li>
参数控制技巧：

使用pop {r3, pc}<\/code>控制r3<\/li>
使用mov r0, r3<\/code>将r3值转移到r0<\/li>
调用bl puts<\/code>而非直接调用plt表，避免崩溃<\/li>
<\/ol>
<\/li>
完整利用链：

泄露libc地址<\/li>
计算system和\/bin\/sh地址<\/li>
执行system("\/bin\/sh")<\/li>
<\/ol>
<\/li>
<\/ul>
例题3：ctfshow pwn348 - ret2shellcode<\/h4>

特点：ARM32下bss段可执行shellcode<\/li>
利用方式：

栈迁移到bss段<\/li>
执行28字节的ARM32 shellcode<\/li>
<\/ol>
<\/li>
关键gadget：控制r11(fp)实现栈迁移<\/li>
<\/ul>
三、AArch64架构详解<\/h2>
1. 寄存器与调用约定<\/h3>

寄存器命名从Rn变为Xn<\/li>
特殊寄存器<\/strong>：

X31(SP)：栈顶指针<\/li>
X29(FP)：栈帧指针<\/li>
X0~X7：依次传递参数<\/li>
X0：函数返回值<\/li>
X8：系统调用号或函数返回结果<\/li>
X30：函数返回地址(RET指令返回X30中的地址)<\/li>
<\/ul>
<\/li>
<\/ul>
2. 例题分析<\/h3>
例题1：pwn349 - 栈溢出到后门<\/h4>

特点：溢出距离为0x88<\/li>
利用方式：直接覆盖返回地址到后门函数<\/li>
<\/ul>
例题2：ctfshow pwn350 - ret2shellcode<\/h4>

预期解法：

栈溢出跳转到mprotect修改bss权限<\/li>
跳转到bss执行shellcode<\/li>
<\/ol>
<\/li>
实际发现：bss段可直接执行shellcode<\/li>
<\/ul>
例题3：[MTCTF 2022]aarch64_ret2libc<\/h4>

特点：libc地址中间有\x00会被截断<\/li>
解决方案：添加0x5500000000偏移<\/li>
关键gadget：ldr x0, [sp]<\/code>从栈中加载x0值<\/li>
<\/ul>
四、实用技巧与资源<\/h2>
1. 调试技巧<\/h3>

使用gdb-multiarch<\/code>调试ARM程序<\/li>
结合qemu的-g<\/code>参数进行远程调试<\/li>
注意ARM架构下的栈布局与x86差异<\/li>
<\/ul>
2. Shellcode编写<\/h3>

ARM32 shellcode通常为28字节<\/li>
参考资源：用ARM编写shellcode - 先知社区<\/a><\/li>
<\/ul>
3. 参考文章<\/h3>

CTF中ARM & AArch64架构下的Pwn<\/a><\/li>
异构pwn运行与调试 | starrysky<\/a><\/li>
<\/ol>
五、总结<\/h2>
ARM Pwn与x86 Pwn的主要区别在于：<\/p>

寄存器使用和调用约定不同<\/li>
指令集和gadget寻找方式不同<\/li>
栈布局和溢出方式有差异<\/li>
调试环境配置更复杂<\/li>
<\/ol>
掌握ARM Pwn需要熟悉ARM架构特性，并通过实践积累经验。建议从简单栈溢出开始，逐步学习ROP、shellcode等高级技术。<\/p>

ARM Pwn 入门教程<\/h1>

一、ARM架构基础<\/h2>

1. ARM架构简介<\/h3> ARM架构是一种精简指令集(RISC)处理器架构，广泛应用于移动设备、嵌入式系统等领域。在安全研究中，ARM架构的二进制漏洞利用与x86架构有显著不同。<\/p>

二、ARM32架构详解<\/h2>

3. 例题分析<\/h3>

三、AArch64架构详解<\/h2>

2. 例题分析<\/h3>

四、实用技巧与资源<\/h2>

1. ARM架构简介<\/h3>
ARM架构是一种精简指令集(RISC)处理器架构，广泛应用于移动设备、嵌入式系统等领域。在安全研究中，ARM架构的二进制漏洞利用与x86架构有显著不同。<\/p>