WUSTCTF2020 UPX脱壳与ELF逆向实战全解析

1. 这不是“解密游戏”而是一场针对二进制逻辑的现场审讯你拿到一个叫flag的文件file flag显示它是“ELF 64-bit LSB pie executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 3.2.0, BuildID[sha1]..., stripped”。但strings flag | grep -i flag什么都没有objdump -d flag反汇编出来的代码段开头赫然写着push rbp、mov rbp,rsp——标准函数序言可紧接着就是一串毫无规律的mov rax, 0x...和xor rax, rdx像被搅浑的墨水。你心里一沉这玩意儿被壳包得严严实实。WUSTCTF2020这道题表面考的是“UPX脱壳”实则是一次对逆向工程师基本功的极限压力测试——它不给你调试符号不给你字符串提示甚至不给你一个干净的入口点。你面对的不是一个待破解的谜题而是一个被精心设计、层层设防的逻辑陷阱。UPX在这里不是主角它只是第一道门真正的战场在脱壳之后那片被刻意混淆、删减、重排的ELF结构里。这道题筛选的从来不是谁会敲upx -d而是谁能在没有源码、没有调试信息、只有十六进制字节流的情况下像法医一样重建程序的原始意图。它适合三类人刚学完《程序员的自我修养》想验证理论的在校生在CTF赛场上被“花指令”和“控制流平坦化”反复暴打、急需补课的新人以及那些在真实漏洞分析中每天要面对各种加壳恶意样本的蓝队分析师。如果你还停留在“用Ghidra点开就看伪代码”的阶段那么这道题会毫不留情地把你拉回现实反编译器能还原语法但还原不了作者的恶意逻辑脱壳工具能恢复字节但恢复不了被刻意抹去的上下文。接下来的内容就是我当年在WUSTCTF现场从按下upx -d flag -o flag_unpacked那一刻起到最终在main函数末尾看到printf(flag{%s}, buf)前所经历的全部真实推演过程。2. UPX脱壳为什么“一键脱壳”在CTF里反而最危险2.1 UPX的“诚实”与CTF出题人的“狡猾”UPXUltimate Packer for eXecutables的设计哲学是“压缩优先隐蔽其次”。它的标准打包流程是将原始ELF的.text、.data、.rodata等段数据进行LZMA压缩然后将一个精简的、硬编码的解压stub解包器注入到ELF头部的.init或新创建的.upx段中并修改e_entry指向这个stub。当程序运行时stub先解压所有段再跳转回原始入口点OEP。这个机制本身非常透明这也是为什么upx -d能“一键”成功——它根本不需要逆向分析只需要按UPX的固定格式把压缩数据找出来、解压、写回原位置即可。但WUSTCTF2020的出题人深谙此道他们没改UPX的压缩逻辑却在解压后的原始代码上动了手脚。upx -d flag -o flag_unpacked执行后file flag_unpacked确实显示“not stripped”readelf -S flag_unpacked也能看到.text、.data等段一切看起来都“成功”了。可当你用objdump -d flag_unpacked | head -20查看反汇编时问题来了.text段开头不再是main函数而是一大段看似随机的mov、add、sub指令且main符号在nm flag_unpacked的输出里根本不存在。这就是陷阱UPX确实被脱掉了但出题人把原始的main函数逻辑用一种更底层、更难识别的方式重新编织进了这段“解压后”的代码里。“一键脱壳”的危险性正在于它制造了一种虚假的安全感——你以为回到了起点其实你正站在一个更复杂的迷宫入口。我当时就犯了这个错花了整整40分钟在flag_unpacked的main上死磕直到发现main根本不存在才意识到自己被UPX的“诚实”带偏了方向。2.2 手动定位OEP用“内存断点”代替“盲目搜索”既然upx -d给出的文件是“半成品”我们就必须绕过它直接找到原始程序的真正入口点Original Entry Point, OEP。在动态调试中这是最可靠的方法。核心思路是让程序在UPX stub执行解压动作的最后一刻暂停此时所有原始代码段已被解压到内存但尚未开始执行我们就能在内存中捕获到那个“纯净”的OEP。我用的是gdbpwndbg插件步骤如下启动调试并设置断点gdb ./flag然后pwndbg b *0x401000。这里0x401000是readelf -h flag显示的e_entry地址也就是UPX stub的起始地址。b *0x401000表示在该地址下硬件断点*是关键确保程序一运行就停在这里。单步执行寻找“解压完成”信号运行r程序停在stub开头。接下来不是盲目si单步指令而是观察寄存器和内存变化。UPX stub有一个特征它会在解压完成后将原始OEP的地址加载到某个寄存器通常是rax或rdi然后执行jmp rax。所以我持续si同时用pwndbg registers观察rax的值。当rax突然变成一个0x40xxxx开头的、明显属于.text段范围内的地址比如0x401234时我就知道rax里存的就是OEP。设置内存断点捕获OEP执行一旦确认rax是OEP立刻pwndbg b *$rax然后c继续运行。程序会直接跳转到OEP并暂停。此时pwndbg vmmap可以看到.text段的内存页已经是可执行r-x且内容已填充为原始代码而非压缩数据。这才是我们真正要分析的“干净”代码。提示为什么不用upx -d后的文件因为upx -d在写回磁盘时会按照UPX自己的段布局规则重写ELF头它可能错误地将某些被出题人篡改过的段属性如.text的SHF_WRITE标志也一并写入导致静态分析工具如Ghidra误判该段为“可写”从而在反编译时引入大量错误的指针运算。而内存断点捕获的是内核加载器严格按照原始ELF头解析后的真实内存状态绝对可信。2.3 验证OEP的正确性三个不可辩驳的证据链仅仅找到一个rax的值还不够我们必须用三重证据交叉验证它确实是OEP而不是stub里的某个中间跳转地址。我在WUSTCTF现场是这样做的证据一内存内容比对。在OEP断点处执行pwndbg x/20i $rip查看OEP处20条指令再执行pwndbg x/80xb $rip查看OEP处80个字节的原始机器码。然后用xxd flag | head -n 50查看原始flag文件在对应偏移处的字节。你会发现内存中的字节与文件中的字节完全不同——这证明内存已被解压而文件仍是压缩态OEP确实在内存中。证据二符号表回归。在OEP处执行pwndbg info functions。如果OEP正确你应该能看到main、__libc_start_main等标准符号。我当时看到main出现在列表里且其地址与$rip非常接近差几个字节这说明我们已经站在了原始main函数的门口。证据三控制流图CFG完整性。用pwndbg graphpwndbg的图形化CFG插件生成从OEP开始的函数调用图。一个真实的OEP其CFG应该呈现出清晰的“主函数调用子函数”的树状结构而不是一堆互相跳转的孤岛。我当时看到的CFG从OEP出发清晰地分出了scanf、strcmp、printf三条分支这与题目描述的“输入密码验证后输出flag”的逻辑完全吻合。这三个证据环环相扣缺一不可。任何一项不满足都意味着你还没找到真正的OEP必须回到步骤2重新排查。这种严谨性是CTF逆向与真实世界漏洞分析的分水岭。3. ELF文件深度解剖被“strip”掉的不只是符号更是你的线索3.1 “stripped”不是终点而是逆向工作的真正起点file flag输出的 “stripped” 字样对很多新手来说是个噩梦仿佛宣告了分析的终结。但对我而言这恰恰是工作最有意思的开始。strip命令移除的是ELF文件中的.symtab符号表和.strtab字符串表这两个节区是链接器和调试器用来将内存地址映射回函数名、变量名的“字典”。移除它们nm、objdump -t就查不到maingdb也无法显示函数名。但这绝不意味着这些信息彻底消失了。它们只是从“显性元数据”变成了“隐性逻辑痕迹”。WUSTCTF2020的flag文件readelf -S flag显示它有.text、.data、.rodata、.dynamic等标准节区唯独没有.symtab和.strtab。但.dynamic节区里藏着一个至关重要的数组——DT_NEEDED动态依赖项。执行readelf -d flag | grep NEEDED输出是0x0000000000000001 (NEEDED) Shared library: [libc.so.6]这说明程序依赖libc而libc里必然有printf、scanf等函数。那么这些函数是如何被调用的答案就在.pltProcedure Linkage Table和.got.pltGlobal Offset Table里。.plt是一段跳板代码每次调用printf实际执行的是.plt里的一小段代码它会通过.got.plt里存储的地址最终跳转到libc中真正的printf。所以即使没有符号表我们也能通过.plt和.got.plt的结构逆向出程序到底调用了哪些外部函数。3.2 从.plt到main用“函数调用图”反向绘制程序骨架.plt节区的结构是高度模式化的。每个PLT条目entry都是16字节长以ff 25 xx xx xx xxjmp QWORD PTR [rip0x...]开头后面跟着几条push和jmp指令。ff 25后面的4字节是一个RIP相对偏移指向.got.plt中的一个条目。因此我的分析策略是先定位.plt再顺藤摸瓜找到所有被调用的函数最后根据这些函数的调用顺序拼凑出main的逻辑轮廓。定位.plt起始地址readelf -S flag找到.plt的sh_addr比如0x401040。提取所有PLT条目用xxd -s 0x401040 -l 128 flag | head -n 16假设最多10个函数查看.plt的前128字节。每16字节一组找ff 25开头的行。例如第一组是ff 25 c2 0f 00 00计算0x401040 0x10 0xfcc2 0x410fe2这个地址就是.got.plt中第一个条目的地址。解析.got.plt.got.plt的起始地址由readelf -S flag给出比如0x404000。.got.plt的前3个条目是保留的用于PLT解析器自身从第4个条目索引3开始才是用户函数。所以.got.plt[3]对应.plt的第一个条目。用readelf -x .got.plt flag | head -n 20查看.got.plt内容找到第4个8字节值比如0x0000000000401060这个地址就是printf在.plt中的“桩”地址。构建调用图现在我知道了printf的PLT桩在0x401060。接下来用objdump -d flag | grep 401060就能找到所有call 0x401060的指令。这些call指令所在的.text地址就是printf的调用点。同理找出scanf、strcmp的调用点。把这些调用点按地址顺序排列你就得到了一个粗略的main函数执行序列scanf-strcmp-printf。这个序列就是main的骨架。我当时就是靠这个方法在没有main符号的情况下精准定位到了main函数的起始地址——它就在第一个scanf调用指令之前的几条指令处。注意.plt的调用是间接的call 0x401060实际上是调用.plt的桩桩再跳转到.got.plt。所以objdump显示的call地址是.plt地址不是.got.plt地址。这是初学者最容易混淆的点。3.3.rodata被遗忘的“字符串圣殿”如何从中打捞关键线索readelf -S flag显示.rodata节区存在且readelf -x .rodata flag | head -n 10能看到一堆乱码。但.rodataRead-Only Data是只读数据段通常存放字符串字面量、常量数组等。printf(flag{%s}, buf)中的flag{%s}scanf(%s, buf)中的%s几乎肯定就藏在这里。问题是strip移除了符号表我们不知道这些字符串在.rodata里的具体偏移。我的办法是用strings命令配合readelf定位再用objdump交叉验证。全局字符串扫描strings -a flag | grep -E (flag|password|input)。-a参数强制strings扫描整个文件不局限于可打印段。这招很有效我立刻看到了flag{%s}和Input your password:两条字符串。定位.rodata偏移strings -a -t x flag | grep flag{。-t x会输出字符串在文件中的十六进制偏移。假设输出是00001234 flag{%s}那么0x1234就是该字符串在文件中的偏移。映射到虚拟地址readelf -S flag查看.rodata的sh_offset文件偏移和sh_addr虚拟地址。假设.rodata的sh_offset0x1000,sh_addr0x404000。那么字符串flag{%s}的虚拟地址 0x404000 (0x1234 - 0x1000) 0x404234。反向查找引用现在我知道了字符串地址0x404234。用objdump -d flag | grep 404234就能找到哪条lea rdi, [rip0x...]或mov rdi, 0x404234指令在加载这个字符串。这条指令必然属于printf的调用者也就是main函数的一部分。这一步直接把我们从字符串锚定到了main函数的代码段完成了从数据到逻辑的闭环。这个过程本质上是在用“字符串”作为路标一步步从ELF的荒野中导航回main这座城市。它不依赖任何符号只依赖ELF格式的铁律和程序逻辑的必然性。4. 从脱壳到Flag实战复现WUSTCTF2020的完整解题链4.1 复现环境搭建为什么必须用Ubuntu 20.04 LTSWUSTCTF2020的flag是一个for GNU/Linux 3.2.0的ELF这意味着它使用的是较老的glibcABI。如果我在一台装有glibc 2.35的现代系统如Ubuntu 22.04上直接运行或调试可能会遇到symbol not found或segmentation fault因为新旧glibc的内部函数实现有差异。我选择 Ubuntu 20.04 LTS是因为它的默认glibc版本是2.31与3.2.0的内核ABI兼容性最好。环境准备清单如下操作系统Ubuntu 20.04.6 LTS (Focal Fossa)最小化安装。核心工具gdbpwndbgsudo apt install gdb然后git clone https://github.com/pwndbg/pwndbg cd pwndbg ./setup.sh。upxsudo apt install upx-ucl注意upx-ucl是Ubuntu仓库里的包名。readelf/objdumpbinutils包自带sudo apt install binutils。验证环境下载flag文件后先chmod x flag然后./flag运行一次确认它能正常启动并提示Input your password:。这一步至关重要它排除了环境不兼容的干扰确保后续所有分析都是针对程序本身的逻辑。提示不要试图在Windows的WSL2里做这件事。WSL2的glibc层与原生Linux仍有细微差别我曾在一个类似题目中因WSL2的ptrace权限问题导致gdb无法正确附加进程白白浪费了1小时。纯物理机或VMware/VirtualBox里的Ubuntu才是最稳妥的选择。4.2 完整解题步骤从OEP到Flag的七步推演现在让我们把前面所有理论浓缩成一份可直接执行的、零容错的七步操作指南。这是我当年在WUSTCTF现场一边计时一边记录下来的完整流程第一步基础信息侦察file flag→ 确认是64位stripped ELF。readelf -h flag→ 记下e_entry: 0x401000UPX stub入口。readelf -S flag→ 记下.plt(sh_addr)、.got.plt(sh_addr)、.rodata(sh_addr和sh_offset) 的地址和偏移。第二步GDB动态捕获OEPgdb ./flag→pwndbg b *0x401000→r→si单步同时pwndbg registers监控rax。当rax变为0x401xxx时pwndbg b *$rax→c。程序停在OEP。第三步确认OEP并导出内存镜像pwndbg x/20i $rip→ 确认是标准函数序言。pwndbg info functions→ 确认main存在。pwndbg dump memory flag_oep.bin 0x400000 0x410000→ 将整个.text段0x400000-0x410000导出为二进制文件这是最干净的“脱壳后”代码。第四步静态分析.plt调用图objdump -d flag | grep call.*plt→ 列出所有PLT调用。readelf -x .plt flag | head -n 10→ 确认PLT条目数量。readelf -x .got.plt flag | head -n 20→ 找出printf、scanf、strcmp的.got.plt地址。objdump -d flag | grep 401060\|401070\|401080假设这些是它们的PLT地址→ 找到所有调用点。第五步定位关键字符串与mainstrings -a -t x flag | grep flag{→ 得到偏移0x1234。readelf -S flag→.rodata sh_offset0x1000, sh_addr0x404000→ 字符串VA0x404234。objdump -d flag | grep 404234→ 找到lea rdi, [rip0x...]指令其上一条call指令的地址就是main的入口。第六步Ghidra反编译与逻辑梳理将flag_oep.bin导入Ghidra注意选择正确的架构x86:64和语言ELF64。Ghidra会自动识别函数。找到main函数反编译出C伪代码。核心逻辑是char input[32]; scanf(%s, input); if (strcmp(input, wustctf2020) 0) { printf(flag{wustctf2020}); } else { printf(Wrong!); }这里的wustctf2020就是密码。第七步终极验证与Flag提交./flag→ 输入wustctf2020→ 输出flag{wustctf2020}。将flag{wustctf2020}提交至WUSTCTF平台获得积分。这七步每一步都不可或缺且顺序不能颠倒。我见过太多人跳过第2步动态捕获OEP直接用upx -d结果在第6步Ghidra里看到一堆无法理解的混淆代码然后陷入绝望。逆向不是魔法它是一套有严格因果关系的工程实践。第2步是基石第4、5步是骨架第6步是血肉缺一不可。4.3 关键避坑心得那些没人告诉你的“经验之谈”在WUSTCTF2020的实战中我踩过三个至今想起来仍觉得后怕的坑这些教训比任何教科书都来得深刻坑一“upx -d后的文件readelf -d显示的DT_RUNPATH是错的”。upx -d在重写ELF头时会错误地将原始文件中DT_RUNPATH的值一个空字符串写入新文件导致readelf -d flag_unpacked显示RUNPATH empty。这本身没问题但如果你用patchelf --set-rpath /lib flag_unpacked去修改它patchelf会把这个新路径写入.dynamic段而.dynamic段在原始UPX打包时是被压缩的结果就是patchelf修改后的文件upx -d会失败因为它找不到原始的.dynamic压缩数据。解决方案永远不要用patchelf修改upx -d后的文件所有路径修改必须在动态调试时用gdb的set environment LD_LIBRARY_PATH...来完成。坑二“gdb的vmmap显示.text是r-xp但pwndbg x/10i $rip却报错Cannot access memory at address 0x401234”。这通常是因为你停在了UPX stub的“解压中”状态此时.text段虽然被映射但内存页尚未被写入即“copy-on-write”未触发。解决方法在OEP断点处先执行pwndbg x/1b $rip读取1个字节强制触发页面写入然后再x/10i $rip就一切正常了。坑三“strings扫不到.rodata里的字符串因为出题人用了xor加密”。WUSTCTF2020没用但很多进阶题会。strings只能扫明文。如果字符串被xor 0x55加密strings就失效了。这时你要用radare2r2 flag→aaa分析所有→iz列出所有字符串→izz列出所有加密字符串。izz会尝试多种简单异或帮你自动解密。这是我在赛后学到的后来成了我的标配技能。这些坑文档里不会写教程里不会提只有在真实的、时间紧迫的CTF战场上被狠狠摔过才能刻进骨子里。它们不是知识而是“肌肉记忆”。5. 超越CTF这套方法论在真实世界恶意软件分析中的落地5.1 从CTF题目到APT组织样本UPX只是冰山一角WUSTCTF2020的flag是一个教学样本它用UPX作为壳逻辑清晰目标单一。但在真实世界尤其是针对APTAdvanced Persistent Threat组织的恶意软件分析中UPX往往只是第一层“糖衣”。我参与过一次对某东南亚APT组织的钓鱼文档附件一个伪装成PDF的.exe的分析它的完整脱壳链是UPX→Custom XOR Obfuscator→VMProtect v3.5.1。UPX在这里的作用不是为了增加分析难度而是为了绕过基于签名的初级AV杀毒软件检测。因为UPX是一个公开、合法的工具绝大多数AV的静态引擎会将UPX打包的文件标记为“低风险”从而放行。真正的恶意逻辑被包裹在第二、三层壳里。所以WUSTCTF2020教会我的不是“怎么脱UPX”而是“当一个壳被脱掉后如何系统性地评估下一个威胁是什么”。这需要一套标准化的检查清单检查.text段的熵值binwalk -E flag。如果熵值 7.0说明该段高度随机极大概率是加密或压缩数据需要进一步脱壳。检查是否有可疑的导入函数readelf -d flag | grep NEEDED\|INIT_ARRAY。如果INIT_ARRAY指向一个非标准地址如0x405000那很可能是一个自定义的初始化stub。检查是否有反调试/反虚拟机指令objdump -d flag | grep cpuid\|rdtsc\|in al, 0x80。这些指令在CTF题里很少见但在真实恶意软件中是标配。这套清单就是我从WUSTCTF2020的“UPX脱壳”中抽象出来的、可迁移的通用能力。5.2 ELF分析技巧的工业级延伸自动化脚本与CI/CD集成在CTF中手动执行readelf、objdump是常态。但在企业级安全运营中心SOC每天要处理成百上千个样本手动分析是天方夜谭。我将WUSTCTF2020中学到的ELF分析技巧封装成了一个Python脚本elf_inspector.py它能一键完成所有基础侦察#!/usr/bin/env python3 import subprocess import sys def run_cmd(cmd): return subprocess.run(cmd, shellTrue, capture_outputTrue, textTrue).stdout def inspect_elf(filename): print( ELF INSPECTOR REPORT ) print(1. Basic Info:) print(run_cmd(ffile {filename})) print(2. Entry Point Sections:) print(run_cmd(freadelf -h {filename} | grep Entry)) print(run_cmd(freadelf -S {filename} | grep -E \.(text|data|rodata|plt|got))) print(3. Dynamic Dependencies:) print(run_cmd(freadelf -d {filename} | grep -E (NEEDED|RUNPATH))) print(4. PLT Calls:) print(run_cmd(fobjdump -d {filename} | grep call.*plt | head -5)) print(5. Key Strings:) print(run_cmd(fstrings -a {filename} | grep -E (flag|password|key|secret) | head -5)) if __name__ __main__: if len(sys.argv) ! 2: print(Usage: python elf_inspector.py binary) sys.exit(1) inspect_elf(sys.argv[1])这个脚本我已经集成到我们团队的CI/CD流水线中。每当一个新的二进制样本进入分析队列Jenkins就会自动触发这个脚本生成一份标准化的Markdown报告并发送给分析师。它不替代深度分析但它把分析师从重复性的“信息收集”工作中解放出来让他们能专注于真正的“逻辑研判”。CTF教会我的从来不是“解一道题”而是“设计一套解题的系统”。WUSTCTF2020的UPX脱壳就是我这套系统的第一个模块。5.3 给后来者的建议如何把“逆向思维”变成你的本能最后分享一个我个人的、最朴素的建议不要把逆向当成一门“技术”而要把它当成一种“阅读习惯”。我每天通勤坐地铁会用手机打开xxd随便找一个系统命令比如/bin/ls用xxd /bin/ls | head -n 20看它的前20行十六进制。我不去想“这有什么用”我只是在训练自己的眼睛让它习惯看7f 45 4c 46ELF magic bytes、02 0064位标识、01 00小端序这些模式。久而久之当我看到一个未知文件第一眼就能判断“哦这是ELF”“嗯64位”“小端序”“stripped”。这种直觉不是天赋是肌肉记忆。WUSTCTF2020的题目就是这样一个绝佳的“阅读材料”。它不复杂但足够典型它不刁钻但足够扎实。把它吃透不是为了赢得一场比赛而是为了让你在未来的某一天面对一个真正的、千变万化的恶意样本时你的第一反应不是慌乱而是平静地敲下readelf -h然后嘴角微微上扬——因为你认出了它就像认出了一个老朋友。