pwndbg的使用

1765684947737-26792032-06fa-4347-ad2f-daf84207332c.png

这个界面是pwndbg(GDB 的 CTF 专用插件)的调试界面,用于分析 32 位程序(你的pp_32),我会分区域拆解每一部分的含义:

一、顶部命令行区域

1
2
3
4
5
pwndbg> b main  # 你执行的GDB命令:在main函数处下断点
Breakpoint 1 at 0x565555c6  # 断点成功设置在地址0x565555c6(main函数的起始位置)
pwndbg> r  # 你执行的GDB命令:运行程序(run)
Starting program: /home/pwn/Desktop/pp_32  # 正在调试的程序路径
[Thread debugging using libthread_db enabled]  # 启用了线程调试(这里是单线程程序,可忽略)

二、顶部状态栏

1
LEGEND: STACK | HEAP | CODE | DATA | RWX | RODATA  # pwndbg的颜色图例:不同内存段的颜色标识
  • STACK:栈内存(黄色 / 橙色)
  • HEAP:堆内存(绿色)
  • CODE:代码段(紫色)
  • DATA:数据段(蓝色)
  • RWX:可读写可执行内存(红色)
  • RODATA:只读数据段(青色)

三、寄存器区域(REGISTERS

显示当前 CPU 寄存器的值(32 位程序用 EAX/EBX 等寄存器):

1
2
3
4
5
6
7
8
9
EAX: 0x565555b7 (main+0)  # EAX寄存器:当前值是main函数的起始地址(+0表示偏移)
EBX: 0xf7fa3000 (_GLOBAL_OFFSET_TABLE_)  # EBX:指向全局偏移表(GOT)的地址
ECX: 0xffffd150 → -1  # ECX:值是0xffffd150,对应数值-1(32位有符号数)
EDX: 0xffffd170 → 0xf7fa3000 (_GLOBAL_OFFSET_TABLE_)  # EDX:指向GOT表
EDI: 0xf7ffcb00 (rtld_global_ro) → 0  # EDI:指向动态链接器的全局只读结构
ESI: 0xffffd024 → "/home/pwn/Desktop/pp_32"  # ESI:指向程序路径字符串
EBP: 0xffffd138 → 0xffffd150 → -1  # EBP:栈基址寄存器,指向当前栈帧的基地址
ESP: 0xffffd130 → 0xffffd150 → -1  # ESP:栈顶寄存器,指向当前栈顶地址
EIP: 0x565555c6 (main+15) → sub esp, 0x10  # EIP:指令指针寄存器,指向当前要执行的指令(main函数偏移+15处)

四、反汇编区域(DISASM

显示当前 EIP 指向的代码段指令(紫色是代码段):

1
2
3
4
5
6
7
8
9
10
11
12
地址       偏移         指令内容
0x565555c6 <main+15>    sub    esp, 0x10  # 当前要执行的指令:栈顶指针ESP减0x10(分配16字节栈空间)
0x565555c9 <main+18>    call   __x86.get_pc_thunk.bx  # 调用一个辅助函数,用于获取当前PC地址(32位PIC程序常用)
0x565555ce <main+23>    add    ebx, 0x1a32  # 计算GOT表的基地址(调整EBX寄存器)
0x565555d4 <main+29>    mov    dword ptr [ebp - 0xc], 4  # 把数值4存入EBP-0xC的栈地址(局部变量)
0x565555db <main+36>    mov    dword ptr [ebp - 0x10], 5  # 把数值5存入EBP-0x10的栈地址(另一个局部变量)
0x565555e2 <main+43>    push   dword ptr [ebp - 0x10]  # 把EBP-0x10的值(5)压入栈(函数参数)
0x565555e5 <main+46>    push   dword ptr [ebp - 0xc]  # 把EBP-0xC的值(4)压入栈(函数参数)
0x565555e8 <main+49>    call   add  # 调用add函数(计算4+5)
0x565555ed <main+54>    add    esp, 8  # 调用完add后,平衡栈(释放2个参数的8字节空间)
0x565555f0 <main+57>    mov    dword ptr [ebp - 0x14], eax  # 把add的返回值(存在EAX)存入EBP-0x14的栈地址
0x565555f3 <main+60>    sub    esp, 8  # 再分配8字节栈空间

五、栈区域(STACK

显示当前ESP指向的栈内存内容(黄色是栈段):

1
2
3
4
5
6
7
8
9
行号相对偏移 | 内存地址  → 存储内容         # 注释(pwndbg自动补充的解释)
00:0000| esp 0xffffd130 → 0xffffd150 → -1  # 栈顶地址0xffffd130,内容是0xffffd150(对应数值-1)
01:0004|     0xffffd134 → 0xf7fa3000 (_GLOBAL_OFFSET_TABLE_)  # 栈偏移+4的地址,内容是GOT表地址
02:0008|     0xffffd138 → 0xffffd020 (rtld_global) → 0xf7ffda40 → 0x56555000  # 栈偏移+8的地址,内容是动态链接器结构
03:000c|     0xffffd13c → "/home/pwn/Desktop/pp_32"  # 栈偏移+12的地址,内容是程序路径字符串
04:0010| +004 0xffffd140 → 0xffffd359 <__libc_start_call_main+121>  # 栈偏移+16的地址,内容是libc函数地址
05:0014| +008 0xffffd144 → 0x70 (*p)  # 栈偏移+20的地址,内容是字符'p'(ASCII码0x70)
06:0018| +010 0xffffd148 → 0xf7d00000 ( _GLOBAL_OFFSET_TABLE_ )  # 栈偏移+24的地址,内容是GOT表地址
07:001c| +014 0xffffd14c → 0xf7d9a519 <__libc_start_call_main+121>  # 栈偏移+28的地址,内容是libc函数地址

六、调用栈区域(BACKTRACE

显示当前程序的函数调用关系(从当前函数回溯到入口):

1
2
3
4
5
行 地址	      函数 + 偏移
0  0x565555c6 main+15  # 当前在main函数偏移+15处
1  0xf7d9a519 __libc_start_call_main+121  # main函数的调用者:行号	地址	函数 + 偏移libc的启动函数
2  0xf7d9a5f3 __libc_start_main+147  # 更上层的libc启动函数
3  0x56555461 _start+49  # 程序的入口函数_start

总结

这是pp_32程序在main函数内的调试状态:程序刚进入main,正在初始化局部变量(存了 4 和 5),准备调用add函数计算 4+5。

更新: 2026-01-14 22:34:28
原文: https://www.yuque.com/idcm/wnemg9/wkgopvm4q7qe01ib