本記事はこちらの記事を参考に書きました。ぜひ元の記事も見に行ってください。 
<iframe id="zenn-embedded__91e7e35edfbae" src="https://embed.zenn.studio/card#zenn-embedded__91e7e35edfbae" data-content="https%3A%2F%2Fhackmd.io%2F%40blackpwner%2FS11lMQGwye" frameborder="0" scrolling="no" loading="lazy"></iframe><a href="https://hackmd.io/@blackpwner/S11lMQGwye" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://hackmd.io/@blackpwner/S11lMQGwye</a>
また本記事の内容は実際に以下の配信で検証しています。興味があればぜひ御覧ください。 
<iframe id="zenn-embedded__f163b3fc25b89" src="https://embed.zenn.studio/card#zenn-embedded__f163b3fc25b89" data-content="https%3A%2F%2Fyoutube.com%2Flive%2FB507VI-_02Y%3Ffeature%3Dshare" frameborder="0" scrolling="no" loading="lazy"></iframe><a href="https://youtube.com/live/B507VI-_02Y?feature=share" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://youtube.com/live/B507VI-_02Y?feature=share</a>
<h3 id="%E6%9C%AC%E8%A8%98%E4%BA%8B%E3%81%A7%E5%8F%96%E3%82%8A%E6%89%B1%E3%81%86%E5%95%8F%E9%A1%8C" data-line="6" class="code-line">
<a class="header-anchor-link" href="#%E6%9C%AC%E8%A8%98%E4%BA%8B%E3%81%A7%E5%8F%96%E3%82%8A%E6%89%B1%E3%81%86%E5%95%8F%E9%A1%8C" aria-hidden="true"></a> 本記事で取り扱う問題</h3>
SECCON Beginners CTF 2025 の pivot4b++ で行います。 
2025/08/01現在、まだ公式リポジトリはないので、公開され次第記載します。 
gdbserverで接続してもgdbの設定はローカル側を参照するので、サーバーサイドにpwndbg等を入れなくても大丈夫です。
<h4 id="dockerfile%E3%80%81docker-compose.yaml%E3%81%AE%E7%B7%A8%E9%9B%86" data-line="12" class="code-line">
<a class="header-anchor-link" href="#dockerfile%E3%80%81docker-compose.yaml%E3%81%AE%E7%B7%A8%E9%9B%86" aria-hidden="true"></a> Dockerfile、docker-compose.yamlの編集</h4>
<code>Dockerfile</code> と <code>docker-compose.yaml</code> を以下のように編集します。
<ol data-line="16" class="code-line">
<li data-line="16" class="code-line">
<code>FROM pwn.red/jail</code> 以降をコメントアウトする</li>
<li data-line="17" class="code-line">
<code>gdb</code>, <code>gdbserver</code>, <code>socat</code>をインストールする</li>
<li data-line="18" class="code-line">
<code>CMD</code> でsocatを実行する。</li>
<li data-line="19" class="code-line">gdbserver用にport forwardingする</li>
</ol>
<div class="code-block-container">
<div class="code-block-filename-container">Dockerfile</div>
<pre class="language-dockerfile"><code class="language-dockerfile code-line" data-line="21">FROM ubuntu:22.04@sha256:08e2cd26ee66d0d46d6394df594f2877fc9b9381d9630a9ef5d86e27dfae9a95 AS base
WORKDIR /app
COPY chall run
RUN apt update &amp;&amp; apt install -y gdb gdbserver socat # step2: install gdb, gdbserver, socat
RUN echo "ctf4b{*** REDACTED ***}" &gt; /flag.txt
RUN mv /flag.txt /app/flag-$(md5sum /flag.txt | awk '{print $1}').txt
CMD socat TCP-LISTEN:5000,reuseaddr,fork EXEC:"./run" # step3: run socat

# FROM pwn.red/jail # step1: commentout
# COPY --from=base / /srv # step1: commentout
# RUN chmod +x /srv/app/run # step1: commentout
# ENV JAIL_TIME=60 JAIL_CPU=100 JAIL_MEM=10M # step1: commentout
</code></pre>
</div><div class="code-block-container">
<div class="code-block-filename-container">docker-compose.yml</div>
<pre class="language-yaml"><code class="language-yaml code-line" data-line="36">services:
 pivot4b:
 build: .
 ports:
 - 12300:5000
 - "9090:9090" # step4: port for gdbserver
 privileged: true
 restart: unless-stopped

</code></pre>
</div><h4 id="solve.py%E3%81%AE%E7%B7%A8%E9%9B%86" data-line="48" class="code-line">
<a class="header-anchor-link" href="#solve.py%E3%81%AE%E7%B7%A8%E9%9B%86" aria-hidden="true"></a> solve.pyの編集</h4>
<ol data-line="50" class="code-line">
<li data-line="50" class="code-line">ファイル名とコンテナ名を相当のものにする</li>
<li data-line="51" class="code-line">
<code>remote()</code> でdocker内のバイナリをsocatで走らせ、 <code>docker exec</code> コマンドで、docker内の <code>gdbserver</code> を起動する。
<ul data-line="52" class="code-line">
<li data-line="52" class="code-line">read系命令で止まったところからデバッグが始まります</li>
<li data-line="53" class="code-line">起動するためだけにprocessを叩いています。コマンドが実行できれば何でもいいです</li>
</ul>
</li>
<li data-line="54" class="code-line">
<code>gdb.attach</code>で接続 (wsl環境の場合、tmuxがないと画面が出てくれません。)</li>
<li data-line="55" class="code-line">attachは非同期で行うため、タイムラグがあります。 <code>pause()</code> や <code>time.sleep()</code> などで待機し、同期を待ちます。</li>
</ol>
<aside class="msg message">!<div class="msg-content">
localscriptのrerunやconはgdb内で使える関数を定義しているものです。なくても動きます。
</div></aside>
<div class="code-block-container">
<div class="code-block-filename-container">solve.py</div>
<pre class="language-py"><code class="language-py code-line" data-line="61">from pwn import *
from icecream import ic
import time

remote_connection = "nc addr 12300".split()
CONTAINER_NAME = "pivot4b-2-pivot4b-1" # step1: conatiner_name
FILE_NAME = "./chall" # step1: filename
local_port = 12300

exe = ELF(f"{FILE_NAME}")
rop = ROP(exe)

context.binary = f"{FILE_NAME}"

localscript = f'''
file {context.binary.path}

define rerun
!docker exec -u root -i {CONTAINER_NAME} bash -c 'kill -9 $(pidof gdbserver) &amp;'
!docker exec -u root -i {CONTAINER_NAME} bash -c 'gdbserver :9090 --attach $(pidof run) &amp;'
end

define con
target remote :9090
end
'''

gdbscript = '''
b *vuln+65
'''

def start():
 if args.REMOTE:
 return remote(remote_connection[1], int(remote_connection[2]))
 elif args.LOCAL:
 return remote("localhost", local_port)
 elif args.GDB:
 return gdb.debug(exe.path, gdbscript=gdbscript)
 else:
 return process([exe.path])

def GDB():
 if not args.LOCAL and not args.REMOTE:
 gdb.attach(p, gdbscript=gdbscript)
 pause()
 if args.LOCAL:
 gdbserver = process(f"docker exec -u root -i {CONTAINER_NAME} bash -c".split() + [f"gdbserver :9090 --attach $(pidof run) &amp;"]) # step2: gdb server の起動
 pid = gdb.attach(('0.0.0.0', 9090), exe=f'{context.binary.path}', #gdbscript=localscript+gdbscript) # step3: gdb serverへのアタッチ
 pause() # step4: pause等で待機
 # time.sleep(0.5)

# r = remote("pivot4b-2.challenges.beginners.seccon.jp", 12300)
r = start()
GDB()
</code></pre>
</div>

【pwn】Docker内で動いているプロセスにgdbserverでデバッグする

Discussion