PicoCTF 2025 PWN & RE方向全解教学文档<\/h1>

PIE TIME - 75 pts<\/h2>

题目分析<\/h3>
题目给出源码，允许用户输入一个地址，然后执行该地址的代码<\/li>
程序存在PIE保护，但泄露了main函数地址<\/li>
可以通过泄露的main地址计算出PIE基址，进而计算出win函数地址<\/li> <\/ul>
解题思路<\/h3>
接收程序泄露的main函数地址<\/li>
计算PIE基址：pie_base = leaked_main_addr - main_offset<\/code><\/li>
计算win函数地址：win_addr = pie_base + win_offset<\/code><\/li>
输入计算出的win函数地址<\/li>
<\/ol>
关键点<\/h3>

PIE保护下函数地址是随机的，但相对偏移固定<\/li>
通过泄露的地址可以计算出基址<\/li>
<\/ul>
hash-only-1 - 100 pts<\/h2>
题目分析<\/h3>

无源码，提供SSH访问<\/li>
反编译发现调用system执行md5sum \/root\/flag.txt<\/code><\/li>
程序有SUID权限<\/li>
<\/ul>
解题思路<\/h3>

利用环境变量PATH修改命令查找优先级<\/li>
创建恶意md5sum脚本：
#!\/bin\/sh
<\/span><\/span><\/span><\/span>cat \/root\/flag.txt
<\/span><\/span><\/code><\/pre><\/li>
添加当前目录到PATH最前面：
export PATH=<\/span>\/tmp:$PATH
<\/span><\/span><\/code><\/pre><\/li>
将恶意脚本放在\/tmp下并赋予执行权限<\/li>
<\/ol>
关键点<\/h3>

SUID程序继承用户环境变量<\/li>
PATH环境变量控制命令查找顺序<\/li>
<\/ul>
hash-only-2 - 200 pts<\/h2>
题目分析<\/h3>

flaghasher位于\/usr\/local\/bin<\/li>
系统路径优先级：sbin > bin > usr\/local\/bin<\/li>
\/sbin和\/bin目录下没有md5sum<\/li>
<\/ul>
解题思路<\/h3>

检查系统路径：
which -a md5sum
<\/span><\/span><\/code><\/pre><\/li>
在可写目录(如\/tmp)创建符号链接：
ln -s \/bin\/cat \/tmp\/md5sum
<\/span><\/span><\/code><\/pre><\/li>
修改PATH：
export PATH=<\/span>\/tmp:$PATH
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
关键点<\/h3>

利用系统路径优先级<\/li>
符号链接欺骗程序执行其他命令<\/li>
<\/ul>
PIE TIME 2 - 200 pts<\/h2>
题目分析<\/h3>

需要通过格式化字符串漏洞泄露地址<\/li>
泄露PIE基址后计算win函数地址<\/li>
<\/ul>
解题步骤<\/h3>

利用格式化字符串泄露栈上PIE地址<\/li>
计算PIE基址<\/li>
计算win函数地址<\/li>
输入win函数地址<\/li>
<\/ol>
关键点<\/h3>

格式化字符串漏洞读取栈数据<\/li>
计算相对偏移<\/li>
<\/ul>
Echo Valley - 300 pts<\/h2>
题目分析<\/h3>

提供打印flag的函数<\/li>
存在无限次触发的格式化字符串漏洞<\/li>
保护全开(ASLR, NX, Stack Canary等)<\/li>
<\/ul>
解题思路<\/h3>

利用格式化字符串泄露PIE地址<\/li>
修改返回地址指向print_flag函数<\/li>
<\/ol>
详细步骤<\/h3>

发送格式化字符串泄露栈数据：
payload =<\/span> b<\/span>"%p."<\/span>*<\/span>20<\/span>
<\/span><\/span><\/code><\/pre><\/li>
从泄露数据中识别PIE地址<\/li>
计算print_flag函数地址<\/li>
构造ROP链覆盖返回地址<\/li>
<\/ol>
关键点<\/h3>

格式化字符串漏洞利用<\/li>
无直接溢出情况下的控制流劫持<\/li>
<\/ul>
handoff - 400 pts<\/h2>
题目分析<\/h3>

选项2输入idx时使用int接收<\/li>
检查idx > v1[0]<\/code>时存在整数溢出漏洞<\/li>
输入负数可覆盖fgets返回地址<\/li>
<\/ul>
漏洞利用<\/h3>

输入负数idx(如-1)绕过检查<\/li>
覆盖fgets返回地址：

前40字节填充NOP和shellcode<\/li>
返回地址设置为jmp rax gadget地址<\/li>
<\/ul>
<\/li>
<\/ol>
关键点<\/h3>

整数溢出导致缓冲区越界<\/li>
利用现有gadget(jmp rax)执行shellcode<\/li>
<\/ul>
Flag Hunters - 75 pts<\/h2>
题目分析<\/h3>

Python代码分析题<\/li>
程序逐行读取文本，遇到REFRAIN跳转到指定行<\/li>
默认refrain=8<\/li>
<\/ul>
解题思路<\/h3>

在CROWD输入行添加;RETURN 0<\/code><\/li>
程序split(';')时会先遇到RETURN<\/li>
从第0行开始输出而非默认的第8行<\/li>
<\/ol>
关键点<\/h3>

利用字符串分割改变程序流程<\/li>
注入RETURN指令控制输出顺序<\/li>
<\/ul>
Binary Instrumentation 1 - 200 pts<\/h2>
题目分析<\/h3>

程序调用Sleep API暂停执行<\/li>
Hint建议使用Frida工具<\/li>
<\/ul>
解题步骤<\/h3>

编写Frida脚本拦截Sleep调用：
Interceptor<\/span>.attach<\/span>(Module<\/span>.findExportByName<\/span>("kernel32.dll"<\/span>, "Sleep"<\/span>), {
<\/span><\/span>    onEnter<\/span>:<\/span> function<\/span>(args<\/span>) {
<\/span><\/span>        args<\/span>[0<\/span>] =<\/span> ptr<\/span>(0<\/span>);
<\/span><\/span>    }
<\/span><\/span>});
<\/span><\/span><\/code><\/pre><\/li>
运行程序并注入脚本<\/li>
<\/ol>
关键点<\/h3>

Frida动态二进制插桩<\/li>
API函数拦截和参数修改<\/li>
<\/ul>
Tap into Hash - 200 pts<\/h2>
题目分析<\/h3>

提供源码和加密文件<\/li>
加密流程：

将flag拼接到区块链字符串中间<\/li>
对已知key进行SHA256哈希<\/li>
取前16字节作为密钥进行异或加密<\/li>
<\/ol>
<\/li>
<\/ul>
解密步骤<\/h3>

读取加密文件内容<\/li>
使用相同key生成SHA256哈希<\/li>
取前16字节作为密钥<\/li>
异或解密数据<\/li>
<\/ol>
关键代码<\/h3>
def<\/span> decrypt<\/span>(encrypted, key):
<\/span><\/span>    sha =<\/span> hashlib.<\/span>sha256(key.<\/span>encode()).<\/span>digest()
<\/span><\/span>    xor_key =<\/span> sha[:16<\/span>]
<\/span><\/span>    return<\/span> bytes([a ^<\/span> b for<\/span> a, b in<\/span> zip(encrypted, xor_key)])
<\/span><\/span><\/code><\/pre>ChronoHack - 200 pts<\/h2>
题目分析<\/h3>

基于时间种子的随机数问题<\/li>
有50次猜测机会<\/li>
需要预测服务器生成的随机数<\/li>
<\/ul>
解题思路<\/h3>

利用低延迟连接减少时间差<\/li>
同步本地时间与服务器时间<\/li>
生成相同种子预测随机数<\/li>
<\/ol>
关键点<\/h3>

伪随机数生成的可预测性<\/li>
时间同步的重要性<\/li>
<\/ul>
Quantum Scrambler - 200 pts<\/h2>
题目分析<\/h3>

"量子纠缠"编码的flag<\/li>
每个列表的第一个和最后一个元素拼接即为flag内容<\/li>
<\/ul>
解题步骤<\/h3>

分析编码脚本逻辑<\/li>
提取每个列表的首尾元素<\/li>
拼接得到原始flag<\/li>
<\/ol>
关键代码<\/h3>
flag =<\/span> ""<\/span>
<\/span><\/span>for<\/span> lst in<\/span> encoded_data:
<\/span><\/span>    flag +=<\/span> lst[0<\/span>] +<\/span> lst[-<\/span>1<\/span>]
<\/span><\/span><\/code><\/pre>Binary Instrumentation 2 - 300 pts<\/h2>
题目分析<\/h3>

程序应创建文件并写入flag<\/li>
使用Windows API函数<\/li>
<\/ul>
解题思路<\/h3>

使用Frida hook文件操作API：
Interceptor<\/span>.attach<\/span>(Module<\/span>.findExportByName<\/span>("kernel32.dll"<\/span>, "WriteFile"<\/span>), {
<\/span><\/span>    onEnter<\/span>:<\/span> function<\/span>(args<\/span>) {
<\/span><\/span>        console<\/span>.log<\/span>("Writing:"<\/span>, Memory<\/span>.readUtf16String<\/span>(args<\/span>[1<\/span>]));
<\/span><\/span>    }
<\/span><\/span>});
<\/span><\/span><\/code><\/pre><\/li>
拦截WriteFile调用获取flag<\/li>
<\/ol>
关键点<\/h3>

Windows API函数拦截<\/li>
内存数据读取<\/li>
<\/ul>
perplexed - 400 pts<\/h2>
题目分析<\/h3>

输入要求27字符(216位)<\/li>
校验流程：

前23字节(184位)与v3循环右移1位比较<\/li>
全部匹配且长度正确则成功<\/li>
<\/ol>
<\/li>
<\/ul>
解题方法<\/h3>

使用angr符号执行：
import<\/span> angr
<\/span><\/span>proj =<\/span> angr.<\/span>Project(".\/perplexed"<\/span>)
<\/span><\/span>state =<\/span> proj.<\/span>factory.<\/span>entry_state()
<\/span><\/span>simgr =<\/span> proj.<\/span>factory.<\/span>simulation_manager(state)
<\/span><\/span>simgr.<\/span>explore(find=<\/span>lambda<\/span> s: b<\/span>"Success"<\/span> in<\/span> s.<\/span>posix.<\/span>dumps(1<\/span>))
<\/span><\/span><\/code><\/pre><\/li>
自动求解满足条件的输入<\/li>
<\/ol>
关键点<\/h3>

符号执行自动化逆向<\/li>
复杂校验条件的自动化求解<\/li>
<\/ul>
总结<\/h2>
本系列题目涵盖了多种PWN和RE技术：<\/p>

地址泄露与PIE绕过<\/li>
环境变量利用<\/li>
格式化字符串漏洞<\/li>
整数溢出漏洞<\/li>
二进制插桩技术<\/li>
加密算法逆向<\/li>
符号执行自动化<\/li>
<\/ul>
每种技术都有其独特的应用场景和利用方法，掌握这些技术对于CTF竞赛和二进制安全研究至关重要。<\/p>