TGCTF Pwn题目复现与分析<\/h1>

1. 签到题 (gets函数栈溢出)<\/h2>

漏洞分析<\/h3>
使用不安全的gets<\/code>函数导致栈溢出<\/li>
无PIE保护，可直接利用<\/li>
<\/ul>
利用方法<\/h3>

采用ret2libc技术<\/li>
步骤：

泄露libc基地址<\/li>
计算system和\/bin\/sh地址<\/li>
构造ROP链执行system("\/bin\/sh")<\/li>
<\/ol>
<\/li>
<\/ul>
关键点<\/h3>

需要先泄露libc地址<\/li>
计算正确的偏移量<\/li>
构造正确的ROP链布局<\/li>
<\/ul>
2. fmt (格式化字符串漏洞)<\/h2>
漏洞分析<\/h3>

存在格式化字符串漏洞<\/li>
提供了栈地址<\/li>
只有一次利用机会<\/li>
<\/ul>
利用方法<\/h3>

第一次利用：

修改printf返回地址为0x40123d<\/li>
泄露libc基地址<\/li>
<\/ul>
<\/li>
后续利用：

将返回地址改为one_gadget<\/li>
<\/ul>
<\/li>
<\/ol>
关键点<\/h3>

利用格式化字符串修改返回地址<\/li>
实现漏洞的重复利用<\/li>
准确计算one_gadget偏移<\/li>
<\/ul>
3. overflow (栈迁移技术)<\/h2>
漏洞分析<\/h3>

程序会跳转到ecx-4指向的地址<\/li>
栈内容可以弹到rcx寄存器<\/li>
静态编译，无ASLR<\/li>
<\/ul>
利用方法<\/h3>

利用栈迁移技术：

控制ecx寄存器<\/li>
将控制流转移到可控区域<\/li>
<\/ul>
<\/li>
调用mprotect修改bss段权限为7(可读可写可执行)<\/li>
执行放置在bss段的shellcode<\/li>
<\/ol>
关键点<\/h3>

理解栈迁移原理<\/li>
正确计算ecx-4的偏移<\/li>
正确设置mprotect参数<\/li>
<\/ul>
4. stack (系统调用利用)<\/h2>
漏洞分析<\/h3>

检查程序返回地址<\/li>
若不同则跳转到0x4011b6<\/li>
0x4011b6处可通过0x4040a0控制寄存器<\/li>
<\/ul>
利用方法<\/h3>

覆盖0x4040a0处的值<\/li>
构造execve系统调用：

"\/bin\/sh\x00"字符串<\/li>
设置rdi, rsi, rdx寄存器<\/li>
设置rax为59(execve系统调用号)<\/li>
<\/ul>
<\/li>
<\/ol>
关键点<\/h3>

理解系统调用机制<\/li>
正确设置寄存器值<\/li>
构造完整的参数链<\/li>
<\/ul>
5. shellcode (短shellcode编写)<\/h2>
题目限制<\/h3>

shellcode长度不超过0x12字节(18字节)<\/li>
<\/ul>
解决方案<\/h3>

编写极简shellcode<\/li>
可使用：
xor<\/span> rsi<\/span>, rsi<\/span>
<\/span><\/span>push<\/span> rsi<\/span>
<\/span><\/span>mov<\/span> rdi<\/span>, 0x68732f2f6e69622f<\/span>
<\/span><\/span>push<\/span> rdi<\/span>
<\/span><\/span>push<\/span> rsp<\/span>
<\/span><\/span>pop<\/span> rdi<\/span>
<\/span><\/span>push<\/span> 59<\/span>
<\/span><\/span>pop<\/span> rax<\/span>
<\/span><\/span>cdq<\/span>
<\/span><\/span>syscall<\/span>
<\/span><\/span><\/code><\/pre><\/li>
<\/ul>
关键点<\/h3>

优化shellcode长度<\/li>
确保功能完整<\/li>
适应题目空间限制<\/li>
<\/ul>
6. heap (UAF漏洞利用)<\/h2>
漏洞分析<\/h3>

glibc 2.23版本<\/li>
菜单题，存在Use-after-Free漏洞<\/li>
无show函数，但edit可以输出<\/li>
可泄露libc地址<\/li>
<\/ul>
利用方法<\/h3>

利用fastbin attack泄露libc<\/li>
修改malloc_hook为one_gadget

通常写malloc_hook-0x23处<\/li>
<\/ul>
<\/li>
触发malloc获取shell<\/li>
<\/ol>
关键点<\/h3>

理解UAF原理<\/li>
掌握fastbin attack技术<\/li>
准确计算malloc_hook偏移<\/li>
<\/ul>
7. noret (JOP技术)<\/h2>
漏洞分析<\/h3>

类似ROP的JOP(Jmp Oriented Programming)技术<\/li>
需要布置栈空间<\/li>
<\/ul>
利用方法<\/h3>

寻找合适的jmp指令片段(gadget)<\/li>
布置栈空间控制程序流<\/li>
链式跳转实现完整利用<\/li>
<\/ol>
关键点<\/h3>

理解JOP与ROP的区别<\/li>
寻找有效的jmp gadget<\/li>
正确布置栈结构<\/li>
<\/ul>
通用技巧总结<\/h2>


信息泄露<\/strong>：<\/p>

通过格式化字符串、UAF、堆溢出等方式泄露关键地址<\/li>
计算libc基地址<\/li>
<\/ul>
<\/li>

控制流劫持<\/strong>：<\/p>

覆盖返回地址<\/li>
修改函数指针<\/li>
劫持虚表等<\/li>
<\/ul>
<\/li>

防护绕过<\/strong>：<\/p>

针对NX：使用ROP\/JOP或mprotect<\/li>
针对ASLR：先泄露地址<\/li>
针对Canary：泄露或覆盖<\/li>
<\/ul>
<\/li>

利用构造<\/strong>：<\/p>

根据题目限制选择合适的利用方式<\/li>
考虑shellcode长度限制<\/li>
适应不同的保护机制<\/li>
<\/ul>
<\/li>

调试技巧<\/strong>：<\/p>

使用gdb+pwndbg调试<\/li>
观察内存布局变化<\/li>
验证利用链的正确性<\/li>
<\/ul>
<\/li>
<\/ol>