CTF二进制利用：栈溢出与非常规ROP技巧解析

1. 题目背景与核心挑战解析

"not_the_same_3dsctf_2016"是一道经典的CTF（Capture The Flag）二进制利用挑战题，源自2016年3DSCTF赛事。这道题之所以在安全圈内持续被讨论，是因为它巧妙地结合了栈溢出漏洞利用和非常规ROP（Return-Oriented Programming）技巧，需要选手突破常规思维模式才能完成攻击链的构建。

题目运行在x86架构的Linux环境，提供了一个32位的可执行文件。当用checksec工具检查时，会发现程序开启了NX（No-eXecute）保护但未启用ASLR（Address Space Layout Randomization），这意味着我们需要在不执行栈上代码的前提下，通过现有代码片段组合实现攻击目标。

关键提示：题目名称中的"not_the_same"暗示着解题方法与此前常见的3DSCTF题目存在显著差异，这往往是CTF命题者留下的重要线索。

2. 漏洞定位与利用条件分析

2.1 缓冲区溢出点定位

使用IDA Pro反编译工具分析二进制文件，可以快速定位到main函数中存在危险的gets()函数调用：

c复制int __cdecl main(int argc, const char **argv, const char **envp)
{
  char s[50]; // [esp+12h] [ebp-36h] BYREF
  setvbuf(stdout, 0, 2, 0);
  printf("Enter your name: ");
  gets(s);
  return printf("Hello, %s!\n", s);
}

这里gets()读取用户输入到长度仅为50字节的栈缓冲区s中，但未做任何长度限制，导致经典的栈溢出漏洞。通过计算可知，从缓冲区起始到返回地址的偏移量为：

• 缓冲区起始地址：ebp-0x36
• 返回地址位置：ebp+0x4
• 偏移量 = 0x36 + 0x4 = 58字节

2.2 防护机制与限制条件

程序的安全防护特点决定了我们的利用方式：

1. NX enabled：无法直接执行栈上的shellcode
2. Partial RELRO：GOT表可写但需要先解析地址
3. No PIE：代码段地址固定
4. No ASLR：内存布局可预测（本地测试环境）

特别值得注意的是，程序编译时使用了非标准的链接选项，移除了许多常规的gadget（如pop-pop-ret序列），这正是题目"not_the_same"的核心难点所在。

3. 非常规ROP链构建技巧

3.1 可用gadget挖掘策略

由于常规ROP gadget匮乏，我们需要采用特殊方法寻找可用指令片段：

bash复制ROPgadget --binary not_the_same_3dsctf_2016 | less

经过分析，我们发现以下几个关键gadget：

1. 0x0806f3f0 : ret - 简单的返回指令
2. 0x080483b8 : pop ebx ; ret - 唯一可用的pop指令
3. 0x0804eef0 : mov dword ptr [edx], eax ; ret - 内存写操作

3.2 内存写原语构造

通过组合有限的gadget，我们可以构建任意内存写入能力：

1. 首先控制edx寄存器（目标地址）
   • 通过.data段已知地址+偏移计算
2. 然后控制eax寄存器（写入值）
   • 利用程序自身的输入函数读取数据
3. 最后执行mov [edx], eax完成写入

这种技术被称为"面向返回的编程增强版"(ROP+)，需要精心设计每个内存单元的写入顺序。

3.3 GOT表劫持技术

由于程序调用了printf等库函数，我们可以分步覆写GOT表项：

1. 将printf的GOT项改为system地址
2. 在内存中布置"/bin/sh"字符串
3. 触发printf调用实际执行system("/bin/sh")

具体步骤需要精确计算每个写入操作的地址和值，通常需要10-15个ROP链节点。

4. 完整攻击流程实现

4.1 攻击链结构设计

完整的ROP攻击链包含以下阶段：

1. 填充缓冲区（58字节垃圾数据）
2. 布置初始寄存器状态
3. 构建内存写操作序列
4. 触发最终函数调用

Python exploit代码框架如下：

python复制from pwn import *

context(arch='i386', os='linux')

elf = ELF('./not_the_same_3dsctf_2016')
rop = ROP(elf)

# 自定义ROP链构建
rop.raw(0x080483b8)  # pop ebx
rop.raw(0x0804a040)  # .data地址
rop.raw(0x0806f3f0)  # ret对齐

# 继续构建后续链...

4.2 关键参数计算

每个内存写入操作需要精确计算：

1. 目标地址 = 基础地址 + 偏移
   • 例如：printf_got = elf.got['printf']
2. 写入值 = 函数地址 - 偏移修正
   • 例如：system_plt = elf.plt['system']

4.3 攻击脚本调试技巧

使用pwntools的调试功能可以大幅提高开发效率：

python复制io = process('./not_the_same_3dsctf_2016')
gdb.attach(io, '''
break *0x080485AA
continue
''')

调试时重点关注：

• 栈指针是否对齐
• 每个gadget执行后的寄存器状态
• 内存写入是否成功

5. 高级技巧与变种解法

5.1 利用.init_array段

当.data段空间不足时，可以瞄准.init_array段：

• 该区域通常具有写权限
• 地址固定且内容可控
• 可存储多个参数或复杂结构

5.2 函数参数构造技巧

在无法直接控制栈指针的情况下：

1. 使用内存写提前布置参数
2. 利用现有寄存器间接传递
3. 通过多次调用组合效果

5.3 对抗gadget限制的方法

当关键指令缺失时，可以尝试：

1. 利用算术运算指令组合效果
2. 通过副作用修改内存（如printf格式化字符串）
3. 重用程序已有功能代码块

6. 实战注意事项与排错指南

6.1 常见失败原因

1. 栈对齐问题：x86架构要求栈16字节对齐，缺少ret指令会导致崩溃

   • 解决方案：在关键调用前添加ret指令对齐

2. 内存权限错误：尝试写入只读区域

   • 检查/proc/[pid]/maps确认区域权限

3. gadget副作用：某些指令会破坏关键寄存器

   • 使用ROPgadget的--depth选项分析指令影响

6.2 性能优化技巧

1. 复用已有内存内容减少写入次数
2. 利用程序初始化阶段设置的部分寄存器值
3. 将多个小写入合并为单次大块写入

6.3 自动化工具辅助

1. ROP编译器：使用ROPGadget+工具链自动生成
2. 符号执行：通过angr等工具探索路径
3. 约束求解：针对复杂条件使用Z3求解器

这道题的精妙之处在于它迫使攻击者跳出常规ROP的舒适区，去探索更底层的指令组合可能性。在实际漏洞利用中，这种灵活思维往往比工具的使用更重要。我建议在掌握基本解法后，尝试用不同方法实现攻击链，这对理解计算机体系结构也大有裨益。